| Сейчас на форуме: johnniewalker, Kybyx, testrev1337, bedop66938, vsv1 (+7 невидимых) |
 |
eXeL@B —› Крэки, обсуждения —› Исследование вирусов |
| << 1 ... 18 . 19 . 20 . 21 . 22 . 23 . 24 . 25 . 26 . 27 . 28 ... 47 . 48 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 13 октября 2006 23:15 · Поправил: Модератор · Личное сообщение · #1 В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.  |
|
|
Создано: 12 января 2008 08:49 · Личное сообщение · #2 ReZiDenT_USSR Старый пинч (17 сен 2007) viruslist.com/ru/viruses/encyclopedia?virusid=21780159 Сайтик прикрыли… by300.info/GOOD2/gate.php |
|
|
Создано: 12 января 2008 18:16 · Личное сообщение · #3 Djadja Vanja Помним такого =) в этой теме проскакивал уже. ----- Computer Security Laboratory |
|
|
Создано: 15 января 2008 08:31 · Личное сообщение · #4 Вот попался экземпляр....Объясните пожалуйста, как такой пинч дебажить? Там походу какая то антиотладка есть....никак не могу ее обойти (((  96c3_14.01.2008_CRACKLAB.rU.tgz - pinch.rar
----- бессмысленные манипуляции не становятся более разумными если их повторять |
|
|
Создано: 15 января 2008 09:16 · Личное сообщение · #5 а барыги всё не спят )) |
|
|
Создано: 15 января 2008 12:02 · Поправил: [HEX] · Личное сообщение · #6 SecurAdmin hxxp://holerka.freevar.com/gate/gate.php возможно шлюз мертвый уже. ----- Computer Security Laboratory |
|
|
Создано: 21 января 2008 19:38 · Личное сообщение · #7 Никто не сталкивался с такой хренью случайно? эти 2 файла создаются при запуске любого exe (или только тех, которые пользуют выход в нэт), drweb палит и удаляет, но первоисточник обнаружить не могу... в процессах вроде ничего подозрительного нет, но файлы продолжают создаваться... bafd_21.01.2008_CRACKLAB.rU.tgz - wsock32.rar
----- z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh |
|
|
Создано: 22 января 2008 06:19 · Личное сообщение · #8 Isaev А есть екзешник? Хотелось бы заразить вмку и посмотреть... Эти дллки походу просто хукают импорт из ws2_32.dll и все. ws2_32.dll Ver: 5.1.2600.2180 Desc: Windows Socket 2.0 32-Bit DLL Copyright: © Microsoft Corporation. All rights reserved. Как говорится было ваше, стало наше 
----- iNTERNATiONAL CoDE CReW |
|
|
Создано: 22 января 2008 11:59 · Поправил: [HEX] · Личное сообщение · #9 Isaev Если в WOW рубишся, то уплыли твои аккаунты уже на сервак ww.40O.cn Троянец хучит кучу апишек из 3-4 длл (или же подменяет одну из них на себя) и тем самым перехватывает все обращения в инет. Так же в троянце присутствует имя сервака wowchina.com. Поищи файл qqgam0e.exe, убей все в темпах, проверь файл wowshell.exe и wow.exe. Еще чето мутит с Internet Explorer. Так что это полноценный троянец, а не просто хукает функции. Вот перевод с китайского translate.google.com/translate?u=http%3A%2F%2Fwww1.dqpi.edu.cn%2Fwlyxxfw%2Freadnews.asp%3Fid%3D163&langpair=zh%7Cen&hl=en&ie=UTF-8 и оригинал www1.dqpi.edu.cn/wlyxxfw/readnews.asp?id=163 ----- Computer Security Laboratory |
|
|
Создано: 22 января 2008 15:10 · Личное сообщение · #10 Spirit я понял что они для того и нужны... Проблемма как раз в том, что exeшник найти не могу 
где он живёт? [HEX] пишет: Если в WOW рубишся, то уплыли твои аккаунты ну да, читал уже про wow, тока не рублюсь я в него, не по адресу троянец попал... но напрягает...  (надеюсь больше ему ничего не надо)
а по поводу обнаружения и удаления что читал, ничего не обнаружил... или модификация или вообще другая хрень, поэтому и решил тут спросить qqgam0e.exe - нет ни в реестре ни на винте... wowshell.exe и wow.exe (видимо относятся к самой игре?) - соответственно тоже нет [HEX] пишет: Еще чето мутит с Internet Explorer. раз в минут 5 подвисает всё секунд на 5... и это начинает нервировать 
----- z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh |
|
|
Создано: 22 января 2008 16:50 · Личное сообщение · #11 Isaev пишет: раз в минут 5 подвисает всё секунд на 5... и это начинает нервировать Дык зайди в ИЕ в Сервис->Управление надстройками и повырубай все к чертям собачим. Скорее всего у тебя трой как мегадевайс для ие подключился... З.Ы.: Имхо ИЕ масдай. Опера и лиса рулед. ----- iNTERNATiONAL CoDE CReW |
|
|
Создано: 22 января 2008 17:19 · Личное сообщение · #12 Spirit туплю... я не IE имел ввиду, а explorer... IE давно списан
----- z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh |
|
|
Создано: 22 января 2008 19:49 · Личное сообщение · #13 Isaev Тогда даже не знаю... Можно попробовать поюзоть ProcessExplorer и RkUnhooker. Кстате, а если убить explorer.exe, то комп начинает нормально работать? мож не в нем дело... ----- iNTERNATiONAL CoDE CReW |
|
|
Создано: 23 января 2008 12:46 · Поправил: Klever · Личное сообщение · #14 Выловил очередную пакость, уж больно мал размер. |
|
|
Создано: 23 января 2008 13:02 · Личное сообщение · #15 Klever, файл пустой. ----- invoke OpenFire |
|
|
Создано: 23 января 2008 18:43 · Личное сообщение · #16 |
|
|
Создано: 23 января 2008 19:22 · Поправил: Ice-T · Личное сообщение · #17 Под MEW еще какой-то самописный "криптор". Заепываед проверками типа RDTSC и SEH. Фтопку.. ----- invoke OpenFire |
|
|
Создано: 23 января 2008 21:04 · Поправил: sniperZ · Личное сообщение · #18 Ice-T пишет: Под MEW еще какой-то самописный "криптор". Заепываед проверками типа RDTSC и SEH. Фтопку.. хехе, самописная штука называеццо найспротект от гпч..
oep 00907466, iat start 403000, iat size 28. в архиве онпокнутый, кто хочет гляньте, а то у миня башка трещит щас..
кстате, вмварю уносит от этого чуда..
ссыль:hттp://dump.ru/files/o/o9745449886/ пасс: sniper |
|
|
Создано: 23 января 2008 22:00 · Личное сообщение · #19 DiE чо не знаед этот прот? До оеп я дошол, а потом надоело и вари нету.. А варю, что уносит - это пофиксить можно, помоему там я чото видел похоже на детект вм. ----- invoke OpenFire |
|
|
Создано: 25 января 2008 13:23 · Личное сообщение · #20 Гляньте че там, у товарища в процессах висело dump.ru/files/o/o754219042/ P.S сам ниасилел jmp-вермишель
----- Nulla aetas ad discendum sera |
|
|
Создано: 25 января 2008 13:59 · Личное сообщение · #21 Flint www.viruslist.com/ru/search?VN=Backdoor.Win32.Shark.h&referer=wks ----- Yann Tiersen best and do not fuck |
|
|
Создано: 25 января 2008 14:04 · Поправил: [HEX] · Личное сообщение · #22 Klever даунлоадер зашибающий бабло на таких как ты. За то что ты заразился и скачал еще в довесок чужое говно им заплатят бабло. From localhost:1035 to 69.64.51.47:80 - [www.theinstalls.com] Request: GET /plist.php?uid=98d2d138659684288bb83ac8c7d93cec Response: 200 "OK" Request: GET /pdone.php?uid=98d2d138659684288bb83ac8c7d93cec&pcodes=&pcodes=1_261 Response: 200 "OK" Request: GET /icount.php?uid=98d2d138659684288bb83ac8c7d93cec Response: 200 "OK" From localhost:1036 to 85.255.118.12:80 - [sclgntfy.com] Request: GET /_lfadichp/2863vlxsjynu.exe Response: 200 "OK" Советую искать еще зверька. Так как их как минимум 2 на твоем компе. Хозяин сайта русский и так или иначе связан с античатом ;) При большом желании можно свернуть лавочку или спалить всех участников данной системы 
----- Computer Security Laboratory |
|
|
Создано: 25 января 2008 15:09 · Поправил: [HEX] · Личное сообщение · #23 Flint Твой вирусок до Х чего делает лучше сам посмотри отчеты: analysis.seclab.tuwien.ac.at/result.php?taskid=385b35ef31f4f0f4 2977e534e373a4bc www.cwsandbox.org/?page=details&id=128283&password=vkobc есть подозрение на темиду, так как под виртуалкой всплывает окно от темиды с ругательством на ВМ. Хотя и не факт Я сам потраха не смотрел поэтому утверждать ничего не буду.
Ломится на сервак gunner54.bounceme.net:5250 нак котором порт уже закрыт, но сервак жив! ----- Computer Security Laboratory |
|
|
Создано: 25 января 2008 15:16 · Личное сообщение · #24 [HEX] Истественно, я его не запускал. А в "песочнице" пусть что хочет то и делает, она из образа восстанавливается на раз )) Ещё отловил, прилагаю. f188_25.01.2008_CRACKLAB.rU.tgz - tmp3137.exe
|
|
|
Создано: 25 января 2008 16:45 · Личное сообщение · #25 Klever Пинч с шлюзом hxxp://sypercasino.com/ping/gate.php ----- Computer Security Laboratory |
|
|
Создано: 25 января 2008 23:05 · Личное сообщение · #26 Ещё один трой. Покрыт чем-то, распаковать так и не удалось. pass: vir 464d_25.01.2008_CRACKLAB.rU.tgz - crypted__bot.rar
|
|
|
Создано: 25 января 2008 23:42 · Поправил: Hellspawn · Личное сообщение · #27 какой то бот, отстукивает сюды: +ttp://finito.fi.funpic.org/black/stat.php если у вас есть файл - c:\windows\system32\mssrv32.exe велком ту ботнет!
----- [nice coder and reverser] |
|
|
Создано: 26 января 2008 00:04 · Личное сообщение · #28 Hellspawn пишет: велком ту ботнет! Да не я на VM эту фигню смотрел. Файл mssrv32.exe действительно есть, так-же создаётся скрытый процесс svchost.exe ... f5a4_25.01.2008_CRACKLAB.rU.tgz - mssrv32.rar
|
|
|
Создано: 26 января 2008 21:18 · Личное сообщение · #29 Hellspawn пишет: какой то бот, отстукивает сюды: +ttp://finito.fi.funpic.org/black/stat.php если у вас есть файл - c:\windows\system32\mssrv32.exe велком ту ботнет! Этот бот называется BlackEnergy bot 1.9.2 ----- Nulla aetas ad discendum sera |
|
|
Создано: 26 января 2008 23:13 · Личное сообщение · #30 Подруга притащила на флешке заразу (ладно хоть виртуальную :D ). Короче троянчик запускаецо через autorun.inf. А вот что он делоет, мне так и не удалось выяснить до конца.. Сначала он находит кернел и etc сканом памяти и нужные функции в экспорте, потом дропает длл в темп (она в аттаче) и подгружает её. В ней тоже самое %) Составляет таблицу адресов функций, зачем-то открывает hal.dll потом тут же закрывает. Затем в памяти создает ПЕ (с секциями UPX) но не дропает его, а исполняет прямо из памяти и где-то там почему-то падает (у мну комп перезагружается нах). вообщем гляньте, у кого есть виртуалка и желание 79a6_26.01.2008_CRACKLAB.rU.tgz - ntde1ect.rar
----- invoke OpenFire |
|
|
Создано: 04 февраля 2008 12:29 · Личное сообщение · #31 А вот еще: С антиотладкой, запакованный. Упаковщик анализаторами не определяется.. Копируется сразу на все диски, при этом в реестре (в автозапуске дисков) устраивает полный разгром 
В общем, вкуснятина a29d_04.02.2008_CRACKLAB.rU.tgz - h.cmd
----- программистом не рождаются - им умирают |
| << 1 ... 18 . 19 . 20 . 21 . 22 . 23 . 24 . 25 . 26 . 27 . 28 ... 47 . 48 . >> |
|
eXeL@B —› Крэки, обсуждения —› Исследование вирусов |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати