В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.

| Сообщение посчитали полезным:

tihiy_grom пишет:
У него сейчас какая-то новая разновидность, раньше эти файлы были видны, а теперь он скорее всего хучит FindFileNext и убирает себя из списка. Приходится лечить или с загрузочной компашки, или по сети с другого компа.
Файлы у меня были нормально видны. Удалил дописав пару символов в реестре %System%\ntos.exe___, а после резета добил файлы.



%System%\wsnpoem\audio.dll
%System%\wsnpoem\video.dll
Файлы ток седня засек, когда Spybot'a запустил. На PE они не катят, либо покриптованы. И Spybot выдал больше веток реестра причастных к этой дряни.

ЗЫ. Кстать был замечен прикол с ДрВеб'ом, при проверке любого файла монитор вырубался, как при перезагрузке. После лечения проблема исчезла.

| Сообщение посчитали полезным:

Сосед поймал странную программу, лезущую в Интернет. Я первым делом решил через Касперского проверить - говорит чисто. Тоже самое говорит его online проверка. Смотрю peid - чисто.
Внутри явно замусоренный текст. Гоню через олли - сначала делает стринг sysdev008,
далее строит ссылочку на уже известный сайт cnc-inc.cn и загрузив urlmon
делает UrlDownloadToFileA. Т.к. имя файла пустое (?), то дальше смотреть не стал.


3d4d_22.03.2008_CRACKLAB.rU.tgz - admin.exe

| Сообщение посчитали полезным:

tundra37
после этого он грузит еще файлег со следующим содержимым:
|http://cnc-inc.cn/r7e/3/l/1/81a8f53e7b3fc4c8efea9c98675fd428|http://c nc-inc.cn/r7e/3/r/1/81a8f53e7b3fc4c8efea9c98675fd428
|http://cnc-inc.cn/r7e/3/l/3/87963d3196d5a3631b38ca18dcfad954|http://c nc-inc.cn/r7e/3/r/3/87963d3196d5a3631b38ca18dcfad954
|http://cnc-inc.cn/r7e/3/l/11/6feb6081d39e7e65eac60830cd28c407|http:// cnc-inc.cn/r7e/3/r/11/6feb6081d39e7e65eac60830cd28c407
|http://e.updatedrivers.cn/asx.exe|http://cnc-inc.cn/r7e/3/r/15/6c728c 85edcca268c5bfc9d66792bd27
|http://cnc-inc.cn/r7e/3/l/17/8626cae9ecd3d430f55b50ded7c71c5c|http:// cnc-inc.cn/r7e/3/r/17/8626cae9ecd3d430f55b50ded7c71c5c


потом по очереди грузит каждую ссылку, а там пенчи

-----
SaNX

| Сообщение посчитали полезным:

SaNX
Че все 5 штук пинчей? Нах?
hxxp://analysis.seclab.tuwien.ac.at/result.php?taskid=118006a51eb434f4 35cde77b911a02d5

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX] Меня интересует все-таки, что делает UrlDownloadToFileA, когда имя файла = '' , т.е.
пустая строка ? А смысл в 5 простой - из этих пяти анализатор узнал только 2 последних.
Значит черное дело продолжается. В ноябре-декабре заражали через java-скрипты, а ссылки
туда же вели.

| Сообщение посчитали полезным:

[HEX]
да хз, все или нет я по первой загрузил - там точно пенч

-----
SaNX

| Сообщение посчитали полезным:

Bronco Bronco пишет:
....system32\Macromed\Flash\FlashUtil9e.exe
....system32\Macromed\Flash\Flash9e.ocx
Я их антивирусом Зайцева убил.

-----
M&#225 enginn renna undan &#254v&#237 sem honum er skapa&#240

| Сообщение посчитали полезным:

di-2 пишет:
Я их антивирусом Зайцева убил
Подтверждаю....

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

вот еще шняга какая-то, на флешке попала, запротекченная чем-то непонятным, кажется Obsidium... я ее дотрейсил до того как она в темп сохраняла длл ep.dll тоже пакованную тем же протом, далее надоело...

6b1d_23.03.2008_CRACKLAB.rU.tgz - oufddh.ex_

-----
Nothing just happens. You choose it to happen.

| Сообщение посчитали полезным:

Viktoro Касперский рулит
троянская программа Trojan-PSW.Win32.OnLineGames.rry
6b1d_23.03.2008_CRACKLAB.rU.tgz//6b1d_23.03.2008_CRACKLAB.rU.tar//oufd dh.ex_

троянская программа Trojan.Win32.Tiny.w
Файл: V:\Setup\Zoo\admin.exe

| Сообщение посчитали полезным:

tundra37
Месяц назад это говно еще не Каспер и не Веб незнали. Сейчас значит и Каспер и Веб распознают.
В системе срет прилично (очень много создается autorun файлов на всех дисках и носителях).
+
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
C:\WINDOWS\system32\wincab.sys
+
В темповую папку срет C:\DOCUME~1\%PROFILE%\LOCALS~1\Temp

В реестр прописывается для автозапуска HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Ну и еще в инет долбится hxxp://60.169.1.92/mf2/help.rar
И сервак за целый месяц так и не закрыли. Странно...

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX] пишет:
В реестр прописывается для автозапуска HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Бля наивность автора проги не знает предела,он бы еще программу в папку автозагрузки добывили
Каспер остановить такую попытку и в реестре нифига не появится ,следовательно ничего и не загрузится ,хоты при заменен оригинального файла ctfmon.exe своей прогой ,которая затем вызовет оригинальный ,но уже переменовынный файл он не ругается вообще.Тревогу поднимет винда ,но это обойти уже легко.

-----
Что один человек сделал , другой всегда сломать может...

| Сообщение посчитали полезным:

свеженький гавнопенч, из той же серии афтор видимо тотже.
из первоисточника: hxxp://www.gbhltd.com/img/editor/top/TheBestMarch.zip
пока не палиццо почти ничем, тока AVG его опознал как пенча)

-----
AutoIt

| Сообщение посчитали полезным:

гейт - ipnick.com/top/top2.gif
прикольная фишка с NtSetLdtEntries, первый раз вижу в крипторе такое
не стоят они на месте, снимается под ольгой всё равно легко.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

прикольная фишка с NtSetLdtEntries
Как на васме писали, селекторы дёргают что ли?

| Сообщение посчитали полезным:

Archer пишет:
Как на васме писали, селекторы дёргают что ли?

меняется от чего у ольги рвёт башню.

http://www.wasm.ru/article.php?article=ntldtse http://www.wasm.ru/article.php?article=ntldtse

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

немного сплойтов
hxxp://wunderland1930.gmxhome.de/
hxxp://sevan.si/gg.html
hxxp://58.65.234.105/cgi-bin/nsp15/in.cgi?p=user90
и даунлоадеров(?)
hxxp://wunderland1930.gmxhome.de/video.exe
hxxp://robert.nogacki.9.w.interia.pl/video.exe
hxxp://strona-matii.za.pl/video.exe
----
http://virscan.org/report/fa0cd7f5baff7ef5fbfb75cca29d583e.html http://virscan.org/report/fa0cd7f5baff7ef5fbfb75cca29d583e.html
http://analysis.seclab.tuwien.ac.at/result.php?taskid=fd40e012335ef7b4 6987e42ad8fcc734&refresh=1 http://analysis.seclab.tuwien.ac.at/result.php?taskid=fd40e012335ef7b46987e42ad8fcc734&refresh=1
http://www.threatexpert.com/report.aspx?md5=2c9a3ec3f01d3335a2ebb9fe33 cc8651 http://www.threatexpert.com/report.aspx?md5=2c9a3ec3f01d3335a2ebb9fe33cc8651

| Сообщение посчитали полезным:

UsAr
Это уже мертво:
hxxp://sevan.si/gg.html
hxxp://58.65.234.105/cgi-bin/nsp15/in.cgi?p=user90
А это очень даже интересно:
hxxp://wunderland1930.gmxhome.de/
совсем недавно разбирали хитрожопый JS, так вот тут что то аналогичное, но уже что то другое. Посмотрим...
Посмотрел:
JS код точно так же опирается на содержимое и длину своего тела чтобы расшифровать код. Внутри зашифрован обычный ифрейм на hxxp://58.65.234.105/cgi-bin/nsp15/in.cgi?p=user90 Который как я уже написал умер.

И даунлоадеры небось 3 штуки идентичные? Если разные, то видать опять пакет для нубов выпустили. И теперь кидесы пытаются свою ботнет сеть создать с помощью этого пакета-генератора говна.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX]
Глянь, что за говно:
rapidshare.com/files/103722435/__1055___1088___1086___1075___10 72_.rar.html
Какие-то сканпелированные в ехе батнеги...
Зверьки или как?

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Spirit
Чето не очень похоже на зверьков.
батники превратили в exe с помощью этого www.abyssmedia.com/quickbfc/index.shtml
разварачиваются батнички в темповую папку
C:\DOCUME~1\user\LOCALS~1\Temp
Так что можно тупо их там и ловить.
Либо под отладчиком CreateFile, WriteFile, CloseHandle.
Вот все 3 батничка из ваших exe файлов.
hexcsl.com/upload/stats/908

Судя по всему батники наверное для этого софта:
www.soft5.com/ru/content/main.php?id=k&pid=kna_programcomplex
Мне лень разбираться с ними, так что сами смотрите.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX] пишет:
И даунлоадеры небось 3 штуки идентичные? Если разные, то видать опять пакет для нубов выпустили. И теперь кидесы пытаются свою ботнет сеть создать с помощью этого пакета-генератора говна.
практически одинаковые, накрытые полиморфным Tibs'ом. вроде этот пакер юзали в одном из известных руткитов?
сомневаюсь что это просто даунлоадеры. я особо не смотрел, но после первого взгляда не понял что и откуда они скачивают.

| Сообщение посчитали полезным:

UsAr
анпакед версия hexcsl.com/upload/stats/911 пасс virus

грузит
hxxp://207.10.234.217/ldrctl/user/3s.exe

потом еще инфектед ведро ломилось еще и сюда
hxxp://digitalroute69.com/l.php?aid=381.25 - грузит говно
hxxp://digitalroute69.com/newuser.php?saff=381.25 - заносим в списочек

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

В моем стихином honeypot'е кроме неинтересных unescape'повых java скриптов ничего привлекательного долго не было, а вот недавно заглянул - появилось что-то новенькое, на первый вгляд не совсем понял алгоритм, если кому интересно, гляньте http://dump.ru/files/n/n8480972307/ - когда то залили php скриптик, а к нему прилепилось нечто.
Пароль:123

| Сообщение посчитали полезным:

[url=http://58.65.239.115/check/xgdwxao.php?ijscft=sfpgux
]http://58.65.239.115/check/xgdwxao.php?ijscft=sfpgux
[/url]
в ответ
Error SQL5R.1.3

[url=http://58.65.239.115/check/whkpxfr.php
]http://58.65.239.115/check/whkpxfr.php
[/url]
в ответ
622

[url=http://58.65.239.115/check/tpktskr2.php
]http://58.65.239.115/check/tpktskr2.php
[/url]
в ответ долго думало и вернуло
RU|487--http://58.65.239.42/yi295d/64.exe|427--http://58.65.239.42/yi2 95d/alexey.exe|474--http://58.65.239.42/yi295d/bho.exe|469--http://58. 65.239.42/yi295d/inst250.exe|491--http://58.65.239.42/yi295d/krab.exe| 470--http://58.65.239.42/yi295d/bhos.exe|282--http://58.65.239.42/yi29 5d/aadre.exe|430--http://jetcodec.com/download/jetcodec5099.exe|492--h ttp://58.65.239.42/yi295d/systen.exe|425--http://58.65.239.42/yi295d/C rypted_packedW.exe|472--http://58.65.239.42/yi295d/0304.exe|463--http: //58.65.239.42/yi295d/eagle.exe|486--http://58.65.239.42/yi295d/tor.ex e|

подскажите как от ентой гадости лучше систему почистить

| Сообщение посчитали полезным:

HOMEZ
Целый зоопарк всякой шняги, анпакнул 58.65.239.42/yi295d/Crypted_packedW.exe Dr.Web кричит Trojan.PWS.Ibank

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

58.65.239.115/gate/
>>
>>Целый зоопарк всякой шняги, анпакнул 58.65.239.42/yi295d/Crypted_packedW.exe Dr.Web кричит Trojan.PWS.Ibank
>>

похоже судя по всему на трой морозова..)

-----
Shalom ebanats!

| Сообщение посчитали полезным:

да у меня знакомый словил доунлоадера он закачал этот заопарк, так ниодин антивирь терь не ставится, а стоявший нортон2005 погиб как герой

тока откуда доунлоадера взял товарищь незнаю

вручную вроде все лишнее прибил, но вот как антивиря установить

| Сообщение посчитали полезным:

Crypted_packedW.exe ставит dllку в InternetExplorer setupapi.dll, в ней есть русские строки радует что автор наш человек, также имеется адрес kokovs.cc/porno/stat.php, скорее всего трой стучится туда.

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

HOMEZ пишет:
тока откуда доунлоадера взял товарищь незнаю
отсюда наверное =)
ddanchev.blogspot.com/2008/04/hacked-by-rbn.html

| Сообщение посчитали полезным:

58.65.239.42/yi295d/tor.exe пытается связаться с 208.66.195.15

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным: