| Сейчас на форуме: johnniewalker, Kybyx, testrev1337, bedop66938, vsv1 (+7 невидимых) |
 |
eXeL@B —› Крэки, обсуждения —› Исследование вирусов |
| << 1 ... 27 . 28 . 29 . 30 . 31 . 32 . 33 . 34 . 35 . 36 . 37 ... 47 . 48 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 13 октября 2006 23:15 · Поправил: Модератор · Личное сообщение · #1 В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.  |
|
|
Создано: 10 июня 2008 09:20 · Личное сообщение · #2 Flint пишет: запаковано чем то новым из раздела пакеропротекторы? Тему я про пакеропротекторы я просматриваю, так вот.... Ровно половина троев, если не большая ее часть, паковано софтом именно из данной темы... И читают данную тему в большенстве - новечки, которые недавно скачали билдер пинча 
----- -=истина где-то рядом=- |
|
|
Создано: 10 июня 2008 09:48 · Личное сообщение · #3 Flint, оффтоп: ранг совсем не показатель... многие "не новички" за несколько лет регистрации на сайте оставили два-три десятка сообщений и у них ранг около 10... им-то как быть? ----- Do Not Get Mad Get Money! ;) |
|
|
Создано: 10 июня 2008 10:19 · Личное сообщение · #4 Talula пишет: многие "не новички" за несколько лет регистрации на сайте оставили два-три десятка сообщений и у них ранг около 10... им-то как быть? Согласен, тогда по инвайтам 
----- Nulla aetas ad discendum sera |
|
|
Создано: 10 июня 2008 10:27 · Поправил: Talula · Личное сообщение · #5 можно просто запоролить архив. кому надо - спросят у автора поста в личке. тот пусть уже сам решает - дать пароль или нет... ----- Do Not Get Mad Get Money! ;) |
|
|
Создано: 10 июня 2008 10:32 · Личное сообщение · #6 Простите за флуд - не удержался. KingSise пишет: Тему я про пакеропротекторы я просматриваю, так вот.... Ровно половина троев, если не большая ее часть, паковано софтом именно из данной темы... И читают данную тему в большенстве - новечки, которые недавно скачали билдер пинча А если посмотреть с обратной стороны, что там появляются именно те пакеропротекторы, которыми криптуют пинчей - из приватов на паблек? Я считаю что это гонки антивирусных лабораторий и троянщегов: кто круче кодет, - тот и прав. И грешить на тот топик - вообще не имеет смысла, ведь подобный топик если не будет тут - то будет в другом месте. Flint пишет: Согласен, тогда по инвайтам имхо бред. ----- все багрепорты - в личные сообщения |
|
|
Создано: 11 июня 2008 15:33 · Личное сообщение · #7 ключевое слово "Microsoft Enhanced Cryptographic Provider v1.0" вот вам, поиграццо:  d215_11.06.2008_CRACKLAB.rU.tgz - malware.7z
----- Crack your mind, save the planet |
|
|
Создано: 11 июня 2008 17:04 · Поправил: [HEX] · Личное сообщение · #8 Styx Ооо... только просил зверька и на тебе =) 
Будем смотреть Your files are encrypted with RSA-1024 algorithm. To recovery your files you need to buy our decryptor. To buy decrypting tool contact us at: cipher4000@yahoo.com === BEGIN === AD7D6889 010200000168000000A400008EE1630FA688F194 42766F3AE19D5483AAE44C246F66C15F5C6D0E38 0B402EF1B67A0FF10A8A08CADB2DEA19EBD957EF 151ED9365CD730BE54263C3E2FDCEDF8546FF33E 5017032833DCB0C306EA28D79CD6DB4C0E7CE96D 3B84E83EEC84740FED2D64B672148E6F86B06B16 890102FF0D22AE42D3CD4B0F7D7E2AD0A5C0724C === END === ----- Computer Security Laboratory |
|
|
Создано: 11 июня 2008 17:59 · Личное сообщение · #9 [HEX] я его и выложил потому, что тебе очень хотелось его увидеть (: ----- Crack your mind, save the planet |
|
|
Создано: 12 июня 2008 07:45 · Поправил: RUNaum · Личное сообщение · #10 Styx, спасибо, всё мыло искал, которое каспер на скринах цензурит. Скачивается битым (либо пасс), пробовал и $FF и DM'ом. tgz - gz, WinRAR - > malware.7z -> битый, либо неверный пасс, но пасс всяко разно перепроверил. [HEX], небольшой анализ в студию? ) Сильно ждем-с. |
|
|
Создано: 12 июня 2008 15:21 · Личное сообщение · #11 RUNaum архив целый, на ругань при распаковке не обращай внимания. пароль как практически везде принято стандартный, тоесть virus Анализа впринципе пока нет, так как смотрел на него всего от силы 10-15 минут на работе, но вирус мелкий и впринципе любой может под идой посмотреть. Там кода на пару страниц от силы, так как все написано на виндовом апи. И как уже написал Styx крипто юзается виндовое CryptoAPI - Microsoft Enhanced Cryptographic Provider v1.0. ----- Computer Security Laboratory |
|
|
Создано: 14 июня 2008 05:00 · Поправил: [HEX] · Личное сообщение · #12 Вот буличный ключик раз (для индентификатора AD7D6889): 06 02 00 00 00 A4 00 00 52 53 41 31 00 04 00 00 01 00 01 00 5D F8 93 1E B8 82 67 54 66 9C C7 F0 1B 4D 2D B6 75 32 7E A2 F4 F2 A4 CF 71 14 AB 9E 81 67 05 E6 C0 98 64 AC E4 97 C1 11 50 90 FE E6 CF 48 EF 49 27 23 5D F5 B6 55 50 D8 AF 0E 1E E4 88 D0 01 9E 53 B0 64 CC C8 D2 E2 18 3C 79 F5 15 EE D1 94 18 B6 D1 87 B5 E0 5F E1 0E 92 FC 68 96 72 B4 78 EE 0A 90 EF 86 84 AC 41 BE 38 DA 37 ED 95 D2 D2 99 57 59 82 89 31 C5 73 B5 8F D6 23 32 69 1D C2 C0 И вот публичный ключик два (для индентификатора DF3AAFFC): 06 02 00 00 00 A4 00 00 52 53 41 31 00 04 00 00 01 00 01 00 FB 8A 30 6F 52 38 65 2D 43 21 A5 1C E7 3D 4B B1 AF 6D D2 C8 86 D5 6B FA B7 A4 B7 06 51 04 F4 B5 0A 28 D7 B8 14 15 57 FC 39 29 48 ED 6C 0F 3E E0 36 83 6E E4 E5 64 2A BE E0 A7 25 D2 79 FB 30 C0 B2 08 D7 D7 D8 79 94 28 01 D3 1E C0 94 6E 99 FF 2F F3 6E 5C CE C7 5A C7 75 ED 36 F9 E0 A5 C9 7C 24 07 56 73 FE 23 65 1C 63 91 3D A7 3D 70 44 1C F2 05 32 3A 03 B4 98 DC F8 3D 77 F2 D6 6A 04 D6 В общем весь вирус не больше двух печатных страниц. Написан на чистом виндовом API. Авторское название _G_P_C_. Как уже обсуждалось генериться сессионый ключ RC4 с помощью которого рекурсивно шифруются файлы подпадающие под список заложеных расширений (архивы, фотки, БД и прочее). Этот сессионный ключ накрывается публичным ключом в 1024 бита и записывается в файл !_README_!.txt вместе с инструкцией выше приведеной. Вконце концов создает VBS файлик с ликвидацией тела вируса (exe) и с мессаджем того же содержания что и в !_README_!.txt. Вот и всё действие вируса. Хочу огорчить, но буфер с ключиками теоретически затирается при выходе из вируса 
CryptDestroyKey(dword_403014); CryptReleaseContext(phProv, 0); result = CryptAcquireContextA(&phProv, szContainer, &szProvider, 1u, 0x10u); if ( result ) result = CryptReleaseContext(phProv, 0); return result; } Так же присутствует мыло content715@yahoo.com P.S. Антивирусные компании предлагают востанавливать файлы обычными утилитами по востановлению удаленных файлов. Поэтому они и просят ничего не делать с компьютером, а сразу же обращаться к ним. О бруте RSA 1024 наверное нет смысла и думать. ----- Computer Security Laboratory |
|
|
Создано: 14 июня 2008 07:31 · Личное сообщение · #13 [HEX], а ты не смотрел в сторону генерации ключа RC4 на машине жертвы? может там псевдорандом какой есть? еслиб я влип под этот жопокод - смотрел бы в сторону уязвимости RC4, как говоритца спасение утопающих... |
|
|
Создано: 14 июня 2008 07:40 · Личное сообщение · #14 А вот кстати, большинство троянов и прочей малваре робят только из под админа? Из под юзеря прав не хватает там на запись в %SYSTEM% или всё же большинство и под теми, и под теми? |
|
|
Создано: 14 июня 2008 11:54 · Поправил: apple · Личное сообщение · #15 Все от разработчика и ТЗ зависит. Совсем забыл про эту тему! Освоил поимку вирусов спутниковой рыбалкой. Улов за ночь около 100. Надоело мне их разбирать. Все, что осталось отдал как есть, не смотрел что там. Возможно, 10-20% и не звери rapidshare.com/files/122332313/vir1.7z.html пасс infvir ----- ring 0 |
|
|
Создано: 14 июня 2008 12:43 · Личное сообщение · #16 apple Неплохой улов
Можешь подробнее рассказать как все это зацепил ----- Nulla aetas ad discendum sera |
|
|
Создано: 14 июня 2008 13:03 · Поправил: apple · Личное сообщение · #17 1. Маленький размер. Обычно до 100кБ, больше - много ложных срабатываний. 2. MZ в начале файла. 3. Пакованность (пока плоховато работает, надо тестить. Соль в том, что многие файлы идут с таблицей импорта в одну kernel32 - это уже на 90% означает вирь) и стандартные строки типа unescape() для html. 4. Анализ мак-адресов и IP-адресов. Если мак или Ip "вирусный", то добавляем в правила качать все. Исключения - IP аверов, с них тоже идет поток MZ-файлов. 5. Полезным будет расширение проводника. Добавляет новый столбец с MD5-хеш суммами файлов (в аттаче). Очень много нечистых загрузчиков. Грузят по несколько раз один и тот же файл юзеру. Бывает даже автоматическая криптовка каждого вновь загружаемого файла. 6. И конечно же SkyNet. На планетскае (eam22) больше всего падает. За ночь 210 штук, из них где-то 50 уникальных, остальные - штаммы и повторы. 5036_14.06.2008_CRACKLAB.rU.tgz - Md5Column.7z
----- ring 0 |
|
|
Создано: 14 июня 2008 16:19 · Личное сообщение · #18 bitgame Псевдарандома нет иначе это псевдорандом во всей винде. Если есть программисты-математики, то можете позаморачиваться с написанием брутфорсера. Исходные данные: CryptGenKey(phProv, CALG_RC4, 0, phKey); Полагаю что RC4 с дефолтовой длиной ключа в 128 бит. Ключ статичный для всех пошифрованых файлов на зараженой машине. Естественно текст в пошифрованых файлах известен (PE заголовки, сигнатуры у картинок и документов). ----- Computer Security Laboratory |
|
|
Создано: 14 июня 2008 18:07 · Личное сообщение · #19 [HEX], ну в винде таки есть псевдорандом. Естественно текст в пошифрованых файлах известен (PE заголовки, сигнатуры у картинок и документов). естественно, только на это и может быть надежда у влипших. |
|
|
Создано: 14 июня 2008 20:04 · Личное сообщение · #20 [HEX] пишет: Ключ статичный для всех пошифрованых файлов на зараженой машине. В таком случае для расшифровки всех файлов нам достаточно восстановить один из зашифрованых файлов превышающих по размеру любой их расшифровываемых. После чего получаем гамму gamma = playn_file xor encrypted_file и расшифровываем все остальные файлы playn_file = encrypted_file xor gamma. Одно из первейших правил использования любых потоковых шифров - ни в коем случае не шифровать несколько файлов на одинаковом ключе. ----- PGP key |
|
|
Создано: 14 июня 2008 20:48 · Поправил: inf1kek · Личное сообщение · #21 RC4 ключ уникален для каждого файла. 
|
|
|
Создано: 14 июня 2008 21:14 · Поправил: bitgame · Личное сообщение · #22 inf1kek, да ну нах?! в таком случае расшифровщика для любой зараженной машины просто не существует в природе. |
|
|
Создано: 14 июня 2008 21:19 · Личное сообщение · #23 bitgame Почему? один из параметров файла может служить как "соль". |
|
|
Создано: 14 июня 2008 22:43 · Поправил: [HEX] · Личное сообщение · #24 inf1kek CryptGenKey(phProv, CALG_RC4, 0, phKey); В параметрах о соли никакой речи нет. Шифруется один единственный сессионый ключ который и отправляется автору вирусним с просьбой выслать за бабло дешифратор (он же ключ). P.S. CryptGetKeyParam или CryptSetKeyParam в вирусне не присутствует, так что не о какой соли речь идти не может. ntldr В теории много видел подобной инфы. Ктобы накатал подобную утилю или уже есть что то подобное? Востановить хотябы пару удаленных файлов 100% удасться (если конечно юзвери не опомняться через месяц другой), тогда можно будет попытаться сбрутить ключик. Ориентироваться надо на jpg, так как эти файлы 100% у всех есть, ну или накройняк на архивы. ----- Computer Security Laboratory |
|
|
Создано: 14 июня 2008 23:48 · Личное сообщение · #25 На основе данного материала: CryptGenRandom - Hebrew University Cryptanalysis http://en.wikipedia.org/wiki/CryptGenRandom#Hebrew_University_Cryptanalysis были ли созданы работающие инструменты, или это был proof-of-concept? ----- EnJoy! |
|
|
Создано: 15 июня 2008 03:55 · Личное сообщение · #26 [HEX] пишет: CryptGenKey(phProv, CALG_RC4, 0, phKey); В параметрах о соли никакой речи нет. Шифруется один единственный сессионый ключ который и отправляется автору вирусним с просьбой выслать за бабло дешифратор (он же ключ). P.S. CryptGetKeyParam или CryptSetKeyParam в вирусне не присутствует, так что не о какой соли речь идти не может. Ты немного неправильно понял процесс шифрования. Ключ шифрования для каждого файла разный, и эти ключи формируются и из мастер-ключа. Функция шифрования файла находиться по адресу 004016C0, перед шифрованием она вызывает функцию 004015C8 генерирующую файловый ключ по формуле file_key=sha1(rc4(master_key, timestamp)) timestamp - метка времени длиной 16 байт генерируемая через rdtsc. Она сохраняется в начале каждого зашифрованого файла и используется для генерации файлового ключа при расшифровании. Таким образом правило безопасного использования потоковых шифров не нарушено, и дешифрование вышеописаным способом невозможно. ----- PGP key |
|
|
Создано: 16 июня 2008 09:57 · Поправил: [HEX] · Личное сообщение · #27 ntldr Мдя... точно
Это я что то проглядел = mov ecx, eax
А тут не придал значения что пишется только 16 байт. push 0 ; lpOverlapped
А дальше как раз пошифрованое содержимое файла. Тогда в итоге выходит на каждый файл придеться брутить RC4 
Или вдвойне увеличивается нагрузка чтобы найти мастер кей, который в сочетании с таймштампом выдает оригинальный файл. На что потребуется 2 прохода по RC4 
P.S. SHA1 где? ----- Computer Security Laboratory |
|
|
Создано: 17 июня 2008 10:50 · Личное сообщение · #28 Нашел на exploit.in архив с ~150 разными ботами, сам толком не смотрел. В наличии много исходников и мусора Может кому пригодится для анализа.
rapidshare.com/files/82063405/150_Bots.rar pass: seconded ----- Nulla aetas ad discendum sera |
|
|
Создано: 18 июня 2008 08:39 · Поправил: HandMill · Личное сообщение · #29 Запрос авторизации By this program you can may to write from any icq number. For example you can may to write from icq number 123456. Download this program www.driveway.com/b7a2f7x0z7 что-то любопытное. Реверсить пока не пробовал, потому что на работе. извиняюсь - опять пинч
gate: roman-16.freehostia.com/admin/admin.php ----- все багрепорты - в личные сообщения |
|
|
Создано: 18 июня 2008 12:33 · Личное сообщение · #30 HandMill пишет: gate: roman-16.freehostia.com/admin/admin.php Надо же, уже удалили. С пинка в службу жалоб недели 3 лежал гейт. |
|
|
Создано: 28 июня 2008 07:50 · Поправил: Spate · Личное сообщение · #31 Эксперты предупрждают о появлении нового опасного червя-кейлоггера "Лаборатория Касперского" сообщила об обнаружении нового почтового полиморфного червя-кейлоггера, использующего оригинальный механизм сокрытия своего присутствия в системе. Червь, получивший название Email-Worm.Win32.Lover.a, распространяется по каналам электронной почты - пользователю приходит письмо с вложенным файлом to_my_love.scr, при запуске которого на экран выводится яркая демонстрация, напоминающая скринсейвер "Геометрический вальс". Картинка генерируется в реальном времени с использованием фрактальной геометрии. Однако данный файл не является скринсейвером, а представляет собой кейлоггер, записывающий все, что пользователь набирает на клавиатуре при работе с веб-браузерами, почтовыми и IM-клиентами (Opera, Firefox, Internet Explorer, The Bat!, MSN Messenger, ICQ, QIP и другими). Механизм сокрытия присутствия червя Email-Worm.Win32.Lover.a в системе реализован оригинальным образом. Для заражения он использует программный код, которым инфицирует исполняемые файлы вышеупомянутых программ, разделяя код инфекции для каждого из приложений на несколько частей, что серьезно затрудняет его обнаружение. При запуске зараженного приложения программный код вируса занимает 4 Кб памяти, где собирает свое тело, и далее записывает в папке Windows файл с именем ia*.cfg. В этот файл сохраняются коды нажатых пользователем клавиш. Как показало исследование червя, проведенное аналитиками "Лаборатории Касперского", файл с отслеженными вредоносной программой данными отправляется на FTP-сервер rdtsc.***.com. Червь Email-Worm.Win32.Lover.a применяет нетипичную для таких программ маскировку своего основного функционала, скрываясь за красивыми картинками и выдавая себя за скринсейвер. Лексика, обнаруженная в коде вредоносной программы, дает основания предположить, что автор червя является русскоговорящим. Есть у кого зверёк ? |
| << 1 ... 27 . 28 . 29 . 30 . 31 . 32 . 33 . 34 . 35 . 36 . 37 ... 47 . 48 . >> |
|
eXeL@B —› Крэки, обсуждения —› Исследование вирусов |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати