В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.

| Сообщение посчитали полезным:

Щас вот спамом прилетело какое то говно hxxp://logantur.com.br/video.exe
Так что кому интересно можете посмотреть.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX] лоадер обычный
непонимаю правда - почему размер такой огромный

| Сообщение посчитали полезным:

Не понял, как эта хреновина работает, но внутри есть пинч, настроенный на xaker.croe.net/gate/gate.php
;------
Блин аттач не цепляется
h11p://www.rapidshare.ru/730334
pass:1

| Сообщение посчитали полезным:

У товарища на ноуте зверьки обитали, один себя на флешку копировал ,второй хз что делал.
DrWeb определил как Win32.HLLW.AUTORUNER.1842 и Trojan.Siggen.53.
rapidshare.com/files/130137497/Infected.___.7z
Пасс: virus

Аттач что-т не зацепился.

| Сообщение посчитали полезным:

вот только4то пин4а спамом прислали:

16.07.2008 17:56:53, my1146578861 запрос авторизации
Отличная программа с которой можно отправлять бесплатные смс сообщения с подменой номера отправителя. Скачать ifolder.ru/7352515

-----
HOW MUCH BLOOD WOULD YOU SHED TO STAY ALIVE

| Сообщение посчитали полезным:

Этот crazy_free_sms.exe присылали уже раз 15, все гейты позакрывал
----------
Ога, неделю назад написал чтоб закрыли. так и не закрыли, кто-то его ломануть пытался гг
Интересно что туда отчёт из песочницы пришёл

| Сообщение посчитали полезным:

bad_boy, есть инфа с лога из сандбокса? если да то скинь в пм в html если не затруднит

-----
Shalom ebanats!

| Сообщение посчитали полезным:

SLV
А нафиг инфа то? Хочешь знать что внутри CWSsandbox? Ну залей шелл с коннектом на твой ИП и сиди жди когда он стукниться к тебе. Правда наверное не долго висеть шелл будет =\ По таймауту кильнут, но всеже успеешь чуток взглянуть на них.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

SLV
Интересного пришло мало, но хватит чтобы идентефицировать что программа в песрчнице и, например, не распаковать участок кода.
...ещё там видно ключик от их винды....

9bec_17.07.2008_CRACKLAB.rU.tgz - B1DE3E3C222E2929.rar

| Сообщение посчитали полезным:

Сегодня утром NOD после обновления поймал нечто,что назвал "Win32/Agent.NYT троян". Видимо,некоторое время я с этим жил. В гугле ничего определенного не нашел(кроме простого перечисления),относительно того,что делает этот троянчик. А хотелось бы это знать
http://upload.com.ua/get/900355377 http://upload.com.ua/get/900355377 - nmwcdcm.sys

Пароль: 123

Запустил RKU:

>SSDT State
NtCreateKey
Actual Address 0xBA6AB0E0
Hooked by: spil.sys

NtEnumerateKey
Actual Address 0xBA6C8CA2
Hooked by: spil.sys

NtEnumerateValueKey
Actual Address 0xBA6C9030
Hooked by: spil.sys

NtOpenKey
Actual Address 0xBA6AB0C0
Hooked by: spil.sys

NtQueryKey
Actual Address 0xBA6C9108
Hooked by: spil.sys

NtQueryValueKey
Actual Address 0xBA6C8F88
Hooked by: spil.sys

NtSetValueKey
Actual Address 0xBA6C919A
Hooked by: spil.sys

!!POSSIBLE ROOTKIT ACTIVITY DETECTED!! =)

Сам файл на диске не нашел - видимо таки руткит какой-то подхватил

| Сообщение посчитали полезным:

tempread
Хуки снимал прежде чем искать файл?
Или с live cd грузись и ищи дровину.

P.S. Пасс на архив ставить надо virus, ну или хотябы указывай что пасс

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX]

Дописал в предыдущее свое сообщение пароль

P.S. Хуки снимал - файла spil.sys нет(или его не видно)

| Сообщение посчитали полезным:

tempread
nmwcdcm.sys случайно не из пакета PCSuite ?

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX]
PCSuite установлен,но я им давно не пользовался. На вирустотале только НОД и ругается на nmwcdcm.sys,все остальные молчат.

А драйвер,который выше был указан как spil.sys при каждой загрузке имеет новое имя,сейчас он висит как spdg.sys

| Сообщение посчитали полезным:

tempread
Хмм... интересная картина, но нормальный драйвер менять имена свои сам поидее не должен =

nmwcdcm.sys - там много для работы с ком портами и присутствуют строки про pcsuite и nokia и т.п. Поэтому немного склонен что этот файл всеже нормальный, но в системе всеже что то присутствует.

AVZ не использовал? Попробуй просканься до снятия хуков и после снятия. Отчеты AVZ потом кинь.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX]
Имя драйвера всегда spXX.sys, где X - случайная буква.
Пробовал питанием выключать компьютер, а потом с LiveCD искать драйвер spXX.sys - не нашел ничего интересного. Сейчас буду пробовать AVZ...

Попробовал(со снятием хуков) - безрезультатно:

Протокол антивирусной утилиты AVZ версии 4.30
Сканирование запущено в 18.07.2008 13:27:52
Загружена база: сигнатуры - 176762, нейропрофили - 2, микропрограммы лечения - 56, база от 17.07.2008 22:32
Загружены микропрограммы эвристики: 370
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 71511
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
Восстановление системы: Отключено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=0846E0)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 8055B6E0
KiST = 80503940 (284)
Проверено функций: 284, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 8AE951F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8AE951F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8AE951F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8AE951F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8AE951F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8AE951F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8AE951F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8AE951F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8AE951F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8AE951F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8AE951F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8AE951F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8AE951F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8AE951F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8AE951F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8AE951F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 8AAF9500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 8AAF9500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 8AAF9500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 8AAF9500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 8AAF9500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 8AAF9500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 8AAF9500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8AAF9500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 8AAF9500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 8AAF9500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 8AAF9500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 8AAF9500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 8AAF9500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 8AAF9500 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 56
Количество загруженных модулей: 432
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
d:\Programs\MessengerPlus! 3\MsgPlusLoader1.dll --> Подозрение на Keylogger или троянскую DLL
d:\Programs\MessengerPlus! 3\MsgPlusLoader1.dll>>> Поведенческий анализ
1. Реагирует на события: клавиатура
d:\Programs\MessengerPlus! 3\MsgPlusLoader1.dll>>> Нейросеть: файл с вероятностью 4.70% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINDOWS\system32\Amhooker.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\Amhooker.dll>>> Поведенческий анализ
1. Реагирует на события: клавиатура
C:\WINDOWS\system32\Amhooker.dll>>> Нейросеть: файл с вероятностью 99.92% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINDOWS\system32\PrxerDrv.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\PrxerDrv.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
Проверка завершена
9. Мастер поиска и устранения проблем
>> Таймаут завершения служб находится за пределами допустимых значений
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 59105, извлечено из архивов: 45584, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 18.07.2008 13:31:33
Сканирование длилось 00:03:43
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info http://virusinfo.info

| Сообщение посчитали полезным:

В аттаче отчет AVZ, если не снимать хуки.

Коментарии к отчетам:
MsgPlusLoader1.dll - такая штука действительно есть и принадлежит легально установленной програме
PrxerDrv.dll - это файл от программы Proxifier, ее я уже удалил, поэтому во втором отчете этой dll уже нет.
Amhooker.dll - от драйвера мыши

f653_18.07.2008_CRACKLAB.rU.tgz - avz.txt

| Сообщение посчитали полезным:

tempread пишет:
Имя драйвера всегда spXX.sys, где X - случайная буква.
Пробовал питанием выключать компьютер, а потом с LiveCD искать драйвер spXX.sys - не нашел ничего интересного. Сейчас буду пробовать AVZ...
У меня тож такая фигня была, думал руткит подцепил. Никак я этот файл на диске найти не мог. И с лайвсд грузился и так и сяк, ну нету его, + каждый раз новое имя у него было. Прям на паранойю подсел.
Оказалось всё просто, это драйвер spdt так ныкается. Можешь удалить алкоголь или демон тулз и он исчезнет .

| Сообщение посчитали полезным:

tempread
В AVZ включены AVZGuard и AVZPM?
Запускал скрипт отсюда Файл-Стандартные скрипты: выбрать Скрипт сбора информации для раздела "Помогите" virusinfo.com ?
В папке LOG будут файлы для отправки.

Попробуй с помощью RkU поискать скрытые файлы

4t
Хмм... интересная метода

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX]
В AVZ включен был только AVZPM.

С помощью RkU файлы скрытые искал, но он ничего не находил.

sptd.sys убрал из папки system32 - и логи RkU стали чистенькими! Так что 4t прав.

| Сообщение посчитали полезным:

Ну, то что Duplex Secure-евские дровишки (база для работы последних версий демона и Алкоголя) юзают руткитовские методоы давно уже не секрет, так что не знаю чему вы удивляетесь... Врядли они каким то другим способом могут скрыться от детекта их защитой от копирования...

-----
The blood swap....

| Сообщение посчитали полезным:

Чем систему на зверьков лучше посканить?
процесс system грузит систему в состоянии спокойствия (скачет от 50 до 99)... В остальном вроде ничего палевного не наблюдается... "левых" процессов вроде не видно, но когда в magent выходишь, часа через пол, он сообщает, что запущен на другом компе ... Причём менял пароль - пох... Может это у mail.ru проблемы, а не у меня

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Isaev
Я выше писал как с помощью AVZ собрать инфу для анализа. Собирай и кидай, а там посмотрим.

P.S. С помощью RkU тоже можно отчетик сформировать. Лишним не будет.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Isaev
z-oleg.com/avz4.zip
Скачиваеш, фаил->стандартные скрипты->скрипт сбора информации для раздела блаблабла.
потом из папочки лог - скидываеш куданить архив.

не встречал еще не одного зверя - который не детектировался бы ручным методом с помощью AVZ.
хорошая софтина.

| Сообщение посчитали полезным:

inf1kek пишет:
не встречал еще не одного зверя - который не детектировался бы ручным методом с помощью AVZ.
есть много чего, что им не спалиш,не стоит доверять 1й софтине, надо обязательно несколько пробовать.

| Сообщение посчитали полезным:

Люди взгляните,не поленитесь архивчик всего то 1 метр. А в нем похожий (но не он)на очень нужный кряк да только херня это наверное .... кряки от этой команды а может и не так вообщем все антивири на него ругаются и ольку он детектит (при этом она себя ведет странно).Короче нужен совет есть в этом кряке что нибудь дельное или нет..... .Если да то буду искать как его от туда достать.
rapidshare.de/files/40077783/vir.zip.html

| Сообщение посчитали полезным:

Medsft
В песочнице сетевой активности и деструктивных действий замечено небыло поэтому скорей всего нормальный файлег.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Вот поймал у себя заразу =) ...живучая зараза , каспера только так рубила , причем 2009 и еще дровина там криво написана , бсодит все время перехватывая НДИС функции.

13b5_27.07.2008_CRACKLAB.rU.tgz - xxx.rar

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

и вот продолжение =) ...наказать такого писателя ... хотяб писал грамотно

e549_27.07.2008_CRACKLAB.rU.tgz - driver.rar

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

[HEX] пишет:
В песочнице сетевой активности и деструктивных действий замечено небыло поэтому скорей всего нормальный файлег
Может и так однако после его запуска пришлось менять винду (100% загрузка процессора+отсутствует доступ на запись к многим папкам). Вообще эти кряки от кого ?

| Сообщение посчитали полезным: