В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.

| Сообщение посчитали полезным:

Medsft
Сомнительные лекарства лучше всеже пускать из под виртуалки, ну или хотя бы из под сэндбокси www.sandboxie.com



Вложеное лекарство кроме чтение ветки реестра конкретной проги ничего не делала.
Кстати если я не ошибаюсь там фимой накрыто из-за этого размер приличный и из-за этого может система глючить начала. Так же может по этой причине и песочница увидеть что то не смогла.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

продвинутые малварки, детектят песочницы на раз, два поэтому иногда, приходиться "в ручную" заставлять их работать под виртуалкой.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

При более детальном расмотрении оказался загрузчиком Складывает борохлишко в C:\WINDOWS\system32\drivers\downld

Приблизительно из этой серии www.viruslist.com/ru/viruses/encyclopedia?virusid=106419

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX] пишет:
Сомнительные лекарства согласен полностью но все же.. в кряках от этого автора стоит искать что то полезное ?(т.е. сам кряк там есть или нет а то знаешь фиму снимать за просто так не хочется а может и не можется..)

| Сообщение посчитали полезным:

Medsft
Ну попытка чтения ветки реестра программы всеже есть и даже выдает окно как у патча
Так что наверное всеже может патч и работает с какой то версией софта, но в довесок решили еще подкинуть плюшек чтобы не скучал пользователь.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Я тут подумал это как патч накрыт фимой, а каспером определяется ?. И вообще страннен он в инфошке по видимому архив лежит, с пациентом работает по типу memory-patch. И автор такой скромный даже не подписался

| Сообщение посчитали полезным:

А какие вообще самые навороченые есть сендбоксы из существующих?

| Сообщение посчитали полезным:

Опять прошла рассылка пинча, и что удивительно, всё тот же хост: cs167.freehostia.com, который так и не закрыли.

| Сообщение посчитали полезным:

Кому ботнет?
santiagoonline.com.ar/lee.txt
emersonvalverdecastro.com/http.txt
www.santiagoonline.com.ar/bot.txt
Захватите ирк - ботнет ваш.

Вот еще аналогичные, но незнаю живые ли они или нет:
www.google.com/search?q=%22class+pBot%22
altergenealogy.net/tng//muie.txt
www.mixbrlink.com/arquivos/pBot.txt

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

А это че за хрень?
Че-то она мне нравится, т.к. я ее нашел у себя на компе во время отладки какой-то проги (дллка неожиданно подгрузилась прогой (и стала подгружаться всеми остальными) и вылетела куча экзепшнов в Оле и прога подохла.
Проверка на Virustotal меня не очень обрадовала:
AhnLab-V3 2008.8.15.0 2008.08.15 -
AntiVir 7.8.1.19 2008.08.16 TR/Crypt.NSPM.Gen
Authentium 5.1.0.4 2008.08.16 W32/Pws.ACDH
Avast 4.8.1195.0 2008.08.15 Win32:OnLineGames-CEH
AVG 8.0.0.161 2008.08.16 Worm/AutoRun.Y
BitDefender 7.2 2008.08.16 Packer.Malware.NSAnti.K
CAT-QuickHeal 9.50 2008.08.16 TrojanPSW.OnLineGames.pub
ClamAV 0.93.1 2008.08.16 Trojan.Spy-23156
DrWeb 4.44.0.09170 2008.08.16 Trojan.PWS.Wsgame.2387
eSafe 7.0.17.0 2008.08.14 Suspicious File
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.16 Trojan.OnLineGames.pub
F-Prot 4.4.4.56 2008.08.16 W32/Pws.ACDH
F-Secure 7.60.13501.0 2008.08.16 Trojan-PSW.Win32.OnLineGames.pub
Fortinet 3.14.0.0 2008.08.16 W32/OnLineGames.fam!tr.pws
GData 2.0.7306.1023 2008.08.16 Trojan-PSW.Win32.OnLineGames.pub
Ikarus T3.1.1.34.0 2008.08.16 Trojan-PWS.Win32.OnLineGames.pub
K7AntiVirus 7.10.417 2008.08.15 Trojan-PSW.Win32.OnLineGames.pub
Kaspersky 7.0.0.125 2008.08.16 Trojan-PSW.Win32.OnLineGames.pub
McAfee 5362 2008.08.15 PWS-Gamania.gen.a
Microsoft 1.3807 2008.08.16 Worm:Win32/Taterf.L!dll
NOD32v2 3360 2008.08.15 Win32/PSW.OnLineGames.NLK
Norman 5.80.02 2008.08.15 -
Panda 9.0.0.4 2008.08.16 W32/Lineage.HIC.worm
PCTools 4.4.2.0 2008.08.16 Trojan.Lineage.Gen!Pac.3
Prevx1 V2 2008.08.16 Cloaked Malware
Rising 20.57.52.00 2008.08.16 Packer.Win32.Mian007.a
Sophos 4.32.0 2008.08.16 Mal/EncPk-CE
Sunbelt 3.1.1546.1 2008.08.15 Trojan.Crypt.NSPM.Gen
Symantec 10 2008.08.16 W32.Gammima
TheHacker 6.3.0.3.046 2008.08.13 Trojan/PSW.OnLineGames.pub
TrendMicro 8.700.0.1004 2008.08.16 WORM_ONLINEG.NYW
VBA32 3.12.8.3 2008.08.15 Malware-Cryptor.Win32.NSAnti
ViRobot 2008.8.16.1338 2008.08.16 -
VirusBuster 4.5.11.0 2008.08.15 Trojan.Onlinegames.Gen!Pac.73
Webwasher-Gateway 6.6.2 2008.08.16 Trojan.Crypt.NSPM.Gen

| Сообщение посчитали полезным:

Че-то не приатачилось

c895_16.08.2008_CRACKLAB.rU.tgz - amvo.rar

| Сообщение посчитали полезным:

Знакомая какая-то муть, с autorun.inf бегает она, вроде. В гугле наверняка есть достаточно на эту тему, ибо довольно популярная шняга.

| Сообщение посчитали полезным:

Во-во, но где я ее мог подцепить?

| Сообщение посчитали полезным:

Обычно с автораном на флешках, съёмных хардах и тд, тебе виднее.

| Сообщение посчитали полезным:

есть такой замечательный ключ реестра : NoDriveTypeAutoRun http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/93502.mspx?mfr=true где можно точно указать с чего можно а с чего низя грузиться авторану. я например у себя разрешил только с CD.

-----
AutoIt

| Сообщение посчитали полезным:

[del]

-----
AutoIt

| Сообщение посчитали полезным:

OLEGator
в баню эти автораны! Выключать надо их по умолчанию. А кому нужно тот включит себе и будет уже сам лично отвечать за последствия.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Ну так вроде этот ключ их и отрубает. Просто там есть возможность выбора, всё или некторое. Вроде значение 255 отрубает авторан на всём.

-----
AutoIt

| Сообщение посчитали полезным:

Можете подсказать является ли данный файл все таки трояном или хитроупакованный файл?
http://rapidshare.com/files/137956666/setka.exe http://rapidshare.com/files/137956666/setka.exe
Антивирусы ругаются

зы: внутри есть текст:
--------------------------------------------
- ORiEN executable files protection system -
------ Created by A. Fisun, 1994-2003 ------
------- WWW: http://zalexf.narod.ru/ http://zalexf.narod.ru/ -------
-------- e-mail: zalexf@hotmail.ru ---------
--------------------------------------------

Well, you got this text, but this will be all you get

| Сообщение посчитали полезным:

goletsa
файл чистый, просто упакован ORiEN

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Чем упаковано я догадался. ORiEN дает настолько жуткую реакцию антивирусов? А то меня юзеры пинают, говорят что вирусы в сборку кладу.
Сори за оффтоп.

| Сообщение посчитали полезным:

goletsa пишет:
ORiEN дает настолько жуткую реакцию антивирусов? А то меня юзеры пинают, говорят что вирусы в сборку кладу.

Пошли на virustotal.com упакованный и распакованный файлы, и посмотри какие антивирусы как и на кого ругаются.

| Сообщение посчитали полезным:

В асю упала ссылка...
icq-zakroetsya.ru/
открывать не пробовал (вчера зареистрировался у Вас только, еще только терминологию изучил).
Гляньте кому интересно, наверняка рефер или переход на скачку файла...
292-371-599 номерок откуда упало...

| Сообщение посчитали полезным:

Перекинет на другой сайт.

| Сообщение посчитали полезным:

ORiEN пинч пакован был в свое время потому и палят..а amvo вообще древность дикая, хотя драйверок пихает. реагирует на момент отключения/включения флэшки (на подсоединение а не на открытие, на сколько я помню) а распространяется действительно автораном

| Сообщение посчитали полезным:

Сегодня прислали в аську "новый QIP" с кучей приятных возможностей: типа просмотра у кого ты в игноре, просмотра напечатанных но не отправленных тебе сообщений и прочего
Исследование показало:
файл qip.exe написан на Дельфи
использует для проверки вводимого логина и паса компонент TICQClient и как я понял, если пара логин/пасс не верна то он показывает картинку (скриншот с кипа) и на этом его функционал кончается...
Как я не бился, так и не понял каким образом он эту пару в случае ее валидности отправляет владельцу.
У меня вообще сложилось впечатление, что он по аське их и передает...вот только так ли это, мне так и не удалось выяснить...
Кому интересно, вот экспонат:
--> тыцтырыдыц <-- http://dump.ru/file_catalog/1008288
Вес: 462Кб
Исправляюсь: пасс cracklab.ru

-----
бессмысленные манипуляции не становятся более разумными если их повторять

| Сообщение посчитали полезным:

Пасс на архив неизвестен видал примерно такую херь. Поищи в коде строчки типа Dimon-Z, что-то типа того, это дегенерат-автор подобного чуда. При вводе валидных уин\пасс отсылает на заранее вбитый уин мессагу с пассом и уином. Причем пасс меняется автоматом, тоже на заранее вбитый, и номер для отправки, и новый пасс валяется в коде в чистом виде.
Этот Димон редкий дятел, всюду пишет свой ник, слепил что-то типа билдера для сего гамна, чтобы такие же уебаны могли лепить фейки без напряга.

| Сообщение посчитали полезным:

пасс нашел Не, это другая поделка...

| Сообщение посчитали полезным:

пароль там действительно всего скорей валяется (kP!QiYyK), по крайней мене мне так сильно кажется, но вот кому, в каком формате, и как происходит отправка....для меня осталось вопросом....

-----
бессмысленные манипуляции не становятся более разумными если их повторять

| Сообщение посчитали полезным:

SecurAdmin
ну а просниффать разве нельзя?!

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным: