Исследование вирусов

Сейчас на форуме: johnniewalker, Kybyx, testrev1337, bedop66938, vsv1 (+7 невидимых)

<< 1 ... 36 . 37 . 38 . 39 . 40 . 41 . 42 . 43 . 44 . 45 . 46 ... 47 . 48 . >>

Посл.ответ	Сообщение
BishopPriest Ранг: -0.2 (гость) Активность: 0=0 Статус: Участник	Создано: 13 октября 2006 23:15 · Поправил: Модератор · Личное сообщение · #1 В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.

Ara Ранг: 1288.1 (!!!!), 273thx Активность: 1.29↘0 Статус: Участник	Создано: 19 августа 2008 14:31 · Личное сообщение · #2 снифер, вмваря и какой-нить левый уин решают =)
SecurAdmin Ранг: 95.2 (постоянный) Активность: 0.04↘0 Статус: Участник	Создано: 19 августа 2008 14:56 · Личное сообщение · #3 У мну у всех снифаков на варе триал покончалсо =)))) Подкиньте хотябы название какого нибудь достойного, но фриварного ----- бессмысленные манипуляции не становятся более разумными если их повторять
Flint Ранг: 238.8 (наставник), 67thx Активность: 0.2↘0 Статус: Участник CyberHunter	Создано: 19 августа 2008 15:19 · Личное сообщение · #4 SecurAdmin 0x4553-Intercepter intercepter.nerf.ru ----- Nulla aetas ad discendum sera
tempread Ранг: 159.1 (ветеран), 7thx Активность: 0.13↘0 Статус: Участник	Создано: 19 августа 2008 15:22 · Поправил: tempread · Личное сообщение · #5 SecurAdmin Попробуй intercepter http://intercepter.nerf.ru/ P.S. Опоздал
SecurAdmin Ранг: 95.2 (постоянный) Активность: 0.04↘0 Статус: Участник	Создано: 19 августа 2008 15:57 · Личное сообщение · #6 Всем спасибо, пидара нашел, аську отобрал. ----- бессмысленные манипуляции не становятся более разумными если их повторять
mak Ранг: 673.3 (! !), 400thx Активность: 0.4↘0.31 Статус: Участник CyberMonk	Создано: 19 августа 2008 18:34 · Личное сообщение · #7 =) отловил у себя .. грузится через сайт , Каспер последний даже не ёкнул. 9b67_19.08.2008_CRACKLAB.rU.tgz - Virrii.rar ----- RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube
bad_boy Ранг: 38.6 (посетитель) Активность: 0.02↘0 Статус: Участник	Создано: 19 августа 2008 23:18 · Личное сообщение · #8 бот sysdrvwin.exe коннектится на 208.72.168.176:337h, общается командами, навроде ID_CML # - видимо регистрация нового бота) services.exe хз что, создаёт батник размером в 92байта и делает CreateProcess на него, по идее там del %0 но на деле - мусор, хз где он расшифровывает его ну а третий файл испорченый,
[HEX] Ранг: 467.7 (мудрец), 5thx Активность: 0.27↘0 Статус: Участник Иной :)	Создано: 20 августа 2008 10:57 · Личное сообщение · #9 bad_boy В дополнение по sysdrvwin.exe: 1) Модифицирует C:\WINDOWS\system32\drivers\asyncmac.sys 2) Проверяет какой ИП у чела: 208.78.68.70:80 GET / 3) 208.72.168.176:5954 - порт почемуто рандомный каждый раз и шлёт POSTом скрипту /bn/comgate.xhtml?name=78 4) Сканит подсетку на наличие порта 445. ----- Computer Security Laboratory
Stack Ранг: 107.5 (ветеран) Активность: 0.15↘0 Статус: Участник	Создано: 28 августа 2008 16:44 · Личное сообщение · #10 во там целых две штуки хотел скачать приколотся в результате веб с последними базами прям с дуба - пакед трой, пакед трой - целых две штуки потом нашел - пенча и еще какуюто дрянь supershop.co.il/pelingator.exe осторожно тока сами не заразитесь ----- Md5 fcbb6c9c9a5029b24d70f2d67c7cca74
bad_boy Ранг: 38.6 (посетитель) Активность: 0.02↘0 Статус: Участник	Создано: 28 августа 2008 19:10 · Личное сообщение · #11 Там рар sfx, сам пинч накрыт ориеном с паролем, наверное чтобы песочница накрылась, гейт с мылом на васька.
Karanduh Ранг: 25.0 (посетитель) Активность: 0.02↘0 Статус: Участник	Создано: 10 сентября 2008 19:57 · Поправил: Karanduh · Личное сообщение · #12 сёдня пришло в асю : С помощью этой программы вы можите стать администратором на любом сайте,так же можно удалить любой сайт! Скачать h**p://ifolder.ru/8038577 дети развлекаются
depler Ранг: 247.7 (наставник), 3thx Активность: 0.16↘0 Статус: Участник Халявщик	Создано: 10 сентября 2008 21:07 · Личное сообщение · #13 Karanduh ЫЫ мне тоже самое пришло пошифровано - PoherNAH ----- Лень - это подсознательная мудрость
Karanduh Ранг: 25.0 (посетитель) Активность: 0.02↘0 Статус: Участник	Создано: 10 сентября 2008 21:29 · Личное сообщение · #14 depler пишет: ЫЫ мне тоже самое пришло пошифровано - PoherNAH сталобыть номерки из базы цапают, мне раз в две недели стабильно шлют засранцев в icq
Flint Ранг: 238.8 (наставник), 67thx Активность: 0.2↘0 Статус: Участник CyberHunter	Создано: 10 сентября 2008 21:41 · Личное сообщение · #15 Karanduh пишет: сёдня пришло в асю : С помощью этой программы вы можите стать администратором на любом сайте,так же можно удалить любой сайт! Скачать h**p://ifolder.ru/8038577 дети развлекаются Банально пинч ----- Nulla aetas ad discendum sera
gena-m Ранг: 87.8 (постоянный), 10thx Активность: 0.07↘0 Статус: Участник	Создано: 12 сентября 2008 19:13 · Личное сообщение · #16 Проблема. При установке патча на FineReader антивирусник определил его как троян-червь, но это бывает. На следующий день сдох WinRar. Переустановить его удалось толко по Log файлу. Еще через день дохнет ReGet который не работает даже после переустановки по логфайлу. Решил переустановить систему, но сохранить все не получается Nero выдает ошибку при попытке записи, пришлось переустановить систему без форматирования диска, затем все сохранить и только потом переустановить систему с форматированием. После этого пришлось посмотреть на патч поближе. При попытке просмотреть FAR ом или другим просмотрщиком выдает ошибку. При анализе PEiD тоже. Затем после долгих терзаний PEiD показал APatch GUI 1.x Joergen Ibsen. Патч находится на ifolder.ru/8097927 Поскольку я начинающий подскажите как вскрыть его. ----- Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше
Flint Ранг: 238.8 (наставник), 67thx Активность: 0.2↘0 Статус: Участник CyberHunter	Создано: 13 сентября 2008 08:58 · Личное сообщение · #17 gena-m Файл чистый походу. Анпакнутый тут оставил dump.ru/file/1056264 ----- Nulla aetas ad discendum sera
gena-m Ранг: 87.8 (постоянный), 10thx Активность: 0.07↘0 Статус: Участник	Создано: 13 сентября 2008 09:38 · Личное сообщение · #18 Спасибо. Вполне возможно совпало с каким нибудь другим вирусом, поскольку я этот патч ставил примерно год назад, тогда все нормально было. ----- Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше
Guru_eXe Ранг: 282.8 (наставник), 24thx Активность: 0.26↘0 Статус: Участник win32.org.ru	Создано: 18 сентября 2008 14:39 · Поправил: Guru_eXe · Личное сообщение · #19 ttp://8девять.18восемь.1шесть.4четыре/bdb/upd105320.dll (разновидность Trojan.Win32.Monder?.*) вот эта срань надоела сил нет. придумайте какую-нить утилиту-антидепрессант, откуда эта зараза бедется на компе я не знаю. ----- may all your PUSHes be POPed!
[HEX] Ранг: 467.7 (мудрец), 5thx Активность: 0.27↘0 Статус: Участник Иной :)	Создано: 18 сентября 2008 17:03 · Личное сообщение · #20 Guru_eXe Ищи загрузщика. Видать есть еще что то на твоем ведре, которое и грузит арсенал с указаного урла. ----- Computer Security Laboratory
Guru_eXe Ранг: 282.8 (наставник), 24thx Активность: 0.26↘0 Статус: Участник win32.org.ru	Создано: 18 сентября 2008 17:12 · Личное сообщение · #21 Что самое интересное, каждый день (приблизительно) эта зараза кочается и добавляется в автозагрузку (AnVir Task Manager меня об этом предупреждает), но Кашпер его не определяет как вирус, после обновления Каспера вирус обнаруживается и после ребута успешно удаляется. ----- may all your PUSHes be POPed!
xGOR Ранг: 10.6 (новичок) Активность: 0.01↘0 Статус: Участник	Создано: 18 сентября 2008 17:36 · Личное сообщение · #22 Guru_eXe пишет: каждый день (приблизительно) эта зараза кочается и добавляется в автозагрузку надо бы всю систему просмотреть, если само загружается.
Guru_eXe Ранг: 282.8 (наставник), 24thx Активность: 0.26↘0 Статус: Участник win32.org.ru	Создано: 18 сентября 2008 17:45 · Личное сообщение · #23 Есть подозрение что всему виной осёл) хотя сам браузер не юзаю для сёрфа, но есть ласт.фм клиент, а у него там юзается Webbrowser, если не ошибаюсь. ----- may all your PUSHes be POPed!
gena-m Ранг: 87.8 (постоянный), 10thx Активность: 0.07↘0 Статус: Участник	Создано: 19 сентября 2008 07:46 · Личное сообщение · #24 Кому интересно можете скачать ifolder.ru/8191369, пришел по электронной почте "типа avi"( до этого приходил файл "типа pdf"), уже второй за последний месяц, до этого год примерно ничего не приходило. ----- Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше
SecurAdmin Ранг: 95.2 (постоянный) Активность: 0.04↘0 Статус: Участник	Создано: 19 сентября 2008 11:55 · Личное сообщение · #25 Guru_eXe, попробуй что-нибудь типа Browser Sentinel, он BHOS'ы ищет. возможно дело в них...если же дело не в них, можно попытаться самому прогу написать и пытаться внедряться во все процессы перехватывая функции типа URLDownloadtoFile и прочие. Хотя это конечно стрельба из пушки по воробьям, в этом случае легче винду снести =) ----- бессмысленные манипуляции не становятся более разумными если их повторять
Flint Ранг: 238.8 (наставник), 67thx Активность: 0.2↘0 Статус: Участник CyberHunter	Создано: 19 сентября 2008 15:07 · Поправил: Flint · Личное сообщение · #26 gena-m Х.з. Что это до конца так и не разобрался, но автор явно маньяк ifolder.ru/8191369 инжектится в новый процесс lsass.exe который соединяется с 66.29.53.123/rio?i=poiiiiiiinoqpj&o=zvrp&k=uqqq&y=yyyyyyyydeyyyyyy&f=f mlqmf&r=syucuz получает данные и создает новый процесс lsass.exe, который создает wjsssyc.dll и записывает его в автозапуск HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wjsssyc, далее эта dll создает новый процесс lsass.exe, которые в свою очередь создает тоже новый процесс lsass.exe, он соединяется с 74.53.153.93/rio?i=poiiiiiiipoq&a=hblh&x=ayhdddxxxx&q=qqqrvwqqqqqq&y=y fejbzekacgd скачивет и запускает файл. Далее я запутался и надоели эти матрешки скачались еще файлы lphc7jnj0e1bg.exe, blphc7jnj0e1bg.scr вроде отсюда av-xp2008.com + выполнился vbs такого содержания Code: strComputer = "." Set objWMIService = GetObject("winmgmts:" & strComputer & "\root\default") Set objItem = objWMIService.Get("SystemRestore") errResults = objItem.Disable("") strComputer = "." Set objWMIService = GetObject("winmgmts:" & strComputer & "\root\default") Set objItem = objWMIService.Get("SystemRestore") errResults = objItem.Enable("") CONST DEVICE_DRIVER_INSTALL = 10 CONST BEGIN_SYSTEM_CHANGE = 100 strComputer = "." Set objWMIService = GetObject("winmgmts:" & strComputer & "\root\default") Set objItem = objWMIService.Get("SystemRestore") errResults = objItem.CreateRestorePoint _ ("Last good restore point", DEVICE_DRIVER_INSTALL, BEGIN_SYSTEM_CHANGE) If (errResults <> 0) then WScript.Sleep 10000 End if Set objWMIService = GetObject("winmgmts:" & strComputer & "\root\default") Set objItem = objWMIService.Get("SystemRestore") errResults = objItem.CreateRestorePoint _ ("Last good restore point", DEVICE_DRIVER_INSTALL, BEGIN_SYSTEM_CHANGE) Потом отключились настройки рабочего стола и на нем появились новые обои ----- Nulla aetas ad discendum sera
Flint Ранг: 238.8 (наставник), 67thx Активность: 0.2↘0 Статус: Участник CyberHunter	Создано: 27 сентября 2008 23:00 · Личное сообщение · #27 Вот седня прислали по почте, чем паковано так и не понял, но судя по секциям ExeCryptor Инсталит драйвер в систему, собственно хотел узнать чем занимается этот драйвер P.S Драйвер тоже приложил. dump.ru/file/1085608 ----- Nulla aetas ad discendum sera
coderess Ранг: 355.4 (мудрец), 55thx Активность: 0.32↘0 Статус: Uploader 5KRT	Создано: 28 сентября 2008 03:32 · Поправил: coderess · Личное сообщение · #28 Flint ZwQuerySystemInformation выполняется в дрове, т.е. есть конечно вызывается сначала ExAllocatePoolWithTag, после ExFreePoolWithTag, но они только для выделения памяти, следовательно драйвер используется только для определения информации о системе, какой покачто не понял Нихрена не понятно почему дров столько весит, может быть он заражен и извлекает из себя еще что либо ----- Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes
bitgame Ранг: 25.6 (посетитель), 1thx Активность: 0.01↘0 Статус: Участник	Создано: 28 сентября 2008 08:07 · Личное сообщение · #29 coderess, он ВМпротом накрыт просто.
KeBugCheck Ранг: 8.3 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 28 сентября 2008 08:51 · Личное сообщение · #30 bitgame +1 Flint Sentinel based троян. Дров осуществляет прикрытие говна перехватив IRP_MJ_DIRECTORY_CONTROL у ntfs.sys (видимо тоже самое и с fastfat.sys на FAT системах). Фильтр написан настолько криво что вместе с собственно собой скрывает ещё кучу дров в drivers. Ключи реестра скрыты через сплайсинг на NtOpenKey, NtEnumerateKey с теми же глюками, что и файлы - огромное количество лишних скрытых ключей (или это типа фишка?). Видать это из-за вмпрота - валяется это говно в выделенном вне дрова пуле и крутит аж целых три потока, причем ирпы оригинального дрова отпатчены на области выделенного пула. На рестарте винды трой запускает батник со следующим содержанием cmd /c ""C:\DOCUME~1\KeBugCheck\LOCALS~1\Temp\xgb.bat" " :abc del "C:\WINDOWS\SNNVACFA.exe" if exist "C:\WINDOWS\SNNVACFA.exe" goto abc rmdir "C:\WINDOWS" del "C:\DOCUME~1\KeBugCheck\LOCALS~1\Temp\xgb.bat"
Klever Ранг: 1.6 (гость) Активность: 0=0 Статус: Участник	Создано: 10 октября 2008 14:04 · Личное сообщение · #31 Только сегодня скомпилил антипенч 0.2 так и успел пропалить polyc.freehostia.com гейт кому не лень - накатайте абузу?

<< 1 ... 36 . 37 . 38 . 39 . 40 . 41 . 42 . 43 . 44 . 45 . 46 ... 47 . 48 . >>

Для печати