| Сейчас на форуме: johnniewalker, Kybyx, testrev1337, bedop66938, vsv1 (+7 невидимых) |
 |
eXeL@B —› Крэки, обсуждения —› Исследование вирусов |
| << 1 ... 36 . 37 . 38 . 39 . 40 . 41 . 42 . 43 . 44 . 45 . 46 ... 47 . 48 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 13 октября 2006 23:15 · Поправил: Модератор · Личное сообщение · #1 В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.  |
|
|
Создано: 10 октября 2008 15:49 · Личное сообщение · #2 а здесь есть трой? -http://rapidshare.de/files/40646589/ex4_to_mq4.exe.html |
|
|
Создано: 10 октября 2008 18:51 · Личное сообщение · #3 r99 А на VT http://virustotal.com было сложно проверить? |
|
|
Создано: 11 октября 2008 00:27 · Поправил: jurok04 · Личное сообщение · #4 Привет Глянь мои новые ню фоты и видео, уверена оцениш лицам до 18 лет вход воспрещен выложила только вчера ---http://mail.yandex.ru/%72?url=http://hit.com.tr/new_fotos.exe Целую, Твоя Марина 
сам файл _http://rapidshare.com/files/152789850/Rootkit.Win32.Agent.efh.rar pass - virus |
|
|
Создано: 12 октября 2008 13:29 · Личное сообщение · #5 jurok04 я это уже постил тут http://exelab.ru/f/action=vthread&topic=6500&forum=2&page= 38#30 ----- Nulla aetas ad discendum sera |
|
|
Создано: 19 октября 2008 14:45 · Личное сообщение · #6 Подцепил что то новое , помойму ехе не полюбил мою систему. Каспер промочал ничего не сказал , на вирустотале тоже не много результатов.  2274_19.10.2008_CRACKLAB.rU.tgz - XyJQzJt.exe
----- RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube |
|
|
Создано: 19 октября 2008 14:51 · Личное сообщение · #7 mak Нод тоже с последними базами ничего не отреогировал, отправил в службу поддержки нода на анализ. ----- minimaL_patсh на руборде |
|
|
Создано: 19 октября 2008 15:07 · Личное сообщение · #8 Ищу как это сделать в касперском , в ноде то было ... помню. Сайт где эту лажу подцепил www.ayurpractice.ru Не заходите а то тоже подцепите , ну если только подготовлено. ----- RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube |
|
|
Создано: 19 октября 2008 15:46 · Личное сообщение · #9 mak, кашмарскому: newvirus@kaspersky.com Дохтурвеб: _http://vms.drweb.com/sendvirus/ ----- AutoIt |
|
|
Создано: 19 октября 2008 16:21 · Личное сообщение · #10 А symantec'у как отрапортовать? Интересует именно это, а не "симантек в топку","зачем юзать это #$%^&" и т.п. 
Совсем недавно искал, но так и не смог найти... |
|
|
Создано: 19 октября 2008 16:47 · Личное сообщение · #11 mak На данном сайте обычный ифрейм пошифрован, а на деле ноги отсюда www.qmems.com.my/technology/html/ дальше пошифрован вызов сплойта. Смысл в том что если у браузера есть плагин AdobeAcrobat, то выполняется следущий код Code:
----- Computer Security Laboratory |
|
|
Создано: 19 октября 2008 17:33 · Личное сообщение · #12 Сэнкс =) , я месяц назад отключил пдф в браузере , чутье было. Поэтому и ошибка выходила наверное. ----- RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube |
|
|
Создано: 19 октября 2008 19:40 · Личное сообщение · #13 Эмм... раньше времени не радуемся  Там походу дела редиректы стоят на различные страницы с различными сплойтами  Щас кинуло сюда hxxp://v2statscount.net/in/160/ на которой три фрейма
<iframe src="new.html"></iframe> Юзают этот сплойт hxxp://blogs.law.harvard.edu/zeroday/2006/12/14/interesting-web-expoit -technique/ <iframe src="mp9.html" width="1" height="1"></iframe> <iframe src="out.htm" width="1" height="1"></iframe> Юзают глобальные слоиты которые охватывают кучу багов в различтных ActiveX. Типа такого: xanalysis.blogspot.com/ www.security-forums.com/viewtopic.php?p=272938#272938 Так что скрести пальцы и надейся что ничего не сработало. ----- Computer Security Laboratory |
|
|
Создано: 20 октября 2008 15:41 · Личное сообщение · #14 О, круто это, однако, тачку пытается засрать! Одних только вброшенных модулей насчитал 30 штук. Правда, ничего особенного не делают, всё достаточно стандартно. |
|
|
Создано: 20 октября 2008 16:55 · Поправил: Hellspawn · Личное сообщение · #15 mak пишет: Подцепил что то новое , помойму ехе не полюбил мою систему. Каспер промочал ничего не сказал , на вирустотале тоже не много результатов. 2274_19.10.2008_CRACKLAB.rU.tgz - XyJQzJt.exe после раскриптовки получается ntos.exe - по-ходу зевс. ----- [nice coder and reverser] |
|
|
Создано: 20 октября 2008 17:25 · Личное сообщение · #16 Hellspawn ты имел ввиду Зеус? Проверил все , везде чисто , просто я так понял он не смог запустится почемуто. И из за этого ошибка вышла... Браузер перехваты ставит вообще. Авторан чисто , драйвера чисто , перехваты чисто , загрузочный сектор тоже чисто , и память чисто. Файлов не нашел .. rav какая папка? случайноне в диспетчер заданий? ----- RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube |
|
|
Создано: 20 октября 2008 17:35 · Личное сообщение · #17 mak ntos.exe вроде всегда идет с двумя файлами в одной из папок в system32 - audio.dll и video.dll (название правда забыл у папки, давным давно уже лечил его). файл ntos.exe прописывается в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit , сразу после C:\WINDOWS\system32\userinit.exe, . Поищи его и эти библы через ProcessExplorer, или посмотри через LiveCD любой, есть ли они у тебя на компе |
|
|
Создано: 20 октября 2008 19:10 · Личное сообщение · #18 mak пишет: какая папка? случайноне в диспетчер заданий? Не знаю, у меня в песочнице такое блокируется. Так что не могу сказать точно. Из папок вижу только Facegame. |
|
|
Создано: 20 октября 2008 20:05 · Поправил: censor · Личное сообщение · #19 rav как продажи у DP/W? |
|
|
Создано: 20 октября 2008 22:46 · Личное сообщение · #20 tihiy_grom запись в реестре есть , а вот файлов нету. Может перехваты но их я не нашел. Поищу еще. Запись удаляешь в реестре а она востанавливается. Поэтому значит сидит гдето. ----- RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube |
|
|
Создано: 20 октября 2008 23:15 · Личное сообщение · #21 =) Вот он , отловил c61b_20.10.2008_CRACKLAB.rU.tgz - ntos.exe
----- RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube |
|
|
Создано: 21 октября 2008 11:01 · Личное сообщение · #22 Мда...видал я этот ntos.exe, мерзкая штука знаете ли....правда Каспер у меня его определял как Zbot вроде. причем на диске его не видно, перехваты какие-то работают по-ходу... ----- бессмысленные манипуляции не становятся более разумными если их повторять |
|
|
Создано: 21 октября 2008 14:54 · Личное сообщение · #23 как продажи у DP/W? У DP- практически никак, у всех давно камни с NX/XD. А на продажах DW я фактически живу. Вот перейду сейчас на новый скиновый движок, буду встраивать туда контроль исходящих соединений.
|
|
|
Создано: 25 октября 2008 10:39 · Личное сообщение · #24 rapidshare.com/files/157318794/___________.rar.html Пас: 123456 Отправили на проверку в Лк. Сегодня обновил базы, и Каспер обозвал этот файл: Trojan.Win32.AntiAV.ql Вопрос вот в чём. Мне нужно знать, что делает эта гадость, какие файлы поражает, какие данные ворует и КУДА отправляет!!!! Очень нужен грамотный анализ этого гомна. Помогите! ПС: Автор этого гомна известен. |
|
|
Создано: 25 октября 2008 12:55 · Поправил: Flint · Личное сообщение · #25 antiMOCT Все что я накопал в этом файле: 1. Запуск net.exe с параметром STOP sharedaccess Это останавливает стандартный фаирвол windows 2. Запуск net.exe с параметром stop "Security Center" Это останавливает Центр Безопасности Windows Потом хитрые манипуляции с ресурсами и в конце концов запускает пинч, и что-то еще требующее библиотеки mscoree.dll P.S. Короче это какой-то джойнер, и новый, т.к. я такой вижу впервые. Куда отправляет отчет тут писать не буду ----- Nulla aetas ad discendum sera |
|
|
Создано: 25 октября 2008 13:11 · Личное сообщение · #26 Куда отправляет отчет тут писать не буду Напиши мне в личку, плиз. Очень нужно |
|
|
Создано: 25 октября 2008 16:29 · Личное сообщение · #27 mscoree.dll - это библиотека для приложений .NET Framework ----- Лень - это подсознательная мудрость |
|
|
Создано: 25 октября 2008 16:53 · Личное сообщение · #28 antiMOCT пишет: Куда отправляет отчет тут писать не буду Кому понадобится итак узнает ,ибо даже если лень копать прогу ,то сниферы никто не отменял. ----- Что один человек сделал , другой всегда сломать может... |
|
|
Создано: 26 октября 2008 02:51 · Личное сообщение · #29 А я кликер поймал =( ati2***.exe и с иконкой ATi. В установщике 4 цивы. Не ожидал такой подставы ='( Собстно заметил в процессах IEXPLORE хайжный с "tvstream.ath.cx" в комнд. строке. Что собственно говоря непродуктивно вышло, т.к. у меня у ие прав на инет меньше чем у блокнота. Однако порадовало детское возмущение дебаг-сборки, когда он поробовал запустится на соседней системе и не нашёл IE =) |
|
|
Создано: 26 октября 2008 12:52 · Поправил: ssdt · Личное сообщение · #30 Freecod пишет: А я кликер поймал =( ati2***.exe есть ещё малвара, которая под нвидеа маскируется.. 
выложи свой файл посмотреть плз.. |
|
|
Создано: 29 октября 2008 10:11 · Личное сообщение · #31 Вроде пинч. интересно то, что мало кем детектируем www.rapidshare.ru/813926 -- Сам зверек www.virustotal.com/ru/analisis/3530ecd63661aa7e4b2059100b65900c - его проверка fettz.net/54489/ - источник заразы |
| << 1 ... 36 . 37 . 38 . 39 . 40 . 41 . 42 . 43 . 44 . 45 . 46 ... 47 . 48 . >> |
|
eXeL@B —› Крэки, обсуждения —› Исследование вирусов |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати