В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.

| Сообщение посчитали полезным:

ARCHANGEL да проблему уже решил, скачал с другого сайта без неожиданностей. Просто было неприятно

| Сообщение посчитали полезным:

ктонить знает че за фигня
B's Recorder GOLD Library General Service (bgsvcgen)

-----
Md5 fcbb6c9c9a5029b24d70f2d67c7cca74

| Сообщение посчитали полезным:

Stack пишет:
ктонить знает че за фигня
B's Recorder GOLD Library General Service (bgsvcgen)
Похоже на вот это -- B's Recorder GOLD8
www.bha.co.jp/en/support/faq_gold8/index.html

Проверь файл C:\WINDOWS\system32\bgsvcgen.exe

| Сообщение посчитали полезным:

Stack
Мб отсюда?
http://www.bha.co.jp/en/ http://www.bha.co.jp/en/
Блин. Опоздал((

| Сообщение посчитали полезным:

недавно неро устанавливал 9 ку может он? проверял на вирустотал - ни один ни попалил - тока какойто неизвестный мне авирь - пропищал что-то невнятное и все. сервис на всяк случай остановил.
в WinHex посмотрел - вроде не пакованный (спец средств типа пеид нема на компе)

10b1_18.01.2009_CRACKLAB.rU.tgz - bgsvcgen.exe

-----
Md5 fcbb6c9c9a5029b24d70f2d67c7cca74

| Сообщение посчитали полезным:

кстати ни у кого не завалялось 4-5 бинарников спамботов?

| Сообщение посчитали полезным:

что за фигня - soveroste.com/pages5.html
опера 9,6 - зависло.

Будьте бдительны.

-----
Md5 fcbb6c9c9a5029b24d70f2d67c7cca74

| Сообщение посчитали полезным:

Stack пишет:
что за фигня - soveroste.com/pages5.html
опера 9,6 - зависло.
Exploit.JS.Pdfka.w

-----
SaNX

| Сообщение посчитали полезным:

спс. может кто скажет на вскидку че она сделала (или нет)
всмысле на самом сайте, про уязвимость я и сам найду.

-----
Md5 fcbb6c9c9a5029b24d70f2d67c7cca74

| Сообщение посчитали полезным:

Stack
С сайта (hxxp://soveroste.com/5/cache/load.php) сплоитом грузится загрузчик говна и кладется в автозапуск c:/Documents and Settings/All Users/Start Menu/Programs/StartUp/browsers.exe
Далее может продублироваться в профиле.

Загрузчик тянет:
hxxp://69.147.239.106/40E800142020202020202020202020205236414158524235 6C0000018666000000007600000642EB000530268EA2BD
hxxp://69.147.239.106/40E800142020202020202020202020205236414158524235 6C0000018666000000007600000642EB00053099FA314C

Кладет в :
C:\WINDOWS\TEMP\BN2.tmp
C:\WINDOWS\TEMP\BN6.tmp
Устанавливает дровину :
C:\WINDOWS\system32\drivers\port135sik.sys (руткит).
C:\WINDOWS\system32\drivers\securentm.sys

В общем зараза из серии Win32/Cutwail.gen Занимается спамом.
ff.net13.info/showtopic=35316

На сайте зараза ничего не делает. Она распространяется через сайт (доступ к сайту скорей всего получили утянув пароль от хостинга или тупо заюзали багу в каком нибудь движке).

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Stack заливается лоадер, который загружает и устанавливает повидимому руткит спам бот.

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

[HEX]
можешь выложить файлы, которые закачались.

| Сообщение посчитали полезным:

если дров с лайва кокнуть системе ничего не будет?
хз. AVZ запустился. Хуки тока от фаервола. да и еще когда опера зависла какоето wq**.exe ошибку выдало. посмотрю еще с лайва но вроде не выдержал трой висты - несовместимый оказался

-----
Md5 fcbb6c9c9a5029b24d70f2d67c7cca74

| Сообщение посчитали полезным:

Вот интересный экземпляр, бродит на просторах нета. Отловил на компьютере знакомого. Насколько понял по информации в инете является IRC ботом и тянет всякую гадость за собой. Заражает EXE файлы путем изменения размера последней секции. Умеет перехватывать системные API. Передачу управления своему коду реализует разными способами, два из них, которые заметил:
1) Замена вызова API функции в секции основного кода.
2) Изменение точки входа.
Пока палится только Нодом(вроде). Касперский, Доктор веб, Авира отдыхают...
Кому интересно, смотрите аттач. В архиве два файла - зараженный и незараженный для сравнения))))

P.S. Авира его нашла, только правда на максимальном уровне эвристики.

b731_04.02.2009_CRACKLAB.rU.tgz - learnit.zip

| Сообщение посчитали полезным:

NetSpider
Красиво. Так еще приклееное тело упаковано/покриптовано. Придется под виртуалкой дебажить.

P.S. Общедоступные песочницы даже глазом не моргнули, либо вирь никак не проявил себя.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

NetSpider пишет:
Пока палится только Нодом(вроде). Касперский, Доктор веб, Авира отдыхают...
Может ебсет еще и лечить его будет? Касперский зараженный файл определяет эвристически - на virustotal старая версия.

| Сообщение посчитали полезным:

Лечение осложнено тем, что каждый раз вирус заражает файл по разному (по разному передает управление в свой код). Будет время - погоняю его под виртуалкой, может напишу лечилку, все равно пригодится)))

| Сообщение посчитали полезным:

AVG задетектил без проблем обозвал его "Worm/Netsky"

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Имя файла: tcflash.exe
Размер: 30,5 Кб
www.virustotal.com/ru/analisis/77f189044d56330a199c4b20eb25f161
Файл заражен путем расширения последний секции. Переход на добавленный код осуществляется не сразу на точке входа, а спустя некоторое число команд. Код разбавлен мусором и зашифрован. После расшифровки программа ищет базу kernall32.dll затем, по заданным хешам, ищутся нужные API функции. После этого перебираются процессы в системе, пропуская четыре первых и попадая на процесс winlogon.exe, далее производится инжект с помощью CreateRemoteThread. А вот сам код попадает в процесс winlogon.exe с помощью мэпирования секции (ZwMapViewOfSection). Далее программа копирует в процесс адреса нужных API функций.
В инжектированном коде открывается файл “Windows\System32\Drivers\ETS\HOST” и записывается туда строка “127.0.0.1 ZieF.pl”. Прописывает процесс winlogon.exe в исключения внутреннего брандмауэра. Командный центр находится по адресу hттp://ZieF.pl/, по адресу hттp://ZieF.pl/rc/ можно скачать PDF эксплоит.

Управление осуществляется по IRC.


| Сообщение посчитали полезным:

Решил я просканировать свой комп и в кешь своего браузера OPERA мой AVG нашёл файл
tcflash.ex_ и tcflash_norm.ex_ вот они будьте внимательны там вирусы!!!!

50c2_06.02.2009_CRACKLAB.rU.tgz - Danger.7z

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan
Само собой Ты ведь качал аттач с этого поста http://exelab.ru/f/action=vthread&forum=2&topic=6500&page= 42#18 и проверял своим AVG, поэтому в кэше и остались файлики.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

По поводу:
Имя файла: tcflash.exe
Размер: 30,5 Кб

- Секции кода и ресурсов - writeable,
уже по этому факту можно не проверяя отправить на помойку.

| Сообщение посчитали полезным:

Вот прислали полюбоваться. В архиве - самораспаковывающийся архив. Был кинут в сеть под именем ХХХ Человек 150 переустанавливали систему. Понятно, что сам запуск лажовый, но вот вирь... После его запуска и перезагрузки система вообще убита. Екзешники не запускаются - а это все. Сделать ничо не возможно. Вроде лечит АВЗ, но и то криво. Упакован FCryptoro-м. Чота я по нему ничо не нашел. Интересно былобы распаковать и посмотреть, чо эта тварь делает. То ли в реестре все отключает, то ли через групповые политики. Запускать не рекомендую. Я с ним полдня про**лся, плюнул и переставил систему
Пасс 3333

a68c_17.02.2009_CRACKLAB.rU.tgz - vir.rar

| Сообщение посчитали полезным:

stahh пишет:
Вот прислали полюбоваться

Это KUZJA 1.5, "конструктор vb вирусов".
Легко найти в интернете.

| Сообщение посчитали полезным:

stahh
новые файлы в папке C:\WINDOWS\Cursors\ :
SMS.htm
temp.bat
html\info_bot.gif
html\info_top.gif
html\select_b.gif
html\select_t.gif
html\style000.css
html\Thumbs.db
html\win.jpg
sdd.cmd

HKEY_CURRENT_USER\Software\WinRAR SFX "" = C:\WINDOWS\Cursors
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "" = C:\WINDOWS\Cursors\SMS.htm /qn
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ Explorer\Run "" = C:\WINDOWS\Cursors\sdd.cmd /qn

SMS.htm - вирь вымогатель бобла под видом регистрации винды через SMS.

Дальше расматриваем ssd.cmd:
Создает файлы
C:\WINDOWS\system32\user32dll.exe
Прописывается в тупой автозапуск с помощью создания ссылки.

Правит реестр:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\S ystem "" = [REG_DWORD, value: 00000001]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\USBSTOR "" = [REG_DWORD, value: 00000004]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Cdrom "" = [REG_DWORD, value: 00000001]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command "" = RunDll32.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\E xplorer "" = [REG_DWORD, value: 03FFFFFF]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\E xplorer "" = [REG_DWORD, value: 03FFFFFF]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN "" = [REG_DWORD, value: 00000000]
HKEY_CURRENT_USER\Control Panel\Desktop "" = [REG_DWORD, value: 00000000]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\A dvanced "" = [REG_DWORD, value: 00000000]
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions "" = [REG_DWORD, value: 00000001]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\E xplorer "" = [REG_DWORD, value: 00000001]
HKEY_CURRENT_USER\Control Panel\Desktop "" = [REG_DWORD, value: 00000001]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ NonEnum "" = [REG_DWORD, value: 00000001]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore "" = [REG_DWORD, value: 00000001]

Меняет атрибуты у файлов:
attrib.exe +r +h +s +a C:\WINDOWS\system32\user32dll.exe
attrib.exe +r +h +s +a путь_к_автозапуску\explorer.lnk

Киляет процесс
taskkill /f /im sdd.exe

далее надо смотреть C:\WINDOWS\system32\user32dll.exe ...

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX]
Ты его распаковал? Выложи плиз распакованный. И судя по ключам, он только отключает всякую шнягу, как и многие бацилы. Ха, и еще получается только для текущего юзера. Поковыряю его еще, но скорей всего это user32dll.exe прехватывает вызовы и не дает запускать екзешники. Жаль, я думал, аффтар изобрел что-то оригинальное, какой-нить набор групповых политик или нашел ключики интересные в реестре

| Сообщение посчитали полезным:

stahh
Виртуалки под рукой нет, поэтому я только прогнал через песочницу общедоступную. Для полной картины надо глянуть еще файлик user32dll.exe, которого соответственно у меня пока нет. Если у тебя есть этот файлик, то кидай, а там посмотри что к чему.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[offtopic]
[hex] можно по подробней про песочницу, спасибо
[/offtopic]

| Сообщение посчитали полезным:

http://www.exelab.ru/f/action=vthread&topic=11776&forum=3

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

На протяжении трех дней нашу контору засыпали зараженными компами !!!
У всех ------> 01cb_21.02.2009_CRACKLAB.rU.tgz - VIRUS.rar пароль:123


Сбивает дату на 2070 год.
Валит систему.

| Сообщение посчитали полезным: