Сейчас на форуме: johnniewalker, Kybyx, testrev1337, bedop66938, vsv1 (+7 невидимых)

 eXeL@B —› Крэки, обсуждения —› Исследование вирусов
<< 1 ... 36 . 37 . 38 . 39 . 40 . 41 . 42 . 43 . 44 . 45 . 46 ... 47 . 48 . >>
Посл.ответ Сообщение

Ранг: -0.2 (гость)
Активность: 0=0
Статус: Участник

Создано: 13 октября 2006 23:15 · Поправил: Модератор
· Личное сообщение · #1

В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.




Ранг: 52.9 (постоянный), 6thx
Активность: 0.040
Статус: Участник

Создано: 16 января 2009 09:40
· Личное сообщение · #2

ARCHANGEL да проблему уже решил, скачал с другого сайта без неожиданностей. Просто было неприятно



Ранг: 107.5 (ветеран)
Активность: 0.150
Статус: Участник

Создано: 18 января 2009 19:13
· Личное сообщение · #3

ктонить знает че за фигня
B's Recorder GOLD Library General Service (bgsvcgen)

-----
Md5 fcbb6c9c9a5029b24d70f2d67c7cca74




Ранг: 23.2 (новичок), 8thx
Активность: 0.020
Статус: Участник

Создано: 18 января 2009 20:43
· Личное сообщение · #4

Stack пишет:
ктонить знает че за фигня
B's Recorder GOLD Library General Service (bgsvcgen)

Похоже на вот это -- B's Recorder GOLD8
www.bha.co.jp/en/support/faq_gold8/index.html

Проверь файл C:\WINDOWS\system32\bgsvcgen.exe



Ранг: 17.6 (новичок)
Активность: 0.020
Статус: Участник

Создано: 18 января 2009 20:51 · Поправил: WiaRd
· Личное сообщение · #5

Stack
Мб отсюда?
http://www.bha.co.jp/en/ http://www.bha.co.jp/en/
Блин. Опоздал((



Ранг: 107.5 (ветеран)
Активность: 0.150
Статус: Участник

Создано: 18 января 2009 23:04 · Поправил: Stack
· Личное сообщение · #6

недавно неро устанавливал 9 ку может он? проверял на вирустотал - ни один ни попалил - тока какойто неизвестный мне авирь - пропищал что-то невнятное и все. сервис на всяк случай остановил.
в WinHex посмотрел - вроде не пакованный (спец средств типа пеид нема на компе)

10b1_18.01.2009_CRACKLAB.rU.tgz - bgsvcgen.exe

-----
Md5 fcbb6c9c9a5029b24d70f2d67c7cca74




Ранг: 38.0 (посетитель)
Активность: 0.010
Статус: Участник

Создано: 26 января 2009 14:44
· Личное сообщение · #7

кстати ни у кого не завалялось 4-5 бинарников спамботов?



Ранг: 107.5 (ветеран)
Активность: 0.150
Статус: Участник

Создано: 26 января 2009 15:51
· Личное сообщение · #8

что за фигня - soveroste.com/pages5.html
опера 9,6 - зависло.

Будьте бдительны.

-----
Md5 fcbb6c9c9a5029b24d70f2d67c7cca74




Ранг: 456.3 (мудрец), 340thx
Активность: 0.280.02
Статус: Участник
Android Reverser

Создано: 26 января 2009 17:49
· Личное сообщение · #9

Stack пишет:
что за фигня - soveroste.com/pages5.html
опера 9,6 - зависло.

Exploit.JS.Pdfka.w

-----
SaNX




Ранг: 107.5 (ветеран)
Активность: 0.150
Статус: Участник

Создано: 26 января 2009 17:59 · Поправил: Stack
· Личное сообщение · #10

спс. может кто скажет на вскидку че она сделала (или нет)
всмысле на самом сайте, про уязвимость я и сам найду.

-----
Md5 fcbb6c9c9a5029b24d70f2d67c7cca74





Ранг: 467.7 (мудрец), 5thx
Активность: 0.270
Статус: Участник
Иной :)

Создано: 26 января 2009 19:26 · Поправил: [HEX]
· Личное сообщение · #11

Stack
С сайта (hxxp://soveroste.com/5/cache/load.php) сплоитом грузится загрузчик говна и кладется в автозапуск c:/Documents and Settings/All Users/Start Menu/Programs/StartUp/browsers.exe
Далее может продублироваться в профиле.

Загрузчик тянет:
hxxp://69.147.239.106/40E800142020202020202020202020205236414158524235 6C0000018666000000007600000642EB000530268EA2BD
hxxp://69.147.239.106/40E800142020202020202020202020205236414158524235 6C0000018666000000007600000642EB00053099FA314C

Кладет в :
C:\WINDOWS\TEMP\BN2.tmp
C:\WINDOWS\TEMP\BN6.tmp
Устанавливает дровину :
C:\WINDOWS\system32\drivers\port135sik.sys (руткит).
C:\WINDOWS\system32\drivers\securentm.sys

В общем зараза из серии Win32/Cutwail.gen Занимается спамом.
ff.net13.info/showtopic=35316

На сайте зараза ничего не делает. Она распространяется через сайт (доступ к сайту скорей всего получили утянув пароль от хостинга или тупо заюзали багу в каком нибудь движке).

-----
Computer Security Laboratory





Ранг: 238.8 (наставник), 67thx
Активность: 0.20
Статус: Участник
CyberHunter

Создано: 26 января 2009 19:32
· Личное сообщение · #12

Stack заливается лоадер, который загружает и устанавливает повидимому руткит спам бот.

-----
Nulla aetas ad discendum sera





Ранг: 105.9 (ветеран)
Активность: 0.060
Статус: Участник

Создано: 26 января 2009 20:01
· Личное сообщение · #13

[HEX]
можешь выложить файлы, которые закачались.



Ранг: 107.5 (ветеран)
Активность: 0.150
Статус: Участник

Создано: 26 января 2009 20:07 · Поправил: Stack
· Личное сообщение · #14

если дров с лайва кокнуть системе ничего не будет?
хз. AVZ запустился. Хуки тока от фаервола. да и еще когда опера зависла какоето wq**.exe ошибку выдало. посмотрю еще с лайва но вроде не выдержал трой висты - несовместимый оказался

-----
Md5 fcbb6c9c9a5029b24d70f2d67c7cca74




Ранг: 39.6 (посетитель)
Активность: 0.020
Статус: Участник

Создано: 05 февраля 2009 01:14 · Поправил: NetSpider
· Личное сообщение · #15

Вот интересный экземпляр, бродит на просторах нета. Отловил на компьютере знакомого. Насколько понял по информации в инете является IRC ботом и тянет всякую гадость за собой. Заражает EXE файлы путем изменения размера последней секции. Умеет перехватывать системные API. Передачу управления своему коду реализует разными способами, два из них, которые заметил:
1) Замена вызова API функции в секции основного кода.
2) Изменение точки входа.
Пока палится только Нодом(вроде). Касперский, Доктор веб, Авира отдыхают...
Кому интересно, смотрите аттач. В архиве два файла - зараженный и незараженный для сравнения))))

P.S. Авира его нашла, только правда на максимальном уровне эвристики.

b731_04.02.2009_CRACKLAB.rU.tgz - learnit.zip




Ранг: 467.7 (мудрец), 5thx
Активность: 0.270
Статус: Участник
Иной :)

Создано: 05 февраля 2009 11:33 · Поправил: [HEX]
· Личное сообщение · #16

NetSpider
Красиво. Так еще приклееное тело упаковано/покриптовано. Придется под виртуалкой дебажить.

P.S. Общедоступные песочницы даже глазом не моргнули, либо вирь никак не проявил себя.

-----
Computer Security Laboratory




Ранг: 2.4 (гость)
Активность: 0=0
Статус: Участник

Создано: 05 февраля 2009 15:33
· Личное сообщение · #17

NetSpider пишет:
Пока палится только Нодом(вроде). Касперский, Доктор веб, Авира отдыхают...

Может ебсет еще и лечить его будет? Касперский зараженный файл определяет эвристически - на virustotal старая версия.



Ранг: 39.6 (посетитель)
Активность: 0.020
Статус: Участник

Создано: 05 февраля 2009 17:09
· Личное сообщение · #18

Лечение осложнено тем, что каждый раз вирус заражает файл по разному (по разному передает управление в свой код). Будет время - погоняю его под виртуалкой, может напишу лечилку, все равно пригодится)))




Ранг: 568.2 (!), 464thx
Активность: 0.550.57
Статус: Участник
оптимист

Создано: 06 февраля 2009 02:17
· Личное сообщение · #19

AVG задетектил без проблем обозвал его "Worm/Netsky"

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.




Ранг: 23.2 (новичок), 8thx
Активность: 0.020
Статус: Участник

Создано: 06 февраля 2009 09:58 · Поправил: GMax
· Личное сообщение · #20

Имя файла: tcflash.exe
Размер: 30,5 Кб
www.virustotal.com/ru/analisis/77f189044d56330a199c4b20eb25f161
Файл заражен путем расширения последний секции. Переход на добавленный код осуществляется не сразу на точке входа, а спустя некоторое число команд. Код разбавлен мусором и зашифрован. После расшифровки программа ищет базу kernall32.dll затем, по заданным хешам, ищутся нужные API функции. После этого перебираются процессы в системе, пропуская четыре первых и попадая на процесс winlogon.exe, далее производится инжект с помощью CreateRemoteThread. А вот сам код попадает в процесс winlogon.exe с помощью мэпирования секции (ZwMapViewOfSection). Далее программа копирует в процесс адреса нужных API функций.
В инжектированном коде открывается файл “Windows\System32\Drivers\ETS\HOST” и записывается туда строка “127.0.0.1 ZieF.pl”. Прописывает процесс winlogon.exe в исключения внутреннего брандмауэра. Командный центр находится по адресу hттp://ZieF.pl/, по адресу hттp://ZieF.pl/rc/ можно скачать PDF эксплоит.

Управление осуществляется по IRC.





Ранг: 568.2 (!), 464thx
Активность: 0.550.57
Статус: Участник
оптимист

Создано: 06 февраля 2009 10:34
· Личное сообщение · #21

Решил я просканировать свой комп и в кешь своего браузера OPERA мой AVG нашёл файл
tcflash.ex_ и tcflash_norm.ex_ вот они будьте внимательны там вирусы!!!!

50c2_06.02.2009_CRACKLAB.rU.tgz - Danger.7z

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.





Ранг: 467.7 (мудрец), 5thx
Активность: 0.270
Статус: Участник
Иной :)

Создано: 06 февраля 2009 18:49 · Поправил: [HEX]
· Личное сообщение · #22

ClockMan
Само собой Ты ведь качал аттач с этого поста http://exelab.ru/f/action=vthread&forum=2&topic=6500&page= 42#18 и проверял своим AVG, поэтому в кэше и остались файлики.

-----
Computer Security Laboratory




Ранг: 38.2 (посетитель)
Активность: 0.020
Статус: Участник

Создано: 07 февраля 2009 12:05
· Личное сообщение · #23

По поводу:
Имя файла: tcflash.exe
Размер: 30,5 Кб

- Секции кода и ресурсов - writeable,
уже по этому факту можно не проверяя отправить на помойку.




Ранг: 127.3 (ветеран)
Активность: 0.070
Статус: Участник

Создано: 17 февраля 2009 14:35
· Личное сообщение · #24

Вот прислали полюбоваться. В архиве - самораспаковывающийся архив. Был кинут в сеть под именем ХХХ Человек 150 переустанавливали систему. Понятно, что сам запуск лажовый, но вот вирь... После его запуска и перезагрузки система вообще убита. Екзешники не запускаются - а это все. Сделать ничо не возможно. Вроде лечит АВЗ, но и то криво. Упакован FCryptoro-м. Чота я по нему ничо не нашел. Интересно былобы распаковать и посмотреть, чо эта тварь делает. То ли в реестре все отключает, то ли через групповые политики. Запускать не рекомендую. Я с ним полдня про**лся, плюнул и переставил систему
Пасс 3333

a68c_17.02.2009_CRACKLAB.rU.tgz - vir.rar



Ранг: 23.2 (новичок), 8thx
Активность: 0.020
Статус: Участник

Создано: 17 февраля 2009 15:51
· Личное сообщение · #25

stahh пишет:
Вот прислали полюбоваться


Это KUZJA 1.5, "конструктор vb вирусов".
Легко найти в интернете.




Ранг: 467.7 (мудрец), 5thx
Активность: 0.270
Статус: Участник
Иной :)

Создано: 17 февраля 2009 21:55 · Поправил: [HEX]
· Личное сообщение · #26

stahh
новые файлы в папке C:\WINDOWS\Cursors\ :
SMS.htm
temp.bat
html\info_bot.gif
html\info_top.gif
html\select_b.gif
html\select_t.gif
html\style000.css
html\Thumbs.db
html\win.jpg
sdd.cmd

HKEY_CURRENT_USER\Software\WinRAR SFX "" = C:\WINDOWS\Cursors
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "" = C:\WINDOWS\Cursors\SMS.htm /qn
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ Explorer\Run "" = C:\WINDOWS\Cursors\sdd.cmd /qn

SMS.htm - вирь вымогатель бобла под видом регистрации винды через SMS.

Дальше расматриваем ssd.cmd:
Создает файлы
C:\WINDOWS\system32\user32dll.exe
Прописывается в тупой автозапуск с помощью создания ссылки.

Правит реестр:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\S ystem "" = [REG_DWORD, value: 00000001]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\USBSTOR "" = [REG_DWORD, value: 00000004]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Cdrom "" = [REG_DWORD, value: 00000001]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command "" = RunDll32.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\E xplorer "" = [REG_DWORD, value: 03FFFFFF]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\E xplorer "" = [REG_DWORD, value: 03FFFFFF]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN "" = [REG_DWORD, value: 00000000]
HKEY_CURRENT_USER\Control Panel\Desktop "" = [REG_DWORD, value: 00000000]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\A dvanced "" = [REG_DWORD, value: 00000000]
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions "" = [REG_DWORD, value: 00000001]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\E xplorer "" = [REG_DWORD, value: 00000001]
HKEY_CURRENT_USER\Control Panel\Desktop "" = [REG_DWORD, value: 00000001]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ NonEnum "" = [REG_DWORD, value: 00000001]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore "" = [REG_DWORD, value: 00000001]

Меняет атрибуты у файлов:
attrib.exe +r +h +s +a C:\WINDOWS\system32\user32dll.exe
attrib.exe +r +h +s +a путь_к_автозапуску\explorer.lnk

Киляет процесс
taskkill /f /im sdd.exe

далее надо смотреть C:\WINDOWS\system32\user32dll.exe ...

-----
Computer Security Laboratory





Ранг: 127.3 (ветеран)
Активность: 0.070
Статус: Участник

Создано: 18 февраля 2009 08:57
· Личное сообщение · #27

[HEX]
Ты его распаковал? Выложи плиз распакованный. И судя по ключам, он только отключает всякую шнягу, как и многие бацилы. Ха, и еще получается только для текущего юзера. Поковыряю его еще, но скорей всего это user32dll.exe прехватывает вызовы и не дает запускать екзешники. Жаль, я думал, аффтар изобрел что-то оригинальное, какой-нить набор групповых политик или нашел ключики интересные в реестре




Ранг: 467.7 (мудрец), 5thx
Активность: 0.270
Статус: Участник
Иной :)

Создано: 18 февраля 2009 12:06
· Личное сообщение · #28

stahh
Виртуалки под рукой нет, поэтому я только прогнал через песочницу общедоступную. Для полной картины надо глянуть еще файлик user32dll.exe, которого соответственно у меня пока нет. Если у тебя есть этот файлик, то кидай, а там посмотри что к чему.

-----
Computer Security Laboratory




Ранг: 0.8 (гость)
Активность: 0=0
Статус: Участник

Создано: 19 февраля 2009 21:50
· Личное сообщение · #29

[offtopic]
[hex] можно по подробней про песочницу, спасибо
[/offtopic]




Ранг: 467.7 (мудрец), 5thx
Активность: 0.270
Статус: Участник
Иной :)

Создано: 20 февраля 2009 12:40
· Личное сообщение · #30

http://www.exelab.ru/f/action=vthread&topic=11776&forum=3

-----
Computer Security Laboratory




Ранг: 37.8 (посетитель)
Активность: 0.020
Статус: Участник

Создано: 21 февраля 2009 22:50 · Поправил: addy
· Личное сообщение · #31

На протяжении трех дней нашу контору засыпали зараженными компами !!!
У всех ------> 01cb_21.02.2009_CRACKLAB.rU.tgz - VIRUS.rar пароль:123


Сбивает дату на 2070 год.
Валит систему.


<< 1 ... 36 . 37 . 38 . 39 . 40 . 41 . 42 . 43 . 44 . 45 . 46 ... 47 . 48 . >>
 eXeL@B —› Крэки, обсуждения —› Исследование вирусов
Эта тема закрыта. Ответы больше не принимаются.
   Для печати Для печати