| Сейчас на форуме: johnniewalker, Kybyx, testrev1337, bedop66938, vsv1 (+7 невидимых) |
 |
eXeL@B —› Крэки, обсуждения —› Исследование вирусов |
| << 1 ... 45 . 46 . 47 . 48 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 13 октября 2006 23:15 · Поправил: Модератор · Личное сообщение · #1 В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.  |
|
|
Создано: 30 июня 2009 10:04 · Личное сообщение · #2 Тока криптер ----- Nulla aetas ad discendum sera |
|
|
Создано: 30 июня 2009 17:59 · Личное сообщение · #3 Flint пишет: Криптованный калькулятор dump.ru/file/2988275 откуда дровишки? |
|
|
Создано: 06 июля 2009 14:26 · Личное сообщение · #4 OLEGator Имя файла: proquota.exe Размер: 45.00 Kb Date/Time Stamp(GMT): 21.01.2006 17:24 www.virustotal.com/ru/analisis/60aa0272a008d28d73fdc0ee63d302654a76d50b52a3f50c42cc539eae7757d0-1246613824 www.threatexpert.com/report.aspx?md5=bdbe38bd04df23d81153e08092f8aa53 Файл обработан криптором. Исполнение кода начинается с инициализации импорта, по хешу от имени. Затем идет инициализация констант в зависимости от версии Windows. Строки зашифрованы алгоритмом основанном на xor, каждая строка расшифровывается непосредственно перед использованием, а после вновь зашифровывается. Далее идет процедура поиска сплайсинга некоторых системных функций из kernal32.dll и ntdll.dll и снятия путем сопоставления первых 7 байтов функции в памяти и в файле. Если файл еще не установлен в систему, то производится его установка. Файл копируется в “System32\Wbem\proquota.exe” и ему выставляется время создания идентичное файлу “smss.exe”. Заменяет файл “System32\dllcache\proquota.exe”. Автозагрузка производится через ветку “Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableProfi leQuota”. Затем из тела файла расшифровывается файл (18.55 Кб) и создается дополнительный поток созданного “зомби” процесса “svchost.exe”. Имя файла: file.exe Размер: 18.55 Kb Date/Time Stamp(GMT): 10.06.2009 14:01 www.virustotal.com/ru/analisis/f619e810e1470bb3d2c16fad4697a10866ff920537c907936adf230a1d9cadfb-1246614230 www.threatexpert.com/report.aspx?md5=c84c0953429894cc1c2b130a75786ce5 Файл обработан криптором. В первую очередь расшифровываются строки, затем инициализируется импорт. Программа занимается тем, что ищет на диске и в реестре логины и пароли в местах, где их обычно хранят программы для работы с ftp://FTP. Найденные данные троян отправляет по адресу jarus1.ru.  Имя файла: SiteAccess.dll Размер: 37.50 Kb Date/Time Stamp(GMT): 22.06.2009 14:04 www.virustotal.com/ru/analisis/ac8da0e6a0ed138d763fdad645b3afd548bff7e731b9b7e493ef0244166b0ef3-1246646931 Файл обернут слоем краптора. Сначала троян проверяет в адресном пространстве какого процесса он находится, если это не iexplore.exe, opera.exe, firefox.exe, chrome.exe, то троян просто завершает свою работу. Если библиотека загружена в один из перечисленных браузеров, то производится перехват функций для работы по сети: send, recv, WSASend, WSARecv, socket, closesocket, connect, WSAConnect, select. Троян осуществляет подмену выдачи Интернет запросов браузера. Технически это достигается добавлением в код страницы следующего фрейма:  Рекламный банер для показа берется с адреса: http://sex-bot.biz/plugin/showbanners.php. |
|
|
Создано: 06 июля 2009 21:53 · Личное сообщение · #5 GMax, спасибо за разбор. ----- AutoIt |
|
|
Создано: 18 июля 2009 01:12 · Поправил: AlexZ · Личное сообщение · #6 Только что выловил Kido. Помог Kidokiller.exe - советую скачать всем и иметь на всякий случай. А что вот это - понятия не имею (avz подозревает, что это скрываемые ключи, я же понятия не имею было так или это что-то новое): [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ZUFAXCQ\0000] "Service"="zufaxcq" "Legacy"=dword:00000001 "ConfigFlags"=dword:00000000 "Class"="LegacyDriver" "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}" "DeviceDesc"="Universal Server" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ZUFAXCQ\ 0000\Control] "ActiveService"="zufaxcq" У кого в реестре есть Universal Server? ----- Я медленно снимаю с неё UPX... *FF_User* |
|
|
Создано: 18 июля 2009 01:59 · Поправил: BoRoV · Личное сообщение · #7 c Кидо познакомился еще в начале года, мну он сразу понравился забавная зверушка  , сначала руками его убивал, а потом тоже подкинули Кидокилера, терь все время ношу его на флешкеа это похожо на его следы, вот его имя длл, у него оно всегда рандомное ----- Лучше быть одиноким, но свободным © $me |
|
|
Создано: 18 июля 2009 09:39 · Поправил: AlexZ · Личное сообщение · #8 BoRoV пишет: а это похожо на его следы Чем? Должен быть файл zufaxcq? У меня есть бэкап реестра до заражения, не не знаю чем можно просмотреть его. regeditPE смотрит реестр не так, как нужно и не позволяет самому загрузить нужные файлы. ----- Я медленно снимаю с неё UPX... *FF_User* |
|
|
Создано: 18 июля 2009 10:15 · Личное сообщение · #9 AlexZ пишет: У меня есть бэкап реестра до заражения, не не знаю чем можно просмотреть его В запросах на взлом был Alien Registry Viewer |
|
|
Создано: 18 июля 2009 10:52 · Личное сообщение · #10 AlexZ Можешь заюзать Raw Registry Editor, он бесплатный nunobrito.eu/download.php?view.10 Тут newsgroup.xnview.com/viewtopic.php?f=38&t=17927#p75427 список других похожих прог |
|
|
Создано: 18 июля 2009 11:05 · Личное сообщение · #11 AlexZ пишет: Должен быть файл zufaxcq? имя не логическое, а просто набор символов, такие имена и делает Кидо ----- Лучше быть одиноким, но свободным © $me |
|
|
Создано: 18 июля 2009 11:13 · Поправил: AlexZ · Личное сообщение · #12 У меня дофига подозрительных файлов и названий, в т.ч. в процессах. И тем не менее, это то беспроводная сетка, то дрова принтера, то ещё что-то внутренне ноутбучное.  за проги благодарен ключег действительно был новым... ----- Я медленно снимаю с неё UPX... *FF_User* |
|
|
Создано: 21 июля 2009 07:39 · Личное сообщение · #13 Cегодня нашел в инете такую новость, может кто слышал уже об этом или видел этого зверя В интернете появился троян - убийца файлов Сообщаем о появлении в Интернете опасного трояна, уничтожающего все файлы и папки на зараженном компьютере. Первые случаи инфицирования Trojan.KillFiles.904 зафиксированы в начале июня 2009 года. Проникая в компьютер жертвы, Trojan.KillFiles.904 перебирает локальные и съемные диски в порядке от Z до A. В найденном диске троян начинает удалять папки и файлы, перебирая их названия по алфавиту. Если удалить файл не удается, к примеру, по причине его использования, троян делает его скрытым. Особая опасность заключается в том, что действия Trojan.KillFiles.904 касаются всех файлов и папок, находящихся на жестком диске компьютера жертвы, за исключением системных. Таким образом, пользователь может потерять все данные на дисках, при этом его операционная система продолжит свою работу. Уникальным для современных вредоносных программ свойством данного трояна является нанесение максимального урона пользователю. В отличие от получивших в последнее время широкое распространение программ-вымогателей, Trojan.KillFiles.904 не просит о каких-либо финансовых вложениях и не пытается что-либо украсть – он просто уничтожает всю информацию, хранящуюся в зараженной системе. Можно предположить, что данный троян, появившийся в начале июня 2009 года, продолжает традицию вируса Win32.HLLW.Kati, также известного как Penetrator, который повреждает файлы форматов Microsoft Word и Excel, а также фотографии и мультимедийные файлы. За тем исключением, что Trojan.KillFiles.904 представляет еще большую угрозу. |
|
|
Создано: 21 июля 2009 09:20 · Личное сообщение · #14 pollllll_n Жэсть какая-то, "троян - убийца файлов" - просто неверояное изобретение! В общем, ТРОЛОЛО еще то... Как у них там только мозг не разрывает от написания подобного? ----- Crack your mind, save the planet |
|
|
Создано: 21 июля 2009 09:39 · Личное сообщение · #15 Trojan.KillFiles.904 - боян, я подобные еще лет 10 назад писал, доводя до истерики училку информатики ;P При этом особых знаний для написания этого чуда не нужно, достаточно быть нормальным пользователем ПК. А в "статье" расписали буд-то это какой-либо прорыв в вирусописании. |
|
|
Создано: 21 июля 2009 11:06 · Личное сообщение · #16 Поймал недавно зловреда letitbit.net/download/2455.2af5ee4e79d07bc626a30090d/msdrv32.rar.html Недавал работать бухгалтерским программам. Полностью забивал маленький канал своими запросами. кому интересно. смотрите ) 14 ативирусов палят. из 41. |
|
|
Создано: 21 июля 2009 15:31 · Личное сообщение · #17 SGA - ну ты парень и извращенец, заливать заразу на летитбит Типа копеечку решил срубить? Когда дохера более лучших файлообменников в сети есть, ты выбрал именно этот.
----- The blood swap.... |
|
|
Создано: 21 июля 2009 22:48 · Личное сообщение · #18 SGA ты б еще отчет вирустатала на депозит залил для полного комплекта комерсант
|
|
|
Создано: 22 июля 2009 08:36 · Личное сообщение · #19 SGA Имя файла: msdrv32.exe Размер: 56.00 Kb Date/Time Stamp(GMT): 18.07.2009 8:06 www.virustotal.com/ru/analisis/66391643f7a979d6752082dd0e3bfe62a47ef8a9f45533766e5636f1b8aed43a-1248163389 www.threatexpert.com/report.aspx?md5=c0c655422e3d0711b1c3f3f843245b49 Файл ни чем не обработан. Вначале, в качестве мусора, идет код для определения отладки и запуска под VMware. Затем по несложному алгоритму расшифровываются строки (имена функций). Затем расшифровывается из ресурсов основная программа. Далее запускается процесс "explorer.exe" производится инжект и запуск. Размер: 46.50 Kb Date/Time Stamp(GMT): 18.07.2009 8:06 www.virustotal.com/ru/analisis/bd8ad7bf5bf8b4d9b09bac8389329ff4565cb7e198d62d558c18b5f03a0ad7ef-1248180839 www.threatexpert.com/report.aspx?md5=c4bc81649f5cbf56bfce64c457ebcdda Вначале инициализируется импорт. Затем исполняемый файл копируется в “WINDOWS\msdrv32.exe”, устанавливается в автозагрузку через “ SOFTWARE\Microsoft\Windows\CurrentVersion\Run\” и “ SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\” имя ключа “ Microsoft Driver Setup”. Далее в реестр прописывается исключения встроенного фаервола, запускаются два дополнительных потока, просматривающих списки из 258 и 135 имен файлов, и в случае нахождения процесса завершающие его. Затем бот соединяет с командным центром по протоколу IRC и выполняет задания. Бот умеет сканировать порты, скачивать и запускать программы и свои обновления и т.д. Для получения внешнего IP адреса бот опрашивает один из четырех прокси серверов: www.mcreate.net/cgi-bin/envchk/prxjdg.cgi kuwago.hp.infoseek.co.jp/cgi-bin/nph/prxjdg.cgi www.cooleasy.com/cgi-bin/prxjdg.cgi www.cship.info/cgi-bin/prxjdg.cgi Командный центр по адресу www.messenger.tinypic.name. 
|
|
|
Создано: 29 июля 2009 13:20 · Поправил: BoRoV · Личное сообщение · #20 кто встречался с этой заразой Email-Worm.Win32.Warezov.et? саму ее грохнул, но как почистить зараженые им файлы, как идет сам процес там востановления файла в оригинал я понял, но писать что-то самому для этого влом, что за антивирь сможет это сделать сам, или может есть что-то конкретное как КидоКилер для Кидо, касперского оно грохнуло ----- Лучше быть одиноким, но свободным © $me |
|
|
Создано: 29 июля 2009 13:36 · Личное сообщение · #21 GMax Неплохо, Вы не в антивирусной лаборатории работаете, каспера или доктор-веба? |
|
|
Создано: 29 июля 2009 13:47 · Личное сообщение · #22 BoRoV пишет: что за антивирь сможет это сделать сам а доктор вэб не лечит? |
|
|
Создано: 29 июля 2009 18:41 · Личное сообщение · #23 dimaxmaster пишет: GMax Неплохо, Вы не в антивирусной лаборатории работаете, каспера или доктор-веба? нет |
|
|
Создано: 29 июля 2009 19:37 · Поправил: unity · Личное сообщение · #24 BoRoV, вроде от Касперского утилита klwk.com лечит этот от этого вируса. support.kaspersky.ru/faq/?qid=180593202 |
|
|
Создано: 29 июля 2009 21:09 · Личное сообщение · #25 unity пишет: вроде от Касперского утилита klwk.com лечит этот от этого вируса. спс, но я уже снес систему, и поставил все заново... и касперского, полечил все
----- Лучше быть одиноким, но свободным © $me |
|
|
Создано: 29 июля 2009 21:48 · Личное сообщение · #26 Тогда сейчас самое время сделать клон диска. |
|
|
Создано: 03 августа 2009 20:06 · Личное сообщение · #27 Кто-нибудь сталкивался с таким вирусом: Нажимая на левую кнопку мыши она жмется не один, а два раза. Аваст молчит, cureit при загрузке выдаёт синьку всегда с sys файлом названным от балды. |
|
|
Создано: 03 августа 2009 22:20 · Личное сообщение · #28 А может это не вирь а настройки мыши сбиты?  Покопайся в панели управления
----- Лень - это подсознательная мудрость |
|
|
Создано: 03 августа 2009 22:38 · Личное сообщение · #29 Vovan666 пишет: Кто-нибудь сталкивался с таким вирусом: Нажимая на левую кнопку мыши она жмется не один, а два раза. Бывает у меня такое, лечиться разбором мыши и чисткой ее внутренностей. Еще очень помогает бить ее об стол до устранения глюков (не шучу). |
|
|
Создано: 03 августа 2009 22:46 · Поправил: BoRoV · Личное сообщение · #30 SER[G]ANT пишет: Vovan666 пишет:Кто-нибудь сталкивался с таким вирусом:Нажимая на левую кнопку мыши она жмется не один, а два раза. Бывает у меня такое, лечиться разбором мыши и чисткой ее внутренностей. Еще очень помогает бить ее об стол до устранения глюков (не шучу). поддерживаю сержанта, сам с таким сталкивался, лечил этот "вирус" уж оч долго, потом надоело, пошел и купил новую мышь в шутерах это даже к лучшему, но при работе... это ппц, когда сидишь в шопе хочешь маленькую фигнюшку нарисоват, или что акуратненько подрезать/подтереть, прям как тонкая хирургическая операция, а оно сцуко такое выдает... я думал один раз что убью нах свою мышь когда долго пытался сделать одну операцию, а она, тогда мне крышу сорвало конкретно
----- Лучше быть одиноким, но свободным © $me |
|
|
Создано: 03 августа 2009 23:06 · Личное сообщение · #31 Да что там в шопе, я так один раз вируса запустил с флешки, хотя хотел его выделить и удалить
----- AutoIt |
| << 1 ... 45 . 46 . 47 . 48 . >> |
|
eXeL@B —› Крэки, обсуждения —› Исследование вирусов |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати