В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.

| Сообщение посчитали полезным:

Red Bar0n пишет:
OLEGator спасибо мыло с отчетами мое

Всегда рад помочь хорошему человеку!


Кедало действительно жжот!

-----
AutoIt

| Сообщение посчитали полезным:

Народ! У половины моего контакт листа угнали аську и мыло вот этой прогой. ОЧЕНЬ хочется узнать, куда и что оно посылает ( IP ). Аська уганяется в щитанные секунды..

eba0_31.03.2007_CRACKLAB.rU.tgz - troj.rar

| Сообщение посчитали полезным:

jasfasola


Обыкновенный пинч пакован пекомпактом
даже иконку пожалели вставить в него
видимо на том конце дежурят круглосуточно

| Сообщение посчитали полезным:

jasfasola пасы ушли на это мыло matrix701@mail.ru
к нему привязаны 2 ICQ 279167909 и 243173024 к сожалению ктото реверснул пенч раньше мну по этому IP сказать не могу
ФОТОГРАМА КЕДАЛЫ !!!!
gameschat.msk.ru/ui.html?qn=Matrix701&mn=INDEX_FORM&w=v&n=1 ))
(в списке добавлен)

| Сообщение посчитали полезным:

jasfasola пишет:
У половины моего контакт листа угнали аську и мыло вот этой прогой
Видимо эти люди на столько наивны, что запускают *.exe файлы, мелкие да ещё без иконки!
Я даже от друзей когда файлы принимаю, сазу в PEiD сую...
первый признак пинча - он пакован обязательно..

-----
AutoIt

| Сообщение посчитали полезным:

2Red Baron: Огромный РЕСПЕКТ.... У меня вопрос (сорри за небольшой оффтоп) ... Я блин неособо силён в RE (проста DDK затянуло ) но всёже пжл намекни, как ты заполучил этот e-mail из бинарника?? Я его по ламерски распаковал (наивно сохранил full dump), открыл через IDA и полюбовался на стринги.. но естественно мыла не увидел.. или может надо запустить в вирт. машине и сниффером отслеживать трафик, проходящий через гейт?? Просто please подскажи в какую сторону в таких вещах смотреть... аж слюньки текут что нить подобное реверснуть.. THX

| Сообщение посчитали полезным:

jasfasola читайте www.biocyborg.narod.ru/ мы писале стотью :\\ стринге могут быть пошифрованы коким либо обратимым алго xor base64 и токдалее :\\ недавно встретелась роздувающияся рыба кстате... сижу чешу в зотылке.... кстате кидала из вашей сетке? есле да то где фотограма его рожи после разборок?

| Сообщение посчитали полезным:

кедала - оказался местный хацкер )) но не из сетки и, оказалось, даже нинает, что такое Olly Dbg гыыыы

| Сообщение посчитали полезным:

Фотограмму ф студию!
С полным досье..
Барончег его в списке занесёт.
=)

-----
AutoIt

| Сообщение посчитали полезным:

Вот сегодня прислале в архиве сплоент и какой то непалящийся трой
кто сможет раздербанить расскажите что и куда шлют
slil.ru/24183426 пасс: 555

| Сообщение посчитали полезным:

Karanduh пишет:
какой то непалящийся трой

Trojan-PSW.Win32.WebMoner.p палиться касперчегом и не только им...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Karanduh пишет:
расскажите что и куда шлют
шлют вот сюда:
Z140980999633
R214315444968
U153755872241
E374304033724
что шлют, думаю сам догадаешся
Karanduh, если хочеш подробностей о трое, то глянь сюда:
hххp://viruslist.ru/

| Сообщение посчитали полезным:

VAD87 пишет:
Karanduh, если хочеш подробностей о трое, то глянь сюда:
hххp://viruslist.ru/
мы об этом песале в жожо :\
hxxp://red-bar0n-tport.livejournal.com/8849.html

| Сообщение посчитали полезным:

Red Bar0n пишет:
мы об этом песале в жожо :\
hxxp://red-bar0n-tport.livejournal.com/8849.html
пасиб за линк, я хоть узнал что 41001121604019 это номер кошелька яндекс деньги, а то в трое видел, а че это за номер не понял. Так что Karanduh, кроме кошельков веб моней еще один для яндекс денег:
41001121604019

| Сообщение посчитали полезным:

Скажите сплоент расковырял кто нить? Иле я мож чего не понял ..не смог его расколупать

| Сообщение посчитали полезным:

Karanduh, а че его ковырять, обычный wmf расшифровывает сам себя через sub byte ptr [esi],15h и xor byte ptr [esi],1
ну и там ссылка на hxxp://domask.ру/exefile.эхэ

| Сообщение посчитали полезным:

Пошло поехало...
Варнинг типа Ахтунг!!! По приведенным ниже сцылкам не ходим со включенной яво_скриптом!!! Будет писец если кто сегоднешнию заплатку с мелокософта не поставил.

[хуттп]://tyt-menia[dot]net/mpack/index.htm - сплойтег на последнию багу в винде тоесть на курсорчик.

[хуттп]://tyt-menia[dot]net/mpack/index.php
Протоколит кого заразили в файлег ip_all.txt

Полная дира до файлегов
/home/romdyd/public_html/mpack/settings.php

Загрузщик всякой дряни
[хуттп]://tyt-menia[dot]net/mpack/file.exe упакован FSG

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

это относится только к тем кто юзает осла (IE)?
Или счастливые обладатели оперы и мазылы тоже пострадают?

-----
AutoIt

| Сообщение посчитали полезным:

OLEGator
Ну если бага в винде, то пофиг чем пользоваться.

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

[HEX], спс, из file.exe можно выловить 4 файла где есть что посмотреть =)

| Сообщение посчитали полезным:

вот фак, етого ещё не хватало...
хыде ента заплатко лежит или как называется?

-----
AutoIt

| Сообщение посчитали полезным:

OLEGator, не, то что там будет только под IE работать

| Сообщение посчитали полезным:

мозилу не пробьет если стоит noscript а так она уязвима. думаю опера тоже не долеко уйдет...

| Сообщение посчитали полезным:

UsAr
Работает с любым ХТМЛ вьювером который яву скрипт держит! Тоесть Оутлук, Опера, Мозила, Осёл, файлы справки, просто зайдя в шару зараженого компа и прочие. Бага в самой Винде!!!
Заплатка под ХП с СП2 тут www.microsoft.com/downloads/details.aspx?familyid=F82EA184-945F-4B78-9463-10AC20A75020&displaylang=en под остальные версии винды по этой же ссылке найдете.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX] пишет:
Работает с любым ХТМЛ вьювером который яву скрипт держит! Тоесть Оутлук, Опера, Мозила, Осёл, файлы справки, просто зайдя в шару зараженого компа и прочие. Бага в самой Винде!!!
Да я знаю что в винде, там юзается техника heap spray, а в опере и мозиле это работать будет не так как планировалосьв IE. Сам ani вызовет лишь исключение которые потом обработается сехом, и без их яваскрипта ничего не сделает.

| Сообщение посчитали полезным:

Народ есть у когонить трой с драйвером или паблик руткит который скрывает себя в реестре, мне для тестов надо

-----
have a nice day

| Сообщение посчитали полезным:

Nimnul поищи тут www.rootkit.com/

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

Я там первым делом искал, нашел 2-3 руткита которые по описанию должны себя прятать, но я их вижу с помощь regedit.

-----
have a nice day

| Сообщение посчитали полезным:

мож в помощь
download.sysinternals.com/Files/RegHide.zip

| Сообщение посчитали полезным:

[HEX] Такие новости надо в отдельный топик выносить!
Побежал качать апдейт
P.S на milw0rm.com уже сплоеты лежат

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным: