В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.

| Сообщение посчитали полезным:

Nimnul, hxxp://cr4sh.0x48k.cc/blackreleaver-release.rar

| Сообщение посчитали полезным:

0x48k.cc/showthread.php?t=175

-----
have a nice day

| Сообщение посчитали полезным:

Flint
Новость как новость... Кто хоть как то заботиться о секьюрности своего компа уже наверное увидели новость на куче сайтов про эту багу. Достаточно даже секуритилаб.ру посматривать (хотя у них новости и с запозданием на сутки-двое) там уже отропортовали о выкладке експлойтегов. И в форуме скрипткидиси свои потные ладошки потирают от этой новости.

А так да конечно лучше milw0rm поглядывать. Там много сплойтегов собрали на эту и не только багу.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Мдя... всем сочуствую, у кого до сих пор браузер с админ-райтс запускается Сколько народу не говорят об этом все равно юзают всякое г*** типа антивирусов, которое увалить имия привилегии админа _всегда_ можно. И всякие HIPS-ы KIS и т.п. тоже легко обходятся.

Nimnul
Если интересуют еще руткиты которые скрывют ключики в реестре кинь номер аси в личку; у меня есть зверек который наказал не так давно практически все антируткиты, и RootkitRevealer Руссиновича тоже болт сосет.

-----
Research is my purpose

| Сообщение посчитали полезным:

Nimnul
Тот что я вирус привел и есть с руткитом + пинчем и еще много чего грузиться.
руткит там что то типа этого
www.geocities.jp/kiskzo/koos.exe.html

Так что если нужно могу выслать файлики.
Жалко что сайтик прикрыли оперативно видать кто то в абузу хостингу быстро написал... а то можно было мониторить кто заражен ну и под контроль машинки взять ;)

Хотя... сервак жив и файлики тоже живы. Только по ип нужно обращаться к нему.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Я тоже кстати утянул d1-d4.
d1 - pinch, думаю никому не нужен...

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

Эй ребяты срочно нужна помощь гдето зацепил зверька ...
Кто то коннектиться к моей тачке и сливает чегото переодически .
Посморите в архиве скрины и части виря: slil.ru/24201010

Мой Авер молчит и Аутпост его пропустил тоже... сам заметил чисто случайно
Какойто хитрый трой
Чего он там скачивает и куда?

| Сообщение посчитали полезным:

трой для поиска и кражи шекелей
прописывается в автозагрузке(S o f t w a r e \ M i c r o s o f t \ W i n d o w s \ C u r r e n t V e r s i o n \ R u n) как winamp.exe, копирует себя в системную папку(s v c h o c t . e x e), мониторит
Кошельки для абуз:
41001121604019
Z 1 4 0 9 8 0 9 9 9 6 3 3
R 2 1 4 3 1 5 4 4 4 9 6 8
U 1 5 3 7 5 5 8 7 2 2 4 1
E 3 7 4 3 0 4 0 3 3 7 2 4

| Сообщение посчитали полезным:

Error_Log

отпишись, мне интересно затестить свой способ детекта

-----
have a nice day

| Сообщение посчитали полезным:

Nimnul
Error_Log
А чего метод чтения файла реестра с винта (парсинг) и потом сравнение с тем что выдает винда уже не котируется? Тоесть обходится троями?

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX]
у нима своя приват техника.. пускай тестит, мб сделают супа руткит ревилер

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

[HEX] пишет:
метод чтения файла реестра с винта
Смотря как его читать. Если юзать IOCTL драйвера файловой системы могут подсунут липу. Вообще конечно такие трои большая редкость, и бывает как исключение, а не правило. Но факт. Что там автор Rustok.C намутил доселе пока никому не известно, но ходят слухи что никто не ловит это вообще. Rustok.B поймали еще хз когда, хз каким чудом, но он тоже не ловился на то время.

-----
Research is my purpose

| Сообщение посчитали полезным:

[HEX]

Если копирование реестра и сравнение делать на другой ОС, тогда это обойти нельзя в принципе. Все руткиты как на ладони.

-----
have a nice day

| Сообщение посчитали полезным:

Nimnul
Error_Log
Ну если даже с той же больной ОС, то трой должен уметь генерить файл реестра на лету без своих ключей?! Немного геморно и размер руткита увеличивается от таких возможностей. От всего этого я тоже думаю что это редкость у руткитов.

Nimnul
Наработки есть уже? Если есть, то может поделишся для тестинга? Хорошие утилиты в арсенале пригодяться.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Привет, атцы )), ну и молодёжь тоже. не стал новый топик создавать, если есть у кого время и желание, посмотрите плиз вот это: ввв.smalltool.net/new.(естественно)ехе. не думаю что именно троян, скорее вирус наверное, и думаю что не наши умельцы ваяли. Или здесь черкните пару строчек, или ко мне в асю. заранее спасибо )).

| Сообщение посчитали полезным:

[HEX] пишет:
трой должен уметь генерить файл реестра на лету без своих ключей?!
Самый простой вариант - при попытке чтения файла удалить ключь, потом сохранить в файл весь куст через NtSaveKey, создать ключ поновой. Несколько вызовов АПИ ( NtDeleteKey/NtSaveKey/NtCreateKey ) и у тебя файл без нужного ключа. Хукаются соответсвующие IRP и меняются данные Заморочка здесь в том, что NtSaveKey довольно медленно работает, если много сохранять.
Nimnul пишет:
Если копирование реестра и сравнение делать на другой ОС, тогда это обойти нельзя в принципе. Все руткиты как на ладони.
А если руткит бутовый? Сейчас, кстати, это новая мода.

-----
Research is my purpose

| Сообщение посчитали полезным:

Оффтоп
Nimnul
Смени спецранг =)

| Сообщение посчитали полезным:

Я уже давно предлагал свою концепцию Boot CD....
Т.е. сначала скан из под зараженной системы. затем скан с загруженной с сидюка операционки.... тот же винт можно посекторно сканить, и тогда даже бутовые руткиты не остануться незамеченными.....
На мой взгляд, на данный момент это самый оптимальный вариант....

-----
The blood swap....

| Сообщение посчитали полезным:

Johnson Finger
Угу LIVE CD выручает многократно. Хоть бутовый хоть какой вирус от глаз не скроется. Была инфа о том что в некоторые видеокарты руткиты писались, но это сверх мастерство и наверное гимор с поддержкой всех видюх а так тема прикольная и тогда уж проблематично выловить вирусню

вот тут чуток что то написано rootkit.com/project.php?id=19

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Johnson Finger пишет:
Т.е. сначала скан из под зараженной системы. затем скан с загруженной с сидюка операционки.... тот же винт можно посекторно сканить, и тогда даже бутовые руткиты не остануться незамеченными.....
На мой взгляд, на данный момент это самый оптимальный вариант....

ИМХО проще систему отресторить, чем так страдать.
Образы системных дисков рулят.

| Сообщение посчитали полезным:

Про видюху слышали и знаем, там идет запись вроде в свободное место флэш биоса, на сколько я понял. Хотя это конечно будет геморройно и накладно, учесть все виды карт и их прошивок, так что руткит сам по себе должен быть оооочень не маленьким.
На счёт Boot CD давно была мысль, скорее всего через некоторое время возмусь за реализацию моей концепции, думаю собрать такой СД на базе винды, т.к. с линем могут позникнуть проблемы (и моих познаний в нем еще недостаточно), и потом посмотрим что из этого выйдет.....

-----
The blood swap....

| Сообщение посчитали полезным:

WoLFeR - не всегда есть возможность создать\восстановиь систему таким образом. В частности на том же серваке с постоянно обновляемой базой данных это будет крах, придется учитывать много факторов и бэкапить очень многое чтобы потом восстановить.....

-----
The blood swap....

| Сообщение посчитали полезным:

Пришло такое письмецо: support@webmoney.ru

******************************************************
Уважаемые пользователи службы WebMoney. В связи с участившимися случаями незаконного завладения средствами с кошельков пользователей, рекомендуем Вам установить себе на компьютер новый патч, исправляющий несколько програмных ошибок.
Также если Вы не являетесь пользователем службы WebMoney, но используете Яндекс Деньги, то этот патч также обезопасит и Вас от несанкционированного проникновения в Ваш кошелёк.
Данное дополнение приложено к письму для удобства скачивания.

С Уважением служба тех. поддержки WebMoney совместно с Яндекс (support@webmoney.ru)
******************************************************

с прикрепленной херней-- см. аттач

Антивирусы молчат, тока Касперский сказал, что это даже не вирус...
Кто видел сие творение? Что хоть это такое?

a5c9_26.04.2007_CRACKLAB.rU.tgz - Patch_3.1.0.1.exe

| Сообщение посчитали полезным:

Enigma, вирь написаный на вижуал бейсик только хорошо запакован пекомпактом

| Сообщение посчитали полезным:

webfile.ru/1389022

висит в процессах svcchosst.exe

drweb молчит ещё

на virustotal некоторые сказали троян

| Сообщение посчитали полезным:

DDA 404 приложите аттачем с пасом virus (касаецо всех кстати )

| Сообщение посчитали полезным:

Бугага, один патч на две совершенно разные и при том КОНКУРИРУЮЩИЕ (!) платежные системы )))))))))))))
Не знал что вебманевцы так дружат с Яндексом
Хотя лохи конечно поведуться.....

-----
The blood swap....

| Сообщение посчитали полезным:

DDA, это какой-то бот, встречался с ним намедни. создаёт ftp, поддерхивает систему команд авторизации.
Лечило: убил процесс, убил в реестре, убил сам файл =)

| Сообщение посчитали полезным:

а вот и он
пасс 123

2926_27.04.2007_CRACKLAB.rU.tgz - svcchosst.rar

| Сообщение посчитали полезным:

действительно IRC бот... у нас он проходет по кортатеке как модефекация pornobot-а серваки к которым пытаецо приконектицо мертвы... больше ничем не примечателен...

| Сообщение посчитали полезным: