Привет!
Недавно нашел у себя на компьютере вирус. Распространяется через автозапуск со сменных носителей. Хочу его исследовать, но QuickUnpack не может распознать, на чем он написан. ИДА говорит, что секция импорта повреждена и , возможно, он упакован. Как понять, кто прав? Чем это чудо создавалось? С чего лучше начать его вскрытие? И как все-таки отключить автозапуск? Файл вируса в приложении.

5cf4_23.12.2007_CRACKLAB.rU.tgz - amvo.exe

| Сообщение посчитали полезным:

кидать надо было в эту тему http://exelab.ru/f/action=vthread&forum=2&topic=6500&page= 23

| Сообщение посчитали полезным:

Мне не лечить надо, а исследовать. Вот такой я любопытный, блин...

| Сообщение посчитали полезным:

Вроде там UPack, он явно запакован, хоть DiE и говорит, что Borland C++

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Я вирусы и трои не исследую, но некоторые вещи очевидны.
Автозагрузка:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"amva"="C:\WINDOWS\system32\amvo.exe"
Дальше не смотрел. Чего от него вредного, пока не знаю.

В аттаче распакованный.

6b02_23.12.2007_CRACKLAB.rU.tgz - unpacked.rar

| Сообщение посчитали полезным:

Там в ресурсах лежит ещё DLL(тоже пакованная какой-то хернёй). Ворует судя по всему пароли от игры World of Warcraft, вот любопытные строки из DLL:

216.107.243.53 хз что за IP адрес
wow.exe ну тут видно что это World of Warcraft скорее всего
www.om7890.com/mf3/help.rar явно не RAR архив, но и не ЕХЕ
SOFTWARE\Wizet\MapleStory
maplestory.exe непонятно что это такое :/
Lands of Aden а это ещё что?

-----
все багрепорты - в личные сообщения

| Сообщение посчитали полезным:

HandMill пишет:
216.107.243.53 может автор сего ТВАРЬения ведь кудато же прога должна отправлять собранные данные.

-----
Что один человек сделал , другой всегда сломать может...

| Сообщение посчитали полезным: