ЭТО ВИРУС! Хочу изучть его работу, но для этого его надо бы распаковать. Если это упакованно то с кучей мусора и защит. Я пытался разобратсья в этом, но мне не хватило терпения. Я всё время куда-то забредаю... Или оно у мення падает с эксепшеном. Помогите дойти до "дела". Ткните носом.

2bbd_19.07.2010_CRACKLAB.rU.tgz - mok.bin.rar пароль: cracklab

| Сообщение посчитали полезным:

--> Go Запросы на исследование вирусов<--

| Сообщение посчитали полезным:

Действительно мог ошибиться с разделом.
Модератор перенеси тему в правильный раздел.

| Сообщение посчитали полезным:

Топики можно только по сабфорумам таскать, мессаги никуда не таскаются.
Варианта 2: либо хочешь разобраться сам и выкладываешь свои наработки, либо тихо постишь в тот топик и ждёшь, а этот закрываешь.

| Сообщение посчитали полезным:

там гонят сюда, тут гонят туда... поди разберись....
А какие наработки?
Первое, что с трудом преодолевается это падение Олии после открытия файла... Вот только что хотел запостить пару строк на которых у меня сомнение, а олли падает. Скачал новую, падает. Поставил новую виртуалу - падает. Куда рыть?

| Сообщение посчитали полезным:

Начни с загрузки файла в PEiD. Выложи сюда то, что он скажет.

| Сообщение посчитали полезным:

Сказал следующее:
Энтропия: 000021E3
Смещение: 000015E3
Линкер: 5.4
Первые байты: 6A,FF,50,B9
Подсистема: Win32 GUI
Nothing found [Overlay] *

4 секуии, 3 из них .data одна .rsrc

Deep scan глачит: MASM/TASM - sig4 (h) [Overlay] *




что он сравнивает с 0x4000000?

| Сообщение посчитали полезным:

Semenov
Все просто, начинай смотреть с точки входа, т.к. ТЛС-калбаков нету. Импорт ресторить не надо! ;)

| Сообщение посчитали полезным:

кто живёт в евр после старта?

| Сообщение посчитали полезным:

Semenov
Невооружённым глазом видно что это не может быть OEP. Так что афтар либо сам чего-то нахимичел, либо прога упакована\закриптована. Ещё, скорми это детище инженерной мысли анализатору DiE и выложи сюда что он скажет.

| Сообщение посчитали полезным:

А что должно было произойти? Ну показывает он в принципе всё тоже самое, только вот компилятор признал как MS Visual C++ и версию линкера 5.4
Всё остальное тоже самое.

| Сообщение посчитали полезным:

ребят, ну дайте ещё хоть какой-нить толчёк?

| Сообщение посчитали полезным:

OEP>00410EBF
З.Ы.
Если всё правильно сделать то можно получить файл таки каким он был до упаковки 1:1

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Спасибо, щас этим и займусь....

| Сообщение посчитали полезным:

Хм... К этому моменту программа уже меет иморт. А где импорт восстанавливался?

| Сообщение посчитали полезным:

Ясен пень, к оеп она импорт имеет. Почитай статьи для новичков, а. И освой кнопку Правка.

| Сообщение посчитали полезным:

Просто основываясь на предыдущей версии этого вируса из импорта у него было только LoadLibrary, GetProcAddress, ExitProcess. Остальное подгружалось по мере надобности самомтоятельно. Странно что тут оно радикально по другому, или всё же просто уже проскочили тот момент когда оно самомтоятельно это делало...

ЗЫ. А правку я освоил, тока вот рефлекc всё равно запоняет форму внизу. А удалить ошибку низя...
Вот же блин хакеры, всё ни как у людей...

| Сообщение посчитали полезным:

Bronco пишет:
давай изучай по быстрому, а то херня какая-то в нэт ломитЦо стала, и откуда инжектитЦо к IE не вкурюсь..

Мну под виртуалкой копал

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Тоже под виртуалкой копаю, как раз изучаю от куда запускается.

| Сообщение посчитали полезным:

Bronco
оно живёт в юзеровской ApplicationData в какой-то папке

| Сообщение посчитали полезным:

эта гадость заменяет в Импорте всех запущенных прилдожений FindFirstFile/FindNextFile и не даёт им увидеть себя.
вот по этому адресу 00410DA1 она проверяет какой-то файл по средсвам GetFileAttributesExW(). Т.к. намоей виртуалке эта гадость уже стоит то после этой проверки программа просто Сворачивается и само удаляется. В противном случае видимо она устанавливается.
Файл онапроверяет вот этот:

Мне пока не понятно зачем это было сделано... но я подменил результат, который вернула эта функция и попал в место где создаётся ПАПКА:
FileName = "C:\Documents and Settings\Administrator\Application Data\Ozych"
внутри которой создаётся файл
FileName = "C:\Documents and Settings\Administrator\Application Data\Ozych\utax.exe"

В итоге был создан такой вот ключ:
[HKEY_CURRENT_USER\Software\Microsoft\Qyxou]
"Oxucsebya"=hex:0d,9d,47,98,f9,fa,32,52,85,55,7f,cb,98,68,61,ad,51,84, 38,9a,77,\
15,8f,bc,47,ec,cb,9f,31,c4,e6,4f,87,26,05,dc,5e,c7,38,c7,68,78,f6,ff,c f,10,\
3a,ec,b7,88,47,2a,58,4c,8a,74,14,cb,fe,38,04,9b,0f,3a,96,ec,87,9a,fe,c b,51,\
86,3f,f8,69,af,d3,60,7f,ae,a4,f9,c9,6c,5f,52,c0,9b,7c,25,4e,d7,0f,4d,1 e,a2,\
50,1d,cc,31,ad,2a,09,2f,12,1f,28,05,9a,cb,39,8a,ac,9b,25,c1

Как оно установило значение я проморгал После чего вышло и удалилось.
Повторная отладка дала новые имена папок и ключей.
создан ключ:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"{5E3A71C1-48F2-367E-5477-68F418826EE3}"=""C:\Documents and Settings\Administrator\Application Data\Vakue\noutu.exe""

| Сообщение посчитали полезным:

tihiy_grom пишет:
оно живёт в юзеровской ApplicationData в какой-то папке
да нашёл фигню какую-то с расширением *.tmp, внутри без заголовка, и по ходу пошифрованно,
кильнул после смены сенаса, ....пока всё пучком

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: