Ребята, пмогите пожалуйста разобраться что за вирус ?
взломали сайт и по рассылкам всем подписчикам разослали...
я как бы делитант в анализе malware (несмотря на желание) и не понимаю что к чему, потому что почему то часть кода "крякозябрики".
вот сама оригинальная ссылка, что они дали: http://zalil.ru/33654030
ОСТОРОЖНО! без пароля!! просто там еще в коментах архива интересный сценарий есть, по этому тоже может кому интересно.
А вот тоже самое, в "чистом архиве" , с паролем virus
http://www.sendspace.com/file/vuo7zw

Очень хотел бы получить информацию как можно побольше, чтоб попробовать выяснить кто в этом деле помешан.

| Сообщение посчитали полезным:

UPD: в архиве два файла http://rghost.ru/39632506
cookbook.exe - упакован UPX
foto.exe - UPolyX v0.5

| Сообщение посчитали полезным:

файл упакован в самораспаковующий архив винраровский (WinRAR SFX)

тебе скорее всего в запросы по исследованию вирусов, так как никаких своих наработок не делал!!! http://exelab.ru/f/action=vthread&forum=2&topic=15227&page=7

| Сообщение посчитали полезным:

res


на 80 порт ... это что может быть ?


ботнет исключается...
может это бэкдур? (хотя они по другим портам работают)

schokk_m4ks1k

да наработки не смог делать... не понял там ничего крякзябрики.
PEiD смотрел, написан на C++, думал не будет упакован. но оказыавется еще и exe_щний упакон rar sfx ...мда.. долеко не пойду.

| Сообщение посчитали полезным:

80 порт это HTTP
foto.exe интересней , такое впечетление что это ботнет, там еще один процесс 1.ече временно появляется, времени нету


| Сообщение посчитали полезным:

res

ну ясное дело, что 80 это не ISQ )))) но ботнет не может быть по очень простым причинам - большой файл . у ботнетов в районе 300 кбайт бывают.
это должен быть что то "автономного"...


почему то мне кажется это что то типа Пинча (старый трой).. только место SMTP использует IMAP... иначе причем тут imap...
Копать бы exe-шник,найти авторизационные данные )))


хотел бы услышать мнение опытных людей.

| Сообщение посчитали полезным:

Contrafack
Это уг.
Использует WebBrowserPassView от NirSoft, A Win32 DLL eMail tool + A Win32 command line eMail tool от http://www.blat.net/ школьная куита с амбициями стайлера.
Add: Забыл отчет анпакнутого файлега приложить с вирустотатала результат

| Сообщение посчитали полезным:

F_a_u_s_t

аха. школотой папахивает... письмо получен с RU IP адреса... отчет идет тоже на RU..
никакой себе уважающий "хацкер" не будет такое делать.. почему то 98% уверен, что один из этих адресов - его IP адрес ))))))))
вот бы найти все же авторизационные данные к почте было бы весело.

| Сообщение посчитали полезным:

Contrafack
В чем проблема, анпакай и смотри ресурсы, мне его логи не интересны - bity7676@yandex.ru

| Сообщение посчитали полезным:

F_a_u_s_t

сапсибо )) знал бы как это делать ))))

| Сообщение посчитали полезным:

вот незапакованый набор файлов твоего вируса

только в твоём случае убрали сервер ремкама
собирается это bat_to_exe отсюда и UPolyX v0.5

1.exe о котором говорил res это realip прога пингующая интернет на предмет своего внешнего ip

ip того кто это отправил ты не найдешь найдёшь только почту скорее всего на рамблере яндексе или майле

учётные данные в батнике, который играет роль сценария установки при первом запуске.

при первом запуске все файлы распаковываются в %темп% не sfx а именно файлы

и обычно эта штука используется для ремкама эти же решили воровать куки\пароли по всей видимости

ps и самое важное - запускается всё это через назначеные задания по времени

| Сообщение посчитали полезным:

mdscorp

блин, чем и как это делайте ? как это вот этот файл(exe сам, который в архиве) распаковать и тоже получить эти файлы?
И что за ремкам? remote camera? т.е. удаленно смотрит по вебке ?
... хотя распаковал этот файл и получил 2 других:
cookbook.exe и foto.exe но не знаю в каком находится эти файлы, что вы покзали.

| Сообщение посчитали полезным:

mdscorp пишет:
1.exe о котором говорил res это realip прога пингующая интернет на предмет своего внешнего ip
1.exe это WebBrowserPassView от NirSoft который сопрет пароли и отправит на мыло яндекса, потом удалит файлы из папки темп, все, весь функционал этого уг.

| Сообщение посчитали полезным:

ну есть же спец тема: https://ssl.exelab.ru/f/action=vthread&forum=2&topic=15227&page=7

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

res
>> foto.exe - UPolyX v0.5
а разве не mpress?

| Сообщение посчитали полезным:

F_a_u_s_t Contrafack Извиняюсь за всё выше написаное я думал там весь набор а там такая какашка.
F_a_u_s_t в оригинальном наборе 1.exe всё же реалип что бы в новой сессии знать ойпи, а этот клоун даже поленился батники подредактировать

Contrafackна скрине вверху логин\пароль яндекса но ящик пустой уже кто то покопался

cookbook по всей видимости чист


и попробуй позвонить шутнику + 7 951 458 7304 номер подтвержден основной номер

| Сообщение посчитали полезным:

Dart Raiden PeID мне выдал такую информацию, хотя в Ida я видел секции mpress32. Времени и интереса дальше не было смотреть ( вчера за горла всю ночь не спал ).

| Сообщение посчитали полезным:

Так к слову,случайно напоролся на пост, такой же, но вроде с ремкамом
--> Habrahabr <--

| Сообщение посчитали полезным:

mdscorp пишет:
cookbook по всей видимости чист
Чист, собрано с помощью NATATA eBook Compiler, тут где то программа была для выдергивания из нее ресурсов.

Flasher-11
Мда, из за такого детства целую статью в духе Шерлока Холмса писать, это сильно.

| Сообщение посчитали полезным:

mdscorp

Спасибо, но пароль не подходит
кто то меня пасс... не серьезно как то.


Но так и никто не сказал как расспаковывать и полчить эти файлы?

| Сообщение посчитали полезным:

И телефон не хотел брать, потом отключил...
походу до меня кто то И на почту зашел, сменил пасс и звонил типа напугал. а жаль... можно было пранк записать хорошоий.
Кстати, этот тот же тип. номер челябинский регион и IP адрес тоже (из которого было выслан троян).

| Сообщение посчитали полезным:

Contrafack зачем они тебе ?
там только сценарии(батники) и валидные файлы
и акк этот я удалил что бы не было больше сборов паролей, вот и не подходит пасс
подтверждённый телефон акка я тебе написал выше

айпи адреса принадлежат яндексу потому что файл хостился на народе айпи адресов отправителя ты не найдёшь.

вообще найдёшь в логах своего сервера

| Сообщение посчитали полезным:

mdscorp

Как зачем они мне? чтоб следующий раз сам уже делал, а не писал тут
Зря удалил аккаунт!
надо было оставить, были идеи ловоть этого школьника.

| Сообщение посчитали полезным:

Вот уже второй раз создаю тему, чтоб мне обьяснили что к чему, но опять сами между собой выяснили отношение и ушли...
Народ, скажите пожалуйста, как из файла foto.exe > получить эти файлы?


| Сообщение посчитали полезным:

Contrafack пишет:
Народ, скажите пожалуйста, как из файла foto.exe > получить эти файлы?
Я утилитой самописной, а так самый простой вариант поставить брейк на ShellExecuteEx и из папки Temp достать эти файлы, часть можно достать из ресурсов foto.exe, пакер на этом говне снимается не сложнее UPX-а.

Add:
Если и после написанного не понятно как, то читать статьи Рикардо.

| Сообщение посчитали полезным:

F_a_u_s_t
Поделись утилитой пожалуйста

| Сообщение посчитали полезным:

ressa
Не могу, чать довольно большой библиотеки, там до безобразия просто, расчитано на дроперы, хучится запись файлов, запуск процессов и потом копируется в папку сброшенные файлы.
Add:
Настроение будет, запилю утиль.

| Сообщение посчитали полезным: ressa

Давай, поднимай настроение, а еще лучше с сорцами, хоть и просто)
Плюсую для настроения.

| Сообщение посчитали полезным:

Как то писал подобную штуку http://forum.xakep.ru/m_1287241/tm.htm

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным: igorca