Взял у одного знакомого компьютер, чтобы лечить от вирусов. Нашелся вирус Win32.Parite.B (большинство антивирусных программ так его классифицируют). Кроме того, в компьютере нашлась и Themida. Ей упакован по крайней мере один файл - в issass.exe есть секция Themida, поэтому думаю, что файл упакован ею. Интересно, что хотя issass имя исполнимого файла вируса Sasser, google ничего не находит при поиске issass themida или sasser themida.
Хотелось бы узнать как распознавать упакованые Themida файлы, чтобы мог проверить откуда пришел вирус/вирусы. У знакомого нет и не было интернета, после установки Windows-а он инсталлировал только 4-5 игры (правда, из них только одна лицензионная).

| Сообщение посчитали полезным:

newbb пишет:
Хотелось бы узнать как распознавать упакованые Themida файлы
анализаторы, например PEiD, gAPE, DiE, RDG...
Еще можно узнать файлы под фимидой по большому размеру самого файла))
newbb пишет:
в issass.exe есть секция Themida, поэтому думаю, что файл упакован ею
я тебе в калькуляторе создам такую же секцию, и ты тоже будеш думать, что она на файле висит?)
Да и имхо на вирь не будут вешать фимиду, ибо размер увеличивается значительно, да и скорость работы виря падает)) Так что мне кажется, что ты обознался
newbb пишет:
Хотелось бы узнать как распознавать упакованые Themida файлы, чтобы мог проверить откуда пришел вирус/вирусы
я вот немного не понял, если ты научишся детектить файлы под фимидой, то что это тебе даст и каким образом по этому ты сможеш узнать, откуда к тебе попал файл?
Еще я не понял связь между названием топа и вот этим:
newbb пишет:
issass имя исполнимого файла вируса Sasser
файл можно переименовать ;)
И на последок, я так и не понял толком, что тебе надо. Если тебе надо просто узнать, на том файле фимида или нет, юзай РЕ снифферы, если что-то другое тебе надо, то задовай конкретные вопросы, что именно интересует и выложи тогда файл.

| Сообщение посчитали полезным:

Как я решил, что в компьютере есть Themida - сначала по MessageBox про какую-то ошибку, который выскакивал в начале сессии и у которого в заголовке значилось Themida. Потом по драйвере oreans32.sys. Потом стал искать что же ею упаковано. Кроме секции Themida в этом c:\windows\system32\issass.exe - который не часть Windows-а и вообще неизвестно что там делает, - других явно обработаных "Фемидой" файлов не нашел. Что не означает, что их нет.
Проблема в том, что вирус Parite (если это он) уже заразил очень много файлов. Поэтому PEiD не выдает ничего подозрительного. Просто пишет Nothing detected [overlay] и все. Легко можно увидеть, что вирус прошелся по файлу, по дополнительной секцией со случайным именем. Кроме того, объем файла увеличивается по меньшей мере на 200 kB (иногда и на 300), но за этим трудно уследить, ведь уже никто не обращает внимание на размер файла.
Я нигде не говорил, что вирус упакован Фемидой. Просто на компьютере она есть. Вероятно, заметка про "вирус Sasser" ввела в заблуждение и не стоило это упоминать.
Вообще-то моя идея проверить "вручную" (скажем, с помощью PEiD) весь софт, который этот знакомый устанавливал - его не так много и только на CD. Конечно, поставлю антивирусную программу, но только боюсь, что она не уловит упакованный вирус/троян.
Если PEiD или другие анализаторы достаточны - сознаюсь, файл со сигнатурами для PEiD у меня был старый, с апреля прошлого года, а с другими анализаторами не пробовал - тогда топик исчерпан и извиняюсь.

| Сообщение посчитали полезным:

newbb пишет:
вирус Parite (если это он) уже заразил очень много файлов. Поэтому PEiD не выдает ничего подозрительного. Просто пишет Nothing detected [overlay]
ну так в чем проблема? Сделай сигнатуру для этого вируса, если она постоянная, то юзай пейд для поиска этого вируса по всему диску ;)
newbb пишет:
Конечно, поставлю антивирусную программу, но только боюсь, что она не уловит упакованный вирус/троян
скорей всего уловит, ты попробуй и точно узнаеш
newbb пишет:
файл со сигнатурами для PEiD у меня был старый, с апреля прошлого года, а с другими анализаторами не пробовал
ну как я понял, тебе надо определить, на каких еще файлах висит этот вирус, значит даже новые базы сигнатур тебя не спасут, а спасет только сигнатура для этого вируса ;) Кста, очень мало, какие анализаторы имеют сигнатуры вирусов/троев, я знаю всего парочку, но сигнатуры для твоего вируса нету.
P.S. Если есть вопросы, по поводу создания сигны, пиши лучше в приват, дабы не захламлять форум.
P.P.S. Правда на счет связи наличия фимиды на компе и этим троем я так и не понял.

| Сообщение посчитали полезным:

так как же все-таки называется драйвер, который юзает Themida? я установил прогу под Themido'й, а никаких oreans.sys и oreans32.sys не обнаружил!

| Сообщение посчитали полезным:

Satyr, а где искал то? Интересно
P.S. Кстати, трои пакованые Фемидой - это паранойя. Трой в размере 38 Кб после паковки Фемидой со всеми фишками вырос до 1,2 Мб - "неплохой" вирь получается...

| Сообщение посчитали полезным:

sewell
искал в system32/drivers а затем и весь комп обшарил. PEid говорит, что это XtremeProtector 1.05, но Xprotector.sys тоже нет, а Messagebox о том, что "Debugger detected" выскакивает под Caption'ом "Themida".

| Сообщение посчитали полезным:

Satyr пишет:
PEid говорит, что это XtremeProtector 1.05
особо его не слушай его, проверь это файл с помощью DiE, он уже точнее определит.
Satyr пишет:
так как же все-таки называется драйвер, который юзает Themida?
дык все фимиды начиная с версии 1,1 вроде не юзают драйвера, или я туплю?
sewell пишет:
Трой в размере 38 Кб после паковки Фемидой со всеми фишками вырос до 1,2 Мб - "неплохой" вирь получается...
+1, думаю вирмейкеры не такие тупые, чтобы на троях фимиду юзать, так что выкладывай файл, глянем, че там

| Сообщение посчитали полезным: