 |
eXeL@B —› Вопросы новичков —› Как узнать, что натворила прога? |
| Посл.ответ | Сообщение |
|
|
Создано: 11 сентября 2007 17:51 · Личное сообщение · #1 Подцепил с сайта www.gsm-ping.ru/ с дури прогу, якобы GSM навигатор по номеру телефона. Я не лох конечно но с просони запустил ее, хотя судя по размеру exe-шника понятно что это дурь какая то. Теперь пытаюсь разобраться что это за хрень. Распаковал инсталяшку, нашел архиватор винзип и Setup.exe который запакован якобы Neolite 2.0 но неолайт не опознал exe-шник. Короче я затрахался уже, может кто подскажет что делать?  |
|
|
Создано: 11 сентября 2007 18:41 · Личное сообщение · #2 http&''www-gsmЯping-ru' Forbidden You don't have permission to access / on this server. Additionally, a 403 Forbidden error was encountered while trying to use an ErrorDocument to handle the request. Как ее скачать? ----- -=истина где-то рядом=- |
|
|
Создано: 11 сентября 2007 18:44 · Личное сообщение · #3 А хрен ее знает, скачалась запросто.. Могу зааттачить сюда. |
|
|
Создано: 11 сентября 2007 18:47 · Поправил: FuckingViruses · Личное сообщение · #4 Кстати сам пробовал щас скачать, убрали файл, значит точно какая то подстава! Файрвол не ругается, антивирус молчит. Фигня какая то! |
|
|
Создано: 12 сентября 2007 12:59 · Личное сообщение · #5 Мэн закинь ее куда нибудь, например на slil, заинтреговал ты меня  может, что и накапаю
|
|
|
Создано: 12 сентября 2007 15:03 · Личное сообщение · #6 FuckingViruses Какая подстава? Троян же, что не ясно? ----- Security through obscurity is just an illusion |
|
|
Создано: 12 сентября 2007 17:51 · Личное сообщение · #7 Троян трояном а как файрвол обошел? slil.ru/24846577 вот ссылка |
|
|
Создано: 12 сентября 2007 18:03 · Личное сообщение · #8 FuckingViruses Фаервол, какой? Забавные строки -------------------------------------------- - ORiEN executable files protection system - ------ Created by A. Fisun, 1994-2003 ------ ------- WWW: zalexf.narod.ru/ ------- -------- e-mail: zalexf@hotmail.ru --------- -------------------------------------------- Well, you got this text, but this will be all you get
virustotal дает следующее AhnLab-V3 2007.9.11.1 2007.09.12 - AntiVir 7.6.0.10 2007.09.12 TR/Agent.bhv.1 Authentium 4.93.8 2007.09.12 - Avast 4.7.1043.0 2007.09.12 - AVG 7.5.0.485 2007.09.12 Generic7.HNJ BitDefender 7.2 2007.09.12 - CAT-QuickHeal 9.00 2007.09.12 Trojan.Agent.bhv ClamAV 0.91.2 2007.09.12 - DrWeb 4.33 2007.09.12 - eSafe 7.0.15.0 2007.09.12 Win32.Agent.bhv eTrust-Vet 31.1.5128 2007.09.12 - Ewido 4.0 2007.09.12 - FileAdvisor 1 2007.09.12 - Fortinet 3.11.0.0 2007.09.12 - F-Prot 4.3.2.48 2007.09.12 - F-Secure 6.70.13030.0 2007.09.12 Trojan.Win32.Agent.bhv Ikarus T3.1.1.12 2007.09.12 Trojan.Win32.Agent.bhv Kaspersky 4.0.2.24 2007.09.12 Trojan.Win32.Agent.bhv McAfee 5117 2007.09.11 - Microsoft 1.2803 2007.09.12 - NOD32v2 2524 2007.09.12 - Norman 5.80.02 2007.09.12 - Panda 9.0.0.4 2007.09.12 Generic Malware Prevx1 V2 2007.09.12 Heuristic: Suspicious Self Modifying File Rising 19.40.22.00 2007.09.12 - Sophos 4.21.0 2007.09.12 Mal/Basine-C Sunbelt 2.2.907.0 2007.09.12 VIPRE.Suspicious Symantec 10 2007.09.12 - TheHacker 6.1.10.184 2007.09.11 Trojan/Agent.bhv VBA32 3.12.2.4 2007.09.12 Trojan.Win32.Agent.bhv VirusBuster 4.3.26:9 2007.09.12 - Webwasher-Gateway 6.0.1 2007.09.12 Trojan.Agent.bhv.1 ----- Security through obscurity is just an illusion |
|
|
Создано: 12 сентября 2007 18:57 · Личное сообщение · #9 И как это понимать?
|
|
|
Создано: 12 сентября 2007 18:59 · Личное сообщение · #10 А у мя симантек антивир стоит, вот он и молчит. Теперь бы узнать где он запускается. В процессах ничего лишнего нет, в автозапуске вроде тож. |
|
|
Создано: 12 сентября 2007 19:28 · Личное сообщение · #11 Посмотри Process Explorer'ом от sysinternals, может быть он обнаружит ее в запущенных процессах |
|
|
Создано: 13 сентября 2007 05:21 · Личное сообщение · #12 FuckingViruses пишет: И как это понимать? Orien - имя пакера, которым накрыт этот троян. ----- Security through obscurity is just an illusion |
|
|
Создано: 13 сентября 2007 13:01 · Личное сообщение · #13 А распакованый можешь прислать? попробовать разобраться куда он прописывается. |
|
|
Создано: 13 сентября 2007 13:01 · Личное сообщение · #14 Эта же тварь что то творит каждый день на моем компе, неприятно! |
|
|
Создано: 17 сентября 2007 16:06 · Личное сообщение · #15 берешь ету прогу и идешь к другу на компьютер!!! ставишь там VmWare ставишь на нее винду!!! в етой винде запускаешь делаешь снимок реестра!!! как? найди прогу в нете! я не помню как она называеться но таких море! запускаешь FileMoon Запускаешь RegMoon запускаешь Зону Аларм и настраиваешь ее на максимальную безопастность(не тока интернет фаервол ну и файловый фаервол!!!) запускаешь ProcessExsplorer ну и запускаешь свою прогу и таким способом мониторишь виртуальную машину и смотришь что и куда она пишет и что делает!! помоему просто! я таким способом тестирую проги на реальной машине!! даже если какачято зараза лезит то ее видно бысторо что и куда))) удачи! |
|
|
Создано: 17 сентября 2007 16:08 · Личное сообщение · #16 а еще можно ее дезасемблировать!!! там вообще все прекрастно видно! если ето трой то он написан красиво и методически правильно там в самом начале программы полюбому будет вычисляться баз кернел32 или чтото очень сомнительное похожее на расшифровку чегото или подсчет чегото там ну ето видно я незнаю как по русски ето описать!!!! |
|
|
Создано: 14 октября 2007 01:40 · Личное сообщение · #17 Точно, при дизе все будет ясно. Ща скачал, если че получится, напишу. Наверное трой. |
|
|
Создано: 14 октября 2007 12:52 · Личное сообщение · #18 при дизе мало что может быть ясно, т.к. такие файлы обычно криптят))) в отлдачик его и под виртуалку! ----- [nice coder and reverser] |
|
eXeL@B —› Вопросы новичков —› Как узнать, что натворила прога? |
Для печати