Сейчас на форуме: (+2 невидимых)

 eXeL@B —› Оффтоп —› Dr web сошел с ума
Посл.ответ Сообщение


Ранг: 238.8 (наставник), 67thx
Активность: 0.20
Статус: Участник
CyberHunter

 Создано: 25 октября 2009 21:42 · Поправил: Flint
· Личное сообщение · #1

Сейчас обновил свой любимый авер и заглянул в папку антиотладка, в общем спалилось множество сэмплов как пинч. Например это

Code:
  1. push 0
  2. push 040300fh                                ; ASCII "Hello, World!"
  3. push 0403000h                                ; ASCII "Simply program"
  4. push 0
  5. call MessageBoxA                             ; <JMP.&user32.MessageBoxA>
  6. push 0
  7. call ExitProcess                             ; <JMP.&kernel32.ExitProcess>
  8. jmp dword ptr ds:[0402000h]                  ; kernel32.ExitProcess
  9.  
  10. @int_2C_00401020:
  11.  
  12. jmp dword ptr ds:[0402008h]                  ; user32.MessageBoxA
  13.  
  14. <ModuleEntryPoint>:                          ;<= Procedure Start
  15.  
  16. mov edx,1
  17. int 02ch
  18. sub edx,02dh
  19. push edx
  20. retn  


это

Code:
  1. mov ax,ss
  2. push ax
  3. pop ss                                       ; Modification of segment register
  4. pushfd
  5. pop ax
  6. pushfd
  7. pop bx
  8. sub ax,bx


это

Code:
  1. CPU Disasm
  2.  
  3. 00403000    JMP SHORT 00403010
  4. 00403002    FLD TBYTE PTR DS:[403008]
  5. 00403008    FF              DB FF                                    ; Unknown command
  6. 00403009    FF              DB FF                                    ; Unknown command
  7. 0040300A    FF              DB FF                                    ; Unknown command
  8. 0040300B    FF              DB FF                                    ; Unknown command
  9. 0040300C    FF              DB FF                                    ; Unknown command
  10. 0040300D    FF              DB FF                                    ; Unknown command
  11. 0040300E    FF              DB FF                                    ; Unknown command
  12. 0040300F    FF              DB FF                                    ; Unknown command
  13. 00403010    3D 40000000     CMP EAX,40
  14.  


и т.д.
Чувствую будет много недовольных производителей протов

-----
Nulla aetas ad discendum sera


Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

 Создано: 25 октября 2009 22:18
· Личное сообщение · #2

Всё в порядке, проты-зло.




Ранг: 1288.1 (!!!!), 273thx
Активность: 1.290
Статус: Участник

 Создано: 25 октября 2009 23:31
· Личное сообщение · #3

ну могут быть наоборот довольны - высудят у доктора энную сумму денюжек..




Ранг: 238.8 (наставник), 67thx
Активность: 0.20
Статус: Участник
CyberHunter

 Создано: 26 октября 2009 00:10 · Поправил: Flint
· Личное сообщение · #4

Возможно кривую сигнатуру выпустили лает на этот hello world
dump.ru/file/3648852

www.virustotal.com/ru/analisis/544a88d9c95059e5e102e05645dbd618fd65a259c5ce6d279629de09d64150ec-1256505065

-----
Nulla aetas ad discendum sera

Ранг: 172.2 (ветеран)
Активность: 0.070
Статус: Участник

 Создано: 26 октября 2009 05:36
· Личное сообщение · #5

false alarm'ы зло, надо выбирать софт который не стражает максимальным уровнем оных, либо не выбирать никакой уж, всеравно от АВ толку никакого...

-----
HOW MUCH BLOOD WOULD YOU SHED TO STAY ALIVE


Ранг: 238.8 (наставник), 67thx
Активность: 0.20
Статус: Участник
CyberHunter

 Создано: 26 октября 2009 06:31
· Личное сообщение · #6

ProTeuS согласен, но раньше у веба их не наблюдал, имхо пофиксят сигнатуру.

-----
Nulla aetas ad discendum sera


Ранг: 355.4 (мудрец), 55thx
Активность: 0.320
Статус: Uploader
5KRT

 Создано: 26 октября 2009 12:15 · Поправил: Coderess
· Личное сообщение · #7

Code:
  1. .386 
  2. .MODEL FLAT, STDCALL 
  3. OPTION CASEMAP: NONE 
  4.  
  5. .CODE 
  6.  
  7. MAIN: 
  8.    align 4   
  9.       xchg eax, eax 
  10.       nop 
  11.       xchg eax, eax 
  12.       nop 
  13.       xchg eax, eax 
  14.       nop 
  15.       xchg eax, eax 
  16.       nop 
  17.         
  18.         
  19.    retn   
  20. END MAIN 


Каспер - Обнаружено: Packed.Win32.PePatch.jw

опкод xcgh eax, eax = nop, ассемблируется в

90 nop
90 nop
90 nop
90 nop
90 nop
90 nop
90 nop
90 nop

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

Ранг: 369.8 (мудрец), 400thx
Активность: 0.390
Статус: Участник

 Создано: 26 октября 2009 13:48
· Личное сообщение · #8

Да ладно, скоро всё что хоть чуть-чуть отличается от генерируемого десятком распространенных компиляторов будет сразу считаться вирусом.

-----
PGP key <0x1B6A24550F33E44A>

Ранг: 309.8 (мудрец), 21thx
Активность: 0.170
Статус: Участник

 Создано: 26 октября 2009 15:03
· Личное сообщение · #9

xchg eax, eax это и есть nop.

-----
Shalom ebanats!

Ранг: 172.2 (ветеран)
Активность: 0.070
Статус: Участник

 Создано: 27 октября 2009 09:42
· Личное сообщение · #10

forum.nvrsk.ru/showtopic=118045

судя по посту, детект не по сигне идет, а по секциям. типичный случай говнодетекта

-----
HOW MUCH BLOOD WOULD YOU SHED TO STAY ALIVE

Ранг: 309.8 (мудрец), 21thx
Активность: 0.170
Статус: Участник

 Создано: 27 октября 2009 10:23
· Личное сообщение · #11

ГГ, скоро производители будут просить заносить в базы не только патчи, но и конкуренцию.

-----
Shalom ebanats!
 eXeL@B —› Оффтоп —› Dr web сошел с ума

У вас должно быть 20 пунктов ранга, чтобы оставлять сообщения в этом подфоруме, но у вас только 0

   Для печати Для печати