Описание на языке вероятного противника , но гуглтранслит в помощь


[+] Modificaciones hechas en esta versión:

- Se agregaron 5 antivirus al MultiAvScan (Avast, BitDefender, NOD32, Norman y Panda).
- Se optimizó la velocidad de escaneo en un 10%.
- Aumento de estabilidad al realizar un escaneo. Se eliminó/redujo congelamiento.
- Las actualizaciones inician en primer plano.
- Ya no se daña la base de firmas de Ikarus al interrumpir su actualización.
- Se agregó la opción de ejecutar automáticamente AvFucker y DSplit al hacer doble click sobre un rango del listado detectando automáticamente los valores indicados para los campos "Offset inicial", "Offset final" y "Bytes" según corresponda.
- Se implementó la posibilidad de detener cualquier proceso durante la etapa de borrado de archivos (opción "Vaciar carpeta antes de inicar" seleccionada).
- El ListView donde se muestran los reportes de los antivirus se limpia automáticamente al marcar o desmarcar la opción de Multi Scan.
- Se modificaron las instruciones mostradas al actualizar algunos antivirus para hacerlas más fáciles de comprender.
- Se muestra un mensaje en caso que el directorio a analizar se encuentre vacío.
- Se muestra un mensaje en caso que el antivirus seleccionado para analizar/actualizar no se encuentre en su respectiva carpeta evitando un error.
- Para mayor comodidad se agregó la posibilidad de configurar de forma individual la opción de terminar automáticamente los procesos de Avast, NOD32 y F-PROT al cerrar el locator.
- El archivo generado por el acorralador de firmas ya no se sobre escribe. Se genera con el nombre "Archivo modificado_#" donde "#" es un identificador númerico de la menor denominación posible.
- El reporte de análisis en formato BBCode se muestra del mismo color que se personalizó para el texto desde la configuración.
- Los colores personalizados se aplican de forma inmediata a todos los forms para poder conseguir una vista previa completa. En caso de no guardarse los cambios se restablecen los valores anteriormente guardados.
- Las configuraciones personalizadas de colores se aplican a todos los formularios.
- Se agregó un bloqueo general de controles durante la aplicación de las distintas opciones disponibles evitando posibles conflictos y volviendo el locator mucho más intuitivo.
- Se bloquearon los TextBox donde se muestran las rutas del archivo y directorio a analizar con el MultiAvScan para evitar modificación manual.
- Se corrigió un error al mostrar los reportes de análisis de Vexira y Virus Buster.
- El Label de estado del MultiAvScan deja de ser visible al seleccionar la opción Listar.
- Se corrigió bug que alteraba por completo la funcionabilidad del locator al interrumpir la actualización de Avira o Ikarus.
- Se corrigió bug al aplicar algunos procesos mientras se actualiza Avira o Ikarus.
- Se corrigieron otros bugs menores.
- Se optimizó el código en general.


El locator incorpora las siguientes opciones:


[+] AvFucker:

- Opción de vaciar carpeta antes de iniciar proceso.
- Opción de modificar utilizando valores aleatorios.
- Opción de realizar el proceso aplicando un corrimiento distinto al valor de bytes utilizado.
- Opción de detener el proceso en cualquier momento.
- Drag & Drop de archivos y directorios.
- Opción de crear archivos con cualquier extensión deseada.


[+] DSplit:

- Opción de vaciar carpeta antes de iniciar proceso.
- Opción de detener el proceso en cualquier momento.
- Drag & Drop de archivos y directorios.
- Opción de crear archivos con cualquier extensión deseada.


[+] Acorralador de firmas:

- Opción de vaciar carpeta antes de iniciar proceso.
- Opción de modificar utilizando valores aleatorios.
- Opción de deshacer las últimas tres modificaciones realizadas.
- Opción de detener proceso durante la etapa de borrado de archivos.
- Drag & Drop de archivos y directorios.
- Opción de crear archivos con cualquier extensión deseada.


[+] 256 combinaciones: Modificará con cada uno de los 256 valores posibles cada offset que se encuentre en el rango indicado.

- Opción de vaciar carpeta antes de iniciar proceso.
- Opción de detener el proceso en cualquier momento.
- Drag & Drop de archivos y directorios.
- Opción de crear archivos con cualquier extensión deseada.


[+] Offset killer: Dados dos directorios dejará en el segundo sólo los archivos que también se encuentren en el primero.

- Opción de detener el proceso en cualquier momento.
- Drag & Drop de archivos y directorios.


[+] Offset checker: Ejecutará uno a uno todos los archivos que se encuentren en el directorio indicado.

- Opción de regular la velocidad de comprobación de offsets para adaptar el consumo de recursos según se disponga.
- Opción de detener el proceso en cualquier momento.
- Drag & Drop de archivos y directorios.


[+] Listar: Los archivos del directorio indicado se ordenarán por extensión, bytes y finalmente en orden ascendente.

- Al seleccionar un rango en la lista, si se está aplicando AvFucker o DSplit, se completarán automáticamente los campos "Offset inicial", "Offset final", "Extensión" y "Bytes" según corresponda.
- Al hacer doble click sobre un rango en la lista, si se está aplicando AvFucker o DSplit, se completarán automáticamente los campos "Offset inicial", "Offset final", "Extensión" y "Bytes" según corresponda y a continuación se auto ejecutará el proceso utilizando los parámetros indicados.
- Se detecta automáticamente el directorio a listar según el proceso que se esté aplicando. En el caso de aplicar "Offset killer" se puede elegir cual directorio listar.

Nota: Los archivos creados con la opción de las 256 combinaciones serán ignorados al listar ya que en ellos no varía la extensión, bytes ni rango modificado sinó únicamente el valor utilizado y por lo tanto no podrían ser agrupados de una forma que resulte útil y sólo ensuciarían el listado.

[+] MultiAvScan:

- Opción de analizar directorios con el antivirus deseado.
- Opción de analizar un archivo con hasta 15 antivirus.
- Genera reporte en BBCode.
- Antivirus actualizables.
- Opción de borrar detectados.
- Opción de seleccionar y deseleccionar todos los antivirus al utilizar el Multi Scan.
- Drag & Drop de archivos y directorios.


От модератора: Ахтунг. По ссылке вирус. Но если кому-то очень хочется...
--> скачать<--

| Сообщение посчитали полезным:

Skino пишет:
Описание на языке вероятного противника , но гуглтранслит в помощь
Вообщето описалова на испанском написано,а языке вероятного противника это англицкий.

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Для чего оно? Сигнатуру искать?

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

VX-tool
Ban!Ban!Ban!

| Сообщение посчитали полезным:

Skino
О прямом предназначении тулзы поведать не желаешь?

| Сообщение посчитали полезным: DimitarSerg

ressa Я так понимаю искать и прятать сигнатуры . Вроде так .

| Сообщение посчитали полезным:

Походу утилита работает с сигнатурными базами пяти антивирусников и с её помощью можно выяснить на какой сигнатуре спалился ваш засранчег. Не место тут этой проге

-----
Research For Food

| Сообщение посчитали полезным:

Кажись склеено, автору нужен бан.

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Flint
Разве? я вроде бегло пробежался - подумал, что чисто. Хорошо, что на виртуалке))
Кинь участки подозрительного кода.

| Сообщение посчитали полезным:

Автор предварительно в бане за дважды подозрительный контент. Если будет подтверждение, бан будет долгий.

| Сообщение посчитали полезным:

Вирусня явная, хотябы потому что при запуске меняет дату на 2099год

| Сообщение посчитали полезным:

Никогда не понимал нападок на малварщиков на этом сайте. Я бы еще понял, если где-нить на форуме бухгалтеров или юристов, но не на форуме же реверсеров, где даже новичок умеет запускать Hiew !!!

Я не к тому, что нужно поощрать малваро-разрабов, я и сам бешусь когда у моей мамы заражается комп и она не может со мной по скайпу поговорить. Но это другой случай.

На мой взгляд реверсеры, а здесь их много, вполне могут понять с помощью беглого осмотра файла и принять решение стоит ли им запускать выложенный контент у себя на компе или нет.

Может я не в ту сторону смотрю, тогда может кто-то прояснит почему подозрительные файлы вызывают такой панический ужас у людей с мозгами(а research предполагает наличие мозга).

-----
My love is very cool girl.

| Сообщение посчитали полезным: ressa

theCollision
Да дело не в том что прога возможно содержит вирус, дело в том что у меня как и у многих, есть отвращение
к тем кто пишет вирусы. Развивая какие-то вирусные направления, помогая вирусописателям или выкладывая
их софт, мы сами себе усложняем жизнь

-----
Research For Food

| Сообщение посчитали полезным: huckfuck

theCollision
Отчасти с тобой согласен, но есть но, если не указанно что это малварь автора на выпил ибо нех, а так против ничего не имею.

| Сообщение посчитали полезным: ressa

И так господа, можете меня "поздравить", кто-то порадуется, но в пятницу запустил случайно на рабочем компе эту дрянь... лоханулся, скрывать тут нечего
И увело оно (видимо с миранды) аську/жабу. И ... начал клянчить у контактов занять 200$ (хорошо, что никто не купился, ибо такой чмошник как ты никогда не сможет подделать мою манеру общения).

Аська благодаря хорошему человеку и моему другу восстановлена, в джаббере пасс сменен, но думаю, вскоре и он будет восстановлен.
Еще один друг выманил у пида*аса некоторые данные:

Яндекс-деньги: 410011592721166
WebMoney: R295957413946
Номер карты сбербанка: 639002709003178497
Мобильник: 79098891735

Если у кого-то есть возможность/желание узнать данные о человеке - может чем то "поможете".
А пока предостережение всем:
1. Удалить срань (если случайно скачали)
2. Посылать *** того, кто будет от моего имени клянчить $
3. Отослать засранчека в антивирусные компании, чьи продукты (если используются) установлены.

-----
ds

| Сообщение посчитали полезным:

DimitarSerg, это ты так пошутил? причина - программа в шапке, уверен?

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

KingSise
Мне какбы не до шуток, кроме той проги ничего не запукалось.

-----
ds

| Сообщение посчитали полезным:

DimitarSerg
странно, однако. там чисто VB, хотя мб запускает че из себя. для таких вещей нормально иметь файр, который запуск процесса отслеживает. старый санбелт меня не подводил, антивиря не имею

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

Если кто не верит - вот лог моего жаббера



в конце лога видно что говно, которое стырило акк, читает этот топик.
так что видимо программулина точно его.

| Сообщение посчитали полезным:

бля, топик стартер всех охуенно нае%бал, ппц, такого еще не был... В вечный бан его по IP, кто за, жмем

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

пороверку на вшивость не прошел. никакого чела с XML нет и небыло никогда

>>так же на сайте автора этот локатор
ну да и он сидит читает этот топик) возможно несовсем "этот"

| Сообщение посчитали полезным:

tihiy_grom
хз. http://www.hackxcrack.es/forum/topic=14084.0
так же на сайте автора этот локатор. все на испанском
DimitarSerg
контакты перца с вирем к касперу и типа abuse@sbrf/webmoney/yandex и тп. там разберутся, ибо нех

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

ajax
я говорю про то, что говно, угнавшее акк, явно неспроста почитывает этот топик.
а его эта программа или не его, замешан ли тут ТС - это я хз

| Сообщение посчитали полезным:

При беглом статик анализе (виртуалки под рукой нет) юзает хуки, что то пишет в файловый поток, сигнатурному матчеру это все и нах не нужно.
Ну а так, что тут еще сказать, аккуратнее надо быть, тут еще один форумчанин с лаба влетал, я стер логи, и сделал вид что не видел, расстраивать не зачем было, до хозяина не успели попасть, а мне они не нужны.

| Сообщение посчитали полезным:

tihiy_grom пишет:
я говорю про то, что говно, угнавшее акк, явно неспроста почитывает этот топик.
а его эта программа или не его, замешан ли тут ТС - это я хз
Ну судя по тому, что ТС скромно молчит с момента начала шухера... делайте вывод господа.

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

tihiy_grom
дык, я, к примеру, все почитываю, что на главной странице и вверху. не показатель. никого не оправдываю
F_a_u_s_t пишет:
сигнатурному матчеру это все и нах не нужно
аха. да, все, скорее всего, влетали. помню, по запарке что-то файловирусное тоже запустил лет 5 назад. быстро ресет жмакнул, как осознал. теперь, сразу переименовываю расширения

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

Это чмошко хотело денюшку, бедолага, говорил, что файло у меня все покриптовано вот этим:
http://vazonez.com/tag/trojan.encoder

Да, вот еще аська 629565196

p.s. хотел 40$ ...
p.p.s. чел говорил, что еще файлы пошифровано этим http://vazonez.com/page/xorist-now-v232
хотя сразу же для решения нагуглилось это http://support.kaspersky.ru/faq/?qid=208637174
завтра с утра попаду за зараженную машину и попробую восстановить всё это дело, о рез-тах ест-но отпишу здесь.

-----
ds

| Сообщение посчитали полезным:

ТС скромно молчит, потому что ТС в вечном бане. Хотя у него было пару дней, чтобы икнуть, но он предпочёл промолчать. Так что не зря забанен.

| Сообщение посчитали полезным:

Грамматика у него хромает, школьник что ли?

-----
AutoIt

| Сообщение посчитали полезным:

Вроде убил заразу.
Инстр-ты:
1. AVZ
2. Anvir
3. Руки/мозг

Скажу сразу, что загрузка с Kaspersky LiveCD (вчерашний образ) положительного рез-та не дала.

------------------------------------------------------------------------------------------
Как же происходило заражение у меня (анализирую лог хипсы):

- Создание процесса
[c]orp-51 offset locator v1.8..exe

- Создание файла
C:\Program Files\Uninstall Information\explorer.exe

- Добавление в автозагрузку
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

но не только сюда , а куда лишь было можно, туда и сунулось.

- Access memory of another process, то есть подкючается к активному процессу explorer.exe
Target: c:\winxp\explorer.exe

- Create thread in another process
создание потока из процесса explorer

ладно, описалово дальше не даю, вроде и так всё ясно:

- Create new process
lsass.exe

- Access memory of another process
Target: c:\winxp\system32\lsass.exe

-Create thread in another process
Target: c:\winxp\system32\lsass.exe

-Create file
Process: c:\winxp\system32\lsass.exe
Target: C:\TEMP\[C]orp-51 Offset Locator v1.8.exe

-Create new process
Process: c:\winxp\system32\lsass.exe
Target: c:\temp\[c]orp-51 offset locator v1.8.exe

-Create new process
Process: c:\winxp\system32\lsass.exe
Target: c:\program files\uninstall information\explorer.exe

-Set registry value
Process: c:\winxp\explorer.exe
Target: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{W3F18V5F-S63Y-7CE7-117T-360KQ183Q6HQ}\StubPath
Data: C:\Program Files\Uninstall Information\explorer.exe

-Read file
Process: c:\temp\[c]orp-51 offset locator v1.8.exe
Target: \Device\NamedPipe\lsarpc

-Access network
Process: c:\winxp\system32\lsass.exe
Target: TCP [Local host : 5897] -> [188.191.95.171 : 82]

-Create new process
Process: c:\winxp\system32\msiexec.exe
Target: c:\winxp\system32\msiexec.exe
Cmd line: C:\WINXP\system32\MsiExec.exe -Embedding F1DD515127A35447C18CAD20D059468E

-Create file
Process: c:\winxp\system32\lsass.exe
Target: C:\TEMP\teste.vbs

-Read file
Process: c:\program files\uninstall information\explorer.exe
Target: \Device\NamedPipe\lsarpc

-Create new process
Process: c:\winxp\system32\lsass.exe
Target: c:\winxp\system32\cscript.exe
Cmd line: "C:\WINXP\system32\cscript.exe" "C:\TEMP\teste.vbs"

-Create new process
Process: c:\winxp\system32\msiexec.exe
Target: c:\winxp\system32\msiexec.exe
Cmd line: C:\WINXP\system32\MsiExec.exe -Embedding 2E81179F1703A7FC8CC6A4328164DC18

-Set system time
Process: c:\program files\uninstall information\explorer.exe
New time: 01.01.2099 13:43:54

-------------------------------------------------------------------------------------
ну и еще некоторые события, которые я не писал.

И так, как лечился:
1. Прогнал Kasper LiveCD, что-то одно нашло в папке на раб.столе с именем svchost.exe
УДАЛИЛ
2. Загрузился под виндой - всё жестко тупило - это процесс из
c:\program files\uninstall information\explorer.exe

плодился и он же совал себя в автозагрузку, снёс, ветки в которых нашлось
C:\Program Files\Uninstall Information\explorer.exe

3. Удалил в безопасном режиме файл C:\Program Files\Uninstall Information\explorer.exe и почистил автозагрузку.
4. Удалил ветку
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{W3F18V5F-S63Y-7CE7-117T-360KQ183Q6HQ}
5. Хз, но что-то подозрительное, dll-ka (как сказал AVZ) было в папке с яндекс диском, AVZ сказал, что возможный кегйлогер, хотя может оно к этому и не относится

если что - спришивайте, советуйте

p.s чёт тупят антивири с добавлением в базы
https://www.virustotal.com/file/6d372938581bc379c60160cd2ce2608f26361f7d6a98620e87932b6e771d6cf4/analysis/1349780293/

есть заархивированный зловред (Basic/P-code) - кому нужно для исследований - пишите.
О, и еще, чувак, угнавший жабу и читающий эту ветку, извини, но я же говорил что денег не дам .

-----
ds

| Сообщение посчитали полезным: KingSise