Описание на языке вероятного противника , но гуглтранслит в помощь


[+] Modificaciones hechas en esta versión:

- Se agregaron 5 antivirus al MultiAvScan (Avast, BitDefender, NOD32, Norman y Panda).
- Se optimizó la velocidad de escaneo en un 10%.
- Aumento de estabilidad al realizar un escaneo. Se eliminó/redujo congelamiento.
- Las actualizaciones inician en primer plano.
- Ya no se daña la base de firmas de Ikarus al interrumpir su actualización.
- Se agregó la opción de ejecutar automáticamente AvFucker y DSplit al hacer doble click sobre un rango del listado detectando automáticamente los valores indicados para los campos "Offset inicial", "Offset final" y "Bytes" según corresponda.
- Se implementó la posibilidad de detener cualquier proceso durante la etapa de borrado de archivos (opción "Vaciar carpeta antes de inicar" seleccionada).
- El ListView donde se muestran los reportes de los antivirus se limpia automáticamente al marcar o desmarcar la opción de Multi Scan.
- Se modificaron las instruciones mostradas al actualizar algunos antivirus para hacerlas más fáciles de comprender.
- Se muestra un mensaje en caso que el directorio a analizar se encuentre vacío.
- Se muestra un mensaje en caso que el antivirus seleccionado para analizar/actualizar no se encuentre en su respectiva carpeta evitando un error.
- Para mayor comodidad se agregó la posibilidad de configurar de forma individual la opción de terminar automáticamente los procesos de Avast, NOD32 y F-PROT al cerrar el locator.
- El archivo generado por el acorralador de firmas ya no se sobre escribe. Se genera con el nombre "Archivo modificado_#" donde "#" es un identificador númerico de la menor denominación posible.
- El reporte de análisis en formato BBCode se muestra del mismo color que se personalizó para el texto desde la configuración.
- Los colores personalizados se aplican de forma inmediata a todos los forms para poder conseguir una vista previa completa. En caso de no guardarse los cambios se restablecen los valores anteriormente guardados.
- Las configuraciones personalizadas de colores se aplican a todos los formularios.
- Se agregó un bloqueo general de controles durante la aplicación de las distintas opciones disponibles evitando posibles conflictos y volviendo el locator mucho más intuitivo.
- Se bloquearon los TextBox donde se muestran las rutas del archivo y directorio a analizar con el MultiAvScan para evitar modificación manual.
- Se corrigió un error al mostrar los reportes de análisis de Vexira y Virus Buster.
- El Label de estado del MultiAvScan deja de ser visible al seleccionar la opción Listar.
- Se corrigió bug que alteraba por completo la funcionabilidad del locator al interrumpir la actualización de Avira o Ikarus.
- Se corrigió bug al aplicar algunos procesos mientras se actualiza Avira o Ikarus.
- Se corrigieron otros bugs menores.
- Se optimizó el código en general.


El locator incorpora las siguientes opciones:


[+] AvFucker:

- Opción de vaciar carpeta antes de iniciar proceso.
- Opción de modificar utilizando valores aleatorios.
- Opción de realizar el proceso aplicando un corrimiento distinto al valor de bytes utilizado.
- Opción de detener el proceso en cualquier momento.
- Drag & Drop de archivos y directorios.
- Opción de crear archivos con cualquier extensión deseada.


[+] DSplit:

- Opción de vaciar carpeta antes de iniciar proceso.
- Opción de detener el proceso en cualquier momento.
- Drag & Drop de archivos y directorios.
- Opción de crear archivos con cualquier extensión deseada.


[+] Acorralador de firmas:

- Opción de vaciar carpeta antes de iniciar proceso.
- Opción de modificar utilizando valores aleatorios.
- Opción de deshacer las últimas tres modificaciones realizadas.
- Opción de detener proceso durante la etapa de borrado de archivos.
- Drag & Drop de archivos y directorios.
- Opción de crear archivos con cualquier extensión deseada.


[+] 256 combinaciones: Modificará con cada uno de los 256 valores posibles cada offset que se encuentre en el rango indicado.

- Opción de vaciar carpeta antes de iniciar proceso.
- Opción de detener el proceso en cualquier momento.
- Drag & Drop de archivos y directorios.
- Opción de crear archivos con cualquier extensión deseada.


[+] Offset killer: Dados dos directorios dejará en el segundo sólo los archivos que también se encuentren en el primero.

- Opción de detener el proceso en cualquier momento.
- Drag & Drop de archivos y directorios.


[+] Offset checker: Ejecutará uno a uno todos los archivos que se encuentren en el directorio indicado.

- Opción de regular la velocidad de comprobación de offsets para adaptar el consumo de recursos según se disponga.
- Opción de detener el proceso en cualquier momento.
- Drag & Drop de archivos y directorios.


[+] Listar: Los archivos del directorio indicado se ordenarán por extensión, bytes y finalmente en orden ascendente.

- Al seleccionar un rango en la lista, si se está aplicando AvFucker o DSplit, se completarán automáticamente los campos "Offset inicial", "Offset final", "Extensión" y "Bytes" según corresponda.
- Al hacer doble click sobre un rango en la lista, si se está aplicando AvFucker o DSplit, se completarán automáticamente los campos "Offset inicial", "Offset final", "Extensión" y "Bytes" según corresponda y a continuación se auto ejecutará el proceso utilizando los parámetros indicados.
- Se detecta automáticamente el directorio a listar según el proceso que se esté aplicando. En el caso de aplicar "Offset killer" se puede elegir cual directorio listar.

Nota: Los archivos creados con la opción de las 256 combinaciones serán ignorados al listar ya que en ellos no varía la extensión, bytes ni rango modificado sinó únicamente el valor utilizado y por lo tanto no podrían ser agrupados de una forma que resulte útil y sólo ensuciarían el listado.

[+] MultiAvScan:

- Opción de analizar directorios con el antivirus deseado.
- Opción de analizar un archivo con hasta 15 antivirus.
- Genera reporte en BBCode.
- Antivirus actualizables.
- Opción de borrar detectados.
- Opción de seleccionar y deseleccionar todos los antivirus al utilizar el Multi Scan.
- Drag & Drop de archivos y directorios.


От модератора: Ахтунг. По ссылке вирус. Но если кому-то очень хочется...
--> скачать<--

| Сообщение посчитали полезным:

Вот очень полезный ресурс. Можно ему отправить еще.
http://onthar.in/
Интересно, он сам тут сидит?

| Сообщение посчитали полезным:

DimitarSerg пишет:
-Access networkProcess: c:\winxp\system32\lsass.exeTarget: TCP [Local host : 5897] -> [188.191.95.171 : 82]
Вот что говорит whois:


Как можно заметить, этот чмошник в славном граде Комсомольск-на-Амуре... Может обратиться к его провайдеру, чтоб ему по щам надавали

-----
One death is a tragedy, one million is a statistic.

| Сообщение посчитали полезным:

Нужно отдать должное засранцу, нашёл ведь куда запостить, и ведь клюнули ))

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

HiEndsoft пишет:
и ведь клюнули
Ну, если быть точным, то "клюнул", так как пока известно только об одном человеке... Ну это со всяким бывает... Сам грешен! По запарке еще и не то запускаю
Но вот таких, кто намеренно выставляет вирусы и прячет их под другими программными продуктами, а потом деньги пытается отжать, надо назначать расстреливание через повешение... Ну или сразу на кол...

Мне вот что стало интересно? Товарищ добился ранга 20, то есть участвовал (не смотрел его послужной список) на форуме, а потом вот так поступает? Странно....

-----
One death is a tragedy, one million is a statistic.

| Сообщение посчитали полезным:

А мне другое стало интересно. Ну вот хорошо, ну стырил ты пароли, ну молодец, сиди, кури, почитывай сообщения, нахрена ж акк угонять и орать во всеуслышанье, типа, переписываясь из контакт-листа с другими людьми, типа, дайте денег? Ну это ж вчерашний день год. Посиди, поизучай манеру человека общаться, поузнавай темы, а потом уже клянчи деньгу. Так шансы получить бабки гораздо выше. И причём сделай так, чтобы у говнотроянчика был функционал самоудаления, чтоб нельзя было понять, как же акки были взломаны, а инфа украдена. А то со старту - себя в автозагрузку, в эксплорер инжект, ну товарищи (тамбовский волк вам) малварщики, ну скучно с вами.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL
Дельные советы раздаешь)
Есть такое выражение "Нет хуже дурака, чем начитанный дурак".
Ждем новых говнотроев от школоло. А самое прикольное то, что мозгов то не хватает свое написать - говнобилдеры турков очередных юзают на ВБ написанные и поверх пару недоделанных крипторов.
Даже неинтересно.
Это как брали консольный почтовый клиент, рядом клали MPR.exe от Кобана и start.bat в котором писали команды консольному почтовику (вроде blam.exe), чтобы он в свою очередь отсылал логи от MPR)))))))))) ЧЕРТ, НУ ВЕДЬ ЭТО РЕАЛЬНО ИДИОТИЗМ)))))))))

И более того скажу Вам, Господа - ведь реально становиться грустно от того, что видишь "вирусы""трои", размером в пару мегабайт, написанные на каких-то недоскриптах или на бейсике, и с дикой ностальгией вспоминая настоящие шедевры искусства - досовские резиденты, размером в пару сотен байт...Печально, Братцы...

| Сообщение посчитали полезным:

Выражается особая благодарность SReg за возвращение "жабы водяной" в родной пруд.
а также спс ребятам с конфы за моральную поддержку

Итоги этого всего:
1.зверюшка удалена
2.жаба/аська на месте
3.получено несколько единиц к опыту ручного лечения
4.получен горький опыт в плане безопасности (точнее ее корявости и моей легкомысленности)
5.хорошо то, что хорошо кончается

-----
ds

| Сообщение посчитали полезным:

DimitarSerg
Если не секрет, как вернули аську с джаббером? Можно в личку.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL
аська привязана к мылу, поэтому человек даже пасс не менял, а просто юзал акк для того, чтобы поклянчить (что в данном случае умно), так как её сразу бы восстановил.
жаба - спроси SReg ;)

-----
ds

| Сообщение посчитали полезным:

XMPP наверное брутили. на каком серваке висел JiD и в каком клиенте был сохранен пароль?

| Сообщение посчитали полезным:

ARCHANGEL
Ну я его попросил, и он отдал. Как то так...

| Сообщение посчитали полезным:

ressa пишет:
И более того скажу Вам, Господа - ведь реально становиться грустно от того, что видишь "вирусы""трои", размером в пару мегабайт, написанные на каких-то недоскриптах или на бейсике

Мне кажется что в использовании скриптов есть и свои плюсы: его легко обфусцировать, он выполняется в доверенном приложении wscript.exe или cscript.exe

ressa пишет:
и start.bat в котором писали команды консольному почтовику (вроде blam.exe)
blat.exe

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Flint пишет:
он выполняется в доверенном приложении wscript.exe или cscript.exe

Да в этом как раз и минус(для говномалвареписателей). Появляется некий red pill, который первым делом вызывает ZwSuspendProcess для этого доверенного процесса, а потом начинаются совсем другие разговоры с малварью.

Или можно TerminateProcess и захват дескриптора файла образа. В общем, нет силы в выполнении скриптов. ИМХО.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

wscript.exe для проактивки будет в белом списке, зачем инжектить код куда-то, если все можно сделать в самом скрипте?

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

ressa пишет:
ЧЕРТ, НУ ВЕДЬ ЭТО РЕАЛЬНО ИДИОТИЗМ)))))))))

Работает? Работает.

| Сообщение посчитали полезным:

Flint
Речь о том, что даже, если ты решил украсть пароли - сделай это красиво. Как в свое время был Пинч от уже упомянутого Кобана - стиллил пароли от всего актуального софта, заливал на фтп, отправлял на почту\гейт, собирался напрямую из сорцев асма и весил 24(!!)Кб. А если еще немного включить мозг - можно было получать полиморф на выходе, и на то время антивири срали кирпичами имея на вооружении только сигнатурный поиск.
А сейчас? То блин РАдмин в SFX упакуют, то еще что-то))))
Вот у тебя есть пример скриптового троя или вируса, который действительно достоин внимания??
Gideon Vi
И что? Ну да, круто, будем идти по методу упрощения. . На самом деле, нафиг надо писать что-то и тд. И прошу заметить - я никого не упрекал и не отрецал работоспособность этого, я всего-лишь сказал, что действительно становиться грустно, при виде сих "творений"..

| Сообщение посчитали полезным:

ressa
все меняется. когда-то вирусня на HLL считалась моветоном. в наши дни - где проще получить эскалацию прав, то и творят
промолчу, что сейчас это вид бизнеса типа, а не показ своих суперзнаний
ARCHANGEL пишет:
red pill
пилюлька под этим названием вроде носила конкретный характер, не из этой оперы. забавно, что ее crypkey'цы взяли на вооружение для своего продукта

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

ajax
Так принято называть всё, что позволяет вывести машину из состояния, находясь в котором, её сервисы и апи неадекватно оценивают реальность. Т.е. любой антируткит/антималварь. А всё началось с blue pill - изначально тот термин из виртуализации пришёл. Но не суть, мы ведь друг друга понимаем.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ressa пишет:
если ты решил украсть пароли - сделай это красиво
Человеческая натура такова что оно ищет халявы, если например выложить псевдо распаковщик VM_PROT то с вероятностью 99% все его начнут запускать на реальной тачке и пооконцовке уведут у вас все пароли к чему только можно.

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan пишет:
если например выложить псевдо распаковщик VM_PROT то с вероятностью 99% все его начнут запускать на реальной тачке
я бы такую тулзу запустил, если б ее кто из ветеранов выложил. а так - даже качать бы не стал, как и тулзу с этого топега.

-----
SaNX

| Сообщение посчитали полезным: NikolayD

SaNX пишет:
если б ее кто из ветеранов выложил
Взломали пароль и логин ветерана и что дальше?

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным: DimitarSerg, -Sanchez-

Я вот не могу одного понять. Ну где Вы реверсите? Ведь все реверсят под виртуалкой, делая бекапы\снапшоты. А если уж на своей винде - запускаете через песочницы. Верно? Ну по крайней мере я так делаю. Чего бояться в таком случае? Ну да, через всякие говносайты заползти может, но тем не менее.

| Сообщение посчитали полезным:

ClockMan пишет:
Взломали пароль и логин ветерана и что дальше?

Как видно из переписки SReg'а, то так и вышло со Skino (хоть он и не ветеран, но рейтинг 20 за один-два дня не качнешь, да и за неделю тоже вряд ли (ну либо слишком полезные и содержательные посты будут и то в подразделах форума, где начисление рейтинга идет быстрее)).

-----
ds

| Сообщение посчитали полезным:

ressa пишет:
Вот у тебя есть пример скриптового троя или вируса, который действительно достоин внимания??
Не храню, но встречал. А что вы ожидаете увидеть достойного в скриптовом трояне? Ну будет он стилить пароли и отправлять их на мыло, больше там ничего сверхъестественного ненужно.

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Flint пишет:
Ну будет он стилить пароли и отправлять их на мыло
А скрываться ему не надо?

| Сообщение посчитали полезным:

Вот я тоже не понимаю. Ну давайте прикольнемся - выберем скриптовой язык и коллективно напишем стиллер паролей с отправкой на почту. И попробуем протестить у себя же. Да любой говноавнтивирь сразу же убьет его не дав даже выполнится. Я не полностью уверен в своих словах, но мне кажется что это так.

| Сообщение посчитали полезным:

Обфусцировать сорец гораздо проще чем криптовать готовый exe. К тому же аверы вроде не эмулят скрипты, стало быть тут будет только сигнатурный детект.

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

ressa пишет:
Речь о том, что даже, если ты решил украсть пароли - сделай это красиво.

зачем?

ressa пишет:
И что? Ну да, круто, будем идти по методу упрощения.

Шокирую: с момента адаптации ветки дерева под палку-копалку и дубинку человечество непрерывно идет по пути упрощения. Давай делать вирусы бинарным кодом, че. Асм - это тоже упрощение.

| Сообщение посчитали полезным:

ressa пишет:
Ну давайте прикольнемся - выберем скриптовой язык и коллективно напишем стиллер паролей с отправкой на почту.
Будет детект по поведенческому анализу, то есть на сборе паролей и той самой отправке почты как раз поймают за руку.

| Сообщение посчитали полезным:

Имхо, не будет детекта, скрипт выполняется в доверенном приложении. Могу ошибаться.

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным: