Вернуться   GraBBerZ.CoM - ICQ | Proxy | Бруты | Дедики | Эксплоиты > Underground > Virology

Ответ
 
Опции темы Опции просмотра

Старый 04.01.2009, 05:11   #1
Перезагрузка
 
Аватар для onthar
 
onthar вне форума
Регистрация: 02.06.2008
Сообщений: 6,075
Респекты: 8,974
Восклицание

Проверка подозрительных файлов производится тут.

Тема создана для проверки и анализа зараженного, инфицированного, вредоносного ПО.

Просьба постить в этой теме не все подряд, а только потенциально протрояненные тулзы (аля новые брутфорсы, фейки крипторов, супер мегатулзы для взлома)

Форма поста следующая:
1) Источник файла (спам рассылка по осеку/пост на форуме и т.д.) Все ссылки делать не активными!
2) Зараженный файл нужно заархивировать любым архиватором и установить на него пароль. (Чтобы не было путаницы - ставьте пароль 123)
3) Если файл уже был вами запущен, то неплохо было бы описать симптомы заражения системы, если таковые имеются.
4) Просьба прикладывать к посту отчет с онлайн-сервиса антивирусной проверки, и проверки активности файла

Советую для проверки следующие онлайн-сервисы:
Антивирусная проверка: virustotal.com
Проверка активности файла: anubis.iseclab.org

Просьбы анализа, выполненные не по шаблону, будут без предупреждения удаляться.
-------------------------------------
Администрация форума не несет ответственности за активацию, выложенных в этой теме, файлов в вашей системе.
(с) Onthar

Ах да, забыл самое главное: любой оффтоп, флейм, флуд будет жестоко караться
__________________
onthar@fuckav.in
  Ответить с цитированием

Старый 20.05.2010, 01:08   #31
kilobyte
 
Аватар для Stinside
 
Stinside вне форума
Регистрация: 09.07.2008
Сообщений: 148
Респекты: 76
Цитата:
Сообщение от Nero Посмотреть сообщение
_http://multi-up.com/125281 вот.
VirusTotal
Результат: 34/41 (82.93%)


Код:
a-squared	4.5.0.50	2010.05.10	-
AhnLab-V3	2010.05.19.03	2010.05.19	-
AntiVir	8.2.1.242	2010.05.19	W32/Induc.A
Antiy-AVL	2.0.3.7	2010.05.19	Virus/Win32.Induc.gen
Authentium	5.2.0.5	2010.05.19	W32/Induc.A
Avast	4.8.1351.0	2010.05.19	Win32:Induc
Avast5	5.0.332.0	2010.05.19	Win32:Induc
AVG	9.0.0.787	2010.05.19	Win32/Induc
BitDefender	7.2	2010.05.19	Win32.Induc.A
CAT-QuickHeal	10.00	2010.05.19	W32.Induc.A
ClamAV	0.96.0.3-git	2010.05.19	Virus.Induc-2
Comodo	4887	2010.05.19	Virus.Win32.Induc.A0
DrWeb	5.0.2.03300	2010.05.19	Win32.Induc
eSafe	7.0.17.0	2010.05.17	Win32.Induc.A
eTrust-Vet	35.2.7498	2010.05.19	-
F-Prot	4.5.1.85	2010.05.19	W32/Induc.A
F-Secure	9.0.15370.0	2010.05.19	Win32.Induc.A
Fortinet	4.1.133.0	2010.05.19	W32/Induc.A
GData	21	2010.05.19	Win32.Induc.A
Ikarus	T3.1.1.84.0	2010.05.19	Virus.Win32.Induc
Jiangmin	13.0.900	2010.05.19	Win32/Induc.a
Kaspersky	7.0.0.125	2010.05.19	Virus.Win32.Induc.a
McAfee	5.400.0.1158	2010.05.19	W32/Induc
McAfee-GW-Edition	2010.1	2010.05.19	W32/Induc
Microsoft	1.5802	2010.05.18	Virus:Win32/Induc.A
NOD32	5130	2010.05.19	Win32/Induc
Norman	6.04.12	2010.05.19	W32/Induc.A
nProtect	2010-05-19.02	2010.05.19	-
Panda	10.0.2.7	2010.05.19	W32/Induc.A
PCTools	7.0.3.5	2010.05.19	Malware.Induc
Prevx	3.0	2010.05.19	-
Rising	22.48.02.04	2010.05.19	Win32.Indcu.a
Sophos	4.53.0	2010.05.19	W32/Induc-A
Sunbelt	6324	2010.05.19	Virus.Win32.Induc.a (v)
Symantec	20101.1.0.89	2010.05.19	W32.Induc.A
TheHacker	6.5.2.0.283	2010.05.19	-
TrendMicro	9.120.0.1004	2010.05.19	PE_INDUC.A
TrendMicro-HouseCall	9.120.0.1004	2010.05.19	PE_INDUC.A
VBA32	3.12.12.5	2010.05.19	Virus.Win32.Induc.c
ViRobot	2010.5.19.2324	2010.05.19	-
VirusBuster	5.0.27.0	2010.05.19	Win32.Induc
Код:
Дополнительная информация
File size: 1668116 bytes
MD5...: 0817b3c031edd76f0db97e23dfd093d9
SHA1..: 2124f0e226ce92e1248007e08094473da0c5aeb2
SHA256: 4bada538dae513d64132459caa6cac2b69ffca69a25bbc007f57b738b579fe8d
ssdeep: 24576:fwTtpoRysaATj5lewKG7vSz526tXxftmRfGqYj5V3UliCdglM/FhzfuwtF
Y:CIytgjvkG7s52uf4OqWMBdgK/XfuwtC
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: RAR Archive (83.3%)
REALbasic Project (16.6%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
  Ответить с цитированием

Старый 20.05.2010, 14:54   #32
 
Аватар для SPEED
 
SPEED вне форума
Регистрация: 25.02.2008
Адрес: СПб
Сообщений: 2,621
Респекты: 2,484
Пощупайте файлик _http://goldsvet.biz/dle_spammer_1.01.rar

Охото заюзать, но VT пугает Результат: 33/41 (80.49%)

Код HTML:
a-squared 	4.5.0.50 	2010.05.10 	-
AhnLab-V3 	2010.05.20.00 	2010.05.19 	Dropper/Downloader.59157
AntiVir 	8.2.1.242 	2010.05.20 	TR/Crypt.XDR.Gen
Antiy-AVL 	2.0.3.7 	2010.05.19 	-
Authentium 	5.2.0.5 	2010.05.19 	W32/Dropper.EGW
Avast 	4.8.1351.0 	2010.05.19 	Win32:Small-EYV
Avast5 	5.0.332.0 	2010.05.19 	Win32:Small-EYV
AVG 	9.0.0.787 	2010.05.19 	Dropper.Generic.LEG
BitDefender 	7.2 	2010.05.19 	Trojan.Dropper.RGM
CAT-QuickHeal 	10.00 	2010.05.19 	-
ClamAV 	0.96.0.3-git 	2010.05.19 	Trojan.Dropper-704
Comodo 	4888 	2010.05.19 	TrojWare.Win32.TrojanDropper.Small.AWW
DrWeb 	5.0.2.03300 	2010.05.20 	Trojan.MulDrop.6126
eSafe 	7.0.17.0 	2010.05.17 	Win32.Dropper
eTrust-Vet 	35.2.7499 	2010.05.20 	-
F-Prot 	4.5.1.85 	2010.05.19 	W32/Dropper.EGW
F-Secure 	9.0.15370.0 	2010.05.19 	Trojan.Dropper.RGM
Fortinet 	4.1.133.0 	2010.05.19 	W32/DROPPER.AWW!tr
GData 	21 	2010.05.19 	Trojan.Dropper.RGM
Ikarus 	T3.1.1.84.0 	2010.05.19 	Trojan-Dropper.Win32.Small.aww
Jiangmin 	13.0.900 	2010.05.19 	TrojanDropper.Small.doy
Kaspersky 	7.0.0.125 	2010.05.19 	Trojan-Dropper.Win32.Small.aww
McAfee 	5.400.0.1158 	2010.05.20 	PWS-LDPinch.gen.q
McAfee-GW-Edition 	2010.1 	2010.05.20 	PWS-LDPinch.gen.q
Microsoft 	1.5802 	2010.05.19 	-
NOD32 	5130 	2010.05.19 	Win32/TrojanDropper.Small.AWW
Norman 	6.04.12 	2010.05.19 	W32/LdPinch.JHC
nProtect 	2010-05-19.02 	2010.05.19 	-
Panda 	10.0.2.7 	2010.05.19 	Trj/CI.A
PCTools 	7.0.3.5 	2010.05.19 	TrojanSpy.Webmoner.BM
Prevx 	3.0 	2010.05.20 	-
Rising 	22.48.02.04 	2010.05.19 	Trojan.PSW.LdPinch.fpo
Sophos 	4.53.0 	2010.05.20 	Troj/Dropper-OG
Sunbelt 	6324 	2010.05.19 	Trojan.Win32.Generic!BT
Symantec 	20101.1.0.89 	2010.05.19 	Suspicious.MH690.A
TheHacker 	6.5.2.0.283 	2010.05.19 	Trojan/Dropper.Small.aww
TrendMicro 	9.120.0.1004 	2010.05.19 	TROJ_MICROJOIN.W
TrendMicro-HouseCall 	9.120.0.1004 	2010.05.20 	TROJ_MICROJOIN.W
VBA32 	3.12.12.5 	2010.05.19 	Trojan-Dropper.Win32.Small.aww
ViRobot 	2010.5.19.2324 	2010.05.19 	-
VirusBuster 	5.0.27.0 	2010.05.19 	TrojanSpy.Webmoner.BM
  Ответить с цитированием

Старый 20.05.2010, 18:22   #33
Вечный студент
 
Аватар для Tor Bel
 
Tor Bel вне форума
Регистрация: 05.07.2008
Адрес: Большая Деревня
Сообщений: 3,001
Респекты: 3,407
Инетересно, virustotal ругается на некоторые мои программки.
Например, для bvsTextCombi результат: 2/35 (5.72%)

Код:
a-squared	4.5.0.50	2010.05.10	Backdoor.Celofot!IK
...
Ikarus	        T3.1.1.84.0	2010.05.20	Backdoor.Celofot

Что ему не нравиться?
__________________
Ударим глюком по багу. (с)2000 by мой.
В избе у Сергеича
Почётный фанат Ушатика - масюты
  Ответить с цитированием

Старый 20.05.2010, 19:34   #34
ModeratoR
 
Аватар для Flanker
 
Flanker вне форума
Регистрация: 19.06.2008
Сообщений: 960
Респекты: 675
Tor Bel, это тупые антивирусники Они для статистики детектят абсолютно всё, т.к. хрен кто ими пользуется. Типо самые эффективные xD
  Ответить с цитированием
Юзеру Flanker выразили Респект за этот пост:

Старый 20.05.2010, 20:52   #35
ModeratoR
 
Аватар для Frenzy
 
Frenzy вне форума
Регистрация: 12.07.2008
Адрес: FOA
Сообщений: 559
Респекты: 789
Цитата:
Сообщение от Tor Bel Посмотреть сообщение
Например, для bvsTextCombi результат: 2/35 (5.72%)
Агааааа, попался ))) Шутка

На самом деле, это самый обычный фолс-позитив (ложное срабатывание).
Т.е. антивирь видит что программе на вход подаются файлы, потом работа с памятью, потом создание и запись результата (какой нить CreateFileA).
И антивирь может расценивать такую последовательность вызова АПИ-шек как потенциально опасную.
  Ответить с цитированием
Юзеру Frenzy выразили Респект за этот пост:

Старый 20.05.2010, 22:43   #36
 
Аватар для SPEED
 
SPEED вне форума
Регистрация: 25.02.2008
Адрес: СПб
Сообщений: 2,621
Респекты: 2,484
Забавно, а на мой вопрос таг никто и не ответил...
  Ответить с цитированием

Старый 20.05.2010, 23:11   #37
Перезагрузка
 
Аватар для onthar
 
onthar вне форума
Регистрация: 02.06.2008
Сообщений: 6,075
Респекты: 8,974
Цитата:
Сообщение от Flanker Посмотреть сообщение
Tor Bel, это тупые антивирусники
это окуенные антивирусники, просто базы у них дублируются и паранойа имеет место быть, как у нортона, макафи.


SPEED, дроппер это, правду вт глаголит.
__________________
onthar@fuckav.in
  Ответить с цитированием
Юзеру onthar выразили Респект за этот пост:

Старый 21.05.2010, 21:47   #38
Вечный студент
 
Аватар для Tor Bel
 
Tor Bel вне форума
Регистрация: 05.07.2008
Адрес: Большая Деревня
Сообщений: 3,001
Респекты: 3,407
Цитата:
Сообщение от Mortal Посмотреть сообщение
Т.е. антивирь видит что программе на вход подаются файлы, потом работа с памятью, потом создание и запись результата (какой нить CreateFileA).
И антивирь может расценивать такую последовательность вызова АПИ-шек как потенциально опасную.
Вообще-то под это любой редактор попадает, да и многие программы.
__________________
Ударим глюком по багу. (с)2000 by мой.
В избе у Сергеича
Почётный фанат Ушатика - масюты
  Ответить с цитированием

Старый 24.05.2010, 01:50   #39
megabyte
 
Аватар для lytgeygen
 
lytgeygen вне форума
Регистрация: 07.09.2008
Сообщений: 472
Респекты: 384
есть файл, нашёл на флешке кпк, видимо когда напрамую подключал попал, а не через активесункс... два файла, авторан.ини и сам вирус. они скрыты, и снять этот атрибут нельзя почемуто... в общем интересно что это говно делает

_http://slil.ru/29189570
вирустотал
  Ответить с цитированием

Старый 24.05.2010, 01:55   #40
Перезагрузка
 
Аватар для onthar
 
onthar вне форума
Регистрация: 02.06.2008
Сообщений: 6,075
Респекты: 8,974
Цитата:
Сообщение от lytgeygen Посмотреть сообщение
в общем интересно что это говно делает
это салити.
http://www.google.ru/search?q=sality...k&ved=0CAcQpwU
__________________
onthar@fuckav.in
  Ответить с цитированием

Старый 04.07.2010, 23:15   #41
megabyte
 
Аватар для lytgeygen
 
lytgeygen вне форума
Регистрация: 07.09.2008
Сообщений: 472
Респекты: 384
Ещё один файл, качал, было написанно что патч для игры, но размер слишком малый, и то что в конце файла (смотрел через hex редактор) меня напрягает, думаю что это довнлоадер, вариант что он качает винлок розовый банер который всё время фокусирует на своё окно и не даёт ничего делать вообще....

_http://slil.ru/29429308
  Ответить с цитированием

Старый 05.07.2010, 11:14   #42
ModeratoR
 
Аватар для Frenzy
 
Frenzy вне форума
Регистрация: 12.07.2008
Адрес: FOA
Сообщений: 559
Респекты: 789
lytgeygen,
Странно, но вроде бы ничего смертельного не делает.
Читает такие значения реестра:

Код:
HKLM\SOFTWARE\Microsoft\CTF\SystemShared\  	CUAS 	0  	1 
HKLM\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers  	TransparentEnabled 	1  	1 
HKLM\System\CurrentControlSet\Control\Terminal Server  	TSUserEnabled 	0  	1 
HKU\S-1-5-21-842925246-1425521274-308236825-500\Keyboard Layout\Toggle  	Language Hotkey 	1  	2 
HKU\S-1-5-21-842925246-1425521274-308236825-500\Keyboard Layout\Toggle  	Layout Hotkey 	2  	2
После этого мапит в памяти следующие библиотеки:
Код:
C:\WINDOWS\system32\COMCTL32.dll
C:\WINDOWS\system32\MSCTF.dll
C:\WINDOWS\system32\imm32.dll
В общем ничего стремного не увидел, антиэмуляцию тоже.
  Ответить с цитированием

Старый 22.07.2010, 16:24   #43
byte
 
Аватар для Hixon10
 
Hixon10 вне форума
Регистрация: 07.03.2010
Адрес: Москва
Сообщений: 52
Респекты: 10
Цитата:
NefertumVK - комбайн-рассыльщик для ВКонтакта.
NefertumVK - программа, созданная и для удобной рассылки приглашений, сообщений, комментариев в социальной сети ВКонтакте.ру.

Данная версия программы умеет следующее:

Приглашать в вашу группу людей по критериям.
Приглашать друзей в вашу группу.
Рассылать сообщения друзьям.
Рассылать сообщения списку ID из файла.
Рассылать сообщения людям по критериям.
Комментировать фото друзей (можно указать количество комментируемых фото и количество комментариев на каждой фотографии).
Комментировать фото людей, указанных в списке.
Комментировать фото людей, найденных по критериям.
Комментировать стены друзей.
Комментировать стены людей из списка.
Комментировать стены людей, найденных по критериям.
Программа может работать с HTTP-Proxy.
Программа, для вашего удобства и экономии времени, распознает CAPTCHA с помощью сервиса http://antigate.com.
Программа умеет работать в многопоточном режиме.
Видео по работе программы, вы можете скачать и просмотреть отсюда…
http://slil.ru/29487601
http://depositfiles.com/files/772l48vcs
http://www.2shared.com/file/iixRavmq/NefertumVK.html
http://www.virustotal.com/ru/analisi...120-1279733867

Я по глупости запустил софт, симптомов пока нет - наверное, тупо ушли все пароли.
  Ответить с цитированием

Старый 22.07.2010, 19:37   #44
Перезагрузка
 
Аватар для onthar
 
onthar вне форума
Регистрация: 02.06.2008
Сообщений: 6,075
Респекты: 8,974
Hixon10, склеено с бэкдором Cerberus.
Советую воспользоваться утилитой AVP Tool от каспера и проверить автозагрузку чем-то вроде Anvir или Starter.

Все есть в гугле и на нашем форуме.

Файл-сервер бэкдора дропается по этому пути:
C:\Windows\System32\123456\123456.exe
__________________
onthar@fuckav.in
  Ответить с цитированием
Респектов за этот пост: 3

Старый 23.07.2010, 12:42   #45
byte
 
Аватар для Hixon10
 
Hixon10 вне форума
Регистрация: 07.03.2010
Адрес: Москва
Сообщений: 52
Респекты: 10
Цитата:
Сообщение от onthar Посмотреть сообщение
Hixon10, склеено с бэкдором Cerberus.
Советую воспользоваться утилитой AVP Tool от каспера и проверить автозагрузку чем-то вроде Anvir или Starter.

Все есть в гугле и на нашем форуме.

Файл-сервер бэкдора дропается по этому пути:
C:\Windows\System32\123456\123456.exe

Спасибо.

Я воспользовался утилитой AVP Tool, проверил всё, в результате не вылечено, только это:
Цитата:
Лечение активных угроз: остановлено 1 час назад (событий: 5, объектов: 3526, время: 00:02:13)
23.07.2010 13:55:09 Задача запущена
23.07.2010 13:55:09 Обнаружено: Net-Worm.Win32.Kido.ih C:\WINDOWS\system32\x
23.07.2010 13:55:12 Не вылечено: Net-Worm.Win32.Kido.ih C:\WINDOWS\system32\x Не подвергается лечению
23.07.2010 13:55:12 Не вылечено: Net-Worm.Win32.Kido.ih C:\WINDOWS\system32\x Пропущено пользователем
23.07.2010 13:57:22 Задача остановлена
В автозагрузке Anvir`ом ничего не нашёл.

C:\Windows\System32\123456\123456.exe - тут тоже ничего нет.
  Ответить с цитированием
Ответ

Метки
анализ файлов, онтарка кибер-венеролог, проверка на вирусы

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход



Время: 00:23



Powered by vBulletin® Version 3.7.6
Copyright ©2000 - 2017, Jelsoft Enterprises Ltd. Перевод: zCarot