Авторизируйтесь,
чтобы продолжить
Некоторые функции доступны только зарегистрированным пользователям
Неправильный логин или пароль

Внимание! Теперь для входа на форум необходимо вводить единый пароль регистрации сервисов sibnet.ru!

Здравствуйте, гость ( Вход | Регистрация )



5 страниц V  1 2 3 > »   
Ответить в эту темуОткрыть новую тему
> Обсуждение Malware, Для заинтересованных
SanchoZZ
сообщение 8.1.2011, 4:41
Сообщение #1


Болтун
Group Icon


Группа: Sibnet-club
Сообщений: 690
Регистрация: 10.12.2009
Из: Кемеровская обл. г.Топки
Пользователь №: 176 835



Репутация:   32  


В очередной вылазке за вирусами, попал на порносайт на "народе", откуда скачивался файл "xxx_video.exe" Winlock ?
По результатам VT - этот образец скорей всего модификация ZeuS (по базам аваста).

Результаты VT

З.Ы. Образец отправлен в Avira, AVG, Sophos, Vba, Dr.Web, COMODO, ESET, Avast.

Анализ активности от COMODO

Сообщение отредактировал SanchoZZ - 8.1.2011, 6:32


» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Feo
сообщение 8.1.2011, 15:55
Сообщение #2


         МЕГА флудер
Group Icon


Группа: VIP
Сообщений: 8 238
Регистрация: 1.8.2007
Из: Новосибирск
Пользователь №: 3 050



Схожие действия с винлоком. Перезапись данных userinit и создание файла C:\WINDOWS\system32\usrinit.exe

Отослал еще в Ikarus.

Авира только в понедельник разберет все, у них в субботу и воскресенье вирлаб не работает.

Сообщение отредактировал Feo - 8.1.2011, 18:23


» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Feo
сообщение 8.1.2011, 18:13
Сообщение #3


         МЕГА флудер
Group Icon


Группа: VIP
Сообщений: 8 238
Регистрация: 1.8.2007
Из: Новосибирск
Пользователь №: 3 050



В икарус (Emsisoft) оперативно добавили.
http://www.virustotal.com/file-scan/report...5bf3-1294485020



» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
SanchoZZ
сообщение 8.1.2011, 19:54
Сообщение #4


Болтун
Group Icon


Группа: Sibnet-club
Сообщений: 690
Регистрация: 10.12.2009
Из: Кемеровская обл. г.Топки
Пользователь №: 176 835



Репутация:   32  


Хм... он очень часто обновляется. сейчас перекачал- http://www.virustotal.com/file-scan/report...d9e7-1294488596

Отправил тем-же что и в прошлый раз(адрес вирлаба икаруса не знаю).


» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Feo
сообщение 8.1.2011, 19:59
Сообщение #5


         МЕГА флудер
Group Icon


Группа: VIP
Сообщений: 8 238
Регистрация: 1.8.2007
Из: Новосибирск
Пользователь №: 3 050



Цитата(SanchoZZ @ 8.1.2011, 18:54) *

Хм... он очень часто обновляется. сейчас перекачал- http://www.virustotal.com/file-scan/report...d9e7-1294488596

Отправил тем-же что и в прошлый раз(адрес вирлаба икаруса не знаю).

Модифицируют =)

В Икарус можно отослать через мейл


Может нам тему отдельную сделать? Для обсуждения malware и подобных вопросов. А то тут, думалось, новости smile.gifsmile.gif):
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
SanchoZZ
сообщение 8.1.2011, 20:42
Сообщение #6


Болтун
Group Icon


Группа: Sibnet-club
Сообщений: 690
Регистрация: 10.12.2009
Из: Кемеровская обл. г.Топки
Пользователь №: 176 835



Репутация:   32  


А мейл вирлаба Comodo никто не знает?
Ато приходится отправлять через вэб-морду =)
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Feo
сообщение 8.1.2011, 20:54
Сообщение #7


         МЕГА флудер
Group Icon


Группа: VIP
Сообщений: 8 238
Регистрация: 1.8.2007
Из: Новосибирск
Пользователь №: 3 050



Цитата(SanchoZZ @ 8.1.2011, 19:42) *

А мейл вирлаба Comodo никто не знает?
Ато приходится отправлять через вэб-морду =)

Увы, не знаю. Разве мейлом удобней? blink.gif

Поражен скорости ohmy.gif
http://www.virustotal.com/file-scan/report...d9e7-1294494758
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
SanchoZZ
сообщение 9.1.2011, 19:22
Сообщение #8


Болтун
Group Icon


Группа: Sibnet-club
Сообщений: 690
Регистрация: 10.12.2009
Из: Кемеровская обл. г.Топки
Пользователь №: 176 835



Репутация:   32  


Уже 2й день не добавляют в базы winlock http://www.virustotal.com/file-scan/report...db82-1294504617
Ненавижу выходные вирлаба .


» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Feo
сообщение 9.1.2011, 20:03
Сообщение #9


         МЕГА флудер
Group Icon


Группа: VIP
Сообщений: 8 238
Регистрация: 1.8.2007
Из: Новосибирск
Пользователь №: 3 050



Угу, так же как и с этим.
Были отосланы вирлабам (хоть и не мной), а до сих пор молчание от известных
http://www.virustotal.com/file-scan/report...ac6d-1294578027


» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
SanchoZZ
сообщение 9.1.2011, 20:50
Сообщение #10


Болтун
Group Icon


Группа: Sibnet-club
Сообщений: 690
Регистрация: 10.12.2009
Из: Кемеровская обл. г.Топки
Пользователь №: 176 835



Репутация:   32  


Цитата(Feo @ 9.1.2011, 19:03) *

Угу, так же как и с этим.
Были отосланы вирлабам (хоть и не мной), а до сих пор молчание от известных
http://www.virustotal.com/file-scan/report...ac6d-1294578027


А это уже интересно =) Судя по Этому - его скачивают уже после заражения Hosts-ом.


/UPD
Этот WinLock, скачивается после заражения Vkhost-ом.
Сейчас нашел работающую ссыль , скачал и запустил в песочке smile.gif

Сочетание клавиш Win+D уберет банер и разблокирует переключение по Alt+Tab, но рабочий стол не показывает biggrin.gif
Копирует себя в папку WINDOWS\system32

Сообщение отредактировал SanchoZZ - 9.1.2011, 21:23


» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Feo
сообщение 9.1.2011, 20:55
Сообщение #11


         МЕГА флудер
Group Icon


Группа: VIP
Сообщений: 8 238
Регистрация: 1.8.2007
Из: Новосибирск
Пользователь №: 3 050



Цитата(SanchoZZ @ 9.1.2011, 19:50) *

А это уже интересно =) Судя по Этому - его скачивают уже после заражения Hosts-ом.
/UPD
Этот WinLock, скачивается после заражения Vkhost-ом.
Сейчас нашел работающую ссыль <!--private_data=0-->, скачал и запустил в песочке smile.gif

Сочетание клавиш Win+D уберет банер и разблокирует переключение по Alt+Tab, но рабочий стол не показывает biggrin.gif

Не показывает приват...


» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
SanchoZZ
сообщение 9.1.2011, 21:02
Сообщение #12


Болтун
Group Icon


Группа: Sibnet-club
Сообщений: 690
Регистрация: 10.12.2009
Из: Кемеровская обл. г.Топки
Пользователь №: 176 835



Репутация:   32  


Поправил. сейчас закрыл банер, а рабочий стол не появляется =)
Вот такой вот банер: Прикрепленное изображение

/upd Ушёл перезагружаться.

Сообщение отредактировал SanchoZZ - 9.1.2011, 21:04


» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Feo
сообщение 9.1.2011, 21:07
Сообщение #13


         МЕГА флудер
Group Icon


Группа: VIP
Сообщений: 8 238
Регистрация: 1.8.2007
Из: Новосибирск
Пользователь №: 3 050



Какой песок используешь?


» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
SanchoZZ
сообщение 9.1.2011, 21:11
Сообщение #14


Болтун
Group Icon


Группа: Sibnet-club
Сообщений: 690
Регистрация: 10.12.2009
Из: Кемеровская обл. г.Топки
Пользователь №: 176 835



Репутация:   32  


Встроенный в COMODO. потом другие собираюсь пробовать, например SandBoxie.


» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Feo
сообщение 9.1.2011, 21:59
Сообщение #15


         МЕГА флудер
Group Icon


Группа: VIP
Сообщений: 8 238
Регистрация: 1.8.2007
Из: Новосибирск
Пользователь №: 3 050



А я как-то пробовал через него (Комод), так какие-то ошибки лезли о недостаточных правах.
Еще Shadow Defender часто замечал используют.


» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
SanchoZZ
сообщение 9.1.2011, 22:01
Сообщение #16


Болтун
Group Icon


Группа: Sibnet-club
Сообщений: 690
Регистрация: 10.12.2009
Из: Кемеровская обл. г.Топки
Пользователь №: 176 835



Репутация:   32  


Потому что в Комодовской песочнице нельзязапустить прогу с правами админа. вот и лезут недостаточные права.

Сейчас virtualbox ставлю =)


» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
akvamistika
сообщение 10.1.2011, 0:43
Сообщение #17


Аквариумисты Сибири - объеденяйтесь !!!
Group Icon


Группа: VIP
Сообщений: 8 900
Регистрация: 28.8.2007
Из: СССР
Пользователь №: 4 944



Цитата(Feo @ 9.1.2011, 20:59) *

А я как-то пробовал через него (Комод), так какие-то ошибки лезли о недостаточных правах.
Еще Shadow Defender часто замечал используют.

Раьше использовал WinRollBack Private , сейчас Shadow Defender super.gif


» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Feo
сообщение 10.1.2011, 1:42
Сообщение #18


         МЕГА флудер
Group Icon


Группа: VIP
Сообщений: 8 238
Регистрация: 1.8.2007
Из: Новосибирск
Пользователь №: 3 050



Надо же, от Авиры пришли результаты из вирлаба по некоторым файлам. Странно...Обработка датирована 9 января. Конечно было такое, что базы обновлялись в выходные, но такое, на моей памяти, впервые!
Прикрепленное изображение


» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Feo
сообщение 10.1.2011, 16:34
Сообщение #19


         МЕГА флудер
Group Icon


Группа: VIP
Сообщений: 8 238
Регистрация: 1.8.2007
Из: Новосибирск
Пользователь №: 3 050



Чего только не придумают. http://forum.sibnet.ru/index.php?showtopic...iew=getlastpost
Смысл зловреда сделан тупо, но действенно.

2 файла hosts, один скрытый, другой нет. Скрытый (закрыт для записи), естественно - рабочий. Открываешь - пусто, листаешь вниз - список сайтов. В обычном - пусто.
А сделано все в SFX архиве WinRAR, с командами скриптов.

Прикрепленное изображение

VT

Отправлен в Avira и ESET.


» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
SanchoZZ
сообщение 10.1.2011, 18:10
Сообщение #20


Болтун
Group Icon


Группа: Sibnet-club
Сообщений: 690
Регистрация: 10.12.2009
Из: Кемеровская обл. г.Топки
Пользователь №: 176 835



Репутация:   32  


Пришел ответ от ESET по файлу http://www.virustotal.com/file-scan/report...ac6d-1294657556 добавят в базу 5774 как Win32/LockScreen.ABG

Кроме нода пока никто не ответил, ни авира, ни др.вэб, ни авг sad.gif


» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения

5 страниц V  1 2 3 > » 
Ответить в эту темуОткрыть новую тему
1 чел. просматривают этот форум (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 

Текстовая версия Сейчас: 17.7.2019, 0:16
Редакция: (383) 347-86-84

Техподдержка: (383) 347-22-44
help.sibnet.ru
Размещение рекламы:
тел: (383) 347-06-78, 347-10-50

Правила использования материалов