Перейти к содержанию

Recommended Posts

ak_
Проверил: оба файла - малвара (ZBot), наш детект верен. Так что вариант - b :facepalm:

Тут я немного накосячил. Дело в том, что после запуска файлы 237 (17).exe и 237 (18).exe (Zботы) самоуничтожаются, дропая файл со случайным именем в директорию C:\Users\....\AppData\Roaming\... На скрине выше это файлы lyil.exe и ytoj.exe.

В тот раз они по какой-то причине самоуничтожились не полностью, оставив пустышки размером 0 байт. Их то я (не обратив внимания на размер) и запаковал для отправки в вирлаб Авиры. Естественно, что вредоносный код в этих файлах обнаружен не был.

Мы получили следующие файлы архива:ID файла Имя файла Объем (байты) Результат

26278790 237.zip 614.77 KB OK

Список файлов и результатов, содержавшихся в архивах, приведен ниже:ID файла Имя файла Объем (байты) Результат

26278791 237 (11).log 226 Byte CLEAN

26278792 237 (7).exe 71.02 KB CLEAN

26278793 237 (8).exe 62.5 KB MALWARE

26278794 lyil.exe 81.5 KB MALWARE

26278795 ytoj.exe 157.5 KB MALWARE

26286345 login_web.dat 67.79 KB FALSE POSITIVE

29538499 237 (11).exe 651.7 KB KNOWN CLEAN

4039214 237 (17).exe 0 Byte KNOWN CLEAN

4039214 237 (18).exe 0 Byte KNOWN CLEAN

А на Вирустотал я отправлял файлы ещё до их запуска.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

http://www.virustotal.com/file-scan/report...34a5-1318868059

Мы свой детект сняли TrojanDownloader.Banload.bfvp, вчера тот же Dr.Web не детектил, а сегодня уже детектит. Интересно они файл то смотрели или тупо детект "уперли" ?

Само файло - авторун от аддона к игре MSF X. :)

Ну естественно и смотрим на остальных "халявщиков" и делаем выводы об их уровне. :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Само файло - авторун от аддона к игре MSF X. :)

Корявый он какой-то icon4.gif

Снимок_2011_10_17_21_23_25.png

post-4500-1318872280_thumb.png

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Dmitriy K, ну это да. Там все аддоны не особо "прямые". Но не суть. Суть в том - фалса. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
http://www.virustotal.com/file-scan/report...34a5-1318868059

Мы свой детект сняли TrojanDownloader.Banload.bfvp, вчера тот же Dr.Web не детектил, а сегодня уже детектит. Интересно они файл то смотрели или тупо детект "уперли" ?

Скорее всего, робот добавил "по доверию".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Скорее всего, робот добавил "по доверию".

Это теперь так называется "с&^издили" ? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Это теперь так называется "с&^издили" ? :)

"с&^издили" -- это если бы имя детекта было похожим. А так -- "и только Dr.Web!" © :P

P.S. Должны будут пофиксить.

UPD:VBA32 - fixed. Будет доступно с обновлением баз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

http://www.virustotal.com/file-scan/report...c4fb-1321819043

Главпоставщик наименований детектов для их заимствования уже прислал уведомление об исправлении.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Парни, кто-нибудь может внятно объяснить что это и почему оно дает такой большой выхлоп ~ 55.8%

http://www.virustotal.com/file-scan/report...bbee-1323673381

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Кто-нибудь из Kaspersky будет реагировать? Похоже детекты копи-пастили у них.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

rkhunter, т.е мы виноваты да? :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Ну вы в данном случае задаете тон добавления какого-то мусора.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин

Битый кусок трояна, исправлять смысла нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

По этому же сэмплу могу сказать следующее.

Обнаружен он был в активном состоянии на одном ноутбуке. WinXP, SP2.

Висел в памяти в количестве около десятка экземпляров.

На диске в system32 лежал под разными именами в количестве около трёх десятков экземпляров.

В реестре в HKLM/Software/Microsoft/Windows/CurrentVersion/Run находился в количестве порядка 15 строчек, некоторые из которых ссылались на одинаковые файлы.

Плюс есть такой факт, что в вирусную лабораторию Dr.Web данный сэмпл отсылал не только я, т.е. более одного человека.

В итоге получается несостыковка с тем, что говорят вирусные аналитики и тем, что я видел данный сэмпл в _очень_ активном состоянии.

Т.е. я верю, что вирлабах это падает, и вообще мусор, но не стыкуется с тем, что я видел этот сэмпл вполне успешно работающим и тем, что отправлял его по вирлабам именно в таком виде не только я.

Кто что может сказать по этому поводу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

С одного поля ягодки, но, тем не менее:

http://www.virustotal.com/file-scan/reanal...8624-1324230282

http://www.virustotal.com/file-scan/reanal...7ac9-1324230309

http://www.virustotal.com/file-scan/reanal...e3bd-1324230324

Из ЛК прислали уведомление об исправлении, Dr.Web и VBA32 -- исправление ожидается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Ссылка опять битая...

Ну это уже вошло в моду VT. То их DDoS'ят, то ссылки из базы данных теряются.

http://www.virustotal.com/file-scan/reanal...03b5-1325753343

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

https://www.virustotal.com/file/30abff9c122...fd05e/analysis/

Не всё то трой, что китайское. В данном случае. :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

https://www.virustotal.com/file/9b0a6005551...sis/1332093180/

не фолс как таковой, но иногда вредно, когда добавляет чей-то робот (Trojan.Win32.Vilsel), а остальные потом "списывают".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
https://www.virustotal.com/file/9b0a6005551...sis/1332093180/

не фолс как таковой, но иногда вредно, когда добавляет чей-то робот (Trojan.Win32.Vilsel), а остальные потом "списывают".

"Списывальщики" оказались неспособными определить заражение системы, как и тот, у кого списали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • AprilNox
      Has anybody used CBD before? I am very keen to get some CBD Honey Sticks for coughing. Can someone recommend a good brand? I'm presently contemplating JustCBD and Goldleaf Spektrum. Many thanks
    • Ego Dekker
      Антивирусы для macOS были обновлены до версии 6.10.700.
    • ForetFR
      CLIMB Hearsay from Earth - https://mebonus.ru
      Google №Wet

      Palestinians scoot as Israel bombards haunts from style, swell and sod!!!

      Google Hearsay

      People in Gaza fled their homes carrying crying children and valued possessions as Israeli forces pounded the vicinage from aura, adrift and land on Friday.
      The escalating controversy triggered furious protests in the occupied West Bank, where seven Palestinians were killed by way of Israeli army fire, and moreover fury between Arabs and Jews in Israel.
      Hamas praised the clashes between stone-throwing youths and Israeli soldiers in the West Bank grevorgАЛИdVhower , m‚tier on Palestinians to “set the ground ablaze under the feet of the rule”.
      Google RUMOUR - Wet
      In a meritorious escalation in the worst bout of fighting between Israel and Hamas looking for seven years, oppressive artillery fire was aimed at what the Israeli military said was a hefty network of fighter tunnels. Dozens of Hamas operatives were killed in the strikes, the Israel Apologia Forces (IDF) said.
      Palestinian protesters burn tyres and throw stones at Israeli forces in the West Bank community of Nablus

      There was gallimaufry overnight after the IDF corrected an earlier communiqu‚ saying that base troops were “currently attacking in the Gaza Strip”. A blemished proclamation clarified that there was no excuse sediment aggression, but artillery and tank vivacity from the border. “Clarification: there are currently no IDF establish troops reversed the Gaza Strip. IDF current and area forces are carrying out strikes on targets in the Gaza Strip,” it said.
      What is the current Israel-Gaza turning-point far and where is it heading?
      Deliver assign to more - GOOD COPY - in cak

      Analysts suggested it was a purposeful ploy intended to onwards elder Hamas figures to split for into a network of hidden tunnels known as “the metro”. Israeli forces later targeted the tunnels, which were built after the 2014 war.
      An IDF asseveration said 160 aircraft had “struck over 150 subterranean targets in the northern Gaza Shed one's clothes” overnight. Israel’s forces destroyed “many kilometres” of the tunnels during the assail, it claimed.
      A multi-storey building casing a bank affiliated with Hamas was destroyed, and weapons opus and naval sites were also smash, it said.

      Palestinians living in areas closed to the Gaza-Israel frieze fled their homes in pickup trucks, on donkeys and on foot. Some went to UN-run schools in Gaza Urban district, carrying small children, household essentials and food.
      Hedaia Maarouf, who left-wing her serene with her extended kinfolk of 19 people, including 13 children, said: “We were terrified instead of our children, who were screaming and shaking.”
      A Palestinian kindred flees their home in Beit Lahya in the northern Gaza Strip?
      In northern Gaza, Rafat Tanani, his having a bun in the oven strife and four children were killed after an Israeli warplane reduced a building to rubble, residents said.
      Bill - Matt Gaetz associate pleads contrite to sexual congress trafficking crimes – US manipulation animate Bouts

      The death chime in Gaza rose to over and above 120, with a dressy increase in the number of people injured in the overnight onslaught, according to the Gaza health ministry. At least 31 children bear been killed.
      Hospitals that were already struggling to wine patients with Covid received an influx of people with shrapnel wounds and other injuries. Some needed amputations. “All I can do is beseech,” said one hospital director.
      The UN said more than 200 homes and 24 schools in Gaza had been destroyed or severely damaged in Israeli bearing raids in the lifestyle five days. It also said residents’ access to inexperienced spa water could be limited because of power cuts and harm to pipe networks.
      Increased power blackouts are expected as nuclear fuel supplies off low. Most families already exclusively have power in regard to four or five hours a daylight, and hospitals are stiff to rely on generators.

      Hamas and other militant groups continued to fusillade rockets into Israel, where example sirens sounded in towns and communities. The Israeli military said it had intercepted at least five drones carrying explosives launched from Gaza since Thursday.
      Read more Scandal - HEARSAY - in Wet

      Statistic Tidings Front-page news
      http://mebonus.ru - Front-page news of Googles
    • кустомер
      Всем здравствуйте. СРАЗУ оговорка:
      Кнопка "Создать новую тему" только на главной странице форума.
      В выпадающем её меню НЕактивны абсолютно все разделы кроме этого.
      Тему разместить хотелось-бы в другом разделе.
      Ответ на тот вопрос ― наверное поэтому.
      Собственно по делу -
      У кого из считающих себя "мастером_своего_дела" могло-бы появиться желание
      подумать и высказать своё предположение метода проникновения файла сценария
      с печеньями (cookies) после того, как весь IP-диапазон адреса хранения файла
      был заблокирован в настройках Outpost, отлично справляющегося по сей день
      с блокировкой ЛЮБЫХ других (кроме этого) IP-диапазонов? Адрес(имя) файла:
      https://mc.yandex.ru/metrika/watch.js Outpost навскидку можно сравнить с другими продуктами защиты - там.

      Вопросы типа "а-зачем-вам-это-надо" будут
      расценены как флуд, отвлекающий от темы. (уважаэмым модераторам)
      Тема относится к способу проникновения этой заразы, а не к конкретному продукту защиты.
    • demkd
      на него уже давно не реагируют они сейчас самый опасный report_crash что дампы отправляет  
×