Цитата:

Сообщение от Hellight

Народ доставляет:
Файл проверен Dr.Web: Вирусов нет

Обновленная ссыль на вирустотал (https://hpc.name/redirector.html#http://www.virustotal.com/file-scan/report.html?id=3320b02f36f1ae42c67f735140c14922c4a 362c9ef0d36c0a8a8451e19ac9458-1314290674) - как видим, доктор уже палит)))))

Оперативно

Было такое 1000 раз, не переходи по сылке!

Как показал анализ, файл меняет хосты. Спасибо onthar за помощь.

Цитата:

Сообщение от [seller

;317343]Как показал анализ, файл меняет хосты.

Правильно. А вот на что именно он заменяет вконтакте:
91.223.89.101
91.220.0.38
*эх, взломать бы их
и поисковики на
193.45.17.8

Как видим, фейк довольно прикольный - по-прежнему требует смс для активации (а не сам ее высылает), но этот довольно реалистично заботиться о безопасности: требует удалить в хостах свои же строки. Вот только первый раз код активации любой прокатывает

Теперь вопрос: что это за код и для чего он нужен (немного напоминает криптор)

code:

begin
{
0045870C 54 push esp
0045870D F5 cmc
0045870E 41 inc ecx
0045870F 008100000070 add [ecx+$70000000], al
00458715 F5 cmc
00458716 41 inc ecx
00458717 008200000088 add [edx+$88000000], al
0045871D F5 cmc
0045871E 41 inc ecx
0045871F 0086000000A0 add [esi+$A0000000], al
00458725 F5 cmc
00458726 41 inc ecx
00458727 0088000000B8 add [eax+$B8000000], cl
0045872D F5 cmc
0045872E 41 inc ecx
0045872F 00A1000000D4 add [ecx+$D4000000], ah
00458735 F5 cmc
00458736 41 inc ecx
00458737 00A2000000EC add [edx+$EC000000], ah
0045873D F5 cmc
0045873E 41 inc ecx
0045873F 00B100000004 add [ecx+$4000000], dh
00458745 F64100B2 test byte ptr [ecx+$00], $B2
00458749 0000 add [eax], al
}
end.

Цитата:

Сообщение от Hellight

Народ доставляет:
Файл проверен Dr.Web: Вирусов нет

Обновленная ссыль на вирустотал (https://hpc.name/redirector.html#http://www.virustotal.com/file-scan/report.html?id=3320b02f36f1ae42c67f735140c14922c4a 362c9ef0d36c0a8a8451e19ac9458-1314290674) - как видим, доктор уже палит)))))

Файл проверяется на Dr.Web'a только после заливки файла только 1 раз.

Вначале в М-агенте приходит так:

Цитата:


привет, тут?



потом:

Цитата:

http://www.narod.ru/disk/22877041001/DSC00550.exe.html (https://hpc.name/redirector.html#http://www.narod.ru/disk/22877041001/DSC00550.exe.html) как твоя фотка туда попала?



Это приходит от друзей.когда они не в сети.т.е красные.Куда ведет эта ссылка?Какие данные снимает хакер (куки или что),когда жертва переходит по этой ссылке? и как это сделать самому,что это?

Цитата:

Сообщение от scorp1992

Вначале в М-агенте приходит так:

потом:

Это приходит от друзей.когда они не в сети.т.е красные.Куда ведет эта ссылка?Какие данные снимает хакер (куки или что),когда жертва переходит по этой ссылке? и как это сделать самому,что это?

я тебе открою секрет. Это файл залитый на файлообъеник narod.ru Пытаются впарить троя наверна))

твоих друзей хакнули и шлют всем спам из инвиза
narod.ru - файлообменник

Если интересно что это - скачай и запусти из-под виртуалки. Например в антивирусах есть такая функция.

Обычный спам, ничего большего. Переходишь по ссылке, скачиваешь файл, запускаешь. Скорее всего твои пароли улетают злоумышленнику и ты становишься ботом, то есть от тебя по агенту будет рассылаться спам такой же ссылкой. Могу исследовать файл и сказать,что он точно делает.

Кстати забыл добавить: Есть online антивирусы.

судя результату я бы не советовал запускать его))
http://www.virustotal.com/file-scan/...458-1314289429 (https://hpc.name/redirector.html#http://www.virustotal.com/file-scan/report.html?id=3320b02f36f1ae42c67f735140c14922c4a 362c9ef0d36c0a8a8451e19ac9458-1314289429)

Народ доставляет:
Файл проверен Dr.Web: Вирусов нет

Обновленная ссыль на вирустотал (https://hpc.name/redirector.html#http://www.virustotal.com/file-scan/report.html?id=3320b02f36f1ae42c67f735140c14922c4a 362c9ef0d36c0a8a8451e19ac9458-1314290674) - как видим, доктор уже палит)))))

Установи с сайта Dr.Web'а online антивирус для браузера. И проверяй каждую подозрительную ссыль на вирусы. Очччень удобно.

Я лично сижу на Линуксе, вирусы мне не страшны, да и Яваскрипт выключаю, когда мне дают ссылку И тебе советую так сделать.

Я лично сижу на Линуксе, вирусы мне не страшны, да и Яваскрипт выключаю, когда мне дают ссылку И тебе советую так сделать.

согласен Линукс зе бест

это обычный спам от людей мне также она идет,акки какойто хакер ломанул и отсылает мне от моих друзей,я из любопытства скачал эту прогу так коряво зделана 100% виряк поставилил картинку как у стандартного jpg очень коряво вообшем не включайте кстати это уже обсуждалось я тему создавал поиши...написана вроде прога эта на Delphi 7 точно не помню уже...

Здесь (https://hpc.name/redirector.html#http://onthar.in/articles/mail-agent-vredonosnyj-spam/) описано о нем.

Цитата:

Сообщение от _Werewolf_

Если интересно что это - скачай и запусти из-под виртуалки. Например в антивирусах есть такая функция.

А если в трояне есть функсия обхода виртуалки? Если есть функция обхода антивирусов и фаеров? Думай перед тем что советуешь. Ведь могут пострадать люди.

Добавлено через 1 минуту

Цитата:

Сообщение от Nexent

Я лично сижу на Линуксе, вирусы мне не страшны, да и Яваскрипт выключаю, когда мне дают ссылку И тебе советую так сделать.

Ну я бы не говорил что тебе вирусы не страшны. Смотря под каким дистрибутивом сидишь. Вирусы под линь уже давно есть и это не панацея.
Да и ботнеты из армии линуксов не новость. Так что погугли и узнай что твой линукс тоже уязвим.

Цитата:

Сообщение от RolexXak

функсия

1) Функция.
2) Мне такие вирусы не разу не попадались, поэтому и советовал. Как говорится "Век живи - век учись". Спасибо за ЦУ.
А насчет уязвимого линукса - присоединяюсь. И под него всякие интересные вещи пишут.