Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Безопасность (https://forum.antichat.xyz/forumdisplay.php?f=41)
-   -   Посмотрите файл (https://forum.antichat.xyz/showthread.php?t=192754)

NaRK 02.04.2010 15:13
Посмотрите файл
 
Сегодня чел написал в аську (его icq 587790685) говорит типа есть заказы, кинул ссыль на этот файл http://www.sendspace.com/file/01xipb там архив, открыл я его там два файла:
criterii.txt
group.txt.lnk

когда открываешь первый файл, там одна хрень корявая написанна, открываешь group вылазиет окно сверху написанно form. Как думаете вирусняк, если да то как он устроен и что ворует?

yaneblinchik 02.04.2010 16:09
первый текстовик,второй ярлык -скорее всего имитация вируса вирус. Который например удаляет где то папку,или значение какое то меняет. Все ведет к вирусу))если сложить оба файла
ЗЫ:не скаичвал,так что только предположения

PvgValo 02.04.2010 16:21
NaRK, ярлык запускает командную строку и вставляет туда текст из файла. Текст еще не глядел

PvgValo 02.04.2010 16:26
Ну а текстовый файл - это экзешник упакованный

cheater_man 02.04.2010 17:16
Хренасе :D
group.txt переименовывает criterii.txt в criterii.exe запускает
Код:
%windir%\system32\cmd.exe /c criterii.txt
C ПРАВАМИ АДМИНА!!!
написан на delphi
короче создаются 3 формы, одну из которых ты видишь :) А две не видишь
Код:
object Form1: TForm1
  Left = 119
  Top = 5000
  Width = 696
  Height = 480
  Caption = 'Form1'
  Color = clBtnFace
  Font.Charset = DEFAULT_CHARSET
  Font.Color = clWindowText
  Font.Height = -11
  Font.Name = 'MS Sans Serif'
  Font.Style = []
  OldCreateOrder = False
  OnCreate = FormCreate
  OnShow = FormShow
  PixelsPerInch = 96
  TextHeight = 13
  object Timer1: TTimer
    Enabled = False
    Interval = 1
    OnTimer = Timer1Timer
    Left = 192
    Top = 120
  end
end
Вредоносного пока ничего не смог рассмотреть ;)
PS.Ипать винт накрылся Sagate на 40Gb :(

NaRK 02.04.2010 18:20
Цитата:
Сообщение от cheater_man
PS.Ипать винт накрылся Sagate на 40Gb :(
Эт че ты серьезно что ли?

cheater_man 02.04.2010 19:18
Цитата:
Сообщение от NaRK
Эт че ты серьезно что ли?
Да... он давно глючать начал :( , но ничего сейчас запустился :) всю инфу с него уже копирнул ;) Так что теперь опыты будем на нем проводить :D

xor[jmp] 02.04.2010 19:19
Мммм неплохо задумано...Ещё не встречал подобного рода вирусов, сейчас посмотрю ^_^

NaRK 02.04.2010 20:11
Цитата:
Сообщение от xor[jmp]
Мммм неплохо задумано...Ещё не встречал подобного рода вирусов, сейчас посмотрю ^_^
Ну че он вообще делает? Просто так окошки запускает что ли?

buxmanager 03.04.2010 01:43
всех убил походу уже....))))))

BLaZeViL 03.04.2010 10:25
я к ним =D

gars0n 04.04.2010 01:51
Цитата:
a-squared 4.5.0.50 2010.04.03 -
AhnLab-V3 5.0.0.2 2010.04.03 -
AntiVir 7.10.6.24 2010.04.03 -
Antiy-AVL 2.0.3.7 2010.04.02 Trojan/Win32.WebMoner.gen
Authentium 5.2.0.5 2010.04.03 -
Avast 4.8.1351.0 2010.04.03 -
Avast5 5.0.332.0 2010.04.03 -
AVG 9.0.0.787 2010.04.03 -
BitDefender 7.2 2010.04.03 -
CAT-QuickHeal 10.00 2010.04.03 -
ClamAV 0.96.0.0-git 2010.04.03 -
Comodo 4488 2010.04.03 UnclassifiedMalware
DrWeb 5.0.2.03300 2010.04.03 Trojan.PWS.Panda.114
eSafe 7.0.17.0 2010.04.01 -
eTrust-Vet 35.2.7405 2010.04.02 -
F-Prot 4.5.1.85 2010.04.03 -
F-Secure 9.0.15370.0 2010.04.03 -
Fortinet 4.0.14.0 2010.04.03 -
GData 19 2010.04.03 -
Ikarus T3.1.1.80.0 2010.04.03 Trojan-PWS.Win32.WebMoner
Jiangmin 13.0.900 2010.04.03 -
K7AntiVirus 7.10.1004 2010.03.22 -
Kaspersky 7.0.0.125 2010.04.03 -
McAfee 5937 2010.03.31 -
McAfee+Artemis 5937 2010.03.31 Artemis!A1611621B26C
McAfee-GW-Edition 6.8.5 2010.04.03 -
Microsoft 1.5605 2010.04.03 -
NOD32 4997 2010.04.03 -
Norman 6.04.10 2010.04.03 -
nProtect 2009.1.8.0 2010.04.03 -
Panda 10.0.2.2 2010.04.03 -
PCTools 7.0.3.5 2010.04.03 -
Prevx 3.0 2010.04.03 -
Rising 22.41.04.05 2010.04.02 -
Sophos 4.52.0 2010.04.03 -
Sunbelt 6134 2010.04.03 -
Symantec 20091.2.0.41 2010.04.03 Suspicious.Insight
TheHacker 6.5.2.0.251 2010.04.02 -
TrendMicro 9.120.0.1004 2010.04.03 -
VBA32 3.12.12.4 2010.04.02 -
ViRobot 2010.4.3.2259 2010.04.03 -
VirusBuster 5.0.27.0 2010.04.03 -
:)

BLaZeViL 04.04.2010 11:40
Цитата:
Сообщение от gars0n
:)
Ни в том интерес, узнать что это вирус или нет) а увидеть его разобранным =) может можно попасть туда куда отчеты приходят и посмотреть остальных кто на эту шутку попался, как раньше баловались пинчем

shiku 04.04.2010 18:23
Скорее всего веб мани ворует этот троян) Его целевая аудитория какраз посетители таких форумов как этот, ведь у кого как ни у веб мастера будет веб мани с суммой приличной. Выход-ставьте блокировку по айпи на кипере и не качайте говно всякое на свой комп!

cheater_man 05.04.2010 12:59
Цитата:
Сообщение от shiku
Скорее всего веб мани ворует этот троян) Его целевая аудитория какраз посетители таких форумов как этот, ведь у кого как ни у веб мастера будет веб мани с суммой приличной. Выход-ставьте блокировку по айпи на кипере и не качайте говно всякое на свой комп!
Возможно... Я этот процесс запускал на виртуалке и ослеживал PE, Никаких признаков вируса не увидел. Потом анализировал его OllyDbr, и опять ничего троянского низаметил ;)

Life7 05.04.2010 14:32
дам куда мир катится

boklan 13.04.2010 22:50
Trojan-PSW.Win32.WebMoner.rw
Старый трюк. И из архива он не запускаеться...только из папки


Время: 22:59