ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
28.02.2008, 12:09
|
|
HARDstasy
Регистрация: 26.11.2004
Сообщений: 1,367
Провел на форуме:
4226592
Репутация:
2175
|
|
Сообщение от TruPAC
ps
а почему так долго тянули с ответом?
ты бы сам лу4ше появлялся в открытую собой же тему по4аще, 4ем раз в 3 дня...
|
|
|
28.02.2008, 14:12
|
|
Познающий
Регистрация: 20.12.2007
Сообщений: 36
Провел на форуме:
71113
Репутация:
20
|
|
ну почему же?
первые сутки я тут почти безвылазно сидел. а ответил мне только один человек и то поленившись прочесть то что я написал.
|
|
|
|
29.02.2008, 14:18
|
|
Познающий
Регистрация: 20.12.2007
Сообщений: 36
Провел на форуме:
71113
Репутация:
20
|
|
вот ссылочка на зараженный блокнот (100 кубов)
http://atomx.ru/5544943
а вот сам вирус без примбамбасов (чуть меньше чем 40)
http://atomx.ru/5545016
|
|
|
|
29.02.2008, 21:21
|
|
Познающий
Регистрация: 05.06.2007
Сообщений: 50
Провел на форуме:
151281
Репутация:
259
|
|
чистый Hllp - лечить его лёгко))) находишь конец вируса.. после него до конца файла идёт неизменённый файл))) в общем, лечилку могу написать как два пальца об асфальт...
|
|
|
|
29.02.2008, 21:45
|
|
Познающий
Регистрация: 20.12.2007
Сообщений: 36
Провел на форуме:
71113
Репутация:
20
|
|
буду жутко благодарен как и за лечилку, так и за пример того как это делается!
|
|
|
|
29.02.2008, 22:23
|
|
HARDstasy
Регистрация: 26.11.2004
Сообщений: 1,367
Провел на форуме:
4226592
Репутация:
2175
|
|
нужно отрезать первые 33.949 байт у инфицированного файла, пофиксить заголовок, коли4есво секций етц. и самое важное - найти оригинальную (потертую вирем) то4ку входа, к которй должен быть переходник после отработки упаковщика виря. если будет время завтра мож гляну стаб и мож напишу генерился если будет актуально...
|
|
|
|
29.02.2008, 23:34
|
|
Познающий
Регистрация: 20.12.2007
Сообщений: 36
Провел на форуме:
71113
Репутация:
20
|
|
будет
|
|
|
|
01.03.2008, 00:32
|
|
Познающий
Регистрация: 05.06.2007
Сообщений: 50
Провел на форуме:
151281
Репутация:
259
|
|
нужно отрезать первые 33.949 байт у инфицированного файла, пофиксить заголовок, коли4есво секций етц. и самое важное - найти оригинальную (потертую вирем) то4ку входа, к которй должен быть переходник после отработки упаковщика виря. если будет время завтра мож гляну стаб и мож напишу генерился если будет актуально..
Зверь оказался ещё тупей.. Он не меняет точку входа у жертвы, он просто пишет жертву в конец, а себе ставит её первую иконку, т.о. размер виря может немного меняться (в зависимости от иконки).. короче проще всего всего делать так:
1) ищем все ехе
2) расшариваем их на предмет сигнатуры конца виря.. (она всегда одинакоавая..)
3)если находим.. копируем с текущей позиции весь оставшийся файл в буфер, далее обнуляем файл и пишем в новый файл содержимое буфера,
4)вот и всё лечение...
|
|
|
|
01.03.2008, 01:22
|
|
Познавший АНТИЧАТ
Регистрация: 26.03.2007
Сообщений: 1,095
Провел на форуме:
5265510
Репутация:
455
|
|
Скачал я твой блокнот и каспер его запалил как Worm.Win32/Viking.bb
описание есть только для викинга а оно тут http://www.viruslist.com/ru/viruses/encyclopedia?virusid=73406
Тест заразил 9 файлов
Касперский 7 с последними базами их выличил без проблем =) так что не надо говарить что антивирусы только удолять умеют. =)
|
|
|
|
01.03.2008, 01:41
|
|
Познающий
Регистрация: 05.06.2007
Сообщений: 50
Провел на форуме:
151281
Репутация:
259
|
|
Скачал я твой блокнот и каспер его запалил как Worm.Win32/Viking.bb
описание есть только для викинга а оно тут http://www.viruslist.com/ru/viruses/encyclopedia?virusid=73406
Тест заразил 9 файлов
Касперский 7 с последними базами их выличил без проблем =) так что не надо говарить что антивирусы только удолять умеют. =)
Гы.. Невероятный тебе респект)).. Я уже начал писать антивирь)) Хорошо что ты остановил)) Но вообще каспер действительно умеет лечить делеко не все файловые вири.. такие тупые как этот конечно запросто, а вот что-то сложней (например вирусы моего генератора вирусов - GVDG), он предлагает удалить)) Так это не самое смешное.. Как-то я чисто в обучающих целях нашкрябал простенький вирус, руганью в адрес каспера "подбил" их добавить вирус в базы, как излечимый.. После этого я упаковал вирус UPX-ом, попробывал заразить и вылечить.. Вышло имено то чего я и ожидал.. каспер, канечно же определил вирус упаканый upx-ом, радостно предложил лечить)) (наивный албанец).. Благополучно сообщил мне что лечение прошло просто супер)) КОРОЧЕ КАСПЕР ОТРЕЗАЛ ОТ НЕСЧАСТНЫХ ЖЕРТВ ИЗ НАЧАЛА КУСОК РАЗМЕРОМ РАВНЫМ РАЗНИЦЕ МЕЖДУ НЕПАКАНЫМ И ПАКАНЫМ ВИРЁМ - ТЕМ САМЫМ СДЕЛАВ ФАЙЛЫ, ДАЖЕ ТЕОРЕТИЧЕСКИ НЕИЗЛЕЧИМЫМИ))) Вот такой вот каспер - злобный умнеГ))
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
