Как распотрошить вирус Penetrator?
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Как распотрошить вирус Penetrator? - 2009-01-12 18:40:40.650000
|
|
|
Medovuha
Сообщений: 23
Оценки: 0
Присоединился: 2009-01-12 16:29:51.973333
|
Подскажите ламеру ушастому :)
Есть тело пенетратора (файл *.scr, вес 117 КВ) как его распотрошить, чтобы исходный код прочитать?
Пакостить никому не собираюсь, просто интересно…
|
|
|
|
|
RE: Как распотрошить вирус Penetrator? - 2009-01-12 18:56:19.646666
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
во-первых, переименовать в exe. Далее воспользоваться дизассемблером, чтобы получить дизассемблерный листинг. Затем выучить язык ассемблер и курить то что получил в листинге.
|
|
|
|
|
RE: Как распотрошить вирус Penetrator? - 2009-01-12 19:02:01.633333
|
|
|
Medovuha
Сообщений: 23
Оценки: 0
Присоединился: 2009-01-12 16:29:51.973333
|
HIEW 6.65 - это подойдет?
|
|
|
|
|
RE: Как распотрошить вирус Penetrator? - 2009-01-12 19:05:04.460000
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
В принципе подойдет :)
|
|
|
|
|
RE: Как распотрошить вирус Penetrator? - 2009-01-12 19:42:32.436666
|
|
|
Medovuha
Сообщений: 23
Оценки: 0
Присоединился: 2009-01-12 16:29:51.973333
|
но для начала файл нужно распаковать?
а узнать чем он запакован можно с помощью PEid, так?
|
|
|
|
|
RE: Как распотрошить вирус Penetrator? - 2009-01-12 19:59:12.323333
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Да
|
|
|
|
|
RE: Как распотрошить вирус Penetrator? - 2009-01-12 21:27:34.443333
|
|
|
FriLL
Сообщений: 2539
Оценки: 335
Присоединился: 2007-08-11 17:14:26.703333
|
всегда думал почему создатели отладчиков и дизассамблров не встоят туда чтота типа PeID
|
|
|
|
|
RE: Как распотрошить вирус Penetrator? - 2009-01-13 16:07:51.930000
|
|
|
Medovuha
Сообщений: 23
Оценки: 0
Присоединился: 2009-01-12 16:29:51.973333
|
продолжим?
загрузил вирус в EXEInfo PE 0.0.2.1
результат: UPX -> Markus & Laszlo ver. [ 1.93 ] <- info from file.
unpack "upx.exe -d" from http://upx.sf.net or any UPX/Generic unpacker
попробовал PE Scan 3.31
результат: possible packer\encryptor UPX 0.80-1.23
загрузил файл в UPX Generic Unpacker
результат: it seams this file isn't packed with UPX!
тупик…
в PE Explorer 1.99 во вкладке Dependency scanner подгружается msvbvm60.dll
http://s48.radikal.ru/i119/0901/38/c5d9d753c77d.jpg
дальше то что делать?
и вопрос вопросов: а как вы определяете на каком языке написан вирус?
|
|
|
|
|
RE: Как распотрошить вирус Penetrator? - 2009-01-13 16:15:41.960000
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
на визуал бэйсик, т.к. присутствует библиотека msvbvm60.dll
Значет нужно использовать декомпилятор для VB. Гугли по слову VB Decompiler, в нете были ссылки на full версию, хотя подойдет и lite версия.
Вначале только нужно снять UPX
|
|
|
|
|
RE: Как распотрошить вирус Penetrator? - 2009-01-13 16:55:34.930000
|
|
|
Medovuha
Сообщений: 23
Оценки: 0
Присоединился: 2009-01-12 16:29:51.973333
|
Вначале только нужно снять UPX
и как его снять?
|
|
|
|
|
RE: Как распотрошить вирус Penetrator? - 2009-01-13 17:24:45.976666
|
|
|
Medovuha
Сообщений: 23
Оценки: 0
Присоединился: 2009-01-12 16:29:51.973333
|
нифига, не взял его VB Decompiler 7.0
|
|
|
|
|
RE: Как распотрошить вирус Penetrator? - 2009-01-13 20:28:52.436666
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Довайте сюда ваш вирус!
|
|
|
|
|
RE: Как распотрошить вирус Penetrator? - 2009-01-14 06:45:31.253333
|
|
|
Medovuha
Сообщений: 23
Оценки: 0
Присоединился: 2009-01-12 16:29:51.973333
|
в личку кину ссылку…
|
|
|
|
|
RE: Как распотрошить вирус Penetrator? - 2009-01-14 12:10:52.286666
|
|
|
bj70
Сообщений: 3
Оценки: 0
Присоединился: 2009-01-14 12:04:27.836666
|
А мне тоже можно этот вирус?
|
|
|
|
|
RE: Как распотрошить вирус Penetrator? - 2009-01-14 12:30:04.576666
|
|
|
bj70
Сообщений: 3
Оценки: 0
Присоединился: 2009-01-14 12:04:27.836666
|
Пакостить, естественно, тоже никому не собираюсь, но очень им интересуюсь
|
|
|
|
|
RE: Как распотрошить вирус Penetrator? - 2009-01-14 17:18:20.763333
|
|
|
Medovuha
Сообщений: 23
Оценки: 0
Присоединился: 2009-01-12 16:29:51.973333
|
quote:
ORIGINAL: bj70
Пакостить, естественно, тоже никому не собираюсь, но очень им интересуюсь
только после разрешения администрации ресурса….
исключительно в ознакомительных целях ибо не фиг!!!
|
|
|
|
|
RE: Как распотрошить вирус Penetrator? - 2009-01-14 17:36:19.546666
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Сохранил тебе проект обоих файлов который выдал декомпилятор
http://dump.ru/file/1427734
|
|
|
|
|
RE: Как распотрошить вирус Penetrator? - 2009-01-14 18:05:44.233333
|
|
|
Medovuha
Сообщений: 23
Оценки: 0
Присоединился: 2009-01-12 16:29:51.973333
|
пояснишь как сделал?
|
|
|
|
|
RE: Как распотрошить вирус Penetrator? - 2009-01-14 18:08:57.950000
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Снял upx, прогнал через VB Decompiler
|
|
|
|
|
RE: Как распотрошить вирус Penetrator? - 2009-01-14 18:19:55.443333
|
|
|
Medovuha
Сообщений: 23
Оценки: 0
Присоединился: 2009-01-12 16:29:51.973333
|
самое главное: чем снял UPX? ведь не снимался, сволочь…
|
|
|
|
|
RE: Как распотрошить вирус Penetrator? - 2009-01-14 18:23:32.383333
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Он сам собой снимается, он и пакер и анпакер одновременно
|
|
|
|
|
RE: Как распотрошить вирус Penetrator? - 2009-01-14 18:26:46.140000
|
|
|
Medovuha
Сообщений: 23
Оценки: 0
Присоединился: 2009-01-12 16:29:51.973333
|
quote:
ORIGINAL: Flint_ta
Он сам собой снимается, он и пакер и анпакер одновременно
слушай Flint, ты добрый человек, раз помог… но будь добр, расскажи в подробностях… какой прогой UPX снял? Generic вот его не взял…
как ты это сделал?
|
|
|
|
|
RE: Как распотрошить вирус Penetrator? - 2009-01-14 19:31:16.510000
|
|
|
bj70
Сообщений: 3
Оценки: 0
Присоединился: 2009-01-14 12:04:27.836666
|
Извиняюсь, но как получить разрешение администрации ресурса?
|
|
|
|
|
RE: Как распотрошить вирус Penetrator? - 2009-01-14 19:35:13.906666
|
|
|
Medovuha
Сообщений: 23
Оценки: 0
Присоединился: 2009-01-12 16:29:51.973333
|
http://s55.radikal.ru/i148/0901/d1/8578bacc0d9e.jpg
а куда сам файл делся? нет его нигде…
|
|
|
|
|
RE: Как распотрошить вирус Penetrator? - 2009-01-14 19:36:43.096666
|
|
|
Medovuha
Сообщений: 23
Оценки: 0
Присоединился: 2009-01-12 16:29:51.973333
|
quote:
ORIGINAL: bj70
Извиняюсь, но как получить разрешение администрации ресурса?
посмотри кто в данном разделе модератор и напиши ему в личку
ПС я кажись доигрался… у меня вирь исчез… в процессах нет, в папках тоже… куда делся?
|
|
|
|
|
RE: Как распотрошить вирус Penetrator? - 2009-01-14 20:25:02.190000
|
|
|
_vadikus_
Сообщений: 3
Оценки: 0
Присоединился: 2008-07-31 15:56:06.526666
|
2Medovuha:
Я когда-то исследовал этот вирь. Надо сказать довольно интересный экземпляр. Я тогда жил в Амурской области (этот вирь оттуда) и когда началась эпидемия (на компах рядовых юзеров в нашей глуши часто не было даже антивиря, не только файрвола) я решил посмотреть что это за зверь… Просто было интересно.
Я скинул его себе (взял у друга флешку с ним), и далее действовал так:
1)Первым делом переименнованный в .exe файл проверил на упаковку через PEiD. Показал наличие UPX'a.
2)Распаковал файл
3)Снова проверил. peid показал VB 6.0 :))
4)Декомпилятора под рукой не было, для дизассемблирования и последующего изучения листинга нужно понимать ASM, и я пошел другим путем. Взял на xakepy.ru одну хорошую программку для трассировки exe файлов (PETracer от ch1pa).
Прога работает так:
в конфигурационном файле prog.txt в первой строке пишешь полный путь до изучаемого файла. Во второй строке - значение в миллисекундах (время между запуском виря и началом его трассировки - я ставил 0). После этого сохраняй конф. файл и запускай прогу. В папке откуда запускал прогу будут отчеты. В них все активные действия изучаемого файла (ключи реестра где он прописывается, путь куда копируется, какие файлы создает, откуда запускается, что изменяет итд.):
Подробнее про прогу почитай здесь: _http://xakepy.ru/showthread.php?t=28424
я когда в школе учился, доклад на эту тему делал по информатике:)
Если что пиши в PM или в асю (в профиле), поговорим:)
ЗЫ: Советую делать все манипуляции под виртуальной машиной, т.к анализ виря происходит в памяти, т.е в процессе его работы.
|
|
|
|
|
RE: Как распотрошить вирус Penetrator? - 2009-01-15 09:11:59.336666
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
quote:
ORIGINAL: Medovuha
http://s55.radikal.ru/i148/0901/d1/8578bacc0d9e.jpg
а куда сам файл делся? нет его нигде…
Видимо в исходный файл перезаписался! :) Размер файла ведь изменился?! И посмотри что показывает теперь EXEInfo или Peid.
P.S. На будущее найди GUI для UPX, например UPX X-Shell
|
|
|
|
|
RE: Как распотрошить вирус Penetrator? - 2009-01-15 15:52:03.370000
|
|
|
Medovuha
Сообщений: 23
Оценки: 0
Присоединился: 2009-01-12 16:29:51.973333
|
нет. размер исходного файла остался прежним. 117 КБ. а этот распакованный просто исчез… ХЗ куда делся…
ПС и что мне с этим UPX X-Shell'ом делать?
ППС я не думаю, что кто-то на этом форуме родился с компом под мышкой. может ты всё-таки расскажешь, каким образом ты сделал всю работу за 5 минут, на которую я потратил 2 часа?
|
|
|
|
|
RE: Как распотрошить вирус Penetrator? - 2009-01-15 17:47:15.230000
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Дык сказал ведь уже, мне что сказать на какие кнопки в UPX X-Shell и VB Decompiler нажимал?
|
|
|
|
|
RE: Как распотрошить вирус Penetrator? - 2009-01-15 20:32:44.786666
|
|
|
FriLL
Сообщений: 2539
Оценки: 335
Присоединился: 2007-08-11 17:14:26.703333
|
вапшето многие вири настроены на автозапуск после анпака
|
|
|
|
|
RE: Как распотрошить вирус Penetrator? - 2009-01-16 02:25:39.636666
|
|
|
Medovuha
Сообщений: 23
Оценки: 0
Присоединился: 2009-01-12 16:29:51.973333
|
quote:
ORIGINAL: Flint_ta
Дык сказал ведь уже, мне что сказать на какие кнопки в UPX X-Shell и VB Decompiler нажимал?
йопт, разобрался… а сказать сразу что Шелл - это тоже самое, что и UPX, тока в виде форточки? :-)))
|
|
|
|
|
RE: Как распотрошить вирус Penetrator? - 2009-01-16 09:54:19.863333
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
quote:
йопт, разобрался… а сказать сразу что Шелл - это тоже самое, что и UPX, тока в виде форточки? :-)))
Это не тоже самое :) это только оболочка, upx там все равно лежит отдельным файлом
|
|
|
|
|
RE: Как распотрошить вирус Penetrator? - 2009-01-16 20:14:15.960000
|
|
|
kolakot11111
Сообщений: 60
Оценки: 0
Присоединился: 2008-12-15 16:39:58.646666
|
нуклея те нужно
'';!–"=&{()}
'';!–"=&{()}
"><>'",/?@%
"><>'",/?@%
|
|
|
|
|
RE: Как распотрошить вирус Penetrator? - 2009-01-17 03:28:58.003333
|
|
|
DrShaman
Сообщений: 50
Оценки: 0
Присоединился: 2009-01-06 11:09:07.876666
|
Ай) Нас поломали через хсс баг ) )) Ужас)
Ухах)
Даже сложно было заметить что img теги тут неробят)
А звёздачки он не убрал или форум выставил ?)) [sm=bj.gif][sm=bj.gif]
|
|
|
|
|
RE: Как распотрошить вирус Penetrator? - 2009-01-18 06:05:26.390000
|
|
|
Medovuha
Сообщений: 23
Оценки: 0
Присоединился: 2009-01-12 16:29:51.973333
|
quote:
ORIGINAL: хакер1995
нуклея те нужно а 1995 - это не год ли рождения? :)
|
|
|
|
|
|
" alt="" />
)
![](http://www.qweqw.ru/"/dynsrc="http://r3al.ru/java scr*ipt:ale*rt()" /1.jpg)
![](http://www.qwewqw.ru/"/dynsrc=java scr*ipt:ale*rt()/1.jpg)
