Помощь в проверке файлика
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя |
Сообщение |
<< Старые топики Новые топики >> |
|
|
Помощь в проверке файлика - 2011-12-23 23:07:12.023333
|
|
|
Krutish
Сообщений: 2
Оценки: 0
Присоединился: 2011-12-23 22:38:17.286666
|
Один знакомый дал файлик (для одной игрушки). Нод на него не орал. Разумеется ноду я не доверяю, как и всем антивирям. Отправил в вирустотал. Некоторые антивирусы определили как Backdoor (подробнее смотрите в отчёте). Запустил через виртуалку, появляется в трее и в процессах, а потом пропадает. Запустил в песочнице. Он создал файл (батник) в \user\current\Local Settings\Temp\~omhipks.bat Внутри: @echo off
copy starter.dll starter.exe
del /f /s /q %userprofile%\okna*.*
del /f /s /q %userprofile%\bot_updаtе*.* У меня мало опыта в анализе вредоносного ПО :( Как ещё можно проанализировать что это такое, куда устанавливается, что делает и т.д.? Вот ссылка на, собственно, сам файл в архиве. Отчёт вирустотала virustotal.com/file-scan/report.HТМL?id=363e66d40f2fd7f95bf4fb96637e1efebe88bd4a254c29df858aa612ec3870ba-1324666978 HТМL - маленькими буквами нужно, а то если большими, то ссылка нерабочей становится…
|
|
|
RE: Помощь в проверке файлика - 2011-12-24 01:06:31.100000
|
|
|
namepunk
Сообщений: 2732
Оценки: 184
Присоединился: 2009-09-15 13:35:36.866666
|
Сейчас смотреть нету ни времени ни желания. В понедельник посмотрю. Можешь сам глянуть. 1. Снять полную копию реестра и файловой системы до и после запуска файла с помощью Systracer и сравнить между собой. 2. Закинуть файл на анализ http://anubis.iseclab.org/ и посмотреть отчет.
|
|
|
RE: Помощь в проверке файлика - 2011-12-24 12:48:58.990000
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Это AutoIt, вот декомпилированный скрипт http://zalil.ru/32360282
|
|
|
RE: Помощь в проверке файлика - 2011-12-24 18:04:49.583333
|
|
|
Krutish
Сообщений: 2
Оценки: 0
Присоединился: 2011-12-23 22:38:17.286666
|
А что он делает? Просто я в программировании не очень разбираюсь. Понял только, что он работает с процессом Nksp.exe А вот на троян не похоже что-то. В виртуалке он запускается и сразу отключается.
|
|
|
|
|