Добро пожаловать! Это — архивная версия форумов на «Хакер.Ru». Она работает в режиме read-only.
 
журналы новости статьи video форум подписка на «Хакер»

Помощь в проверке файлика

Пользователи, просматривающие топик: none

Зашли как: Guest
Все форумы >> [Защита] >> Помощь в проверке файлика
Имя
Сообщение << Старые топики   Новые топики >>
Помощь в проверке файлика - 2011-12-23 23:07:12.023333   
Krutish

Сообщений: 2
Оценки: 0
Присоединился: 2011-12-23 22:38:17.286666
 Один знакомый дал файлик (для одной игрушки). Нод на него не орал. Разумеется ноду я не доверяю, как и всем антивирям. Отправил в вирустотал. Некоторые антивирусы определили как Backdoor (подробнее смотрите в отчёте). Запустил через виртуалку, появляется в трее и в процессах, а потом пропадает. Запустил в песочнице. Он создал файл (батник) в \user\current\Local Settings\Temp\~omhipks.bat Внутри:
@echo off copy starter.dll starter.exe del /f /s /q %userprofile%\okna*.* del /f /s /q %userprofile%\bot_updаtе*.*
У меня мало опыта в анализе вредоносного ПО :( Как ещё можно проанализировать что это такое, куда устанавливается, что делает и т.д.? Вот ссылка на, собственно, сам файл в архиве. Отчёт вирустотала

virustotal.com/file-scan/report.HТМL?id=363e66d40f2fd7f95bf4fb96637e1efebe88bd4a254c29df858aa612ec3870ba-1324666978
HТМL - маленькими буквами нужно, а то если большими, то ссылка нерабочей становится…
Post #: 1
RE: Помощь в проверке файлика - 2011-12-24 01:06:31.100000   
namepunk

Сообщений: 2732
Оценки: 184
Присоединился: 2009-09-15 13:35:36.866666
 Сейчас смотреть нету ни времени ни желания. В понедельник посмотрю.
Можешь сам глянуть.
1. Снять полную копию реестра и файловой системы до и после запуска файла с помощью Systracer и сравнить между собой.
2. Закинуть файл на анализ http://anubis.iseclab.org/ и посмотреть отчет.
Post #: 2
RE: Помощь в проверке файлика - 2011-12-24 12:48:58.990000   
Flint_ta

Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
 Это AutoIt, вот декомпилированный скрипт http://zalil.ru/32360282
Post #: 3
RE: Помощь в проверке файлика - 2011-12-24 18:04:49.583333   
Krutish

Сообщений: 2
Оценки: 0
Присоединился: 2011-12-23 22:38:17.286666
 А что он делает? Просто я в программировании не очень разбираюсь. Понял только, что он работает с процессом Nksp.exe А вот на троян не похоже что-то. В виртуалке он запускается и сразу отключается.
Post #: 4
Страниц:  [1]
Все форумы >> [Защита] >> Помощь в проверке файлика







Связаться:
Вопросы по сайту / xakep@glc.ru

Предупреждение: использование полученных знаний в противозаконных целях преследуется по закону.