Посмотрите файл

Discussion in 'Безопасность и Анонимность' started by NaRK, 2 Apr 2010.

  1. NaRK

    NaRK New Member

    Joined:
    13 Apr 2009
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    Сегодня чел написал в аську (его icq 587790685) говорит типа есть заказы, кинул ссыль на этот файл http://www.sendspace.com/file/01xipb там архив, открыл я его там два файла:
    criterii.txt
    group.txt.lnk

    когда открываешь первый файл, там одна хрень корявая написанна, открываешь group вылазиет окно сверху написанно form. Как думаете вирусняк, если да то как он устроен и что ворует?
     
    #1 NaRK, 2 Apr 2010
  2. yaneblinchik

    yaneblinchik Member

    Joined:
    6 Feb 2010
    Messages:
    113
    Likes Received:
    19
    Reputations:
    0
    первый текстовик,второй ярлык -скорее всего имитация вируса вирус. Который например удаляет где то папку,или значение какое то меняет. Все ведет к вирусу))если сложить оба файла
    ЗЫ:не скаичвал,так что только предположения
     
    #2 yaneblinchik, 2 Apr 2010
  3. PvgValo

    PvgValo Active Member

    Joined:
    1 Aug 2009
    Messages:
    548
    Likes Received:
    160
    Reputations:
    57
    NaRK, ярлык запускает командную строку и вставляет туда текст из файла. Текст еще не глядел
     
    #3 PvgValo, 2 Apr 2010
  4. PvgValo

    PvgValo Active Member

    Joined:
    1 Aug 2009
    Messages:
    548
    Likes Received:
    160
    Reputations:
    57
    Ну а текстовый файл - это экзешник упакованный
     
    #4 PvgValo, 2 Apr 2010
  5. cheater_man

    cheater_man Member

    Joined:
    13 Nov 2009
    Messages:
    651
    Likes Received:
    44
    Reputations:
    7
    Хренасе :D
    group.txt переименовывает criterii.txt в criterii.exe запускает
    Code:
    %windir%\system32\cmd.exe /c criterii.txt
    C ПРАВАМИ АДМИНА!!!
    написан на delphi
    короче создаются 3 формы, одну из которых ты видишь :) А две не видишь
    Code:
    object Form1: TForm1
  Left = 119
  Top = 5000
  Width = 696
  Height = 480
  Caption = 'Form1'
  Color = clBtnFace
  Font.Charset = DEFAULT_CHARSET
  Font.Color = clWindowText
  Font.Height = -11
  Font.Name = 'MS Sans Serif'
  Font.Style = []
  OldCreateOrder = False
  OnCreate = FormCreate
  OnShow = FormShow
  PixelsPerInch = 96
  TextHeight = 13
  object Timer1: TTimer
    Enabled = False
    Interval = 1
    OnTimer = Timer1Timer
    Left = 192
    Top = 120
  end
end
    Вредоносного пока ничего не смог рассмотреть ;)
    PS.Ипать винт накрылся Sagate на 40Gb :(
     
    #5 cheater_man, 2 Apr 2010
    Last edited: 2 Apr 2010
  6. NaRK

    NaRK New Member

    Joined:
    13 Apr 2009
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    Эт че ты серьезно что ли?
     
    #6 NaRK, 2 Apr 2010
  7. cheater_man

    cheater_man Member

    Joined:
    13 Nov 2009
    Messages:
    651
    Likes Received:
    44
    Reputations:
    7
    Да... он давно глючать начал :( , но ничего сейчас запустился :) всю инфу с него уже копирнул ;) Так что теперь опыты будем на нем проводить :D
     
    #7 cheater_man, 2 Apr 2010
  8. xor[jmp]

    xor[jmp] Banned

    Joined:
    29 Mar 2010
    Messages:
    89
    Likes Received:
    14
    Reputations:
    3
    Мммм неплохо задумано...Ещё не встречал подобного рода вирусов, сейчас посмотрю ^_^
     
    #8 xor[jmp], 2 Apr 2010
  9. NaRK

    NaRK New Member

    Joined:
    13 Apr 2009
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    Ну че он вообще делает? Просто так окошки запускает что ли?
     
    #9 NaRK, 2 Apr 2010
  10. buxmanager

    buxmanager Elder - Старейшина

    Joined:
    1 Apr 2009
    Messages:
    610
    Likes Received:
    229
    Reputations:
    69
    всех убил походу уже....))))))
     
    #10 buxmanager, 3 Apr 2010
  11. BLaZeViL

    BLaZeViL Elder - Старейшина

    Joined:
    19 Mar 2008
    Messages:
    73
    Likes Received:
    9
    Reputations:
    0
    я к ним =D
     
    #11 BLaZeViL, 3 Apr 2010
  12. gars0n

    gars0n Elder - Старейшина

    Joined:
    9 Dec 2009
    Messages:
    483
    Likes Received:
    104
    Reputations:
    65
    :)
     
    #12 gars0n, 4 Apr 2010
  13. BLaZeViL

    BLaZeViL Elder - Старейшина

    Joined:
    19 Mar 2008
    Messages:
    73
    Likes Received:
    9
    Reputations:
    0
    Ни в том интерес, узнать что это вирус или нет) а увидеть его разобранным =) может можно попасть туда куда отчеты приходят и посмотреть остальных кто на эту шутку попался, как раньше баловались пинчем
     
    #13 BLaZeViL, 4 Apr 2010
  14. shiku

    shiku Member

    Joined:
    6 Aug 2009
    Messages:
    0
    Likes Received:
    25
    Reputations:
    1
    Скорее всего веб мани ворует этот троян) Его целевая аудитория какраз посетители таких форумов как этот, ведь у кого как ни у веб мастера будет веб мани с суммой приличной. Выход-ставьте блокировку по айпи на кипере и не качайте говно всякое на свой комп!
     
    #14 shiku, 4 Apr 2010
    2 people like this.
  15. cheater_man

    cheater_man Member

    Joined:
    13 Nov 2009
    Messages:
    651
    Likes Received:
    44
    Reputations:
    7
    Возможно... Я этот процесс запускал на виртуалке и ослеживал PE, Никаких признаков вируса не увидел. Потом анализировал его OllyDbr, и опять ничего троянского низаметил ;)
     
    #15 cheater_man, 5 Apr 2010
  16. Life7

    Life7 Banned

    Joined:
    14 Jun 2009
    Messages:
    150
    Likes Received:
    54
    Reputations:
    0
    дам куда мир катится
     
    #16 Life7, 5 Apr 2010
  17. boklan

    boklan New Member

    Joined:
    22 Dec 2009
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    Trojan-PSW.Win32.WebMoner.rw
    Старый трюк. И из архива он не запускаеться...только из папки
     
    #17 boklan, 13 Apr 2010
(You must log in or sign up to post here.)