Conor29134 napisał(a): Malware from Skype
[malware] [Aby zobaczyć linki, zarejestruj się tutaj]
pass:sg[/malware]
Avira Antivirus Premium 2013 wykrywa
Emsisoft Emergency Kit wykrywa
zwykły przypadek
dorkbota
ukrywa się i ładuje do
C:\Users\TACHION\AppData\Roaming\Linkrfmnnuvioklv.exe
łączy się z adresem podświetlonym na czerwono
POST / HTTP/1.1
Authorization: Basic YmlnYm9iMDAwMDAwMUBnbWFpbC5jb206cGFzc3dvcmQ=
Content-Length: 43
X-Mining-Extensions: hostlist longpoll noncerange rollntime switchto
User-Agent: Ufasoft bitcoin-miner/0.28 (Windows NT 7 6.1.7601 Service Pack 1)
Host: xhuehs.cantvenlinea.ru:1942
Pragma: no-cache
ściąga sięi ładuje do
C:\Users\TACHION\AppData\Local\Temp\qlglrzdsnhqdfvk.exejako
bitcoin minerpozostając też w ukryciu i podtrzymując połączenie z adresem
173.0.54.88
po wykonaniu zmienia klucz
Defined registry AutoStart location created or modified:
user\current\software\Microsoft\Windows\CurrentVersion\Run\WINSXS32 = C:\Users\tachion\Desktop\qlglrzdsnhqdfvk.exe
napisany w
microsoft visual c++ 9.0
[Aby zobaczyć linki, zarejestruj się tutaj]
Conor29134 napisał(a):to czemu by nie słać ?
ja mogę podsyłać ale w mniejszych ilościach paczki typu 400 bądź więcej nie są w moim zasięgu(rozłącza co 120MB)
To skanuj paczki ArcaMicroScan, on "przy okazji skanu" wysyła im tylko te próbki co są nieznane bezpośrednio na ich ftp
[Aby zobaczyć linki, zarejestruj się tutaj]
tachion napisał(a): 441 malware by tachion z dnia 2013-04-10
Webroot+MBAM: pozostawili 1 plik: d72e42c313ad4867330a434d0e8e1e79.exe (440/441) 99,8%
Webroot+GData 2014: 441/441
100%
Malware from Skype
Webroot 0/1
GData 2014 1/1
tachion napisał(a):zwykły przypadek dorkbota
ukrywa się i ładuje do C:\Users\TACHION\AppData\Roaming\Linkrfmnnuvioklv.exe
łączy się z adresem podświetlonym na czerwono
POST / HTTP/1.1
Authorization: Basic YmlnYm9iMDAwMDAwMUBnbWFpbC5jb206cGFzc3dvcmQ=
Content-Length: 43
X-Mining-Extensions: hostlist longpoll noncerange rollntime switchto
User-Agent: Ufasoft bitcoin-miner/0.28 (Windows NT 7 6.1.7601 Service Pack 1)
Host: xhuehs.cantvenlinea.ru:1942
Pragma: no-cache
ściąga sięi ładuje do C:\Users\TACHION\AppData\Local\Temp\qlglrzdsnhqdfvk.exejako bitcoin minerpozostając też w ukryciu i podtrzymując połączenie z adresem 173.0.54.88
po wykonaniu zmienia klucz
Defined registry AutoStart location created or modified: user\current\software\Microsoft\Windows\CurrentVersion\Run\WINSXS32 = C:\Users\tachion\Desktop\qlglrzdsnhqdfvk.exe
napisany w microsoft visual c++ 9.0
[Aby zobaczyć linki, zarejestruj się tutaj]
tachion ty to dekompilujesz czy co ?
z logów z OTL idze tyle wywnioskować tyle że sa 2 pliki i 3 wpisy do rejestru
Przykład
PRC - [2013-04-12 16:13:52 | 000,506,368 | -H-- | M]() -- C:\Users\jbr\AppData\Local\Temp\trjritnskgkpdjk.exe
PRC - [2013-04-12 13:05:16 | 000,101,376 | RH-- | M]() -- C:\Users\jbr\AppData\Roaming\Pgvvpwwaqgocctdh.exe
O4 - HKLM..\Run: [Pgvvpwwaqgocctdh.exe]C:\Users\jbr\AppData\Roaming\Pgvvpwwaqgocctdh.exe ()
O4 - HKU\S-1-5-21-649295582-2107987914-6498272-10032..\Run: [Pgvvpwwaqgocctdh.exe]C:\Users\jbr\AppData\Roaming\Pgvvpwwaqgocctdh.exe ()
O4 - HKU\S-1-5-21-649295582-2107987914-6498272-10032..\Run: [WINSXS32]C:\Users\jbr\AppData\Local\Temp\trjritnskgkpdjk.exe ()
Backdoor.Win32.PMax.rmu (0Access)
Webroot+GData 2014 100%
ZBOT
Webroot+GData 2014 100%
62 Zeroaccess-$ Recycle.Bin
Webroot+GData 2014 100%
Test na stronach porno (
[Aby zobaczyć linki, zarejestruj się tutaj]
)
GData 0/5
Webroot 5/5
Conor29134 napisał(a):tachion ty to dekompilujesz czy co ?
z logów z OTL idze tyle wywnioskować tyle że sa 2 pliki i 3 wpisy do rejestru
No jak widzisz można być zgodnym
Co do analizy to jeśli się ma schematy działań metodą behawioralną poszczególnych zagrożeń to wynik jest jednoznaczny ale nie tylko to wchodzi w rachubę bo analiz i metod analizowania jest wiele zaczynając od prostych i skończywszy na bardziej skomplikowanych,typu IDA,olydbg odczyty ze strings czy tam binarek,zakładaniu hooków,zrzutach malwaru z pamięci który był wcześniej poddany metodzie zaciemnienia kodu,mowa tu o różnych krypterach i pakerach.
Do tego można jeszcze dołączyć wizualizowanie procesu w pamięci programem MemMAP v0.1.2 jak i wiele innych rzeczy.
LockScreen.ABV
[malware]
[Aby zobaczyć linki, zarejestruj się tutaj]
Pass: sg[/malware]
Anonymous Network napisał(a): LockScreen.ABV
[malware] [Aby zobaczyć linki, zarejestruj się tutaj]
Pass: sg[/malware]
MBAM not detected virusdata base: 2013.04.13.04
Arcavir of course not detected
Conor29134 napisał(a):Anonymous Network napisał(a): LockScreen.ABV
[malware] [Aby zobaczyć linki, zarejestruj się tutaj]
Pass: sg[/malware]
MBAM not detected virusdata base: 2013.04.13.04
Arcavir of course not detected
MBAM next update -> should be detected either with the most recent database update.
Trojan.FakeMS
[malware]
[Aby zobaczyć linki, zarejestruj się tutaj]
pass:sg[/malware]
MBAM:detected
Conor29134
please next update -> detects ?
Anonymouse network
after update to 05v mbam detected
Adware.Downware.980/Win32/InstalleRex.I.Gen
[malware]
[Aby zobaczyć linki, zarejestruj się tutaj]
pass:sg[/malware]
na virustotal 4/46 może to FP
MBAM:not detected
Dodano: 13 kwie 2013, 21:20
Fake flash player
[malware]
[Aby zobaczyć linki, zarejestruj się tutaj]
pass:sg[/malware]
On virustotal 16/46
MBAM:not detected
Arcavir : WIN32.Heur