Zaloguj się

myciu1974 · 16.04.2013, 20:30

2013-04-16(2)-tomatto007.7z:

W tej paczce są 122 pliki

Dodano: 16 kwie 2013, 21:30

więc Emsi 49/122

rafikrafiki · 16.04.2013, 21:01

Malware:

Treść widoczna jedynie dla zarejestrowanych użytkowników

pass: sg

Zone alarm - Hips niby blokuje, jednak aplikacja uruchamia się i blokuje ekran, po restarcie malware nie uruchamia się.

Co wasze AV na to ?

Conor29134 · 16.04.2013, 22:01

rafikrafiki napisał(a): Malware:

Treść widoczna jedynie dla zarejestrowanych użytkowników
pass: sg

Zone alarm - Hips niby blokuje, jednak aplikacja uruchamia się i blokuje ekran, po restarcie malware nie uruchamia się.

Co wasze AV na to ?

Uruchomiłem przez resource hacker instalator zrobiony przez win rar samo wypakowujące się archiwum sfx trochę dziwne dialogi to coś ma:
ASKnext volume i okienko do przeglądania i wybrania napędu
getpassword1-"Enter password for the encrypted file"(czyżby szyfrator ? )
ma nawet okno licencji Grin

renamedlg-okienko z 2 polami "rename file" i "to"
replacefiledlg="Confirm file replace"

MBAM-trojan dropper-detected and moving to quarantinee
nie odważe się tego uruchomić albo spróbuje w sandboxie

Adi Cherryson · 16.04.2013, 22:55

[Aby zobaczyć linki, zarejestruj się tutaj]

336 malware z 15.04.2013 by ELWIS1
185/336 55,10%

ZBOT by ELWIS1
1/1

2013-04-16(2)-tomatto007
53/122 43,44%

ALERT!-Trojan-Downloader.Win32.Dofoil.pjq by Anonymous Network
1/1

Malware by rafikrafiki
0/1

rafikrafiki napisał(a):Jednak pomiedzy Kaspersky pure i Zone Alarm, a KIS jest różnica w wynikach.

Może to wynikać z faktu, że Zone Alarm w wersji Free aktualizuje bazę wirusów chyba tylko co 24 godziny. Przed skanowaniem paczek spróbuj ręcznie uaktualnić bazę. Jak go testowałem było to możliwe.

rafikrafiki · 17.04.2013, 07:14

Przed skanem zawsze aktualizuję program Smile

Dodano: 17 kwie 2013, 8:14

rafikrafiki napisał(a): Malware:

Treść widoczna jedynie dla zarejestrowanych użytkowników
pass: sg

Zone alarm - Hips niby blokuje, jednak aplikacja uruchamia się i blokuje ekran, po restarcie malware nie uruchamia się.

Co wasze AV na to ?

[Aby zobaczyć linki, zarejestruj się tutaj]

Detection ratio: 13 / 46

sibur · 17.04.2013, 10:30

rafikrafiki napisał(a): Malware:

Treść widoczna jedynie dla zarejestrowanych użytkowników
pass: sg

Avira Antivirus Premium 2013wykrywa --> TR/Dropper.Gen2
Emsisoft Emergency Kitnie wykrywa

**tomatto007** · 17.04.2013, 13:25

2013-04-17-tomatto007.7z

Treść widoczna jedynie dla zarejestrowanych użytkowników

myciu1974 · 17.04.2013, 13:58

tomatto007 napisał(a): 2013-04-17-tomatto007.7z

Treść widoczna jedynie dla zarejestrowanych użytkowników

Emsi 35/67

**ELWIS1** · 17.04.2013, 15:34

19 malware z 15.04.2013

Paczuszka pokazująca skuteczność AV

Treść widoczna jedynie dla zarejestrowanych użytkowników

Niektóre wykrywane tylko heurystyką, więc mogą być z 2 FP.
EEK wykrył 1/19

Wieczorem paczka z dzisiaj Smile

rafikrafiki · 17.04.2013, 15:42

I ode mnie coś co wpienia ZoneAlarm. Plik umiejscowił się na dysku c, po uruchomieniu go Hips w ZA krzyczy, mimo iż zaznaczona jest opcja zapamiętania, to po zablokowaniu uruchomienia pliku, ciągle on próbuje się uruchamiać, a ZA monituje to samo zdarzenie, a nie powinien.

Oto on:

Treść widoczna jedynie dla zarejestrowanych użytkowników

pass: sg

slav · 17.04.2013, 16:36

Kasper Pure 3 - 1/19

celeronik · 17.04.2013, 18:51

2013-04-17-tomatto007.7z

Avast! Premier 8
27/67 40,29%

19 malware z 15.04.2013

Avast! Premier 8
0/19 0%

Conor29134 · 17.04.2013, 19:05

tomatto007 napisał(a): 2013-04-17-tomatto007.7z

Treść widoczna jedynie dla zarejestrowanych użytkowników

Arcavir 2013 9/67
MBAM 28/67

Ciekawi mnie brak reakcji antywirusa/MBAMA na fłaszywy soft przykładowo pobrałem z

[Aby zobaczyć linki, zarejestruj się tutaj]

MBAM cisza Threatfire się odezwał że wykrył nie bezpieczne działanie

sibur · 17.04.2013, 19:06

tomatto007 napisał(a): 2013-04-17-tomatto007.7z

Treść widoczna jedynie dla zarejestrowanych użytkowników

Avira Antivirus Premium 2013( from malware tests ) 25/35 71,42%
Emsisoft Emergency Kit(from malware tests)25/35 71,42%

Avira Antivirus Premium 2013( from downloads )8/32 25%
Emsisoft Emergency Kit( from downloads )9/25 36%

19 malware z 15.04.2013 by ELWIS1
Avira Antivirus Premium 20131/195,26%
Emsisoft Emergency Kit1/19 5,26%

Conor29134 · 17.04.2013, 19:27

ELWIS1 napisał(a): 19 malware z 15.04.2013

Paczuszka pokazująca skuteczność AV

Treść widoczna jedynie dla zarejestrowanych użytkowników

Niektóre wykrywane tylko heurystyką, więc mogą być z 2 FP.
EEK wykrył 1/19

Wieczorem paczka z dzisiaj

MBAM 0
arcavir 0

[Aby zobaczyć linki, zarejestruj się tutaj]

mają ddos -_- prawdopodobnie :E

sibur · 17.04.2013, 19:38

Cytat: Oto on:by rafikrafiki (message#263)
Treść widoczna jedynie dla zarejestrowanych użytkowników

pass: sg

Avira Antivirus Premium 2013wykrywa --> TR/Crypt.XPACK.Gen
Emsisoft Emergency Kitnie wykrywa

**tachion** · 17.04.2013, 19:41

rafikrafiki napisał(a):Zone alarm - Hips niby blokuje, jednak aplikacja uruchamia się i blokuje ekran, po restarcie malware nie uruchamia się.

Tutaj jest ciekawa sytuacja jest to Ransom Winlock i nie ma się co obawiać bo nie koduje plików tylko zablokowuje ekran nawet w trybie awaryjnym,tutaj są 2 sprawy pierwsza część jest spakowana i zaszyfrowana w sfx RAR w momencie uruchomienia następuje wypakowanie zawartości czyli następnej części tego już oficjalnego ransoma do :

Kod:
* File name: C:\Users\tachion\Desktop\TeenTube_93290.exe

* File length: 207782 bytes

* File signature (PEiD): Nothing found [RAR SFX] *

* File signature (Exeinfo): SFX RAR default stub v3.90-4.20 ( MS C++ v.9.0 ) , 

* File type: EXE

* TLS hooks: NO

* File entropy: 7.40711 (92.5889%)

* ssdeep signature: 3072:Oz+92mhTMMJ/cPiq5bVioBis1PJ8S2aeK91Co2WujvWd/DBuUslmO:Oz+92mhAMJ/cPl3iogxSrn0vWxIUMmO

* Adobe Malware Classifier: Clean

* Digital signature: Unsigned

* MD5 hash: c8cad8c31e32e70b4157e7f07a87826d

* VirusTotal detections from 2013-04-17 06:11:34 UTC: 

: ssdeep</h5>

[ Changes to filesystem ]

* Creates file C:\Users\tachion\AppData\Local\Temp\RarSFX0\KMPlayer.exe

File length: 53174 bytes

File signature (PEiD): NsPack 3.4 -> North Star *

File signature (Exeinfo): nsPack ver.3.x-4.1 reg by North Star [ -+- SIZE OF CODE = 00 kb - FIX IT -+- ] 

File type: EXE

TLS hooks: NO

File entropy: 7.50812 (93.8515%)

ssdeep signature: 768:qvSVkaCBO2nmVK6fLTzIuPJUsFIkJngSVMgzMW36XzC7/8TMBq3t3:t2mVK6fL/JUsFIYnnVZv6DCb+h93

Adobe Malware Classifier: Malicious

Digital signature: Unsigned

MD5 hash: f6f6cea92bbbf4f9841318a9d2a1e563

po sprawdzeniu głównego pliku okazuje się że sam posiada zabezpieczenie w postaci NSPack 3.7

Po uruchomieniu następuje wykonanie i załadowanie się na c:\\w postaci pliku 9965.exe[ tutaj nazwy są losowe ]jak i autostartu ,następnie następuje blokada ekranu

Treść widoczna jedynie dla zarejestrowanych użytkowników

[Aby zobaczyć linki, zarejestruj się tutaj]

********************************************************************************************************************

[Aby zobaczyć linki, zarejestruj się tutaj]

tommyklab · 17.04.2013, 19:44

Kiedy GPcode uderzy ponownie? Cos za duże przerwy Tongue

**tachion** · 17.04.2013, 19:55

No masakra z tymi szyfratorami,co ciekawe nowe ransomy szyfrujące korzystają z powershellazamiast cmd co daje większe możliwości Grin

look:

Kod:
Code injection in process: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

Created a mutex named: Local\!PrivacIE!SharedMemory!Mutex

Created a mutex named: Local\IESQMMUTEX_0_274

Created an event named: Global\CorDBIPCSetupSyncEvent_5304

Created process: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe, "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $path=((get-content -Path ''C:\Users\tachion\Desktop\Ransom-NY\Ransom-NY\844fbf968e2b492394537bfe9bc8990849b7c50111a35ea9c887bff9a684439b.hta '' -totalcount 1) -split ''%'')[1];$bytes= [System.Convert]::FromBase64String($path);$decoded = [System.Text.Encoding]::UTF8.GetString($bytes);Invoke-Expression $decoded, C:\Users\tachion\Desktop\Ransom-NY\Ransom-NY

i taka przykładowa operacja na plikach:

Kod:
[ Changes to filesystem ]

* Deletes file F:\.minecraft\bin\audiomod.zip

* Creates file F:\.minecraft\bin\audiomod.zip.BMCODE

File length: 46856 bytes

File type: Unknown

MD5 hash: 5546f446f95c2e50f1643ea6147f56c5

* Deletes file F:\.minecraft\bin\emibackup.jar

* Creates file F:\.minecraft\bin\emibackup.jar.BMCODE

File length: 4676340 bytes

File type: Unknown

MD5 hash: 65c1f13a213e8edda967a35050ef239e

* Deletes file F:\.minecraft\bin\jinput.jar

* Creates file F:\.minecraft\bin\jinput.jar.BMCODE

File length: 227833 bytes

File type: Unknown

MD5 hash: 07de9f3c198a4ea5482af93275871b04

* Deletes file F:\.minecraft\bin\lwjgl.jar

* Creates file F:\.minecraft\bin\lwjgl.jar.BMCODE

File length: 738345 bytes

File type: Unknown

MD5 hash: c672d74fc9b8a43ea2b6a1f9dd88b9d4

* Deletes file F:\.minecraft\bin\lwjgl_util.jar

* Creates file F:\.minecraft\bin\lwjgl_util.jar.BMCODE

File length: 138318 bytes

File type: Unknown

MD5 hash: cc067e5061fe3ebd5b14957f7ef58336

* Deletes file F:\.minecraft\bin\minecraft.jar

* Creates file F:\.minecraft\bin\minecraft.jar.BMCODE

File length: 4586019 bytes

File type: Unknown

MD5 hash: c0b949c06f61250967e7a9f2a32ab4cb

Conor29134 · 17.04.2013, 20:06

tommyklab napisał(a):Kiedy GPcode uderzy ponownie? Cos za duże przerwy

Weź człowieku nie strasz
Ten od plików block nie dawno był teraz nowa wersja welsoffa szyfratora oby tego chłamu nie było bo to najgorsze co może być Grin

Zaloguj się
Login:
Hasło:	Nie pamiętam hasła
	Zapamiętaj mnie