| Другое > Hard'n'Soft |
| Странный файл |
| (1/2) > >> |
| Silver_Shadow:
Товарищ из агента прислал мне типо фото, откуда-то неизвестно найденое. Exe-шник. Я проверил его антивирусом, вирусов не нашлось. Потом все таки решил его запустить, оказалось в действительности не фотка, тобишь ничего совсем не произошло. Менял расширение на jpg итд, точно не картинка а exe. Вот думаю напортачил я что нибудь на компе или, может какая-то вредная программа. Может кто нибудь подскажет? Использовал для дизассембла IDA Если открыть блокнотом, то в конце такой текст <assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0"> <assemblyIdentity type="win32" name="CodeGear RAD Studio" version="11.0.2627.5503" processorArchitecture="*"/> <dependency> <dependentAssembly> <assemblyIdentity type="win32" name="Microsoft.Windows.Common-Controls" version="6.0.0.0" publicKeyToken="6595b64144ccf1df" language="*" processorArchitecture="*"/> </dependentAssembly> </dependency> <trustInfo xmlns="urn:schemas-microsoft-com:asm.v3"> <security> <requestedPrivileges> <requestedExecutionLevel level="requireAdministrator" uiAccess="false"/> </requestedPrivileges> </security> </trustInfo> </assembly> Использовался какой-то CodeGear RAD Studio для создания приложений Прикреплю сам файл, может кто еще другим антивирусом проверит? Или еще чем нибудь, мой ничего не нашел. |
| Doctor Venkman:
Ты додумался на рабочей машине запустить неизвестное гуано, а только потом полез смотреть что там было? У меня для тебя плохие новости... |
| topos84:
http://www.virustotal.com/file-scan/report.html?id=0044557d6e1355c21d18bbf04bbfb7f100c0c0546ff0248c1e894c1a809b81db-1314383707 Добавлено позже: http://virusscan.jotti.org/ru/scanresult/33d01ebe48f543356e1ab6f7825c87c1c1fed734 Добавлено позже: Т.е. среагировали, как я понял, лишь антивирусы с гиперчувствительной эвристикой. |
| Unit2k:
На виртуалке надо такие вещи запускать) |
| Silver_Shadow:
На виртуалке у меня флэш несработал, да и я поленился. Спасибо за помощь, никто незнает как лечить сие? Добавлено позже: Наверно тут лечение http://av-school.ru/desc/a-1817.html |
| Photon9:
А сообщение было случайно не в стиле - Вай смотри какое забавное фото - помнится у кореша аську сломали такой фигни от него пачками валило |
| Silver_Shadow:
Как нестранно сей вирус на мой комп не сработал. Т.к. файла hosts почему-то у меня не оказалось, видимо я когда-то его удалил. А раз его нету то вирусу нечего и копировать =) Добавлено позже: --- Цитата: Photon9 от 26 Август 2011, 22:55:19 ---А сообщение было случайно не в стиле - Вай смотри какое забавное фото - помнится у кореша аську сломали такой фигни от него пачками валило --- Конец цитаты --- Не, я не такой уж и полоумный чтобы на такое вестись. Всегда антивирь ловил. А тут антивирь сказал все спокойно, поверил ему. |
| iddqd:
Silver_Shadow, от любых вирусов пролечат здесь: http://www.kompasnet.org/forumdisplay.php?f=3 |
| Silver_Shadow:
iddqd, Спасибо. Кстати незнаете файл hosts обязателен, или система и без него будет нормально работать? |
| HardWareMan:
Есть еще личности, запускающие неизвестные и не ожидаемые файлы? тогда ботнеты будут процветать! Я щитаю, что надо таких файлов добавить на все странички всех соцсетей, чтобы увеличить эффективность. |
| aptyp:
картинка это или не картинка можно сразу определить по заголовку в TCMD пкм View |
| Silver_Shadow:
Проверил на старом компе файл и действительно получается вот что. Оригинальному файл hosts приписывается расширение sys, получается hosts.sys. И копируется еще один hosts уже от самого вируса где-то 130 кбайт. Только прочитать я его ничем не смог, ни блокнотом ни через дос, ни через IDA. Естествено если файла hosts нет, вирус не срабатывает. У меня как раз его не было =) Вот такой файл hosts копируется, может кто прочитает Добавлено позже: Впринципе при проверке файла на вирус, тот же самый нашел http://www.virustotal.com/file-scan/report.html?id=93ef49550048ade0216512615d31bc71d2a7ef9b9d96da5221f74219267f0263-1314437430 |
| HardWareMan:
Его можно переименовать в *.txt: --- Код: ---Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F 00013840 0D 0A 0D 0A 0D 0A 0D 0A 0D 0A 0D 0A 0D 0A 0D 0A ................ 00013850 0D 0A 0D 0A 0D 0A 0D 0A 0D 0A 0D 0A 0D 0A 0D 0A ................ 00013860 0D 0A 0D 0A 0D 0A 0D 0A 0D 0A 0D 0A 0D 0A 0D 0A ................ 00013870 0D 0A 0D 0A 0D 0A 0D 0A 0D 0A 0D 0A 0D 0A 0D 0A ................ 00013880 0D 0A 39 31 2E 32 32 33 2E 38 39 2E 31 30 31 20 ..91.223.89.101 00013890 76 6B 6F 6E 74 61 6B 74 65 2E 72 75 0D 0A 39 31 vkontakte.ru..91 000138A0 2E 32 32 30 2E 30 2E 33 38 20 76 6B 2E 63 6F 6D .220.0.38 vk.com 000138B0 0D 0A 31 39 33 2E 34 35 2E 31 37 2E 38 20 79 61 ..193.45.17.8 ya 000138C0 6E 64 65 78 2E 72 75 0D 0A 31 39 33 2E 34 35 2E ndex.ru..193.45. 000138D0 31 37 2E 38 20 79 61 68 6F 6F 2E 63 6F 6D 0D 0A 17.8 yahoo.com.. 000138E0 31 39 33 2E 34 35 2E 31 37 2E 38 20 67 6F 67 6F 193.45.17.8 gogo 000138F0 2E 72 75 0D 0A 31 39 33 2E 34 35 2E 31 37 2E 38 .ru..193.45.17.8 00013900 20 67 6F 6F 67 6C 65 2E 63 6F 6D 0D 0A 0D 0A 0D google.com..... 00013910 0A 0D 0A 0D 0A 0D 0A 0D 0A 0D 0A 0D 0A 0D 0A 0D ................ 00013920 0A 0D 0A 0D 0A 0D 0A 0D 0A 0D 0A 0D 0A 0D 0A 0D ................ 00013930 0A 0D 0A 0D 0A 0D 0A 0D 0A 0D 0A 0D 0A 0D 0A 0D ................ 00013940 0A 0D 0A 0D 0A 0D 0A 0D 0A 0D 0A 0D 0A 0D 0A 0D ................ 00013950 0A 0D 0A 0D 0A 0D 0A 0D 0A 0D 0A 0D 0A 0D 0A 0D ................ --- Конец кода --- Т.е., там присутствуют строчки где-то в середине: --- Цитата ---91.223.89.101 vkontakte.ru 91.220.0.38 vk.com 193.45.17.8 yandex.ru 193.45.17.8 yahoo.com 193.45.17.8 gogo.ru 193.45.17.8 google.com --- Конец цитаты --- Хвала великому Оллаху! Еще один социальный вирок! :3 Вот результаты запроса RIPE: --- Цитата ---inetnum: 91.223.89.0 - 91.223.89.255 netname: ENERGOMONTAZH-NET descr: ENERGOMONTAZH ltd. country: UA person: Aleksandr Volosovyk address: Vladivostok, Russian Federation phone: +79242369589 nic-hdl: AV5863-RIPE mnt-by: MNT-ENERGOMONTAZH source: RIPE #Filtered --- Конец цитаты --- --- Цитата ---inetnum: 91.220.0.0 - 91.220.0.255 netname: RIXBAS-NET descr: SIA Business Aviation Services country: LV person: Vadims Vlasovs address: Graudu str. 48A, Riga, LV-1058, Latvia phone: +371 29528757 nic-hdl: VLAS1-RIPE mnt-by: SIABAS-MNT source: RIPE #Filtered --- Конец цитаты --- --- Цитата ---inetnum: 193.45.16.0 - 193.45.31.255 netname: ABB descr: ABB Infosystems AB descr: Vasteras country: SE person: Allan Anundi address: ABB Infosystems AB address: dept. DKT address: S-721 80 Vasteras address: Sweden phone: +46 21 323576 fax-no: +46 21 127635 e-mail: anundi@seinf.abb.se nic-hdl: AA2145-RIPE source: RIPE #Filtered --- Конец цитаты --- |
| gepar:
Silver_Shadow,если ты ещё не понял то файл hosts для перенаправления запросов, изначально рассчитано на перенаправление запросов на более быстрые (например локальные) ресурсы, когда это нужно, но много всяких троянов любят переправлять трафик с популярных сайтов на сайты-фальшивки для воровства паролей и прочих данных. |
| AjaxVS:
--- Цитата ---Avast AntiVir DrWeb NOD32 Symantec --- Конец цитаты --- все "-". кошмар. |
| aptyp:
доверять одному антивирусу ненадёжно. бесплатные KAV Tool и DrWeb CureIT. от NOD32 бесплатной такой вроде нет. но эти три лучшие. |
| gepar:
aptyp,ты их сравниваешь так как будто у самого лицензия на антивирус и думаешь что у автора она есть :D |
| aptyp:
gepar, KAV Tool и CureIT бесплатные если чо, а NOD32 неюзаю но тоже ничего. А сравнивать то их можно просто на онлайн антивирях, тоже бесплатно. |
| gepar:
aptyp,я о том что критерий "стоимость продукта" в данном случае можно упустить. |
| HardWareMan:
Я AVG юзаю. Есть Free вариант, но только антивирус, но у меня есть ключик к Internet Security. :3 |
| Навигация |
| Главная страница сообщений |
| Следующая страница |