HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
Баннер 1   Баннер 2
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   ANTICHAT > ПРОГРАММИРОВАНИЕ > Реверсинг
Перезагрузить страницу Virus.Win32.Sality.d
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

Virus.Win32.Sality.d
  #1  
Старый 01.09.2008, 20:28
c411k
Reservists Of Antichat - Level 6
Регистрация: 16.07.2005
Сообщений: 653
С нами: 10957346

Репутация: 2727


По умолчанию Virus.Win32.Sality.d
гляньте пжлста, куда идут отчеты =\

http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21029
http://rapidshare.com/files/141836212/Setup.rar.html
пасс doooo

и спамбота какого-то кусок =\
http://rapidshare.com/files/141836374/spamtool.rar.html
𝕏 Twitter Reddit Telegram Копировать ссылку
Последний раз редактировалось c411k; 01.09.2008 в 20:33..
 
Ответить с цитированием

  #2  
Старый 01.09.2008, 20:48
ProTeuS
Познавший АНТИЧАТ
Регистрация: 26.11.2004
Сообщений: 1,367
С нами: 11291486

Репутация: 2175


По умолчанию
первый копируется в C:\WINDOWS\system32\wmdrtc32.dll и хз 4е дальше делает (рас4итан имхо на заражение флешек, а если просто его запустить выдает ошибку)

второй в автостарте прописывается, и отстукивает на

http://217.20.117.18/manna.txt?1dd072
http://217.20.117.18/ip.php
http://89.149.227.194/utest/?jutr=29050&oo=2&1e8896=d5bc1a&ra=0
 
Ответить с цитированием

  #3  
Старый 01.09.2008, 20:50
ProTeuS
Познавший АНТИЧАТ
Регистрация: 26.11.2004
Сообщений: 1,367
С нами: 11291486

Репутация: 2175


По умолчанию
http://217.20.117.18/manna.txt
там какие-то китайские логи)
 
Ответить с цитированием

  #4  
Старый 01.09.2008, 20:53
ProTeuS
Познавший АНТИЧАТ
Регистрация: 26.11.2004
Сообщений: 1,367
С нами: 11291486

Репутация: 2175


По умолчанию
при отстуке на
http://217.20.117.18/ip.php
скрипт выдает на выходе айпи с котрого поступил гет-запрос
 
Ответить с цитированием

  #5  
Старый 01.09.2008, 20:59
ProTeuS
Познавший АНТИЧАТ
Регистрация: 26.11.2004
Сообщений: 1,367
С нами: 11291486

Репутация: 2175


По умолчанию
ссылка в тему с описаниями и 4то делать если заразился сабжем:
http://aborche.livejournal.com/1300.html
http://vil.nai.com/vil/content/v_145407.htm
 
Ответить с цитированием

  #6  
Старый 01.09.2008, 21:22
Nightmarе
Познавший АНТИЧАТ
Регистрация: 29.04.2007
Сообщений: 1,189
С нами: 10018169

Репутация: 1680


По умолчанию
Цитата:
Сообщение от ProTeuS  
http://217.20.117.18/manna.txt
там какие-то китайские логи)
Да это бинарный код, то бишь зашифрованные пассы, я так пологаю.

Кстати он тока отстукивает на эти ссылки, или ещё им передаёт что?
 
Ответить с цитированием

  #7  
Старый 01.09.2008, 21:26
ProTeuS
Познавший АНТИЧАТ
Регистрация: 26.11.2004
Сообщений: 1,367
С нами: 11291486

Репутация: 2175


По умолчанию
ну вот и передает в параметрах какие-то данные
http://89.149.227.194/utest/?jutr=29050&oo=2&1e8896=d5bc1a&ra=0
 
Ответить с цитированием

  #8  
Старый 01.09.2008, 21:29
c411k
Reservists Of Antichat - Level 6
Регистрация: 16.07.2005
Сообщений: 653
С нами: 10957346

Репутация: 2727


По умолчанию
спасибо, каспер все вылечил, но как я его подхватил осталось для меня загадкой.. =\
 
Ответить с цитированием

  #9  
Старый 02.09.2008, 09:16
neprovad
Постоянный
Регистрация: 19.10.2007
Сообщений: 794
С нами: 9769287

Репутация: 711


По умолчанию
Цитата:
Сообщение от c411k  
спасибо, каспер все вылечил, но как я его подхватил осталось для меня загадкой.. =\
отключи автозапуск со всех видов носителей и всё будет ок
p.s. + еще скажу что вирус поражает файлы, так что возможен был запуск пораженного объекта
 
Ответить с цитированием
Ответ



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.