Zaloguj się

Flash999 · 26.04.2012, 13:02

Dostałem odpowiedź od Microsoftu odnośnie plików z paczki (wysłałem im kilkanaście plików):

L000000000194320.exe Not Malware

564.jar Not Malware
-icon.PNG Not Malware
-MANIFEST.MF Not Malware

exploit.jar Not Malware
-.DS_Store Not Malware
-MANIFEST.MF Not Malware

FakeKAV.exe Not Malware

gf48.exe Not Malware

GoogleUpdate2012.dll Not Malware

**tomatto007** · 26.04.2012, 15:22

Malware info:
SHA256: 394c3697f6460fc47b63a105f079fcb1ead8f6465b2c2e521d0099d421207dcc
SHA1: 1f27c4517f7b69aa0796f4149dafc8bbe811fc54
MD5: 156d00c795d6d2857fd49f570e894803
File size: 128.0 KB ( 131072 bytes )

VT info (24/42):

[Aby zobaczyć linki, zarejestruj się tutaj]

Changes in the system:

Registry Key:
HKLM\System\CurrentControlSet\Services\Microsoft Temp Group\Parameters\ServiceDll: "%SysDir%\ Winxp.dll "
Files:
%SysDir%\ Winxp.dllVT info(7/42):
[Aby zobaczyć linki, zarejestruj się tutaj]

Treść widoczna jedynie dla zarejestrowanych użytkowników

**tachion** · 26.04.2012, 18:42

Trojan W32RansomCrypt.B
ukrywa i koduje pliki tak
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\CryptSvc\SBIE_ControlsAccepted = 85000000
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\CryptSvc\SBIE_CurrentState = 04000000
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\CryptSvc\SBIE_ProcessId = A40E0000
Defined registry AutoStart location created or modified: user\current\software\Microsoft\Windows\CurrentVersion\Run\Cyewey = C:\Users\tachion\AppData\Roaming\Cyewey.exe
File copied itself

Hide file from user: F:\muzyka\AlbumArt_{36796EAE-4BB8-4E22-95E8-5B873B91B781}_Large.jpg.EnCiPhErEd
Hide file from user: F:\muzyka\AlbumArt_{36796EAE-4BB8-4E22-95E8-5B873B91B781}_Small.jpg.EnCiPhErEd
Hide file from user: F:\muzyka\AlbumArt_{A0386C9E-D269-4F2D-99A1-870FABDB396A}_Large.jpg.EnCiPhErEd
Hide file from user: F:\muzyka\AlbumArt_{A0386C9E-D269-4F2D-99A1-870FABDB396A}_Small.jpg.EnCiPhErEd
Hide file from user: F:\muzyka\AlbumArt_{AA184337-6AD9-4A77-808F-32C1CBFEBBBF}_Large.jpg.EnCiPhErEd
Hide file from user: F:\muzyka\AlbumArt_{AA184337-6AD9-4A77-808F-32C1CBFEBBBF}_Small.jpg.EnCiPhErEd
Hide file from user: F:\muzyka\AlbumArt_{EC2D853C-F3D0-4E76-9493-EA062C410F52}_Large.jpg.EnCiPhErEd
Hide file from user: F:\muzyka\AlbumArt_{EC2D853C-F3D0-4E76-9493-EA062C410F52}_Small.jpg.EnCiPhErEd

[Aby zobaczyć linki, zarejestruj się tutaj]

Treść widoczna jedynie dla zarejestrowanych użytkowników

Trojan-Dropper.Win32.Xpaj

[Aby zobaczyć linki, zarejestruj się tutaj]

Treść widoczna jedynie dla zarejestrowanych użytkowników

facecik · 26.04.2012, 18:49

MSE4 dzisiaj już wykrywa tego 2 trojana.

26.04.2012, 21:08

Webroot SA Complete - 88/106 (83%)

rafikrafiki · 27.04.2012, 07:31

Waves97 napisał(a):106 malware - Reviews Antivirus i ja z dnia 2012-04-25

Treść widoczna jedynie dla zarejestrowanych użytkowników

eScan SS:79/106 = 74,5%

kamilze · 27.04.2012, 09:40

106 malware - Reviews Antivirus i ja z dnia 2012-04-25

Norton Antivirus 2012
55/106 = 51.8 %

Norton Antivirus 2012 + Malwarebytes'' Anti-Malware
81/106 = 76,4 %

Miquell · 27.04.2012, 10:25

Dzisiaj - paczka 106 malware - Reviews Antivirus i ja z dnia 2012-04-25

Emsisoft Anti-Malware 6.5 :92/106 ( 86,8% )

ReviewsAntivirus · 27.04.2012, 12:33

Sophos Anti-Virus for Mac:
77/106 (72,64%)

**tomatto007** · 27.04.2012, 16:56

Malware info:
SHA256: c8c45593575f844cf7a711046a56f3557a8e206e425623cc31f966bdf9ab3fec
SHA1: fdf3bb9f8c23b099ac6e0cf8d1d6e2600d13836b
MD5: 96dffa06c38537d2989824e400cb01bd
File size: 85.3 KB ( 87352 bytes )

VT info (34/42):

[Aby zobaczyć linki, zarejestruj się tutaj]

Changes in the system:

Registry Key:
HKLM\Software\Classes\CLSID\{D8D2F841-C4FC-4ADE-731A-56E6D1755624}\InprocServer32\: "%WinDir%\SUGUZEFHWD.dll"
HKLM\Software\Classes\TypeLib\{472A988E-2192-5F11-F0C0-ED3419BB40AB}\1.0\0\win32\: "%WinDir%\SUGUZEFHWD.dll"
HKLM\System\CurrentControlSet\Services\AntediluvianSartorial\ImagePath: "%Program Files%\KernelFantasia\TherapeuticAntediluvian.exe ParchmentFantasia"

Files:
%Program Files%\AverTherapeutic\AverNebula.exe - random file name (from list)
%Program Files%\KernelFantasia\TherapeuticAntediluvian.exe - random file name (from list)
%WinDir%\ SUGUZEFHWD.dllVT info(29/42):
[Aby zobaczyć linki, zarejestruj się tutaj]

Treść widoczna jedynie dla zarejestrowanych użytkowników

27.04.2012, 19:53

alex1155 napisał(a):
alex1155 napisał(a):Drukowałem wczoraj prace na zaliczenie w uniwersyteckim punkcie "ksero i druku" i skończyło sie to niespodzianka na pendrivie.

Treść widoczna jedynie dla zarejestrowanych użytkowników
Z tego punktu korzysta mnóstwo osób wiec wirus ten zagościł na oko przynajmniej na kilkudziesieciu dyskach zewnetrznych i teraz pomyśleć, że naprawde duża liczba nieswiadomych użytkowników nie używa programów zabezpieczających i nie aktualizuje ich.

Ps. AVg wszystko usuwa heurystyką. Najpierw wykrywa wirusa heurystycznie, a następnie usuwa autoruna , który do niego prowadzi. Duzy plus dla tego programu, sam skanuje pendrive.

Odpowiedz z labu aviry: plik autorun jest czysty

Pytałem dzis w tym wirusujacym punkcie jak maja zabezpieczony komputer.Otóz okazuję sie iz na lapku jest zainstalowany Eset Smart Security5 z nieaktualnymi co prawda bazami wirusów(brak dostepu do neta) ,ale z aktywna heurystyką Grin

**tachion** · 28.04.2012, 15:31

ROOTKIT

21 Zrzutów Rootkita Sirefef z dnia
2012-04-19
2012-04-20
2012-04-24
2012-04-26
2012-04-28

Treść widoczna jedynie dla zarejestrowanych użytkowników

Win32Rootkit BlackEnergy

[Aby zobaczyć linki, zarejestruj się tutaj]

Treść widoczna jedynie dla zarejestrowanych użytkowników

RANSOM

GEMA

[Aby zobaczyć linki, zarejestruj się tutaj]

Treść widoczna jedynie dla zarejestrowanych użytkowników

[Aby zobaczyć linki, zarejestruj się tutaj]

Ransom LockScreen
Unblock code: 9109101313
Drops from a fake porn site as xxx_video.avi.exe
Runs through SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon as Shell replacement of Explorer.

For unpacking load dropper into debugger and set a break on CreateProcess (due to drop period ransomware restarts itself from %temp% folder for original file self-deletion purposes). Then locate decrypted payload container in dropper memory and dump it to disk. Cut off garbage, remove UPX and "unpacking" complete. Next it is trivial. Unblock button is Button3. Yes this crapware written on Delphi 7 and even include image named "winlockimage". Used WinBlockTerr Delphi component for various system parameters blocking.

CODE: SELECT ALL
CODE:0047FDCC TForm1_Button3Click proc near
CODE:0047FDCC
CODE:0047FDCC var_4 = dword ptr -4
CODE:0047FDCC
CODE:0047FDCC pushebp
CODE:0047FDCD mov ebp, esp
CODE:0047FDCF push0
CODE:0047FDD1 pushebx
CODE:0047FDD2 mov ebx, eax
CODE:0047FDD4 xor eax, eax
CODE:0047FDD6 pushebp
CODE:0047FDD7 pushoffset loc_47FE2B
CODE:0047FDDC pushdword ptr fs:[eax]
CODE:0047FDDF mov fs:[eax] , esp

[Aby zobaczyć linki, zarejestruj się tutaj]

Treść widoczna jedynie dla zarejestrowanych użytkowników

[Aby zobaczyć linki, zarejestruj się tutaj]

FAKEAV

Smart Fortress 2012

[Aby zobaczyć linki, zarejestruj się tutaj]

Treść widoczna jedynie dla zarejestrowanych użytkowników

Windows Safety Checkpoint

[Aby zobaczyć linki, zarejestruj się tutaj]

Treść widoczna jedynie dla zarejestrowanych użytkowników

PASSWORD/HASŁO
sg

ReviewsAntivirus · 28.04.2012, 16:39

2012-04-28 by ReviewsAntivirus

Treść widoczna jedynie dla zarejestrowanych użytkowników

28.04.2012, 16:40

avg usuwa pliki Ransoma po wypakowaniu, z kolei wszystkie procesy "windows Safety..." są ubite po uruchomieniu. Reszta wykryta na virustotal.

**tomatto007** · 28.04.2012, 17:33

Malware info:
SHA256: 8611a0f17c175b31533b09f64e2d271e6049d3252eb2d0c3a500fdba546ac9cd
SHA1: 5d971ce9657904436ebc53235c4ba7b8170d5cf5
MD5: 27aa5ca94a7b886c0954ce28eb4732cf
File size: 109.6 KB ( 112215 bytes )

VT info (34/42):

[Aby zobaczyć linki, zarejestruj się tutaj]

Changes in the system:

Registry Key:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\d1b81cdf: ""%SysDir%\qZoQ4DM\BTgWVDh.exe" -l"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\1b81cdff: ""%SysDir%\BTgWVDh\qZoQ4DM.exe" -l"

Files:
%Common Startmenu%\Programs\Startup\0pfqFIS4V5VSjZa.lnk
%SysDir%\ 2CebkDM1.exe
%SysDir%\BTgWVDh\ qZoQ4DM.exe
%SysDir%\qZoQ4DM\ BTgWVDh.exe

Treść widoczna jedynie dla zarejestrowanych użytkowników

28.04.2012, 17:34

MSE 4usuwa wszystkie bajery od tachiona,oprocz Windows Safety Checkpoint (wysłane do Microsoft)

2012-04-28 by ReviewsAntivirus

MSE 477/100

28.04.2012, 18:39

avg IS2012 92/100
do tego plik 66,exe jest usuniety po uruchomieniu, a plik cht.exe nie zostaje powstzrymany przez heurystykę, na ekranie wyswietla sie okienko ,które nie chce zniknąc. Jedynie firewall blokuje mu dostep do internetu.

[Aby zobaczyć linki, zarejestruj się tutaj]

**tachion** · 28.04.2012, 19:09

co do zagrożenia 66.exeproszę bardzo,norton też to wykrywa reputacją Grin

[Aby zobaczyć linki, zarejestruj się tutaj]

NAV 2012 19.7.0.9
69/100 69%

myciu1974 · 28.04.2012, 21:24

ESET+HitmanPRO 92/100 (92%)

Dodano: 28 kwie 2012, 22:24

21 Zrzutów Rootkita Sirefef ; ESET 21/21HitmanPro 21/21 100%

PascalHP · 28.04.2012, 22:30

Panda Global Protection 2013 Beta
87/100 (87%) (poprawka, nie ta paczka)

Zaloguj się
Login:
Hasło:	Nie pamiętam hasła
	Zapamiętaj mnie