Zaloguj się

ANONIM · 05.09.2012, 19:33

Waves97 napisał(a):Anonim dostałeś to na FB ? Pewnie te sławne archiwum zip . Dla mnie to malware. Wysłałem do labów.

Tak dokładnie. Smile

Nie boicie sie testować na docelowym systemie używając sanboxie tylko? Wirusy chyba przeceiż mogą się przedostać do systemu, a co z nie wykrytymi przez antywirusy?

Mikuś · 05.09.2012, 19:44

tego wirusa z face dałem malwarebytes dostałem kilka min potem odpowiedz ze jest analizowany ;p

Eryk42 · 05.09.2012, 20:00

zord napisał(a):Coś słabo im lab działa poprzednią wersje wykrywali

[Aby zobaczyć linki, zarejestruj się tutaj]
... 345983268/
raport TF
[Aby zobaczyć linki, zarejestruj się tutaj]
... afa67866f3

AVIRA coś słabo ostatnio z labem. Ostatnio po 3 dniach dostałem odpowiedź po wysłaniu pliku. Lol

myciu1974 · 05.09.2012, 20:00

ANONIM napisał(a):
Waves97 napisał(a):Anonim dostałeś to na FB ? Pewnie te sławne archiwum zip . Dla mnie to malware. Wysłałem do labów.

Tak dokładnie.
Nie boicie sie testować na docelowym systemie używając sanboxie tylko? Wirusy chyba przeceiż mogą się przedostać do systemu, a co z nie wykrytymi przez antywirusy?

Ja na full system ,ale do tego trzeba mieć full mózg.

**tachion** · 05.09.2012, 20:04

ANONIM napisał(a):KOCHANI MAM DO WAS PROŚBĘ, W TYM JEST PODOBNO WIRUS, JAK SIĘ ROZPAKUJE, BO ANTYWIR NIE ROZPOZNAJE WIRUSA LECZ TEGO NIE ROZPAKOWAŁEM BO SIĘ BOJĘ.

Treść widoczna jedynie dla zarejestrowanych użytkowników

PROSZĘ SZYBKO O ODPOWIEDZ CZY WAM ANTYWIRY WYKRYWAJĄ WIRUSA
PRZED ROZPAKOWANIU/ I PO.

p.S. Jak wy testujecie te wszystkie próbki?
Na gołym systemie, takim którego się na co dzień używa, czy tylko na maszynie wirtualnej?
ANONIMOWY USER

Hmmtworzy jakieś repozytoria BitBucketw rejestrze i wyłącza kosz w systemie nie wiem do czego to służy do jakiegoś hostingu?
Są też zapytania dns log niżej:

[ General information ]
* File name: c:\users\tachion\desktop\img26387.jpg\img26387-jpg.scr

[ Changes to filesystem ]
* Deletes file C:\Users\tachion\Desktop\IMG26387.JPG\IMG26387-JPG.scr

[ Changes to registry ]
* Creates value "NukeOnDelete=00000001" in key HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\BitBucket
* Creates value "UseGlobalSettings=00000001" in key HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\BitBucket
* Creates value "PendingFileRenameOperations=\??\C:\Users\tachion\Desktop\IMG26387.JPG\IMG26387-JPG.scr" in key HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager
* Modifies value "NukeOnDelete=00000001" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{cb5811f7-edcb-11e1-b462-002215171a62}
old value empty
* Modifies value "NukeOnDelete=00000001" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{cb5811fb-edcb-11e1-b462-002215171a62}
old value empty
* Modifies value "NukeOnDelete=00000001" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{d51c5037-e6de-11e1-8805-806e6f6e6963}
old value empty
* Modifies value "NukeOnDelete=00000001" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{d51c5038-e6de-11e1-8805-806e6f6e6963}
old value empty
* Modifies value "NukeOnDelete=00000001" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{d51c5039-e6de-11e1-8805-806e6f6e6963}
old value empty
* Modifies value "NukeOnDelete=00000001" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{d51c503a-e6de-11e1-8805-806e6f6e6963}
old value empty
* Creates value "cmd.exe=Procesor poleceD systemu Windows" in key HKEY_CURRENT_USER\software\classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\C:\Windows\System32

[ Network services ]
* Queries DNS

[ Process/window/string information ]
* Gets user name information.
* Gets volume information.
* Gets computer name.
* Checks for debuggers.
* Creates process "(null),"C:\Users\tachion\Desktop\IMG26387.JPG\IMG26387-JPG.scr" /S,(null)".
* Enumerates running processes.
* Creates process "C:\Windows\system32\cmd.exe,"C:\Windows\system32\cmd.exe" /c del C:\Users\tachion\Desktop\IMG26387.JPG\IMG26387-JPG.scr > nul,C:\Users\tachion\Desktop\IMG26387.JPG".
* Injects code into process "c:\windows\system32\cmd.exe".

**ELWIS1** · 05.09.2012, 20:05

Eryk42 napisał(a):
zord napisał(a):Coś słabo im lab działa poprzednią wersje wykrywali

[Aby zobaczyć linki, zarejestruj się tutaj]
... 345983268/
raport TF
[Aby zobaczyć linki, zarejestruj się tutaj]
... afa67866f3

AVIRA coś słabo ostatnio z labem. Ostatnio po 3 dniach dostałem odpowiedź po wysłaniu pliku.

Avira nie musi odpisać, żeby plik był w systemie. Ale mają czasem takie dni. Kiedyś wysłałem tym tyle plików, że nie sprawdzili tego. Dopiero jak napisałem na ich forum i podałem ID plików.

Mikuś · 05.09.2012, 20:07

ee jak dostane odpowiedz z malwarebytes bo teraz im przestawiłem ze chodzi sobie po facebooku i straszy użytkowników xd

a tak po zatym malwarebytes tak szybko nie wpusci new wersji bo mają ogromne kłopoty Smile

jeszcze lepsze wykrywanie ma być i takie tam ulepszenia ... a kłopot w tym ze bułgarski o ile sie nie myle tłumaczenie im sie zepsuło u innych komp sie restartuje a u innych ochrona sie nie włacza ... ale to nie kazdego dotyczy ... wiec nie wnikam ...

**tachion** · 05.09.2012, 20:11

6x ZBOT

Treść widoczna jedynie dla zarejestrowanych użytkowników

Mikuś · 05.09.2012, 20:12

tachion napisał(a):
[Aby zobaczyć linki, zarejestruj się tutaj]

malwarebytes wszystko wykrywa

myciu1974 · 05.09.2012, 20:26

To jest legalny url ze strony producenta programu

[Aby zobaczyć linki, zarejestruj się tutaj]

G-data iIkarus coś wykrywają.

Strona producenta :

[Aby zobaczyć linki, zarejestruj się tutaj]

rafikrafiki · 05.09.2012, 20:30

tachion napisał(a): 6x ZBOT

Treść widoczna jedynie dla zarejestrowanych użytkowników

Bullguard IS - usunął tylko 2 pliki.

Bullguard IS

401 malwares pack 2012-09-04 by tommy:
375/401 93,5%

73 files - Identified as malicious on VT (probably many AdWare)
68/73 = 93,1%

ANONIM · 05.09.2012, 20:34

myciu1974 napisał(a):To jest legalny url ze strony producenta programu
[Aby zobaczyć linki, zarejestruj się tutaj]
G-data iIkarus coś wykrywają.

Strona producenta :
[Aby zobaczyć linki, zarejestruj się tutaj]

Arcavir TR/Strictor.6412.5
BirDefender Gen:Variant.Strictor.6412
Emsisoft Trojan.Msil!IK
Fsecurei G data Gen:Variant.Strictor.6412
Ikarus ... 280 Grin

Trojan.Msil
Kaspersky Trojan.MSIL.Agent.uyj
K7 Trojan

Mikuś · 05.09.2012, 20:36

F4z napisał(a):
ANONIM napisał(a):KOCHANI MAM DO WAS PROŚBĘ, W TYM JEST PODOBNO WIRUS, JAK SIĘ ROZPAKUJE, BO ANTYWIR NIE ROZPOZNAJE WIRUSA LECZ TEGO NIE ROZPAKOWAŁEM BO SIĘ BOJĘ.

Treść widoczna jedynie dla zarejestrowanych użytkowników

Kaspersky IS 2013wykrywa.

[Aby zobaczyć linki, zarejestruj się tutaj]

dostałem odpowiedz od malwarebytes
-----------------------------------------------------
Copies itself to %SYSDIR% and sets a load variable to run when the computer is started.

It downloads the following file and executes it from the %TEMP% folder.

Source URL for downloaded file.

[Aby zobaczyć linki, zarejestruj się tutaj]

Its malware
-------------------------------------------------------------------------
podesłali mi tez plik od wirusa

Treść widoczna jedynie dla zarejestrowanych użytkowników

ANONIM · 05.09.2012, 20:38

Mikuś napisał(a):dostałem odpowiedz od malwarebytes
-----------------------------------------------------
Copies itself to %SYSDIR% and sets a load variable to run when the computer is started.

It downloads the following file and executes it from the %TEMP% folder.

Source URL for downloaded file.

[Aby zobaczyć linki, zarejestruj się tutaj]

Its malware
-------------------------------------------------------------------------
podesłali mi tez plik od wirusa
Malware:
REDAKCJA SERWISU NIE BIERZE ODPOWIEDZIALNOŚCI ZA SZKODY WYWOŁANE UŻYCIEM MALWARE.

[Aby zobaczyć linki, zarejestruj się tutaj]

Wow ale szybko odpowiedz Grin

Czyli jeśli jego nie wypakowałem to u mnie jest ok?

myciu1974 · 05.09.2012, 20:40

ANONIM napisał(a):
myciu1974 napisał(a):To jest legalny url ze strony producenta programu
[Aby zobaczyć linki, zarejestruj się tutaj]
G-data iIkarus coś wykrywają.

Strona producenta :
[Aby zobaczyć linki, zarejestruj się tutaj]

Arcavir TR/Strictor.6412.5
BirDefender Gen:Variant.Strictor.6412
Emsisoft Trojan.Msil!IK
Fsecurei G data Gen:Variant.Strictor.6412
Ikarus ... 280 Trojan.Msil
Kaspersky Trojan.MSIL.Agent.uyj
K7 Trojan

No i o co tu chodzi? Program udostępniony na:

[Aby zobaczyć linki, zarejestruj się tutaj]

Mikuś · 05.09.2012, 20:41

szybka odpowiedz ponieważ jestem z nimi w stałym kontakcie Smile

**ELWIS1** · 05.09.2012, 20:43

Ok, a jak Wasze programy sprawdzają się w realnym użytkowaniu?
Czyli test na kilku polskich stronach.

Treść widoczna jedynie dla zarejestrowanych użytkowników

zbir · 05.09.2012, 20:46

Bitdefender TS 2013 blokuje wszystkie strony

Mikuś · 05.09.2012, 20:47

ANONIM napisał(a):
Mikuś napisał(a):dostałem odpowiedz od malwarebytes
-----------------------------------------------------
Copies itself to %SYSDIR% and sets a load variable to run when the computer is started.

It downloads the following file and executes it from the %TEMP% folder.

Source URL for downloaded file.

[Aby zobaczyć linki, zarejestruj się tutaj]

Its malware
-------------------------------------------------------------------------
podesłali mi tez plik od wirusa
Malware:
REDAKCJA SERWISU NIE BIERZE ODPOWIEDZIALNOŚCI ZA SZKODY WYWOŁANE UŻYCIEM MALWARE.

[Aby zobaczyć linki, zarejestruj się tutaj]

Wow ale szybko odpowiedz
Czyli jeśli jego nie wypakowałem to u mnie jest ok?

DODALI DO BAZY MALWAREBYTES WYKRYWANY JAKOTrojan.Agent

ANONIM · 05.09.2012, 20:51

DR web przed chwilą zaczął blokować ten plik z FB. Win32.HLLW.Autoruner1.25469

Zaloguj się
Login:
Hasło:	Nie pamiętam hasła
	Zapamiętaj mnie