Zaloguj się

Anonymous Network · 06.04.2013, 18:06

christmas.exe - not malware.

Conor29134 · 06.04.2013, 18:07

you try run christmas.exe in sandbox ?

Anonymous Network · 06.04.2013, 18:10

Conor29134 napisał(a):you try run christmas.exe in sandbox ?

not

file analysis Smile

Conor29134 · 06.04.2013, 18:19

this sample is too much fresh from today(sory my english is awful )
I download sandboxie (i have problem with instaling XP on virtualbox)maybe i can try run this "screen saver"

Anonymous Network · 06.04.2013, 18:20

Conor29134 napisał(a):this sample is too much fresh from today(sory my english is awful )
I download sandboxie (i have problem with instaling XP on virtualbox)maybe i can try run this "screen saver"

christmas.exe- old files...

06.04.2013, 18:23

Conor29134 napisał(a):sory my english is awful

To pisz po polsku. Przecież Anonymous to Polak tylko pali Jana.

Anonymous Network · 06.04.2013, 18:23

ktośtam napisał(a):
Conor29134 napisał(a):sory my english is awful

To pisz po polsku. Przecież Anonymous to Polak tylko pali Jana.

??

Conor29134 · 06.04.2013, 18:27

File is adden to malc0de today
i run this on sandbox
this look like screensever installer
other file in package is probably harmfull

ktośtam :E można zawszeużywac google translate
a twoje zdanie przepuszczone przez translator będzie bez sensu :E

Anonymous Network · 06.04.2013, 18:33

Conor29134 napisał(a):File is adden to malc0de today

do not use this Smile

Conor29134 · 06.04.2013, 18:43

why ?
i tested false positive

Anonymous Network · 06.04.2013, 19:12

pw.

ROGUE

Treść widoczna jedynie dla zarejestrowanych użytkowników

**tachion** · 06.04.2013, 19:36

Ten christmaswydaje się być ok,jest to jakiś rodzaj wygaszacza ekranu żadne z poniższych załadowanych plików nie wykazują właściwości szkodliwych i były co niektóre analizowane nawet 6 lat temu.

Kod:
~ C:\Windows\INF\setupapi.app.log

+ C:\Windows\INF\swflash.inf

+ C:\Windows\system32\2003_saver dir\2003_saver.swf

+ C:\Windows\system32\2003_saver dir\expire.scf

+ C:\Windows\system32\2003_saver dir\saver.dat

+ C:\Windows\system32\2003_saver dir\saver1.dll

+ C:\Windows\system32\2003_saver dir\saver2.dll

+ C:\Windows\system32\2003_saver.scr

= C:\Windows\system32\DriverStore\drvindex.dat

= C:\Windows\system32\DriverStore\INFCACHE.1

= C:\Windows\system32\DriverStore\infpub.dat

= C:\Windows\system32\DriverStore\infstor.dat

= C:\Windows\system32\DriverStore\infstrng.dat

+ C:\Windows\system32\impborl.dll

+ C:\Windows\system32\Macromed\Flash\Flash.ocx

+ C:\Windows\system32\Macromed\Flash\GetFlash.exe

+ C:\Windows\system32\Macromed\Flash\GetFlash.exe.manifest

= C:\Users\tachion\Downloads\Conor samples\Conor samples\christmas.exe

File signature (Exeinfo): Aspack v2.12b? -> Alexey Solodovnikov

sibur · 06.04.2013, 19:50

33 sampli (by ELWIS1) :

Avira Antivirus Premium 2013( Vundo ) 18/18100%

EmsisoftEmergencyKit ( Vundo ) 18/18 100%

Avira Antivirus Premium 2013( Conficker binaries )15/15 100%

EmsisoftEmergencyKit( Conficker binaries )15/15100%

Trojan-Ransom.Win32.Foreign.bejt ( by Anonymous Network )

Avira Antivirus Premium 2013wykrywa --> TR/Crypt.Agent.PAW.1

EmsisoftEmergencyKitwykrywa --> Trojan.Ransom.Win32.Foreign.bejt.AMN (A)

ROGUE ( by Anonymous Network )

Treść widoczna jedynie dla zarejestrowanych użytkowników

<--- Setup.exe is blocked by Avira Antivirus Premium 2013 as ''TR/Fraude.H''

**tachion** · 06.04.2013, 19:59

Następny z tej paczki od conora
Setup.exe

to Cleaman.G

próbuje zmodyfikować plik hosts w celu przekierowań,podobny do bicolo

Kod:
Hid file from user: C:\Users\tachion\AppData\Local\dplaysvr.exe

Hid file from user: C:\Users\tachion\AppData\Local\dplayx.dll

Hid file from user: C:\Windows\System32\drivers\etc\hosts

Hosts file modified: C:\Windows\System32\drivers\etc\hosts

Defined registry AutoStart location created or modified: machine\software\microsoft\Windows\CurrentVersion\Run\dplaysvr = C:\Users\tachion\AppData\Local\dplaysvr.exe

Defined registry AutoStart location created or modified: user\current\software\Microsoft\Windows\CurrentVersion\Run\dplaysvr = C:\Users\tachion\AppData\Local\dplaysvr.exe

sibur · 06.04.2013, 20:16

4 Szkodliwe sample ( by Conor29134 )

Avira Antivirus Premium 20132/450%

Setup.exe --> TR/Crypt.XPACK.Gen

xx.exe --> TR/Small.GD

EmsisoftEmergencyKit2/4 50%

Setup.exe --> Trojan.Generic.8508769 (B)

xx.exe --> Trojan.Win32.Autoit (A)

**tachion** · 06.04.2013, 20:37

Następny sfes204.exe

To FB Downloaderpo zatwierdzeniu instaluje się i powinien zmienić w przeglądarkach wyszukiwarkę na swoją ale się tak nie dzieje,może na starszej przeglądarce by zadziałało,tworzy folder LuaRTz plikami też nic się nie dzieje w przypadku ich uruchomienia

strona tego programiku

[Aby zobaczyć linki, zarejestruj się tutaj]

tommyklab · 06.04.2013, 20:57

Anonymous Network angliku jeden Smile

**tachion** · 06.04.2013, 21:14

Co się tyczy tego xx.exe

jest wiele razy poddany kompresji UPX w rezultacie wychodzi Fakeav

[Aby zobaczyć linki, zarejestruj się tutaj]

Conor29134 · 07.04.2013, 10:51

tachion pytanie: cos wirtualna maszyna nie chce mi hulać więc myslę żeby próbować odpalać w sandboxie
Czy uruchamiając np ;zeroaccess w sandboxie może mi on wyleźć poza niego ? słyszałem ze sa już szkodniki obchodzące sandbox i wirtualne maszyny.

**tachion** · 07.04.2013, 14:48

Nie ma co się obawiać wykonując malware w sandboxie czy wirtualnej maszynie,wież mi a trochę różnej maści malware odpaliłem.
Niektóre zeroday z przyciemnionym kodem mogą być nie wykonalne w sandboxie,wirtualnej maszynie czy jakimś debugerze typu olydbg,wszystko zależne od krypterów jaki został użyty.
Jedynie znany dziurawy sandbox jest w programie AVAST Smile

Dodano: 07 kwie 2013, 15:48

Ransomware Reveton

Różniący się od Urasusy tym że ma możliwość nagrywania przez kamerę,projekt albo został wykradziony,albo tworzy to ten sam zespół lub osoba.

Treść widoczna jedynie dla zarejestrowanych użytkowników

[Aby zobaczyć linki, zarejestruj się tutaj]

Zaloguj się
Login:
Hasło:	Nie pamiętam hasła
	Zapamiętaj mnie