Автор Тема: Странный файл (Прочитано 6665 раз)

Silver_Shadow · « : 26 Август 2011, 22:15:21 »

Товарищ из агента прислал мне типо фото, откуда-то неизвестно найденое. Exe-шник. Я проверил его антивирусом, вирусов не нашлось. Потом все таки решил его запустить, оказалось в действительности не фотка, тобишь ничего совсем не произошло. Менял расширение на jpg итд, точно не картинка а exe.
Вот думаю напортачил я что нибудь на компе или, может какая-то вредная программа. Может кто нибудь подскажет?
Использовал для дизассембла IDA

Если открыть блокнотом, то в конце такой текст

<assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
<assemblyIdentity
type="win32"
name="CodeGear RAD Studio"
version="11.0.2627.5503"
processorArchitecture="*"/>
<dependency>
<dependentAssembly>
<assemblyIdentity
type="win32"
name="Microsoft.Windows.Common-Controls"
version="6.0.0.0"
publicKeyToken="6595b64144ccf1df"
language="*"
processorArchitecture="*"/>
</dependentAssembly>
</dependency>
<trustInfo xmlns="urn:schemas-microsoft-com:asm.v3">
<security>
<requestedPrivileges>
<requestedExecutionLevel
level="requireAdministrator"
uiAccess="false"/>
</requestedPrivileges>
</security>
</trustInfo>
</assembly>

Использовался какой-то CodeGear RAD Studio для создания приложений
Прикреплю сам файл, может кто еще другим антивирусом проверит? Или еще чем нибудь, мой ничего не нашел.

Doctor Venkman · « **Ответ #1 :** 26 Август 2011, 22:27:56 »

Ты додумался на рабочей машине запустить неизвестное гуано, а только потом полез смотреть что там было? У меня для тебя плохие новости...

topos84 · « **Ответ #2 :** 26 Август 2011, 22:41:54 »

http://www.virustotal.com/file-scan/report.html?id=0044557d6e1355c21d18bbf04bbfb7f100c0c0546ff0248c1e894c1a809b81db-1314383707

Добавлено позже:
http://virusscan.jotti.org/ru/scanresult/33d01ebe48f543356e1ab6f7825c87c1c1fed734

Добавлено позже:
Т.е. среагировали, как я понял, лишь антивирусы с гиперчувствительной эвристикой.

Unit2k · « **Ответ #3 :** 26 Август 2011, 22:44:50 »

На виртуалке надо такие вещи запускать)

Silver_Shadow · « **Ответ #4 :** 26 Август 2011, 22:53:19 »

На виртуалке у меня флэш несработал, да и я поленился. Спасибо за помощь, никто незнает как лечить сие?

Добавлено позже:
Наверно тут лечение http://av-school.ru/desc/a-1817.html

Photon9 · « **Ответ #5 :** 26 Август 2011, 22:55:19 »

А сообщение было случайно не в стиле - Вай смотри какое забавное фото - помнится у кореша аську сломали такой фигни от него пачками валило

Silver_Shadow · « **Ответ #6 :** 26 Август 2011, 23:01:14 »

Как нестранно сей вирус на мой комп не сработал. Т.к. файла hosts почему-то у меня не оказалось, видимо я когда-то его удалил. А раз его нету то вирусу нечего и копировать

Добавлено позже:

Цитата: Photon9 от 26 Август 2011, 22:55:19

А сообщение было случайно не в стиле - Вай смотри какое забавное фото - помнится у кореша аську сломали такой фигни от него пачками валило

Не, я не такой уж и полоумный чтобы на такое вестись. Всегда антивирь ловил. А тут антивирь сказал все спокойно, поверил ему.

iddqd · « **Ответ #7 :** 26 Август 2011, 23:11:22 »

Silver_Shadow, от любых вирусов пролечат здесь: http://www.kompasnet.org/forumdisplay.php?f=3

Silver_Shadow · « **Ответ #8 :** 26 Август 2011, 23:12:26 »

iddqd,
Спасибо. Кстати незнаете файл hosts обязателен, или система и без него будет нормально работать?

HardWareMan · « **Ответ #9 :** 27 Август 2011, 07:53:56 »

Есть еще личности, запускающие неизвестные и не ожидаемые файлы? тогда ботнеты будут процветать! Я щитаю, что надо таких файлов добавить на все странички всех соцсетей, чтобы увеличить эффективность.

aptyp · « **Ответ #10 :** 27 Август 2011, 09:07:50 »

картинка это или не картинка можно сразу определить по заголовку в TCMD пкм View

Silver_Shadow · « **Ответ #11 :** 27 Август 2011, 13:46:31 »

Проверил на старом компе файл и действительно получается вот что. Оригинальному файл hosts приписывается расширение sys, получается hosts.sys. И копируется еще один hosts уже от самого вируса где-то 130 кбайт. Только прочитать я его ничем не смог, ни блокнотом ни через дос, ни через IDA. Естествено если файла hosts нет, вирус не срабатывает. У меня как раз его не было

Вот такой файл hosts копируется, может кто прочитает

Добавлено позже:
Впринципе при проверке файла на вирус, тот же самый нашел

http://www.virustotal.com/file-scan/report.html?id=93ef49550048ade0216512615d31bc71d2a7ef9b9d96da5221f74219267f0263-1314437430

HardWareMan · « **Ответ #12 :** 27 Август 2011, 14:04:27 »

Его можно переименовать в *.txt:

Код: [Выделить]

Offset      0  1  2  3  4  5  6  7   8  9  A  B  C  D  E  F

00013840   0D 0A 0D 0A 0D 0A 0D 0A  0D 0A 0D 0A 0D 0A 0D 0A   ................
00013850   0D 0A 0D 0A 0D 0A 0D 0A  0D 0A 0D 0A 0D 0A 0D 0A   ................
00013860   0D 0A 0D 0A 0D 0A 0D 0A  0D 0A 0D 0A 0D 0A 0D 0A   ................
00013870   0D 0A 0D 0A 0D 0A 0D 0A  0D 0A 0D 0A 0D 0A 0D 0A   ................
00013880   0D 0A 39 31 2E 32 32 33  2E 38 39 2E 31 30 31 20   ..91.223.89.101 
00013890   76 6B 6F 6E 74 61 6B 74  65 2E 72 75 0D 0A 39 31   vkontakte.ru..91
000138A0   2E 32 32 30 2E 30 2E 33  38 20 76 6B 2E 63 6F 6D   .220.0.38 vk.com
000138B0   0D 0A 31 39 33 2E 34 35  2E 31 37 2E 38 20 79 61   ..193.45.17.8 ya
000138C0   6E 64 65 78 2E 72 75 0D  0A 31 39 33 2E 34 35 2E   ndex.ru..193.45.
000138D0   31 37 2E 38 20 79 61 68  6F 6F 2E 63 6F 6D 0D 0A   17.8 yahoo.com..
000138E0   31 39 33 2E 34 35 2E 31  37 2E 38 20 67 6F 67 6F   193.45.17.8 gogo
000138F0   2E 72 75 0D 0A 31 39 33  2E 34 35 2E 31 37 2E 38   .ru..193.45.17.8
00013900   20 67 6F 6F 67 6C 65 2E  63 6F 6D 0D 0A 0D 0A 0D    google.com.....
00013910   0A 0D 0A 0D 0A 0D 0A 0D  0A 0D 0A 0D 0A 0D 0A 0D   ................
00013920   0A 0D 0A 0D 0A 0D 0A 0D  0A 0D 0A 0D 0A 0D 0A 0D   ................
00013930   0A 0D 0A 0D 0A 0D 0A 0D  0A 0D 0A 0D 0A 0D 0A 0D   ................
00013940   0A 0D 0A 0D 0A 0D 0A 0D  0A 0D 0A 0D 0A 0D 0A 0D   ................
00013950   0A 0D 0A 0D 0A 0D 0A 0D  0A 0D 0A 0D 0A 0D 0A 0D   ................

Т.е., там присутствуют строчки где-то в середине:

Цитата

91.223.89.101 vkontakte.ru
91.220.0.38 vk.com
193.45.17.8 yandex.ru
193.45.17.8 yahoo.com
193.45.17.8 gogo.ru
193.45.17.8 google.com

Хвала великому Оллаху! Еще один социальный вирок! :3

Вот результаты запроса RIPE:

Цитата

inetnum: 91.223.89.0 - 91.223.89.255
netname: ENERGOMONTAZH-NET
descr: ENERGOMONTAZH ltd.
country: UA

person: Aleksandr Volosovyk
address: Vladivostok, Russian Federation
phone: +79242369589
nic-hdl: AV5863-RIPE
mnt-by: MNT-ENERGOMONTAZH
source: RIPE #Filtered

Цитата

inetnum: 91.220.0.0 - 91.220.0.255
netname: RIXBAS-NET
descr: SIA Business Aviation Services
country: LV

person: Vadims Vlasovs
address: Graudu str. 48A, Riga, LV-1058, Latvia
phone: +371 29528757
nic-hdl: VLAS1-RIPE
mnt-by: SIABAS-MNT
source: RIPE #Filtered

Цитата

inetnum: 193.45.16.0 - 193.45.31.255
netname: ABB
descr: ABB Infosystems AB
descr: Vasteras
country: SE

person: Allan Anundi
address: ABB Infosystems AB
address: dept. DKT
address: S-721 80 Vasteras
address: Sweden
phone: +46 21 323576
fax-no: +46 21 127635
e-mail: anundi@seinf.abb.se
nic-hdl: AA2145-RIPE
source: RIPE #Filtered

gepar · « **Ответ #13 :** 27 Август 2011, 14:28:49 »

Silver_Shadow,если ты ещё не понял то файл hosts для перенаправления запросов, изначально рассчитано на перенаправление запросов на более быстрые (например локальные) ресурсы, когда это нужно, но много всяких троянов любят переправлять трафик с популярных сайтов на сайты-фальшивки для воровства паролей и прочих данных.

AjaxVS · « **Ответ #14 :** 27 Август 2011, 19:21:37 »

Цитата

Avast
AntiVir
DrWeb
NOD32
Symantec

все "-". кошмар.

aptyp · « **Ответ #15 :** 27 Август 2011, 20:09:41 »

доверять одному антивирусу ненадёжно. бесплатные KAV Tool и DrWeb CureIT. от NOD32 бесплатной такой вроде нет. но эти три лучшие.

gepar · « **Ответ #16 :** 27 Август 2011, 21:23:31 »

aptyp,ты их сравниваешь так как будто у самого лицензия на антивирус и думаешь что у автора она есть

aptyp · « **Ответ #17 :** 27 Август 2011, 21:44:11 »

gepar, KAV Tool и CureIT бесплатные если чо, а NOD32 неюзаю но тоже ничего. А сравнивать то их можно просто на онлайн антивирях, тоже бесплатно.

gepar · « **Ответ #18 :** 28 Август 2011, 03:44:59 »

aptyp,я о том что критерий "стоимость продукта" в данном случае можно упустить.

HardWareMan · « **Ответ #19 :** 28 Август 2011, 10:51:35 »

Я AVG юзаю. Есть Free вариант, но только антивирус, но у меня есть ключик к Internet Security. :3

Silver_Shadow · « **Ответ #20 :** 28 Август 2011, 21:10:26 »

Сегодня от товарища пришел еще один файлик, просканировав он оказался более интересным вирусом чем предыдущий
http://www.securelist.com/ru/descriptions/6212128/Backdoor.Win32.Hupigon.fdnv
Так можно и коллекцию вирусов собрать