Новости IT

[• den-ssdd]

Вот так вершится народный суд над неумными людьми любящими халяву))))

четвертуюнах

--------------------

R4YAE

[• Gray]

мне сказали в вт , что этот ип под натом...

тогда зарегеных на пауке под этим ип было бы больше, чем 1

--------------------

Продаю детский синтезатор Denn DEK606 Mini

[• LLeSS]

тогда зарегеных на пауке под этим ип было бы больше, чем 1

/me пошел пинать мерлина

[• Snowm@n]

LLeSS, по проге tricolor уже есть кое-какие результаты. Известно мыло кидиса, на которое отправлялась инфа, оно на @bk.ru, через MAgent получены и его другие данные. Анализ пока не закончил, завтра результаты обнародую.

Сообщение отредактировал Snowm@n - Feb 11 2008, 23:00

--------------------

Developer -> Lead Developer -> Lead Architect -> ... ?

[• AXiZ]

AXiZ, данные в ВТ переданы?

Мне это не нужно, пусть отдел "К" или ВТ этим занимается

--------------------

«Вести Чувашия» // PROдвижение

[• Gray]

на которое отправлялась инфа, оно на @bk.ru

начинается на "fser.."?

--------------------

Продаю детский синтезатор Denn DEK606 Mini

[• Snowm@n]

на dim..
есть место проживания и фотка

Сообщение отредактировал Snowm@n - Feb 11 2008, 23:09

--------------------

Developer -> Lead Developer -> Lead Architect -> ... ?

[• LLeSS]

LLeSS, по проге tricolor уже есть кое-какие результаты. Известно мыло кидиса, на которое отправлялась инфа, оно на @bk.ru, через MAgent получены и его другие данные. Анализ пока не закончил, завтра результаты обнародую.

дай ип этого мерзафца
фотку ) фстудию данные

Сообщение отредактировал LLeSS - Feb 11 2008, 23:10

[• Gray]

дай ип этого мерзафца

О.о
в начале темы же было

--------------------

Продаю детский синтезатор Denn DEK606 Mini

[• Snowm@n]

айпи не знаю
с этим в мейл.ру
все завтра будет, я еще не закончил
троян как матрешка, один расковырял - там два, в одном третий в ресурсах (там и было мыло), а другой на первый похожий, его еще распаковывать надо
Gray, это не та прога

Сообщение отредактировал Snowm@n - Feb 11 2008, 23:15

--------------------

Developer -> Lead Developer -> Lead Architect -> ... ?

[• biker-eterne1]

айпи не знаю
с этим в мейл.ру
все завтра будет, я еще не закончил
троян как матрешка, один расковырял - там два, в одном третий в ресурсах (там и было мыло), а другой на первый похожий, его еще распаковывать надо
Gray, это не та прога

Млин, а как вы это делаете? Круто!!! Огромный респект вам, ребята!!! Супер, прям как агенты спецслужб!

[• alchx]

айпи не знаю
с этим в мейл.ру
все завтра будет, я еще не закончил
троян как матрешка, один расковырял - там два, в одном третий в ресурсах (там и было мыло), а другой на первый похожий, его еще распаковывать надо
Gray, это не та прога

А не проще на виртуальной машине под снифером запустить? А потом пакеты глянуть, куда мыло идет?

[• Snowm@n]

А не проще на виртуальной машине под снифером запустить? А потом пакеты глянуть, куда мыло идет?

Может быть, но я более технично сделал
Вообщем описываю весь процесс, чтобы не показалось, что я обвиняю кого-то голословно. Анализ пока не закончен, показываю что есть. Не профессионалам не поторять
1. Берем прогу отсюда http://www.rapidshare.ru/571216, пароль tricolor
2. Бегло смотрим в FAR'е, запакована UPX'ом 1.20, сигнатуры не потерты, распаковываем UPX'ом же

Исходный код

upx -d "tricolor setup.exe"

3. Размер увеличился ненамного, смотрим на распаковынный EXE, он включает в себя немного кода и большой оверлей, очевидно это контейнер-распаковщик, распаковывающий свой оверлей и запускающий полученный файл (или файлы)
4. Открываем EXE в IDA, исследуем. Рассмотрим код WinMain(комментарии мои). Очевидно, что распаковщик работает по следующему алгоритму:
- Ищем и завершаем процессы антивирусов и фаерволлов (KillProcess1, KillProcess2), список из программы

Исходный код

AVPCC.EXE   AVKSERV.EXE ECENGINE.EXE    FP-WIN.EXE  VETTRAY.EXE ACKWIN32.EXE    AVNT.EXE    ESAFE.EXE   FPROT.EXE   F-PROT95.EXE    IOMON98.EXE AVWIN95.EXE AVE32.EXE   ANTI-TROJAN.EXE _AVPCC.EXE  APVXDWIN.EXE    CLAW95CF.EXE    _FINDVIRU.EXE   FINDVIRU.EXE    NAVNT.EXE   VET95.EXE   SCAN32.EXE  RAV7.EXE    NAVAPW32.EXE    VSMAIN.EXE  GUARDDOG.EXE    RULAUNCH.EXE    ALOGSERV.EXE    OGRC.EXE    NAVAPSVC.EXE    SMSS.EXE    NSPLUGIN.EXE    NOD32.EXE   _AVPM.EXE   AMON.EXE    NAVWNT.EXE  NAVW32.EXE  SPIDER.EXE  AVPM.EXE    ATGUARD.EXE BLACKICE.EXE    LOOKOUT.EXE CMGRDIAN.EXE    IAMAPP.EXE  OUTPOST.EXE ZONALARM.EXE

- Распаковываем свое содержимое (в данном случае два EXE-файла) в выбранную в зависимоcти от настроек папку (системная, временная или Windows) (Decrypt1, Decrypt2) выбираем имена случайно (tmpnam)
- Запускаем каждый из распакованных файлов (ShellExecute)
- Удаляем каждый из распакованных файлов
Полный листинг
5. Мне лениво было разбираться с алгоритмом и писать свой распаковщик Однако извлечь файлы нужно. Можно возложить эту задачу на сам распаковщик, но нужно запретить ему запускать и удалять распакованные файлы. Рассмотрим код:

Исходный код

.text:004017E7                 mov     esi, ds:ShellExecuteA; Opens or prints a specified file
.text:004017ED                 add     esp, 14h
.text:004017F0                 test    eax, eax
.text:004017F2                 jz      short loc_401803
.text:004017F4                 push    0Ah            ; nShowCmd
.text:004017F6                 push    ebx            ; lpDirectory
.text:004017F7                 lea     eax, [ebp+FileName]
.text:004017FD                 push    ebx            ; lpParameters
.text:004017FE                 push    eax            ; lpFile
.text:004017FF                 push    ebx            ; lpOperation
.text:00401800                 push    ebx            ; hwnd
.text:00401801                 call    esi; ShellExecuteA; запускаем FileName
.text:00401803
.text:00401803 loc_401803:                            ; CODE XREF: WinMain(x,x,x,x)+1E6j

Заметим, что сначала проверяется eax, и если он равен 0 то ShellExecute не выполняется. Сделаем его равным нулю всегда, то есть ShellExecute не выполниться никогда. Для этого можно заменить test eax,eax (85С0) на xor eax,eax (33C0). В других местах код аналогичный поэтому произведем замену в 4-ех местах (2 ShellExecute, 2 DeleteFile)

Исходный код

4017F0
40180E
401840
401858

4 удара скальпелем (HIEW) и наш распаковщик стал белым и пушистым
6. Запускаем пропатченный (безвредный) распаковщик на виртуальной машине (на всякий случай, который как известно, бывает разный ), сделав бекап жестких дисков и запустив перед этим FileMon, чтобы не искать потом распаковынне файлы, смотрим логи

Исходный код

945 22:11:37 tricolor_safe_p:1512 CLOSE C:\DOCUME~1\opc\LOCALS~1\Temp\s1f8..exe SUCCESS  
947 22:11:37 tricolor_safe_p:1512 CLOSE C:\DOCUME~1\opc\LOCALS~1\Temp\s1f8.1.exe SUCCESS  

Итак, нужные файлы во временной папке
7. Рассмотрим s1f8.1.exe, он запакован UPX'ом, сигнатуры не потерты, распаковываем
8. Смотрим, это троян написанный на Delphi, заглянем в оверлей, там находиться мыло, на которое отправляется инфа, адрес SMTP-сервера и открываемый трояном порт

Исходный код

dim12@bk.ru по смещению 6F27Bh - мыло
smtp.bk.ru по смещению 6F299h - SMTP сервер
47891 по смещению 6F2CDh - порт

9. Лезем в MAgent получаем инфу на dim12@bk.ru

10. С s1f8..exe пока не разбирался, но похоже что он распаковывается тем же распаковщиком, что и "tricolor setup.exe"! Похоже на генератор вирусов
p.s. Кто-нибудь statdirANIXAKER мне даст посмотреть?

Сообщение отредактировал Snowm@n - Feb 12 2008, 09:35

--------------------

Developer -> Lead Developer -> Lead Architect -> ... ?

[• SiММ]

9. Лезем в MAgent получаем инфу на dim12@bk.ru

Андреев Дмитрий Александрович (поиск по мылу в аське)?
Поиск в гугле:
http://dim12impuls.narod.ru/business.html
http://www.tricolor.tv/region_239.html
429123, ул.Суворова д.33
+79196596936
dim12@bk.ru

--------------------

shit happens:P

[• LInfo]

p.s. Кто-нибудь statdirANIXAKER мне даст посмотреть?

само письмо осталось, а вот прикрепленный файл уже отсутствует

может у кого еще осталось

--------------------

"неправильная" подпись может быть находкой для шпионов