Перейти к содержимому


Фото
- - - - -

Можно ли заразиться от самораспаковывающегося архива?


  • Please log in to reply
19 ответов в этой теме

#1 Agaspherus

Agaspherus

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 07 Январь 2011 - 19:41

прислали архив.exe

Нашeл твой вoпрос в вопросе ответ.мейл.ру, Вот архив я думаю он тебе 
поможет в полной мере =) Благодарить не надо!)) Кстати я сделал архив 
автоматически распаковывающимся если у тебя нет винрара!! вот ссылка на 
файлообменник ***


я этот файл скачала, правой кнопочкой перетащила на "Новая папка", выбрала "7-Zip" -> "Распаковать здесь".

можно ли таким образом запустить вредоносный код, который находится в этом exe-файле?


PS. в архиве троян - Trojan.Hosts.2607

http://online.us.drweb.com/cache/?i=d84142...73f8930eeb49969

#2 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 07 Январь 2011 - 19:44

прислали архив.exe

Нашeл твой вoпрос в вопросе ответ.мейл.ру, Вот архив я думаю он тебе
поможет в полной мере =) Благодарить не надо!)) Кстати я сделал архив
автоматически распаковывающимся если у тебя нет винрара!! вот ссылка на
файлообменник ***


я этот файл скачала, правой кнопочкой перетащила на "Новая папка", выбрала "7-Zip" -> "Распаковать здесь".

можно ли таким образом запустить вредоносный код, который находится в этом exe-файле?


PS. в архиве троян - Trojan.Hosts.2607

http://online.us.drweb.com/cache/?i=d84142...73f8930eeb49969





Может и есть какой новый эксплоит или дыра в 7z не вкурсе....Врядли

Я предпочитаю в sfx архивы входить с помощью клав. команды в Тотал коммандер Ctrl+PageDown
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#3 PAUK

PAUK

    Guru

  • Posters
  • 3 236 Сообщений:

Отправлено 07 Январь 2011 - 19:48

прислали архив.exe

Нашeл твой вoпрос в вопросе ответ.мейл.ру, Вот архив я думаю он тебе
поможет в полной мере =) Благодарить не надо!)) Кстати я сделал архив
автоматически распаковывающимся если у тебя нет винрара!! вот ссылка на
файлообменник ***


я этот файл скачала, правой кнопочкой перетащила на "Новая папка", выбрала "7-Zip" -> "Распаковать здесь".

можно ли таким образом запустить вредоносный код, который находится в этом exe-файле?


PS. в архиве троян - Trojan.Hosts.2607

http://online.us.drweb.com/cache/?i=d84142...73f8930eeb49969





Может и есть какой новый эксплоит или дыра в 7z не вкурсе....Врядли

Я предпочитаю в sfx архивы входить с помощью клав. команды в Тотал коммандер Ctrl+PageDown

тоже не слышал, думаю НЕТ.
ЗЫ
я в архива не вхожу :lol: просто из контекстного меню проводника - 7-Zip - Открыть архив
PSS
Думаю троян заархивирован просто для обхода антивируса.

Сообщение было изменено PAUK: 07 Январь 2011 - 19:50

"объективность" – понятие глубоко субъективное
- Мы здесь все сумасшедшие. Я сумасшедший. Ты сумасшедшая.
- Откуда вы знаете, что я сумасшедшая? - спросила Алиса.
- Ты безусловно должна быть сумасшедшей, - ответил Кот, - иначе ты не попала-бы сюда.

#4 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 07 Январь 2011 - 19:50

прислали архив.exe

Нашeл твой вoпрос в вопросе ответ.мейл.ру, Вот архив я думаю он тебе
поможет в полной мере =) Благодарить не надо!)) Кстати я сделал архив
автоматически распаковывающимся если у тебя нет винрара!! вот ссылка на
файлообменник ***


я этот файл скачала, правой кнопочкой перетащила на "Новая папка", выбрала "7-Zip" -> "Распаковать здесь".

можно ли таким образом запустить вредоносный код, который находится в этом exe-файле?


PS. в архиве троян - Trojan.Hosts.2607

http://online.us.drweb.com/cache/?i=d84142...73f8930eeb49969





Может и есть какой новый эксплоит или дыра в 7z не вкурсе....Врядли

Я предпочитаю в sfx архивы входить с помощью клав. команды в Тотал коммандер Ctrl+PageDown

тоже не слышал, думаю НЕТ.
ЗЫ
я в архива не вхожу :lol: просто из контекстного меню проводника - 7-Zip - Открыть архив


Не-не ТС лучше....потом любое вложение можно листером просмотреть и узнать что за формат внутри.

---------

В sfc есть хорошая фишка...можно вовнутрь спрятать архив сжатый паролем,а sfc модулю указать исполнить команду распаковки и передать пароль...

В итоге АВ заразу не видит,т.к. один файл внутри закрыт паролем..А при запуске получаем заражение.

Сообщение было изменено mrbelyash: 07 Январь 2011 - 19:52

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#5 VVS

VVS

    The Master

  • Moderators
  • 17 790 Сообщений:

Отправлено 07 Январь 2011 - 20:00

прислали архив.exe

Нашeл твой вoпрос в вопросе ответ.мейл.ру, Вот архив я думаю он тебе
поможет в полной мере =) Благодарить не надо!)) Кстати я сделал архив
автоматически распаковывающимся если у тебя нет винрара!! вот ссылка на
файлообменник ***


я этот файл скачала, правой кнопочкой перетащила на "Новая папка", выбрала "7-Zip" -> "Распаковать здесь".

можно ли таким образом запустить вредоносный код, который находится в этом exe-файле?

Насколько я Вас понял, Вы этот sfx архив на исполнение не запускали, а воспользовались для его распаковки 7-zip.
Таким образом, даже если там внутри и было что-то, заточенное на автоматическое исполнение при запуске, Вы это "что-то" не запустили.

--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#6 Agaspherus

Agaspherus

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 07 Январь 2011 - 20:02

В sfc есть хорошая фишка...можно вовнутрь спрятать архив сжатый паролем,а sfc модулю указать исполнить команду распаковки и передать пароль...

В итоге АВ заразу не видит,т.к. один файл внутри закрыт паролем..А при запуске получаем заражение.


фрагмент из файла:

...REPLACEFILEDLG RENAMEDLG %s %s %s GETPASSWORD1 ASKNEXTVOL X * RarSFX...


#7 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 07 Январь 2011 - 20:04

В sfc есть хорошая фишка...можно вовнутрь спрятать архив сжатый паролем,а sfc модулю указать исполнить команду распаковки и передать пароль...

В итоге АВ заразу не видит,т.к. один файл внутри закрыт паролем..А при запуске получаем заражение.


фрагмент из файла:

...REPLACEFILEDLG RENAMEDLG %s %s %s GETPASSWORD1 ASKNEXTVOL X * RarSFX...



Просто киньте файл в личку
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#8 Agaspherus

Agaspherus

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 07 Январь 2011 - 20:09

Просто киньте файл в личку


You are not allowed to use the messenger feature on this board


#9 PAUK

PAUK

    Guru

  • Posters
  • 3 236 Сообщений:

Отправлено 07 Январь 2011 - 20:09

Просто киньте файл в личку


You are not allowed to use the messenger feature on this board

пробуйте еще -уже есть 3 сообщения :lol:
"объективность" – понятие глубоко субъективное
- Мы здесь все сумасшедшие. Я сумасшедший. Ты сумасшедшая.
- Откуда вы знаете, что я сумасшедшая? - спросила Алиса.
- Ты безусловно должна быть сумасшедшей, - ответил Кот, - иначе ты не попала-бы сюда.

#10 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 07 Январь 2011 - 20:13

*.exe не получится....Переименуйте в zip
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#11 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 07 Январь 2011 - 20:25

Детект верный....Оно по тихому в папку с:\WINDOWS\SYSTEM32\drivers\etc\ распаковывает два host файла (и заменяет системный)

Первый из них выглядит нормальный и у него норм. атрибуты-но на самом деле это фикция .У него буква "о" русская и он не влият на систему.Предназначен для того чтобы юзверь посмотрел,а там все чисто.

Второй из них имеет атрибуты скрытые и "правильное" имя....И заблокирет вам доступ вконтакт,аднаглазники,майлру и проч.

Отправленное изображение
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#12 PAUK

PAUK

    Guru

  • Posters
  • 3 236 Сообщений:

Отправлено 07 Январь 2011 - 20:27

дешевый какой-то...школьный.
+ без админских прав куда он?, впрочем, как и многие.
"объективность" – понятие глубоко субъективное
- Мы здесь все сумасшедшие. Я сумасшедший. Ты сумасшедшая.
- Откуда вы знаете, что я сумасшедшая? - спросила Алиса.
- Ты безусловно должна быть сумасшедшей, - ответил Кот, - иначе ты не попала-бы сюда.

#13 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 07 Январь 2011 - 20:28

дешевый какой-то...школьный.
+ без админских прав куда он?, впрочем, как и многие.

Последнее время часто попадается...ина висте и на W7...

Рюки-крюки :lol:

-----


А вот Авасты,Ноды(ВиталеГ пруэт) не защищают host ...А у Спайдера есть такая фича ;)

Сообщение было изменено mrbelyash: 07 Январь 2011 - 20:30

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#14 Vindows

Vindows

    Member

  • Banned
  • 427 Сообщений:

Отправлено 07 Январь 2011 - 20:58

дешевый какой-то...школьный.
+ без админских прав куда он?, впрочем, как и многие.

Последнее время часто попадается...ина висте и на W7...

Рюки-крюки ;)

-----


А вот Авасты,Ноды(ВиталеГ пруэт) не защищают host ...А у Спайдера есть такая фича :P

Просто тут форум Dr. Web, а так я бы указал на пальцах кто тут крут, и что правильно, и вообще скоро выйдет терминатор - пятёрочка, не завидуй мне сильно! :lol:
Essential Security against Evolving Threats
user Windows 64 bit

#15 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 07 Январь 2011 - 20:59

дешевый какой-то...школьный.
+ без админских прав куда он?, впрочем, как и многие.

Последнее время часто попадается...ина висте и на W7...

Рюки-крюки :P

-----


А вот Авасты,Ноды(ВиталеГ пруэт) не защищают host ...А у Спайдера есть такая фича :P

Просто тут форум Dr. Web, а так я бы указал на пальцах кто тут крут, и что правильно, и вообще скоро выйдет терминатор - пятёрочка, не завидуй мне сильно! :P


Ну наконец-то ты ознакомился с правилами поведения и хорошего тона :lol: и больше не скриншотишь ;)
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#16 PAUK

PAUK

    Guru

  • Posters
  • 3 236 Сообщений:

Отправлено 07 Январь 2011 - 21:00

не завидуй мне сильно! smile.gif

что Вы, что Вы! завидовать некрасиво :lol: мы не будем ;)
"объективность" – понятие глубоко субъективное
- Мы здесь все сумасшедшие. Я сумасшедший. Ты сумасшедшая.
- Откуда вы знаете, что я сумасшедшая? - спросила Алиса.
- Ты безусловно должна быть сумасшедшей, - ответил Кот, - иначе ты не попала-бы сюда.

#17 Valery Ledovskoy

Valery Ledovskoy

    Poster

  • Posters
  • 1 367 Сообщений:

Отправлено 07 Январь 2011 - 21:17

+ без админских прав куда он?, впрочем, как и многие.


Если проведёте исследование по поводу того, какой процент пользователей работает в винде с админскими правами... То достаточно и школьных троянов. К сожалению.
http://ledovskoy.com - Приятно познакомиться (с) :)

#18 PAUK

PAUK

    Guru

  • Posters
  • 3 236 Сообщений:

Отправлено 07 Январь 2011 - 21:23

Если проведёте исследование по поводу того, какой процент пользователей работает в винде с админскими правами...

зачем? результаты абсолютно предсказуемы и неутешительны...
"объективность" – понятие глубоко субъективное
- Мы здесь все сумасшедшие. Я сумасшедший. Ты сумасшедшая.
- Откуда вы знаете, что я сумасшедшая? - спросила Алиса.
- Ты безусловно должна быть сумасшедшей, - ответил Кот, - иначе ты не попала-бы сюда.

#19 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 07 Январь 2011 - 21:33

Вот бы для продвинутых юзверей сделали бы фичу

применить эти параметры на сутки(изменение "критичесиких" веток реестра например...)....По окончанию этого срока возвращать все в зад...

Ну конечно же выдавать предупреждение


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#20 Agaspherus

Agaspherus

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 08 Январь 2011 - 13:02

Отправленное изображение



Здравствуйте.
Пользователь заблокирован за нарушение правил хостинга.


-- 
С уважением,
Служба технической поддержки Just Hosting


оперативно  :)


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых