В Вирлаб?ДЛЛку закинул
" странных вируса. Один "сломал" Ie6 второй пытается писаться на флешку :)
#21
Отправлено 08 Июль 2009 - 16:08
Борис А. Чертенко aka Borka.
#22
Отправлено 08 Июль 2009 - 16:10
Сейчас кину.В Вирлаб?ДЛЛку закинул
avgrsstx.dll пустой
Там AVG стоял 8 - видимо от него
#23
Отправлено 08 Июль 2009 - 16:11
Также говорят, чтоhttp://www.virustotal.com/ru/analisis/b688...50d9-1246978339
http://virusscan.jotti.org/ru/scanresult/6...c11465dc0b68ab5
Говорят какойто Heur
"Файл b342de2d002b7866865101a38b235e005778d3b9.DLL получен 2009.07.07 14:52:19 (UTC)
Текущий статус: закончено
Результат: 11/41 (26.83%)"
То есть сутки назад. А сейчас как?
Борис А. Чертенко aka Borka.
#24
Отправлено 08 Июль 2009 - 16:16
Я только только кинул - минут 10 назад - мне эти ссылки вернуло...Также говорят, чтоhttp://www.virustotal.com/ru/analisis/b688...50d9-1246978339
http://virusscan.jotti.org/ru/scanresult/6...c11465dc0b68ab5
Говорят какойто Heur
"Файл b342de2d002b7866865101a38b235e005778d3b9.DLL получен 2009.07.07 14:52:19 (UTC)
Текущий статус: закончено
Результат: 11/41 (26.83%)"
То есть сутки назад. А сейчас как?
В Вирлаб запостил DLLку в архиве
#25
Отправлено 08 Июль 2009 - 16:18
Там надо жать "Повторить анализ сейчас", если есть такая опция.Я только только кинул - минут 10 назад - мне эти ссылки вернуло...
#26
Отправлено 08 Июль 2009 - 16:20
Да я другую (у меня их много) dllку запостить - теже 11/41 и дата 7еТам надо жать "Повторить анализ сейчас", если есть такая опция.Я только только кинул - минут 10 назад - мне эти ссылки вернуло...
#27
Отправлено 08 Июль 2009 - 16:30
И кнопочки "Reanalyze now" нет?Да я другую (у меня их много) dllку запостить - теже 11/41 и дата 7еТам надо жать "Повторить анализ сейчас", если есть такая опция.Я только только кинул - минут 10 назад - мне эти ссылки вернуло...
Борис А. Чертенко aka Borka.
#28
Отправлено 08 Июль 2009 - 16:32
Номер тикета?В Вирлаб запостил DLLку в архиве
Борис А. Чертенко aka Borka.
#29
Отправлено 08 Июль 2009 - 16:37
Там нет номера...Номер тикета?В Вирлаб запостил DLLку в архиве
Я постил в
http://vms.drweb.com/sendvirus/
мне номера не дали
#30
Отправлено 08 Июль 2009 - 16:40
А адрес своей почты указывали? Тикет должен прийти по почте, так не дают.Там нет номера...Номер тикета?В Вирлаб запостил DLLку в архиве
Я постил в
http://vms.drweb.com/sendvirus/
мне номера не дали
Борис А. Чертенко aka Borka.
#31
Отправлено 08 Июль 2009 - 16:40
УпсYYY
e-mail свой указали? письмо от вирлаба с номером пришло?
[drweb.com #935696] Создан: SUBMITTED VIRUS
Это?
#32
Отправлено 08 Июль 2009 - 16:42
УпсYYY
e-mail свой указали? письмо от вирлаба с номером пришло?
[drweb.com #935696] Создан: SUBMITTED VIRUS
Это?
Это. Сейчас посмотрю...
Личный сайт по Энкодерам - http://vmartyanov.ru/
#33
Отправлено 08 Июль 2009 - 16:43
Ага, оно. Ждем ответа Вирлаба. Мне кажется, кто-то их дроппает...УпсYYY
e-mail свой указали? письмо от вирлаба с номером пришло?
[drweb.com #935696] Создан: SUBMITTED VIRUS
Это?
Борис А. Чертенко aka Borka.
#34
Отправлено 08 Июль 2009 - 16:45
Ага, оно. Ждем ответа Вирлаба. Мне кажется, кто-то их дроппает...УпсYYY
e-mail свой указали? письмо от вирлаба с номером пришло?
[drweb.com #935696] Создан: SUBMITTED VIRUS
Это?
Я нашел как оно грузится
Ура ура
Image File Execution Options
iexplorer.exe
в дебарере прописывается гад!
#35
Отправлено 08 Июль 2009 - 16:49
Ага, оно. Ждем ответа Вирлаба. Мне кажется, кто-то их дроппает...УпсYYY
e-mail свой указали? письмо от вирлаба с номером пришло?
[drweb.com #935696] Создан: SUBMITTED VIRUS
Это?
Угу, то что было прикреплено на форуме - был дроппер. Но, похоже, я не весь код его защиты нашел, в итоге не получил этой либы, но как дроппера добавил.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#36
Отправлено 08 Июль 2009 - 16:51
#37
Отправлено 08 Июль 2009 - 16:52
Как будет детектиться? И либы?Угу, то что было прикреплено на форуме - был дроппер. Но, похоже, я не весь код его защиты нашел, в итоге не получил этой либы, но как дроппера добавил.Ага, оно. Ждем ответа Вирлаба. Мне кажется, кто-то их дроппает...УпсYYY
e-mail свой указали? письмо от вирлаба с номером пришло?
[drweb.com #935696] Создан: SUBMITTED VIRUS
Это?
Борис А. Чертенко aka Borka.
#38
Отправлено 08 Июль 2009 - 16:56
Как будет детектиться? И либы?Угу, то что было прикреплено на форуме - был дроппер. Но, похоже, я не весь код его защиты нашел, в итоге не получил этой либы, но как дроппера добавил.Ага, оно. Ждем ответа Вирлаба. Мне кажется, кто-то их дроппает...УпсYYY
e-mail свой указали? письмо от вирлаба с номером пришло?
[drweb.com #935696] Создан: SUBMITTED VIRUS
Это?
Дроппер Trojan.MulDrop.32566, из него достал BackDoor.Siggen.503. Либа из тикета будет Trojan.Blackmailer.1264, хотя это совсем другое семейство, но по функционалу оно же.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#39
Отправлено 08 Июль 2009 - 17:23
Видимо еще где-то засел...
При загрузке создается библиотека и записи в
Image File Execution Options
#40
Отправлено 08 Июль 2009 - 17:29
Ждите обновления баз.Черт победить так и не получилось....
Видимо еще где-то засел...
При загрузке создается библиотека и записи в
Image File Execution Options
Борис А. Чертенко aka Borka.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых