-
Installator с hldrrr / srosa
Попал в руки инсталлятор (668К), запакованный Themida. Кто-то из пользователей его установил и поимел полный букет неприятностей.
Его удалось распаковать в EXE, размером 1492К (запускаемость не проверял, распаковщик предлагает в случае проблем с запуском использовать imprec).
Визуальным просмотром распакованного файла видны в нем строки hldrrr, srosa и длинный-длинный список блокируемых антивирусов.
Опять-таки, из визуального просмотра следует, что отслеживается работа в ВМ и наличие SoftIce.
Вопрос: это баян или он кому-нибудь может быть интересен для изучения? Просто у меня Инет на выход очень медленный, поэтому зряшную работы делать очень бы не хотелось.
Последний раз редактировалось psw; 20.02.2008 в 12:31.
Причина: описка
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Можете переслать на [email protected] в zip-архиве с паролем "infected" без кавычек. Получат многие антивирусные вендоры. Они это изучат.
Опыт — это слово, которым люди называют свои ошибки.
-
-
-
-
Ещё сюда если можно http://z-oleg.com/secur/avz/uploadvir.php В архиве без паролей, желательно чтобы файл был в оригинале, а не распакованный Вами. Спасибо.
-
-
-
-
Ещё ответы вирлабов сюда бы (:
Blink 182 = BoxCar Racer + plus 44 + Angels & Airwaves
-
-
Это я могу, только как надо: целиком или дайджест?
В целом, ответы пока делятся на такие группы:
а)уже детектируется нашей версией: Avira (20.02.08 16:25)
--
The file 'IM+ for Palm 2.5.3.exe.vir' has been determined to be 'MALWARE'. Our analysts named the threat TR/Crypt.XPACK.Gen. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.This malware is detected by a special detection routine from the engine module.
Alternatively you can see the analysis result here:
http://analysis.avira.com/samples/de...identid=124496
--
CA Antivirus 2007 20.02.08 16:14 (обновлено 21.02.08 09:16 и 10:11)
--
The Windows PE (I386,EXE) file "IM+ for Palm 2.5.3.exe.vir" has been
determined to be malicious. The file has been identified as
Win32/Glieder.HM trojan.
Aliases reported by other AV products are listed here:
(Trojan-Downloader.Win32.Bagle.jw) (Downloader.gen.a)
CA products address this malware as follows:
--------------------------------------------
CA Anti-Virus
Engine Update version Last Update
31.3.0 31.3.5552 21 Feb
Please check for the latest signature updates.
--
б) детект будет вставлен в следующее обновление, а пока прислали заплатку (McAffee 20.02.08 18:14)
--
Attached is a file for extra detection, which will be included in a future DAT set. We
have detected a virus or trojan that can only be detected and removed with the
attached EXTRA.DAT and current scan engine.
в) рассматривается: DrWeb (20.02.08 16:20) и VirusBuster (20.02.08 16.31)
г) нет ничего вредоносного: Secure Computing Anti-Malware (20.02.08 16:16)
We could not find any malware sample in your message.
д) ответа нет (остальные)
-- 21.02.08. Получены ответы
20:43 VirusBuster
Thank you very match for the bagle sample.
21:43 Kaspersky lab
IM+forPalm2.5.3.exe.vir - Trojan-Downloader.Win32.Bagle.jw
This file is already detected. Please update your antivirus bases.
Последний раз редактировалось psw; 21.02.2008 в 23:05.
Причина: Вставлен новый ответ от вендора
-
-
Off-top : Мне оформление ответа по зловреду нравиться у авира - приходит ответ по найденному в ввиде инет-станички . Информации правда мало, но оформлено солидно и понятно
-
-
Сообщение от
psw
г) нет ничего вредоносного: Secure Computing Anti-Malware (20.02.08 16:16)
We could not find any malware sample in your message.
Я не уверен, что они это имеют в виду, что 'нет ничего вредоносного в самом файле'. Они говорят, что 'не смогли найти образец malware (сам файл?) в вашем сообщении'. Возможно имеет смысл повторять посылку...
Paul
-
По ответу похоже. Целиком он выглядел так
We could not find any malware sample in your message.
Please note, that we only accept malware samples in a password
encrypted zip archive with password 'infected'. All other emails
will be dropped.
This is an automatically generated response. Please understand that
we cannot respond to every request individually.
Только с моей стороны все пререквизиты (zip-архив, фиксированный пароль) были выполнены. Может быть, что-то не в порядке со скриптом редиректа на них у [email protected] ?
-
-
Сообщение от
psw
Угу. Вполне возможно.
Paul
-
Да это же web-вошир =) Главное чтобы до авиры дошло.
Blink 182 = BoxCar Racer + plus 44 + Angels & Airwaves
-