Почему они "Packed" - не имею представления, те экземпляры, что мне попадались, не были ничем пакованы/криптованы. По касперу опознавались как клоны Желатина.Сообщение от Alex_Goodwin
Поэтому что оно означает, знают только вирусные аналитики Доктора.
---
С уважением,
Borka.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Есть. Правильно ли я понял, что Доктор срабатывает на файл, "склеенный" из двух текстовых? Или я неправильно интерпретировал Ваши слова "склееваем любой файл (например 2 Txt), проверяем - вердикт Trojan.MulDrop.6269"?
---
С уважением,
Borka.
то что аверы ругаюца на клей - это нормально! так и должно быть
Да, Вы верно интерпретировали мои слова
"Клей" и криптор - одного поля ягоды. Один склеивает, другой прячет.
Сомневаюсь. Беру два экзешника (чистых, разумеется), копирую с конкатенацией, проверяю склеенный файл - никто не ругается. Ни Доктор, ни каспер. Но если взять один из них вирусный, то антивурус естественно сработает.
---
С уважением,
Borka.
Если так (два текстовых файла), то точно ложняк. Хотя не могу и предположить, как может совпасть сигнатура...Да, Вы верно интерпретировали мои слова
---
С уважением,
Borka.
берете джойнер и ИМ склеиваете 2 txt в 1 EXE получаете детект, хотя призапуске он вам просто распакует и запустит 2 txt
Ссылкой не поделитесь?
---
С уважением,
Borka.
hххp://cb01.nm.ru/BEJoiner101.rar
Спасибо, взял.
---
С уважением,
Borka.
Да, есть такое:
22-05-2007 00:25:22 [CL] (PID = 364F:\zzzz\zzz.exe - Ok
22-05-2007 00:25:22 [CL] (PID = 364
22-05-2007 00:25:22 [CL] (PID = 364
ИМХО, либо ложняк, либо код дроппера совпадает с MulDrop.6269.
---
С уважением,
Borka.
Вам объясняют, что это не "ложняк", а реальный детект. Т.е. сигнатура пишется именно на джойнер.
Возможно, так.
---
С уважением,
Borka.
Посмотрел повнимательней на это безобразие. Последовательность вызовов АПИ такая:
GetTempPathA
FindResourceA
CreateFileA
WriteFile
CloseHandle
ShellExecuteA
Что это, если не классический дроппер? Я не знаю, можно ли проверить то, что дроппается, если оно находится в ресусах, поэтому детект у всех, кто детектит, правильный. Но это ни в коем случае не детект по пакеру/криптору.
---
С уважением,
Borka.
если можно поподробней..
вот еще..Ссылкой не поделитесь?
hxxp://www.cobans.net/joiner.php
Последний раз редактировалось ALEX(XX); 22.05.2007 в 15:13.
В смысле?
[QUOTE=mayas;111247]
вот еще..
hxxp://www.cobans.net/joiner.php
Гут, спасибо.
Хм... Интересно получается:
22-05-2007 13:18:16 [CL] (PID = 1860) E:\ZZZZ\MicroJoiner.exe - упакован UPX - инфицирован Trojan.Microjo.17
22-05-2007 13:18:19 [CL] (PID = 1860) E:\ZZZZ\MicroJoiner.exe - перемещен
22-05-2007 13:18:22 [CL] (PID = 1860) E:\ZZZZ\Readme.txt - Ok
Последний раз редактировалось ALEX(XX); 22.05.2007 в 15:13.
---
С уважением,
Borka.
ну как вы так клеете
копирую с конкатенацией, проверяю склеенный файл - никто не ругается
Я - именно так, как написАл: "копирую с конкатенацией", то есть
copy /b file1.exe + file2.exe file.exe
---
С уважением,
Borka.
BEJoiner101.rar
а пароль какой?
Ваши права в разделе
