ďťż
chomiki
usuwanie rootkita bagle (flec006. exe) - prośba o spr. loga
WINFILE.exe - jest w każdym folderze na dysku :/
brss01a.exe - śmierdzi wiruchem.
Syf autorunowy - info.exe
svchost.exe
Dziwny plik
Plik stronicowania
Plik PDF
Skasowany plik
Air Bag oraz STOP. niechciane kontrolki....
  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • stargazer.xlx.pl

  • chomiki

    Dziś dostałem taki pliczek:

    Co lepsze nic od tego gosćia nie zamawiałem Informacji na ten temat nie ma Co mnie zastanowiło to sam rodzaj podpisanego pliku Video.zip Bo obok jest ikonka EXE po ściagnięciu i zobaczeniu w TotalCMD był w środku plik:
     
    document.avi      [edit]      .exe
    ^^^ Co lepsze ile gościu spacji wrąbał aby ukryć rozszerzenie exe
    Usunąłem część spacji bo się strona rozwala Prawdopodobnie nazwa pliku na maxa 255znaków(nie liczyłem)
    Ale pytanie dotyczy Czy jest(ktoś zna) jakiś program aby można było zobaczyć co program po olei robi, i ewentualnie zgodzić się lub nie(na dane kroki tego programu).

    Hmmm Program wydaje sie albo dobrze zrobionym(Virem/trojanem) albo to tylko reklama bo w kodzie ma wpisane:


    MZ�   ˙˙ ¸ @ Ŕ ş ´ Í!¸LÍ!This program cannot be run in DOS mode.

    $ ăâۧƒˆ§ƒˆ§ƒˆ§ƒˆ«ƒˆ[Łmˆ¦ƒˆ`…yˆ¦ƒˆRich§ƒˆ PE L *JF ŕ    `   @             $ < @ ŕZ $ .text ´    ` ŕ.rdata  
    @ @.data  0 @ Ŕ.rsrc Ě @ † ` ŕ \document.txt open Dear Sir/Madam,

    It is a pleasure to write to you in respect of our organisation. We are experts in
    the sale of raw materials, we export into Canada/America and some parts of Europe.
    We are searching for representatives who can help us establish a medium of getting
    our funds from our customers. The total sum of 750500 USD in Canada/America/Europe
    as well as making payments through you to us by wire transfer, bank draft or check
    will be issued to you on your name. Please if interested in transacting business in
    view of helping us, 10% of the total sum will be awarded to you, for your kindness
    help and co-operation, so our clients could make payment to you being our
    representative, we will be very glad. Compensations will be given and other benefits
    as follows. Please contact us for more information. Subject to your satisfaction you
    will be given the opportunity to negotiate your mode of which we will pay for your
    services as our representative in Canada/America/Europe. If interested forward to us
    your telephone number/fax number and your full contact addresses. For further
    information please contact me on my email, almerjrin101@telkom.net or
    almerjrinhussen@netscape.net.

    Thanks,

    Mr al-merjrin Hussen
    Managing Director (Mealtmac).
    h 0@ h č߆ h @ h 0@ čx j j jj jh @h 0@ čG …Ŕt‹Řj h1@ h˙ h@ Pč< Sč jj j h 0@ h@ j č+ j č ˙% @ ˙% @ ˙% @ ˙% @ ˙% @ ˙% @ ˙% @ „ ’ ® ľ Ę ä ` Ö | ô  „ ’ ® ľ Ę ä  CloseHandle 2 CreateFileA u ExitProcess PGetTempPathA ąWriteFile ÓlstrcatA KERNEL32.dll n ShellExecuteA SHELL32.dll

    Ale zastanawia mnie po co on będzie tworzył kilka plików tekstowych Skoro to tylko reklama widać że program będzie zbierał informacje od użytkownika(pytanie jakie i czy za zgodą usera) i jeśli bez zgody usera to pewnie wyśle gdzieś te dane na jakiś serwer

    Ktoś ma jakieś pomysły aby dojść do tego(bez bezpośredniego odpalania pliku) co ten program robi ?

    Add////

    Po rozpakowaniu Ma ikonkę notatnika a jego rozmiar(pliku exe) to: 36,5 KB (bajtów: 37 376)


    imho to wirus. najciekawsze jest to:

    CloseHandle 2 CreateFileA u ExitProcess PGetTempPathA  ąWriteFile ÓlstrcatA  KERNEL32.dll  n ShellExecuteA SHELL32.dll
    spójrz na domenę z jakiej został nadany. to są chyba Chiny. a ja bym chińskim mailom nie ufał
    pim, Ja jeszcze go nie odpaliłem Ja chce się dowiedzieć w jakiś inny sposób co on robi, tylko tak abym wiedział co będzie zmieniał bo ten XP co teraz mam pójdzie do kasacji za jakieś parę dni Więc zaryzykować mogę albo na 98 ale chodzi mi o jakiś program który go "rozłoży na czynniki pierwsze" tylko nie żaden Disassembler bo assemblera nie znam


    pim(...)tylko nie żaden Disassembler bo assemblera nie znam
    to może dekompilator? to by jeszcze zależało w jakim języku jest to "coś" napisane. klik i klik


    pim,
    1. http://www.elektroda.pl/rtvforum/topic356299.html

    przykro mi, ale muszę cię rozczarować — nie istnieje sensowny dekompilator do c++/było kilka, ale szczerze odradzam próby zabawy tym 'czymś'/. Jedyne co możesz uzyskać to listing w asemblerze przy pomocy odpowiedniego disasemblera /np. IDA/. Ten zaś możesz spokojnie na C\C++ przepisać...
    2. http://komputery.katalogi...exe-t10700.html

    "32K kodu asemblera to wielki problem, a co z 32Mb programem napisanym w Delphi? To drugi problem doprowadzający analizatorów kodu do bólu głowy. Wiele programów pisanych w językach Pascal czy C++ kompilowanych jest do kilku megabajtowych plików wykonywalnych. Dekompilacja takiego pliku to marzenie. Póki co brakuje narzędzi, które dostatecznie dobrze potrafiłyby przetworzyć plik EXE w plik źródłowy. Dlatego czasami analiza tego typu pliku jest niewykonalna. "
    3. http://forum.4programmers...ic.php?id=56281

    każdy język można zdekompilować

    Co za bzdury!!
    Ja znam 3 (być może jest więcej) języki, które można zdekompilować:
    - Java
    - Assembler
    - .NET (no to nie język, ale chodzi o wszystkie, które się na tym opierają)

    4. http://pl.wikipedia.org/wiki/Dekompilacja

    Dekompilacja - odtworzenie postaci źródłowej programu na podstawie jego kodu wynikowego (binarnego). Dekompilacja nie odtwarza kodu źródłowego programu, takiego jaki był przed kompilacją, a jedynie odtwarza postać źródłową o identycznym (w zamyśle) działaniu.

    Wiec pim wracamy do punktu wyjścia Bo assemblera niestety nie znam Ma może ktoś program co śledzi inne programy w działaniu i ma nad nimi kontrole(pozwala lub nie pozwala wykonać danej procedury)
    Podlacze sie do postu, sam dostalem takiego maila, ale jakos sie nie dziwie, tlen ma dosc dobrze skopane ustawienia swojego postfixa (potrafia przychodzic do mnie maile nie adresowane do mnie, takie cos zdarzalo mi sie tylko z poczta polska, wiec i przepuszczaja wirusy od komputerow zombie), ale jego admin nie reaguje na moje maile.
    Zastanawiam sie nad odpaleniem tego na jednej z moich maszyn linuxowych pod wine, moze to coś powie.
    Sprobuje w wolnej chwili i dam wam znac.
    Pozdrawiam!
    PS: do mnie mail przyszedl z domeny e-mail.ru, wiec rosja, z adresem zwrotnym yahoo.co.uk
  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • mandragora32.opx.pl
  • ďťż
    Wszelkie Prawa ZastrzeĹźone! chomiki Design by SZABLONY.maniak.pl.