Jump to content
SympleBoy22

Virus nou pe hi5

Recommended Posts

Posted (edited)

Programul e cryptat cu un stub facut in VB6. Cred ca encryptia e Rijndael. De asemenea cred ca are si EOF Data encryptata.

Se pune la StartUp, da disable la Task Manager, la CMD si la firewall.

Stub-ul cel putin, cred ca a fost facut de un neamt pe nume David.

Mai multe detalii dupa ce imi bag XP pe VirtualBox.

Edited by Nytro
Posted

Detalii suplimentare dupa analiza:

Summary:

- Autostart capabilities:

This executable registers processes to be executed at system start.

This could result in unwanted actions to be performed automatically.

- Creates files in the Windows system directory:

Malware often keepscopies of itself in the Windows directory to stay

undetected by users.

- Performs File Modification and Destruction:

The executable modifiesand destructs files which are not temporary.

- Spawns Processes:

The executable produces processes during the execution.

- Performs Registry Activities:

The executable reads and modifies registry values. It also creates and

monitors registry keys.

Pe romaneste daca nu prea le ai cu pc-urile si ai descarcat update-ul si ai intrat in el ai cam belit-o.:rolleyes:

Posibila solutie: sterge acel cod aparut la categoria "Citate Preferate" si da salvare profil.Daca nu merge din prima fa asta inca odata pana nu mai apare codul acela la "Citate preferate", eventual dupa ce stergi codul pune tu un citat ca sa inlocuiesti acel cod, si salveaza.

O sa revin cu detalii daca mai gasesc ceva.

Ym Id: mister.andu

Posted

Test hi5update.exe

Se copiaza in: Windows/system32/winlog.exe

StartUp: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Trimite date catre: 188.27.212.206 ( Romania , Bucuresti, RDS ) - XAMPP

Posibil ca datele sa fie salvate in: http://188.27.212.206/log.txt

Datele sunt trimise cryptat ( cred ).

Scan simplu ( nmap ):

PORT STATE SERVICE

25/tcp filtered smtp

80/tcp open http

135/tcp filtered msrpc

139/tcp filtered netbios-ssn

443/tcp open https

445/tcp filtered microsoft-ds

Inca nu stiu exact ce vrea sa faca, cred ca este stealer, a "cautat" prin Temporary Internet Files si alte foldere gen Cookies de la Internet Explorer. Probabil doar IE pentru ca nu am si Mozilla sau altceva.

Revin cu mai multe detalii dupa ce studiez logurile. Pentru a scapa de el stergeti-l din system32 si scoteti-l de la startup.

Posted

M-am uitat prin .pcap-ul de la anubis sa vad traficul facut.Are IP dinamic.Si foloseste zapto.org.

C:\Documents and Settings\SirGod>ping 3728.zapto.org

Pinging 3728.zapto.org [188.27.212.206] with 32 bytes of data:

Request timed out.

Si mai are si pe no-ip.com.Aici e IP de US.

C:\Documents and Settings\SirGod>ping nf1.no-ip.com

Pinging nf1.no-ip.com [204.16.252.8] with 32 bytes of data:

Request timed out.

Daca cineva e dispus sa il testeze si sa captureze traficul facut,poate si posteaza fisierul pcap.

  • Moderators
Posted

Am o prietena care a avut virusul asta.

Se trimite prin comment-uri pe profil si la poze.

Ca sa scapati de chestia cu download hi5update.exe, stergeti ultimele comment-uri si gata.

Posted (edited)

Are 217kb, celalalt avea 60. Sa vad diferente... :)

Pentru inceput:

E cryptat cu Polifemo Ebrio Crypter. Encryptia cred ca e RC4. Crypterul e scris tot in Visual Basic 6.

Noul IP e: 79.117.73.154 ( Romania, Constanta, RDS ) - 3728.zapto.org

Si mai e unul de SUA: nf4-no-ip.com ( 69.65.5.122 ) - Dar nu imi dau seama ce legatura are.

Se copiaza in : Windows/system32/boot.exe

Ca sa scapati de el stergeti boot.exe din C:\Windows\system32

Se pune la startup la: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Font

Edited by Nytro
Posted

acuma cred ca e sub forma de iframe pentru ca apare sus ca un pop-up ( cum imi aparea mie deobicei la iframe-uri ) si ptr ca scrie acolo in bara " Se asteapta date de la .....bravenet.com si t35.com )

:-?

Posted
acuma cred ca e sub forma de iframe pentru ca apare sus ca un pop-up ( cum imi aparea mie deobicei la iframe-uri ) si ptr ca scrie acolo in bara " Se asteapta date de la .....bravenet.com si t35.com )

:-?

Nici macar nu mai arata profilurile in totalitate :D

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...