Virus nou pe hi5

[SympleBoy22]

Si pan' la urma ce face?Keylogger?

[sonyx]

Virusul se numeste hi5update.exe

http://www.rp-legal.ro/hi5update.exe - L-am scanat cu virustotal doar 3 antivirusuri gasesc ceva suspect Trojan.

Mai multe conturi au fost infectate.

P.S. : Bine, ca voi nu erai idioti sa downloadati!

[SympleBoy22]

who did this shit?

[dragosh1904]

da pai se putea sa nu fi romanii nostri?

in fine cam ciudat raportul av cunoscuti nimic..decat unul da las ca baeti de la av in max 2 zile se ocupa ei:)Multi-Engine Antivirus Scanner - Services - NoVirusThanks.org

LE ce ciudat look at http://www.rp-legal.ro/

cred ca e criptat cu themida ca mi suna cunoscut Crafted.Win32File.OLS

[SympleBoy22]

Si pan' la urma ce face?Keylogger?

[CyberWolf08]

Anubis: Analyzing Unknown Binaries

se pune la startup, schimba homepage-u de la IE, plus ca pare ca mai e si stealer

[Nytro]

Programul e cryptat cu un stub facut in VB6. Cred ca encryptia e Rijndael. De asemenea cred ca are si EOF Data encryptata.

Se pune la StartUp, da disable la Task Manager, la CMD si la firewall.

Stub-ul cel putin, cred ca a fost facut de un neamt pe nume David.

Mai multe detalii dupa ce imi bag XP pe VirtualBox.

Edited January 3, 2010 by Nytro

[MisterAndu]

Detalii suplimentare dupa analiza:

Summary:

- Autostart capabilities:

This executable registers processes to be executed at system start.

This could result in unwanted actions to be performed automatically.

- Creates files in the Windows system directory:

Malware often keepscopies of itself in the Windows directory to stay

undetected by users.

- Performs File Modification and Destruction:

The executable modifiesand destructs files which are not temporary.

- Spawns Processes:

The executable produces processes during the execution.

- Performs Registry Activities:

The executable reads and modifies registry values. It also creates and

monitors registry keys.

Pe romaneste daca nu prea le ai cu pc-urile si ai descarcat update-ul si ai intrat in el ai cam belit-o.

Posibila solutie: sterge acel cod aparut la categoria "Citate Preferate" si da salvare profil.Daca nu merge din prima fa asta inca odata pana nu mai apare codul acela la "Citate preferate", eventual dupa ce stergi codul pune tu un citat ca sa inlocuiesti acel cod, si salveaza.

O sa revin cu detalii daca mai gasesc ceva.

Ym Id: mister.andu

[Nytro]

Test hi5update.exe

Se copiaza in: Windows/system32/winlog.exe

StartUp: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Trimite date catre: 188.27.212.206 ( Romania , Bucuresti, RDS ) - XAMPP

Posibil ca datele sa fie salvate in: http://188.27.212.206/log.txt

Datele sunt trimise cryptat ( cred ).

Scan simplu ( nmap ):

PORT STATE SERVICE

25/tcp filtered smtp

80/tcp open http

135/tcp filtered msrpc

139/tcp filtered netbios-ssn

443/tcp open https

445/tcp filtered microsoft-ds

Inca nu stiu exact ce vrea sa faca, cred ca este stealer, a "cautat" prin Temporary Internet Files si alte foldere gen Cookies de la Internet Explorer. Probabil doar IE pentru ca nu am si Mozilla sau altceva.

Revin cu mai multe detalii dupa ce studiez logurile. Pentru a scapa de el stergeti-l din system32 si scoteti-l de la startup.

[SympleBoy22]

Romanii nostri.Si la RDS:))

[SirGod]

M-am uitat prin .pcap-ul de la anubis sa vad traficul facut.Are IP dinamic.Si foloseste zapto.org.

C:\Documents and Settings\SirGod>ping 3728.zapto.org

Pinging 3728.zapto.org [188.27.212.206] with 32 bytes of data:

Request timed out.

Si mai are si pe no-ip.com.Aici e IP de US.

C:\Documents and Settings\SirGod>ping nf1.no-ip.com

Pinging nf1.no-ip.com [204.16.252.8] with 32 bytes of data:

Request timed out.

Daca cineva e dispus sa il testeze si sa captureze traficul facut,poate si posteaza fisierul pcap.

[sonyx]

am trimis mail la hostingu care gazduia site-u si l-au suspendat

[Dragos]

Am o prietena care a avut virusul asta.

Se trimite prin comment-uri pe profil si la poze.

Ca sa scapati de chestia cu download hi5update.exe, stergeti ultimele comment-uri si gata.

[SympleBoy22]

Nytro,tu l-ai rulat in VirtualBox pe windows?

[Nytro]

Da, XP SP3 pe VirtualBox. Nu am rulat in Sandboxie sau altceva pentru ca nu se poate fura nimic de acolo. Instalez Mozilla, si ma uit daca fura parolele de Mozilla.

[SympleBoy22]

Posibil,daca e keylogger s-ar putea sa trimita tot.Ala nu a folosit proxy,cam cati or fi cazut in plasa.

[Luci]

Nu cred ca au cazut prea multi, pentru ca unii nu il iau in seama si ii dau renunta direct

acum a schimbat: brazi-craciun.ro

[Nytro]

Are 217kb, celalalt avea 60. Sa vad diferente...

Pentru inceput:

E cryptat cu Polifemo Ebrio Crypter. Encryptia cred ca e RC4. Crypterul e scris tot in Visual Basic 6.

Noul IP e: 79.117.73.154 ( Romania, Constanta, RDS ) - 3728.zapto.org

Si mai e unul de SUA: nf4-no-ip.com ( 69.65.5.122 ) - Dar nu imi dau seama ce legatura are.

Se copiaza in : Windows/system32/boot.exe

Ca sa scapati de el stergeti boot.exe din C:\Windows\system32

Se pune la startup la: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Font

Edited January 3, 2010 by Nytro

[SympleBoy22]

o mai fi adaugat ceva la el...

[TheBes7]

acuma vine de la brazi-craciun.

sa ia suspend si la asta?

[BAStuson]

si eu lam vazut ieri pe destul de multe hi5uri

[TheBes7]

acuma cred ca e sub forma de iframe pentru ca apare sus ca un pop-up ( cum imi aparea mie deobicei la iframe-uri ) si ptr ca scrie acolo in bara " Se asteapta date de la .....bravenet.com si t35.com )

[HackKing]

acuma cred ca e sub forma de iframe pentru ca apare sus ca un pop-up ( cum imi aparea mie deobicei la iframe-uri ) si ptr ca scrie acolo in bara " Se asteapta date de la .....bravenet.com si t35.com )

Nici macar nu mai arata profilurile in totalitate

[Guest Nemessis]

http://rstcenter.com/forum/19030-hi5-worm-noobs-stealth-method.rst