Hej

Körde en online scan (virustotal) på en PI server igår.
Hade inget användare på min klient när jag gjorde detta.
Ca en halvtimme efter jag gjort detta fick jag in en.
Han var bara "min" i ca 45sek.
Blev lite förvånad och hann inte agera spec snabbt.
Men han körde vad jag tror var en spansk XP. Min PI server låg i en mapp som hette Trojanas eller nåt.
Jag hade precis skapat denna, så det kan inte vara "någon annan"....

Är inte detta ganska, eller mkt ovanligt, att ngn sitter och manuellt startar de filer som skickas in??

Vad tror ni?

LoL .. skulle vara ganska dumt av de isåfall

exakt samma sak!!!! han heter usario och om man tar en screen så får man upp en komandoryta där det står nått på spanska om trojaner. har fått han flera gånger. jag tror att stället det står xp på ändrar sig varje gång. sist stog det xp4 och innan xp3.

edit:
jag har valt uninstall vid minst ett tillfälle, men han har ändå kommit tillbaka. det ända som jag har använt sm fungerat är screencapture. pass audit fungerar inte.
jag använder poison :-s

Dem är ute efter dig. Nej men du valde väl distribute hoppas jag? Hur annars fick dem tag i den? och det kan vara så att när du kör uninstall så kör "han" bara en systemrestore för att analysera vad för typ av fil det är och sätta detection på den.

edit; kommer han tillbaka direkt efter uninstall?

nej, han var borta i flera dagar, dessutom har jag i stort sett bara använt en server och den är fortfarande ud. och hans dator har 200 mb ram nånting(inte 256) så det känns inte som någon virustestaranställ :S. Jag är nästan säker på att jag alltid tryck not distribute.
nästa gång han kommer ska jag göra en prtscr.

Fast iofs så executar inte antivirusbolagen filen bara sådär. Dem analyserar den inte genom att dubbel klicka så ignorera första raden i min kommentar.

Frågan är: tickade ni i så att ni INTE distribute'ade?

Om ni gjorde detta så är det nog dags att sluta skicka till VT i hopp om att det aldrig blir detected pga det ...

99% på att jag tickade. men servern är fortfarande ud förutom för nod32 heurustic scan, som började upptäcka den häromdan (den är delvis sfx). däremot har jag tryckt på distribute igen efter att scanen börjat för att, ja jag vet inte varför, men det har jag gjort. men jag har alltid tryckt distribute innan uppladning.
blev lite rörigt, men får väll gå bra

Om det är som du säger (att du klickade i så att AVföretag inte får ta del av den) så är det alltså nån stolle som analyserar filen.. Dvs den blir snart detected.

Så då, då har vi spräckt den myten; Skicka inte till virustotal (kanske drar förhastad slutsats, mjäh).

jag brukar "ha han" ca. 45 sec. vad tror ni om att ladda upp en ud server? rent hypotetiskt alltså.

Ja du. Om du bockar do not distribute så ska den ju inte distributa, men jag vet inte riktigt. Skanna aldrig på jotti iaf.

Ni tror inte att "stollen" kan vara någon typ av automatiserad ny scan eller dylikt?

edit: låter ju otroligt att någon skulle JOBBA med att testa filerna flera gånger, och sedan ta bort dem 45 sek efter..

visst kan det vara något automatiserat.. Men man behöver ju knappast starta filer för att skanna dom.
Jag skulle iaf ta det försiktigt med VT ett tag tills vi vet vad det är.

Det är iallafall hispasec.com som driver virustotal..
Här är en blogg också ifall nån är intresserad: http://blog.hispasec.com/virustotal/

Hmm, laddade upp min krypterade server där som bara upptäcktes av 4-5 st antivirus, nu dagen efter så upptäcker 6-7st den -.-

Fick också snubben, drog en snabb screen



Någon som kan spanska som kan berätta vad snubben håller på med?

Detta måste testas..

Scanna inte mer på virustotal, distribute eller inte

Scannade min som var 100% Ud, nu återkommer jag och scannar efter 2 timmar så har 5 hittat den. Jävla idioter

Vad finns det för alternativ till virustotal då?

och jag har inga problem med virustotal. Gjorde en server igår vid lunchtid som bara upptäcktes av tre. Är fortfaranade bara upptäckt av tre. Håller er uppdaterade ^^

Detta var alltså då du valt "DO NOT DISTRIBUTE"?

Ah! nu fick jag honom också, och detta var med 100% säkerhet med "do not distribute" grejjen. Synd på ett bra verktyg.

Jag har alltid haft problem med VT, de behöver inte lång tid innan de gör mina filer detected.
Jag som i min enfald trodde att problemet bara låg hos mig har nu fått det bevisat, att det är fler mig som har haft problem med dem.

Fick också kontakt med en konstig dator (PI2.1.2), men det under en mycket längre tid.
Jag kunde inte gör något med den dator, inte pinga eller använda någon annan funktion.
Datorn försvann efter ca 1 minut, återkom minuten efter och försvann igen intervalvis.
Efter natten försvann kontakten.

Kanske kör de misstänkta filer i en virtuell maskin?

Förlåt, var bara tvungen

Tillbaks till topic: Det verkar ju vara något nytt VT kör med nu (eftersom alla verkar få upp denna "person" helt plötsligt). Kollar man också på screenshotet så ser man att det körs i vmware. Och att det är ett program som analyserar filen. Jag antar att dom ger den internet access för att få så hög "precision" som möjligt.

Iom en sån metod så kommer dom kunna hitta era servrar hur lätt som helst! Även de som är helt "ud" i scantime.


Edit: Fick en rolig liten idé
Låt oss skräddarsy en elak liten sak som krashar skiten (BSOD).
Så, vilken winversion kör den?

tja, kan väll börja med att säga att screenshoten ser exakt likadan ut som det såg ut på min dator. Det står windows xp på operativsystem, men det gar för mig stått både xp3 och xp4. är inte säker att det föregicks med xp1 och xp2.
Betyder detta att servern kommer att uptäckas efter instalationen? även om man lyckats installera den ud?

Det fanns ju ett topic här för ett tag sen om hur man kunde göra en egen "multiscanner" på datorn.
testade det aldrig, men jag minns att jag läst om det.

kan det vara den här du menar?
verkar användbart, ska testa det nu tänkte jag.
http://www.swerat.com/forums/index.php?sho...canner&st=0

edit
länken verkar vara död, någon som vet var man kan få tag på det?

Ja, shappie, stämmer, men nu blir de detectade allt eftersom.

Jag får en ny elak sak ("hippie") snart...
Tänkter bjuda VT på den
Lite info om den :

---------------------------------------------------------------------------------------
Psyc virus description
Language : ASM
Expected Release date: ~ 21th-22th

- Modifies registry so that the user can't run
any exe, bat, scr, pif, avi, txt, doc, ....etc.. Total of 52 extensions

-Deletes restore settings

-Modifies files of LastKnownGood Configuration changes
SystemFolder & Windows folder so it will be much worse to
start with LastKnownGood configurations to repair virii

-Modifies usb mass storage drivers and usb driver to make sure
that the user can't backup his data, disables access to new
usb drivers

-Windows can't be reinstalled because it gives error
"rundll32.exe" can't be opened. HDD should be formatted first
to install windows.

-Hides all drives so you can't even backup your data from C: to D:

-Hides desktop

-Disables Windows CD burning so that you can't rescue files by writing to discs

-Disables internet access

-Disables Task manager

-Can't be rescued from safe mode ofcourse Laughing

-ANY file that you will try to open will automatically become psyc virus itself Wink

-~5 KB unpacked / %100 UD

The virus is designed in a way that the användare will have to format and NO WAY of rescuing even 1 single file, even can't read a single line in a simple text file

Features will be added / some of them may or may not be added
- Bypassing DeepFreeze
- Self-Crypter

synd bara att samtliga länkar i hela den tråden utom virustotal är "404: Not Found" Ingen som kan slänga upp kims?

För en minut sedan fick jag upp emot 40 kontakter, Ipn såg tex ut 39.395.195.39, 39.395.195.40 , 39.395.195.41 , 39.395.195.42 ,

Det var exakt samma snubbe som jag tog bild på innan, alla satt och meka i cmd

De försvann efter ca 4 sek och kom tillbaka igen, höll på så i typ 30sek sedan försvann de för gott. Virustotal goes haqrs ?

Jävla idioter säger jag bara, är det inte någon typ av regelbrott dem håller på med när det står i deras Terms of Use att inga filer distributas när du klickar på do not distribute. Blir väl att köra senaste KIMS Multi AV Scanner.

Det finns ju fortf. inget bevis för att de skickar dem till AV..
Bara marjinz som säger att alla hans filer som han skickade för en månad sedan helt plötsligt blivit detected..


Edit: Ingen som har tänkt tanken att VT redan har en virituell maskin de körde filerna på, men nu har de gjort någon update som ger denna maskin tillgång till internet?

Ok, alla filer är det väl inte...

Ett exempel är STUD, som blivit detected, men det är ju kanske självklart att den blir, för det har ju blivit publik.
Fö skojs skull gjorde jag om den på nytt, och scannade den -> 100%UD

Men nu är den versionen också detected, och för varje gång jag gör den UD på nytt så blir den detected efter några få VT-scans.

Jag har en egen liten binder som jag skapat till en kille som ville köpa det, och från 100%UD till ca 80%UD hann den (nyligen) bli på några dagar, innan kunden ens fått produkten.

Jag har filer som aldrig blivit detected eller exekverade från VT:s sida, och det är filer jag givit konsitga filnamn, men det gjorde jag inte på de flesta som blivit detected.

Om virustotal bestämmer sig för att börja skicka runt alla filer som skickas in, så att de blir detected.. tror ni verkligen att de skulle göra det så jävla uppenbart så att alla slutade skicka till VT? Är inte det att likna vid självmord?

Heh, deras tjänst är ju inte till för "virusskapare" direkt

Svar på ditt andra post också: som jag skrev tidigare så behöver man inte köra filerna för att skanna dom. Jag tror det här kan vara något nytt AV/Metod som dom sammarbetar med/använder. (TrojanResearcher Engine 1.1 enligt screenshotet, hittar inget om det på google). Dom nämner väl det i sina nyheter snart antar jag.

Jag fick också upp någon kille. Han hade datornamnet "hacker" , kommer inte ihåg om det var spanskt Os eller om det e pga virustotal, men jag hade inte lagt ut filen public förutom på speedyshare.com (så att ja kunde tanka den till en annan dator utanför mitt lan) han försvann efter ca 20 sekunder...

marjinz när släpps den?

Ingen aning, har den redan, men skaparen påstår att den måste uppdateras.

Hoppas det hjälper, tror att han menar Februari

edit; redan? release "date;n" som finns i description är det public då?

Han skrev detta tidigare. De skulle ha släppts en publik verison, men han valde att behålla den för sig själv och sina polare.

Han kom tillbaka precis. Någon som kan tolka något av det han gör ?

Kanon, de gör ju sitt jobb och de gör det mycket bra! Synd bara att man tydligen inte alls kunde lita på deras "do not distribute"-funktion, men det var väl ingen som egentligen trodde att de bara kastade allt de får skickat till sig i vasken? Nä, nu skall jag underhålla mig med att kontrollera om mina programfiler är rena så de får något att sätta tänderna i.

Ingen som kan försöka sno trojanresearcher?

Haha, bästa idéen hittills Ni ser ju dess path i screenshotet, så snabbt som satan går ni dit och tankar hem hela mappen

Kom på en sak: er server dör nog när TrojanResearcher är "klar". Så varför inte suspenda dess process? (process managern i pi)

Har redan skickat ett par små presenter utrustade med netcat och tftp, väntar fortfarande på resultat.

Kan inte mycket om det här, men nästan lika intressant som programmet borde väll repoten vara? och den ligger ju behändigt i Z:\reports. Jag undrar bara, kommer man inte stå upp till halsen i poliser om man laddar upp\ner filer till ett program designat till att undersöka trojaner?

Kan polisen komma bara för jag testar demospel från kazaa på virustotal? Nej, det kan jag inte tänka mig.

Har tröttnat och lagt av eller? Har inte hänt så mycket här alls...

Jag har spammat VT med pi-servrar. Men hittills ser jag bara 2 connection attempts.. Men jag misstänker att det är något annat (någon som skannar portar eller nåt).

Nej, kan inte tänka mig att polsisen skulle komma för att jag testade demospel, men däremot om demospelet råkade vara en server som råkade ansluta till min daotr och jag råkade använda det till att ladda ner en (förmodligen) copyrigthad virus analys program sak . fast å andra sidan verkar den väldigt spansk, och de gör sig nog inte bekymret att snacka med svenska polis och allt såntdär

Och ni som trodde jag va galen när jag sa min fil blev deteted när jag skicka till dom, vem skrattar sist nu ? jag HAHAH