Tjena, en polare till mig tankade och öppnade en .exe som heter www.N039_jpg-msn.com som är ett MS-DOS program..
jag undrar vad för program jag ska använda för att kunna öppna filen så jag kan läsa lite hur det ser ut, utan att exevera dem, detta måste ju vara möjligt, har ni några bra tips ?
Tack och hej leverpastej !
Full Version: "Läsa" av ett virus ?
*suddar pinsamt inlägg*
Dissasembler... Dock så förstår man nog inte allt för mycket om man inte kan assembler.
*suddar*
QUOTE(Retard @ 2007-09-27 21:47) 
*suddar*
Disassembler eller decompiler, om det fungerar.
Resource-hacker för att se om den innehåller en .resource struktur med t.ex. bilder eller dylikt.
Bäst av allt är väll att skicka den till virustotal och få info om vad för skit det är i den...
Om du ska ut och studera konceptet på nätet är det du säger "Reverse Engineering", vet inte om SCA är tillbaka uppe med sin site ännu, men googla runt.
QUOTE(Mja @ 2007-09-27 23:12)
Disassembler eller decompiler, om det fungerar.
Resource-hacker för att se om den innehåller en .resource struktur med t.ex. bilder eller dylikt.
Bäst av allt är väll att skicka den till virustotal och få info om vad för skit det är i den...
Om du ska ut och studera konceptet på nätet är det du säger "Reverse Engineering", vet inte om SCA är tillbaka uppe med sin site ännu, men googla runt.
Resource-hacker för att se om den innehåller en .resource struktur med t.ex. bilder eller dylikt.
Bäst av allt är väll att skicka den till virustotal och få info om vad för skit det är i den...
Om du ska ut och studera konceptet på nätet är det du säger "Reverse Engineering", vet inte om SCA är tillbaka uppe med sin site ännu, men googla runt.
SCA är uppe men den är stendöd.
här är url: hxxp://gnuserver.se/~sca/
OllyDbg är en nice debbuger 
Har laddat upp filen till dig nu..
ok den skapar 2 filer.
C:\WINDOWS\N039_jpg.zip
C:\WINDOWS\usnsvc.exe
usnsvc.exe kopplar upp sej mot följande
140.114.98.9:83 (www.worldcasino.to)
66.11.114.16:80 där försöker den hämta en bild som heter /~nextdoor/dual.jpg
64.86.133.13:83 koppla upp sej mot en mIRC server
Nick: [P00|AUT|40663774]
Username: XP-7163
Channel: #msn9 Password: ^B^B^B^B
www.littleworld.pe.kr som pekar på 127.0.0.1 (dom pekar säkert om den senare)
mail.fucuzzy på 64.86.133.13
C:\WINDOWS\usnsvc.exe skapar även en fil som heter: g7n4l2o4i4.exe
som kopplar upp sej mot : 212.23.63.50:80 (prs.payperdownload.nl )
och hämtar en fil som heter : /radius/dialer_admin/geoip.asp
g7n4l2o4i4.exe ligger här C:\g7n4l2o4i4.exe
den skapar även detta i startup C:\Documents and Settings\All Users\Start Menu\carlton
carlton hmm kan det vara namnet på skaparen???
C:\WINDOWS\N039_jpg.zip
C:\WINDOWS\usnsvc.exe
usnsvc.exe kopplar upp sej mot följande
140.114.98.9:83 (www.worldcasino.to)
66.11.114.16:80 där försöker den hämta en bild som heter /~nextdoor/dual.jpg
64.86.133.13:83 koppla upp sej mot en mIRC server
Nick: [P00|AUT|40663774]
Username: XP-7163
Channel: #msn9 Password: ^B^B^B^B
www.littleworld.pe.kr som pekar på 127.0.0.1 (dom pekar säkert om den senare)
mail.fucuzzy på 64.86.133.13
C:\WINDOWS\usnsvc.exe skapar även en fil som heter: g7n4l2o4i4.exe
som kopplar upp sej mot : 212.23.63.50:80 (prs.payperdownload.nl )
och hämtar en fil som heter : /radius/dialer_admin/geoip.asp
g7n4l2o4i4.exe ligger här C:\g7n4l2o4i4.exe
den skapar även detta i startup C:\Documents and Settings\All Users\Start Menu\carlton
carlton hmm kan det vara namnet på skaparen???
QUOTE(crazyboris @ 2007-09-29 09:02)
*TEXT*
Otroligt bra jobbat... hur får du reda på vilka filer den skapar/tankar?
Det är säkert fler än jag som undrar så skriv gärna en artikel
.
hehe man kan ju fuska med en sandbox på nätet..
hxtp://analysis.seclab.tuwien.ac.at/result.php?taskid=7409f60a12bc01543d5d8d0afa7d832a&refresh=1
går snabbare då..
annars kör du bara den i en sanbdox på en dator som du inte är rädd om och kollar vad den har för sej och vad den försöker göra på nätet , du sniffar trafiken bara..
kollar i sandboxen vad den instalerade förnått och var
hxtp://analysis.seclab.tuwien.ac.at/result.php?taskid=7409f60a12bc01543d5d8d0afa7d832a&refresh=1
går snabbare då..
annars kör du bara den i en sanbdox på en dator som du inte är rädd om och kollar vad den har för sej och vad den försöker göra på nätet , du sniffar trafiken bara..
kollar i sandboxen vad den instalerade förnått och var
QUOTE(crazyboris @ 2007-09-29 09:38)
hehe man kan ju fuska med en sandbox på nätet..
hxtp://analysis.seclab.tuwien.ac.at/result.php?taskid=7409f60a12bc01543d5d8d0afa7d832a&refresh=1
går snabbare då..
annars kör du bara den i en sanbdox på en dator som du inte är rädd om och kollar vad den har för sej och vad den försöker göra på nätet , du sniffar trafiken bara..
kollar i sandboxen vad den instalerade förnått och var
hxtp://analysis.seclab.tuwien.ac.at/result.php?taskid=7409f60a12bc01543d5d8d0afa7d832a&refresh=1
går snabbare då..
annars kör du bara den i en sanbdox på en dator som du inte är rädd om och kollar vad den har för sej och vad den försöker göra på nätet , du sniffar trafiken bara..
kollar i sandboxen vad den instalerade förnått och var
Har ngn tittat på /~nextdoor/dual.jpg?
Jag vart lite nyfiken, trodde någon varit "smart" nog att använda kryptografi.
Så är INTE fallet, serven är ställd till att servera bilden som MIMETYPE TEXT, det är ett program till som ska laddas från den sidan.
http://66.11.114.16/~nextdoor/dual.jpg
För den som är nyfiken har personen visst haft lite äldre versioner och en del annat i samma mapp
http://66.11.114.16/~nextdoor/
Snällt av honom att låta oss titta på sakerna
EDIT
För er som undrar varför vi inte använder microsoft-verktyg när vi vill vara anonyma
4VS_VERSION_INFO
StringFileInfo 040904b08
Comments: www.Carlson.com
CompanyName: Carlson Communications
FileDescription: Internet Dialer8
FileVersion: 4, 4, 0, 100
InternalName: CarlsonB
LegalCopyright: Copyright 2001
LegalTrademarks: Carlson Communications
(OLESelfRegister@ OriginalFilenameCarlson.exe PrivateBuild - ProductNameCarlson Dialer Module -ProductVersion 4, 4, 0, 10
SpecialBuild - VarFileInfo
Translation
Det är visst ngt gammalt skräp alltså. Hur som helst, ngn dialer? Trodde de var relartivt utdöda :-/
Faan snyggt gjort Crazyboris och Mja då är frågan,
Hur fan får man bort det ?
Viruset har en funktion som skickar filen automatiskt på msn, går det att göra så att vår server.exe från PI också gör det ? eller går gör det säkert, men hur ?
Är inte säker på om man får lov att diskutera detta har för mig att självspridnings är typ Virus och det är förbjudet att diskutera, om detta är fallet så är det bara att avvisa mig..
Är rätt bakis och har precis rökt en fett så säg till om ni inte förstår mig så omformulerar jag mig !
Hur fan får man bort det ?
Viruset har en funktion som skickar filen automatiskt på msn, går det att göra så att vår server.exe från PI också gör det ? eller går gör det säkert, men hur ?
Är inte säker på om man får lov att diskutera detta har för mig att självspridnings är typ Virus och det är förbjudet att diskutera, om detta är fallet så är det bara att avvisa mig..
Är rätt bakis och har precis rökt en fett så säg till om ni inte förstår mig så omformulerar jag mig !
Har du noen tips på hvilken sandbox jeg kan ha på en dator. Jeg finner bare norman eller mange online sandbox.
Bra denne crazyboris.
hxxp://analysis.seclab.tuwien.ac.at/
Bra denne crazyboris.
hxxp://analysis.seclab.tuwien.ac.at/
QUOTE(TimBo0oLinA @ 2007-09-29 21:16)
Faan snyggt gjort Crazyboris och Mja då är frågan,
Hur fan får man bort det ?
Viruset har en funktion som skickar filen automatiskt på msn, går det att göra så att vår server.exe från PI också gör det ? eller går gör det säkert, men hur ?
Är inte säker på om man får lov att diskutera detta har för mig att självspridnings är typ Virus och det är förbjudet att diskutera, om detta är fallet så är det bara att avvisa mig..
Är rätt bakis och har precis rökt en fett så säg till om ni inte förstår mig så omformulerar jag mig !
Hur fan får man bort det ?
Viruset har en funktion som skickar filen automatiskt på msn, går det att göra så att vår server.exe från PI också gör det ? eller går gör det säkert, men hur ?
Är inte säker på om man får lov att diskutera detta har för mig att självspridnings är typ Virus och det är förbjudet att diskutera, om detta är fallet så är det bara att avvisa mig..
Är rätt bakis och har precis rökt en fett så säg till om ni inte förstår mig så omformulerar jag mig !
Well, spridning av virus är förbjudet att diskutera för att det faller under en helt annan brottsbeskrivning. Förberedelse för intrång är det definitivt om man IMPLEMENTERAR OCH SKICKAR det, men diskutera funktion för att föra över en RAT ser inte jag något problem med rent juridiskt.
Om du däremot förser skadlig kod med automatisk spridning faller det just nu under amerikanernas Patriots Act som ett terroristbrott, och du vill inte inse om 15 år på resan till Las Vegas att de inte glömmer i första taget och gärna väntar.
Det tråkiga för dig är att du inte kan vara GARANTERAD att du fått bort det med mindre än att datorn formateras, GRUNDLIGT, du får alltså inte ha kvar en enda exekverbar fil på en backupdisk eller dylikt.
Exempelvis hacker-defender innehåller en del kod för att skriva ner sin "body" till andra skriv och läsbara minnen, t.ex. grafikkort eller dylikt, och allt som behöver finnas i datorn då är en liten loader, som man rimligen kan lägga in i högvis med exekverbara filer på disken.
Nu tror jag ju personligen att felsäkert läge, sen söka av registret efter referenser till de filer du känner till, och slutligen radera dem, tar dig en bit på vägen.
Reboot sedan, in och starta allt du normalt har igång (Messenger, steam etc) och släck igen.
In i felsäkert. Är de fortfarande borta?
Sedan är det dags att få tag på ProcMON (Process Monitor) RegMon (Registry Monitor), TCPMon (TCP-monitor) och FileMon (FileMonitor)
http://www.microsoft.com/technet/sysintern...wt.svl=featured
För er andra intresserade finns det massa tools MS släppt där som kan användas till HELT ANDRA saker än de är avsedda. Som vanligt.
QUOTE(bob25 @ 2007-09-29 21:51)
Har du noen tips på hvilken sandbox jeg kan ha på en dator. Jeg finner bare norman eller mange online sandbox.
Bra denne crazyboris.
hxxp://analysis.seclab.tuwien.ac.at/
Bra denne crazyboris.
hxxp://analysis.seclab.tuwien.ac.at/
du kan ta sandboxie den funkar bra till det mesta utan bifrost... hehe
med sin kernel level unhocking teknik så instaleras den på den "vanliga" hårddisken i stället för i sandboxen..
därför ska du ha en dator som du inte behöver va rädd om , som du kan ominstalera utan att du tappar nått viktigt..
för att kolla trafiken så kör jag ett program som heter : what is transfering.exe
där ser du allt som kommer in o ut ur din dator..
även vad det är som skickas , typ ip o så..
sen är det ju bara att kolla i sandboxen var alla filer instalerades..
QUOTE(crazyboris @ 2007-09-29 06:38)
hehe man kan ju fuska med en sandbox på nätet..
hxtp://analysis.seclab.tuwien.ac.at/result.php?taskid=7409f60a12bc01543d5d8d0afa7d832a&refresh=1
går snabbare då..
annars kör du bara den i en sanbdox på en dator som du inte är rädd om och kollar vad den har för sej och vad den försöker göra på nätet , du sniffar trafiken bara..
kollar i sandboxen vad den instalerade förnått och var
hxtp://analysis.seclab.tuwien.ac.at/result.php?taskid=7409f60a12bc01543d5d8d0afa7d832a&refresh=1
går snabbare då..
annars kör du bara den i en sanbdox på en dator som du inte är rädd om och kollar vad den har för sej och vad den försöker göra på nätet , du sniffar trafiken bara..
kollar i sandboxen vad den instalerade förnått och var
Nice! Tack för länken. Hade inte en aning om att det fanns online tjänster som anubis. Bra att veta ifall man nångång behöver kolla upp nått.
ja det är perfekt om man har latmasken i sej i bland...
Thx, sjekket sandboxie. Funker bra den, sjekket også sandboxie forumet.
Dem hadde flere topicer der om bifrost, og de fikk ikke stoppet den selv i sandboxie 3.0 versionen
Jeg for sjekke "what is transfering" på min andre pc. Den pc'n jeg sitter på nå har vista.
Dem hadde flere topicer der om bifrost, og de fikk ikke stoppet den selv i sandboxie 3.0 versionen
Jeg for sjekke "what is transfering" på min andre pc. Den pc'n jeg sitter på nå har vista.
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.