Вырезание из программы вируса.

EvilDay · 17 ноября, 2008

Вобщем такая проблема: прога(для сервера) посылает куда налево вводимые данные, альтернативы програмы для работы приложений нету. Можно ли избавиться от вируса зашитого в прогу?

Класификация вируса:

Антивирус           РезультатAuthentium        W32/Heuristic-217!EldoradoAvast               Win32:Trojan-gen {Other}AVG            Generic11.AZLJBitDefender        Trojan.Generic.959700F-Prot            W32/Heuristic-217!EldoradoF-Secure        W32/DownloaderFortinet            PossibleThreatGData            Trojan.Generic.959700K7AntiVirus        Trojan.Win32.Malware.1Kaspersky        Heur.DownloaderNOD32            probably unknown NewHeur_PENorman            W32/Downloader.RBWSunbelt            Trojan-Clicker.Win32.Agent.M (vf)VBA32            suspected of Win32.Trojan.Downloader (http://...)

И другие пораметры программы:

Дополнительная информацияFile size: 69632 bytesMD5...: f391706b5725780a1c9a4422abd7fb88SHA1..: b4973e6e21c76ea678c281dedf2864c2d1f3907eSHA256: d998d12daecd627997872aa109c56815d26e7185aa3bd9be01dccee3e8fa701aSHA512: 85f8ee3f8ed2fd86e0a1566da6628396d3c6b1973a129d182e69895f34766a9e727927e811fa8f285c56393c2a9994bc87e20b873c688edf625cf1eea2d5befePEiD..: -TrID..: File type identificationWin32 Executable MS Visual C++ (generic) (65.2%)Win32 Executable Generic (14.7%)Win32 Dynamic Link Library (generic) (13.1%)Generic Win/DOS Executable (3.4%)DOS Executable Generic (3.4%)PEInfo: PE Structure information( base data )entrypointaddress.: 0x4030d4timedatestamp.....: 0x47e6b9c7 (Sun Mar 23 20:12:55 2008)machinetype.......: 0x14c (I386)( 4 sections )name viradd virsiz rawdsiz ntrpy md5.text 0x1000 0xa03b 0xb000 6.27 7f26d0bf6b0c52314a38e2d14f78f7e1.rdata 0xc000 0x1db2 0x2000 4.95 eb519e1cdd1ebe0438be7ab0e880186b.data 0xe000 0x2b58 0x1000 2.80 c3a84d79ab668fb0ff2cd2fa94fa9c7e.rsrc 0x11000 0x1f48 0x2000 4.62 8c78f5a781f0d4541e1cca3169ca0399( 7 imports ) > KERNEL32.dll: ReadFile, SetEndOfFile, LCMapStringW, LCMapStringA, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, InterlockedExchange, RtlUnwind, CreateThread, GetModuleHandleA, GetOEMCP, GetACP, GetStringTypeW, GetStringTypeA, FlushFileBuffers, SetStdHandle, SetFilePointer, VirtualQuery, GetSystemInfo, VirtualAlloc, VirtualProtect, LoadLibraryA, WinExec, lstrcpyA, GetLocalTime, GetLastError, FormatMessageA, MultiByteToWideChar, CreateFileA, GetCPInfo, LocalFree, HeapSize, HeapReAlloc, VirtualFree, HeapCreate, HeapDestroy, GetStartupInfoA, GetFileType, SetHandleCount, GetEnvironmentStringsW, WideCharToMultiByte, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetLocaleInfoA, UnhandledExceptionFilter, GetModuleFileNameA, ExitProcess, GetProcAddress, TerminateProcess, GetCurrentProcess, GetCommandLineA, GetVersionExA, HeapFree, CloseHandle, HeapAlloc, WriteFile, GetStdHandle> USER32.dll: SendMessageA, CreateWindowExA, GetWindowLongA, TranslateMessage, DispatchMessageA, MessageBoxA, SetDlgItemTextA, EndDialog, GetDlgItemTextA, DialogBoxParamA, DefWindowProcA, DestroyWindow, GetMessageA, GetSystemMetrics, LoadIconA, LoadCursorA, RegisterClassA, EndPaint, RegisterHotKey, GetClientRect, ShowWindow, BeginPaint, PostQuitMessage> GDI32.dll: CreateFontA> SHELL32.dll: ShellExecuteA> COMCTL32.dll: -> WS2_32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -> urlmon.dll: URLDownloadToFileA

Мои координаты: ICQ:328-670-319 Email: evilday@мейл(dot)ru

Изменено 17 ноября, 2008 пользователем EvilDay

Lag · 17 ноября, 2008

EvilDay

а что это за прога такая без аналогов? :)

на вируслисте про Heur.Downloader я нашёл только это http://www.viruslist.com/ru/weblog?weblogid=207758721

про Trojan-Clicker.Win32.Agent ac/af/bm:

ac: Троянская программа, предназначенная для «накрутки» статистики посещаемости сайтов.

af: Примитивный Win32-троянец, созданный для открытия в окне Internet Explorer следующих интернет страниц без ведома пользователя:

* http://co***earch.biz/y.htm    * http://te***3.com/links.html

bm: По истечению указанного времени (около 7 минут) троянец выводит диалоговое окно c заголовком "Microsoft Windows - Security Alert".

В случае нажатия пользователем кнопки "Process with select of protection software" в диалоговом окне, троянец запускает Internet Explorer с целью открыть Adwar'ный интернет-ресурс.

чтото меня гложат сомнения что эта прога так уж ужна на сервере :)

Изменено 17 ноября, 2008 пользователем Lag

EvilDay · 17 ноября, 2008

EvilDay
а что это за прога такая без аналогов? :)

чтото меня гложат сомнения что эта прога так уж ужна на сервере :)

Прога самописная для работы специальных программ на локальных компах. Троян же вшит для передачи показателей третьим лицам. Программа експлорер неиспользует кстати. а предстовляет собой таблицу с изменением пораметров на других компах.

Изменено 17 ноября, 2008 пользователем EvilDay

Lag · 17 ноября, 2008

опять ходиш вокруг да около :) назови конкретные названия прог, модулей и т.д. и т.п. для работы которых нужна эта софтина, и для чего они служат.

Раз прога самописная, значит её писал:

1) ктото из знакомых, в этом случае можеш попросить исходники и переписать прогу так как тебе надо (естественно если знаеш программирование)

2) её писали по твоему заказу, а значит заказ фактически не выполнен и ты имеешь право требовать от разработчика исправить то что он напортачил или же вернуть деньги.

И вообще если это какоето крячело то так и напиши, многие антивирусы бьют тревогу в таких "прогах" т.к. методы писания креков и вирусов похожи.

Если ты программист, то декомпилируй прогу, разберись в полученных кодах (это будет сложно т.к. оригинальных кодов ты не получишь) и перепиши её (я не програмист, знаю про это толоко по слухам) :)

Ещё могу порекомендовать отправить файл касперовцам или сюда http://z-oleg.com/secur/avz/uploadvir.php (вобще на форуме ихнем задать вопрос можеш по этому поводу).

EvilDay · 18 ноября, 2008

опять ходиш вокруг да около :) назови конкретные названия прог, модулей и т.д. и т.п. для работы которых нужна эта софтина, и для чего они служат.
Раз прога самописная, значит её писал:

1) ктото из знакомых, в этом случае можеш попросить исходники и переписать прогу так как тебе надо (естественно если знаеш программирование)

2) её писали по твоему заказу, а значит заказ фактически не выполнен и ты имеешь право требовать от разработчика исправить то что он напортачил или же вернуть деньги.

И вообще если это какоето крячело то так и напиши, многие антивирусы бьют тревогу в таких "прогах" т.к. методы писания креков и вирусов похожи.

Если ты программист, то декомпилируй прогу, разберись в полученных кодах (это будет сложно т.к. оригинальных кодов ты не получишь) и перепиши её (я не програмист, знаю про это толоко по слухам) :)

Ещё могу порекомендовать отправить файл касперовцам или сюда http://z-oleg.com/secur/avz/uploadvir.php (вобще на форуме ихнем задать вопрос можеш по этому поводу).

1) Увы концы кто писал прогу уже ненайти.

2) Программа служит для изменения пораметров приложений(тоже самописных) расположеных на локальных компах.

3) Нет это не кряк.

4) Если найдеться програмист способный переписать прогу, готов ему за это заплатить. Сама прога маленькая всего 75кб.

B3ND3R · 20 ноября, 2008

может проге заблокирвоать доступ фаерволом туда, куда соваться ей не следует?

ещё можно с отладчиком попробовать прогу исправить, найти тот участок который отправляет данные да как нить заблокировать (hex редактором). но тут навык нужен.

EvilDay · 21 ноября, 2008

может проге заблокирвоать доступ фаерволом туда, куда соваться ей не следует?

В таком режиме она сейчас и работает.

ещё можно с отладчиком попробовать прогу исправить, найти тот участок который отправляет данные да как нить заблокировать (hex редактором). но тут навык нужен.

Можно поподробнее?

B3ND3R · 21 ноября, 2008

Можно поподробнее?

когда то я пробовал крякать винрар, простые cd чеки в играх лечил, и подобное по мелочи. вот я так думаю, что и тут можно попробовать сделать что-то подобное. как бы крякнуть этот вирус-троянец. но как я написал выше, нужно уметь работать с отладчиком. на wasm.ru как раз цикл статей по ollydbg есть.

файл ведь другие объекты не заражает? только что-то отправляет?

EvilDay · 22 ноября, 2008

когда то я пробовал крякать винрар, простые cd чеки в играх лечил, и подобное по мелочи. вот я так думаю, что и тут можно попробовать сделать что-то подобное. как бы крякнуть этот вирус-троянец. но как я написал выше, нужно уметь работать с отладчиком. на wasm.ru как раз цикл статей по ollydbg есть.
файл ведь другие объекты не заражает? только что-то отправляет?

Нет вирус от туда некуда нелезит. Он тока даные из этой проги налево отправляет. сама прога маленькая 65кб и содержит таблицу с даными из компьютеров из локальной сети которые можно править.