Необоснованное обвинение - Страница 2 - Общий форум по информационной безопасности - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

gazlan
  Цитата
это от тулбара webalta - можете сами погуглить, какая у него репутация и что это

Нет нужды гуглить - долго вычищал отовсюду.

  Цитата
PUP.Funmoods - ad-aware, тоже рекомендовал бы вам удалить.

Естественно удален, но, какой-то ключ, оказывается, сохранился.

  Цитата
.zip.exe (Hoax.ArchSMS) - фейковые архивы

Угу. Я их собираю для анализа (есть несколько разновидностей). Одна из моих программ (Freeware) - это идентификатор и распаковщик EXE e-Books. Поэтому все, что имеет структуру вида EXE + Overlay (в том числе SFX-архивы и инсталляторы), представляет для меня интерес, как объект для детекта.

  Цитата
PUP.OperaPasswordTool, PUP.PassView, PUP.PSWTool.ProductKey и т.д. думаю и так понятно

Это из популярного набора утилит NirSoft (http://download.nirsoft.net).

  Цитата
Lecture Lesson 02\Lesson 02.exe - интересно было бы увидеть отчёт по VT

https://www.virustotal.com/en/file/5bb11ded...sis/1362340210/

  Цитата
Windows XP Service Pack 2 x86 NTFS

Угу. Меня устраивает. И по скорости работы, и по функциональности.

  Цитата
C:\R\FAKE - это, что, автор сам создаёт архивы, требующие отправки SMS за распаковку ? Дополнительный заработок?

См. мой комментарий постом выше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
gazlan

Dmitriy K

  Цитата
Скиньте в личку

Скинул.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

от peid если плагины позаливать на ВТ, то там чуть ли не по 20 детектов будет, кстати :) можете побаловаться :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
gazlan
  Цитата
от peid если плагины позаливать на ВТ, то там чуть ли не по 20 детектов будет

Обычно, там хакнутый UPX.

Я думаю, это просто находка для AV-маркетологов, а то где бы они нашли свои 150,000,000 "вирусов".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
gazlan
  Цитата
См. мой комментарий постом выше

Прошу не считать за рекламу, просто в пояснение. Из-за нехватки времени, программа давно не обновлялась, но материал для детекта (в перыую очередь EXE e-Books) собираю при каждой возможности.

-*- EBU 1.63 * © gazlan 2010, 2011 -*-

e-book Unpacker

Usage: ebu.exe [{-p|-o}|-i|-k] wildcards

-i - Don't try to unpack, show info only

-k - Keep the file's overlay on the disk

-o - Force treat the file as overlay, not an .exe

-p - Ignore PE validation check

complains_n_suggestions direct to gazlan@yandex.ru

Detect:

AckerPack SFX archve * Detect by Extra checks!

Activ E-Book Compiler

Antechinus eBook Wizard [v. 3.2] * Detect by HASH only!

Arafasoft E-Book Creator [v. 1.x]

BookBiz Protect Master [v. 2.0] * Detect by HASH only!

BookBiz Protect Master * Encrypted [v. 2.0] * Detect by HASH only!

Coinsoft EBook Maker [v. 1.0]

eBooksWriter * Detect by Extra checks!

e-Book Edit Pro [v. 3.x]

eBookGold [v. 3.x]

eBook Maestro

eBook Maker [v. 2.1] * Detect by Extra checks!

E-ditor eBook Compiler [v. 2.0] * Detect by Extra checks!

Fast eBook Compiler * Detect by Extra checks!

Help & Manual

HTML Executable [v. 3.x]

JanSoft SbookBuilder [v. 1.0]

Jimmy Brown E-Book Creator * Detect by Extra checks!

KeeBook Creator * Detect by HASH only!

NATATA (V-Book) eBook Compiler

Oakley WebCompiler [v. 1.13]

Publicant (ExeBook) * Detect by Extra checks!

Teterin's self-made e-book * Detect by HASH only!

WebExe [v. 1.x]

Unpack:

e-Book Edit Pro [v. 3.x]

NATATA (V-Book) eBook Compiler

P.S.

Специально для akoK:

e-book Unpacker - единственный в мире распаковщик всех версий e-Book Edit Pro.

Книжек, сделанных в EEP у меня собрано 800+ (без дублей по MD5).

Для вас это будет поводом утверждать, что я сам их все написал?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ummitium

  gazlan сказал:
Раньше пользовался, в основном, UPX, но Upack, обычно, сжимает чуть лучше.
Он сжимает не просто лучше, а лучше всех других пакеров. Кстати говоря :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
gazlan
  Цитата
лучше всех других пакеров

Там LZMA. Но есть один нюанс :-)

Бывает (очень редко), что программы сжатые Upack не работают. С UPX проблем не было.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • santy
      Вылет здесь не понятно по какой причине произошел, так как изначально был создан образ автозапуска с активным зловредом, а повторно, по словам пользователя, не получилось uVS выйти на основную позицию, когда можно было бы собрать новый образ, или выполнить скрипт очистки. В том числе и в безопасном режиме. Последствия запуска зловреда firfox.exe есть здесь, и возможно действительно входят у указанное семейство.  
    • PR55.RP55
      1. Microsoft тестирует функцию - Защита администратора. https://www.comss.ru/page.php?id=15533 ---------- 2. Вирус\ы https://forum.kasperskyclub.ru/topic/465570-trojanwin32sepeh/ Видимо это семейство: https://vms.drweb.ru/virus/?i=27109129 https://vms.drweb.ru/virus/?i=27380925 -------- https://vms.drweb.ru/virus/?i=25801988 https://vms.drweb.ru/virus/?i=25339881 https://vms.drweb-av.it/virus/?i=25698634 3. TloBeJluTeJlb.exe если в директории или имени файла "чудеса" с регистром... Предлагаю помечать файл, как Подозрительный.    
    • demkd
      Для этого есть программы и работают они медленно по очевидным причинам. uVS и так показывает внедренные потоки и DLL в любой из запущенных процессов.
    • PR55.RP55
      Demkd Я бы ещё добавил подсчёт идентичных файлов.  ( если это принципиально не скажется на производительности ) По крайней мере раньше бывало и такое, что в системе десятки идентичных  файлов - но  с разными именами. И Опционально Запуск uVS - в качестве ловушки. Например  программа стартует не как: gvprin , а как firefox.exe и отслеживает всех желающих... приобщиться.    
    • PR55.RP55
      Добавить возможность "автоматического" контроля со стороны оператора\админа за актуальностью\версией установленных программ. т.е. Оператор создаёт файл "Контроль Программ.txt" и следит за его актуальностью. И при открытии меню: Дополнительно > Установленные программы  в списке отображаться не только версия установленной программы - но и её актуальная версия из Контроль Программ.txt * * или же вместо числового значения\версии - отображается запись\уведомление заданное оператором: - например: ! Внимание найден антивирус ! ** Все записи подпавшие под... критерий - перемещаются в начало списка.  
×