Плагины из Carberp

[Chococream]

Вчера на конференции кто-то выложил сэмпл карберпа, я снял дамп, а соучастник плагины: MiniAV, StopAV, PassW.

Описание:
MiniAV - удаляет следующие вирусы: UnhookAPI(снятие хуков путём загрузки длл из временного каталога windows), MyLoader, Barracuda, BlackEnergy, Zeus, Limbo, Adrenalin, IMGFileExecution, Generetic.
StopAV - убивает следущие антивирусы: ArcaVir, ESET, BitDefender, Dr.Web, Sophos AutoUpdate, AVG, MSES, avast, avira.
PassW - граббер паролей из различных программ.

Линк: http://www.sendspace.com/file/mofubb
Пароль: damagelab_82734jhfdskjf8f*^$_!^&@$_)@
Пользуемся в ознакомительных целях!

 

[greenzy]

отладочная инфа в дллках - это конечно сильно

 

[Ragnar]

проца декриптовки для плагинов [FASM]
писалось давно, о чем речь не помню))

key db '40157671',0

proc _start
plug FILE 'total.bin';
pl_size = $-plug


stdcall rpdecode,plug
stdcall decr,key,plug+7+8,pl_size //тут надо фиксить длину ключа
ret
endp


proc decr,Arg1,Arg2,Arg3
locals
LOCAL.1 dd ?
LOCAL.2 dd ?
endl

MOV DWORD [LOCAL.1],0
MOV DWORD [LOCAL.2],0
MOV DWORD [LOCAL.1],0
_0040FD4B:
MOV EAX,DWORD [LOCAL.1]
CMP EAX,DWORD [Arg3]
JNB SHORT _0040FDA2
MOV DWORD [LOCAL.2],0
_0040FD5A:
MOV ECX,DWORD [Arg1]
ADD ECX,DWORD [LOCAL.2]
MOVSX EDX,BYTE [ECX]
TEST EDX,EDX
JE  _0040FD97
MOV EAX,DWORD [Arg1]
ADD EAX,DWORD [LOCAL.2]
MOVSX ECX,BYTE [EAX]
MOV EDX,DWORD [LOCAL.1]
IMUL EDX,DWORD [LOCAL.2]
ADD ECX,EDX
MOV EAX,DWORD [Arg2]
ADD EAX,DWORD [LOCAL.1]
MOVZX EDX,BYTE [EAX]
XOR EDX,ECX
MOV EAX,DWORD [Arg2]
ADD EAX,DWORD [LOCAL.1]
MOV BYTE [EAX],DL
MOV ECX,DWORD [LOCAL.2]
ADD ECX,1
MOV DWORD [LOCAL.2],ECX
JMP  _0040FD5A
_0040FD97:
MOV EDX,DWORD [LOCAL.1]
ADD EDX,1
MOV DWORD [LOCAL.1],EDX
JMP  _0040FD4B
_0040FDA2:
MOV EAX,DWORD [LOCAL.1]
RET
endp


proc rpdecode,what
PUSH EBP    ; setup2630.004012CB(guessed Arg1)
MOV EBP,ESP
PUSH EDI
PUSH ESI
PUSH ECX
PUSH EBX
 PUSH EDX
MOV ESI,DWORD [what]
XOR ECX,ECX
LEA EAX,[ECX-1]
SUB EBX,EBX
MOV EDI,0xEDB88320
_004012E2:
XOR EDX,EDX
MOV DL,BYTE [ESI]
XOR DL,AL
_004012E8:
SHR EDX,1
JNB SHORT _004012EE
XOR EDX,EDI
_004012EE:
INC ECX
 AND CL,07
JNE SHORT _004012E8
SHR EAX,8
XOR EAX,EDX
INC ESI
INC EBX
CMP BYTE [ESI],0
JNE SHORT _004012E2
NOT EAX
XCHG EDX,EBX
POP EDX
POP EBX
POP ECX
POP ESI
POP EDI
ret
endp

 

[greenzy]

сохранились у кого плагины?

 

[Chococream]

http://www.datafilehost.com/download-befec3b3.html
Пароль: damagelab_SID*QAS&*!R&F*&(F*&A(SD
Пользуемся в ознакомительных целях!

 

[DarckSol]

Плагины)) А сам бот есть у когонить? Поделитесь...