есть неизвестный пдф, который дропает лоадер e9f89d406e32ca88c32ac22852c25841, которого тоже нету, а вот он в свою очередь тянет worldnewsmagazines.org/infos/FYI/winver32.exe, который уже не доступен но его удалось достать.
это дропер - 389ba7fb27e40f7ef30a5c4b1bec342b8199, который выкидывает сначала %systemroot%\system32\drmk.ybl, которое является хранилищем, в котором содержаться длл - viac4.dll, дров - sisraid3.sys и основное экзе - sisraid3.ex_, а так же дропается sisraid3.bin судя по всему является шифрованным конфигом ( только домыслы, не хватило времени что бы найти в коде )
в коде есть что посмотреть в плане того как определяются отладчики, монитор и еще какой то вредный софт, как в зависимости от установленых ав выбирается метод установки ит.д. и т.п.
http://www.f-secure.com/weblog/archives/00002269.html
http://www.ccssforum.org/malware-certificates.php
ниже семплы и база иды для дропера
пасс: aod8fhby2nwefmnbevfjmyn
http://www.sendspace.com/file/tqv9hw
это дропер - 389ba7fb27e40f7ef30a5c4b1bec342b8199, который выкидывает сначала %systemroot%\system32\drmk.ybl, которое является хранилищем, в котором содержаться длл - viac4.dll, дров - sisraid3.sys и основное экзе - sisraid3.ex_, а так же дропается sisraid3.bin судя по всему является шифрованным конфигом ( только домыслы, не хватило времени что бы найти в коде )
в коде есть что посмотреть в плане того как определяются отладчики, монитор и еще какой то вредный софт, как в зависимости от установленых ав выбирается метод установки ит.д. и т.п.
http://www.f-secure.com/weblog/archives/00002269.html
http://www.ccssforum.org/malware-certificates.php
ниже семплы и база иды для дропера
пасс: aod8fhby2nwefmnbevfjmyn
http://www.sendspace.com/file/tqv9hw
