[mod][Ar3s:] Проверка пройдена!
выдано два сэмпла криптованной андромеды
1. не стучит
2. стучит
Стаб:
1. 48,3 кб.
2. 61,4 кб.
Стаб на VB.
Оба сэмпла будут отданы TrueMind для более детального анализа.
[/mod]
[mod][TrueMind:] Два сэмпла, о которых выше идет речь принципиально не отличаются от тех что были выданны автором ранее, так что описание применимо в обеих случаях.
Получил три сэпла из архива hxxp://www.sendspace.com/file/uvi_su, с названием 69636. Это не те файлы, о которых выше написал ar3s, но они были выданы на проверку автором топа чуть ранее. Глянул, чтож:
Яп действительно VB6, секция импорта содержит импорт только из MSVBVM60,
к тому же одинаковый-статичный для всех трех файлов.
В двух файлах из трех какая то левая иконка(такое не любят аверы 100%) и одинаковая VersionInfo.
В третьем файле иконка и VersionInfo отличаются от первых двух, но похоже что менялось руками, т.е. не генерится автоматически.
Криптованный файл хранится в оверлее, энтропия нормальная.
Мусорного кода я не заметил, если только автор вручную модули с названием asfsdgwe не переименовывает, хз.
Для подгрузки апишек используется <JMP.&MSVBVM60.DllFunctionCall>
что-то вроде такого hxxp://hackhound.org/forums/topic/148-zombieinvoke/
Во всех трех файлах присутствуют строки:
это не какая-нибудь безобидная апи, это ж WriteProcessMemory, она ж у аверов в black листе 
закриптовали б хоть строку для приличия.
p.s. для тех кто любит крипт VB, возможно подойдет если Detection rate будет приемлем (кстати hxxp://scan4you.net/result.php?id=aecff_90cfgr один из файлов ).
[/mod]
выдано два сэмпла криптованной андромеды
1. не стучит
2. стучит
Стаб:
1. 48,3 кб.
2. 61,4 кб.
Стаб на VB.
Оба сэмпла будут отданы TrueMind для более детального анализа.
[/mod]
[mod][TrueMind:] Два сэмпла, о которых выше идет речь принципиально не отличаются от тех что были выданны автором ранее, так что описание применимо в обеих случаях.
Получил три сэпла из архива hxxp://www.sendspace.com/file/uvi_su, с названием 69636. Это не те файлы, о которых выше написал ar3s, но они были выданы на проверку автором топа чуть ранее. Глянул, чтож:
Яп действительно VB6, секция импорта содержит импорт только из MSVBVM60,
к тому же одинаковый-статичный для всех трех файлов.
В двух файлах из трех какая то левая иконка(такое не любят аверы 100%) и одинаковая VersionInfo.
В третьем файле иконка и VersionInfo отличаются от первых двух, но похоже что менялось руками, т.е. не генерится автоматически.
Криптованный файл хранится в оверлее, энтропия нормальная.
Мусорного кода я не заметил, если только автор вручную модули с названием asfsdgwe не переименовывает, хз.
Для подгрузки апишек используется <JMP.&MSVBVM60.DllFunctionCall>
что-то вроде такого hxxp://hackhound.org/forums/topic/148-zombieinvoke/
Во всех трех файлах присутствуют строки:
Код:
00403F30 \0C3F4000 DD 02.00403F0C ; ASCII "KERNEL32"
00403F34 1C3F4000 DD 02.00403F1C ; ASCII "WriteProcessMemory"p.s. для тех кто любит крипт VB, возможно подойдет если Detection rate будет приемлем (кстати hxxp://scan4you.net/result.php?id=aecff_90cfgr один из файлов ).
[/mod]