• XSS.stack #1 – первый литературный журнал от юзеров форума

malware samples

Отслеживать
Ar3s

Ar3s

Старожил форума
Легенда
Регистрация
30.12.2004
Сообщения
3 357
Реакции
1 404
Пусть будет топ для публикации малвари и ее компонентов.


by Demien
web панелька бота Atrax
Скрин

линк: http://www.sendspace.com/file/v2c6nn
пасс: infected

p.s. репост с хакхаунда
p.s.s. спейсы часто трут подобный контекнт, так что кто-нибудь может перезалить куда-нибудь еще:)

p.s. завтра скину сэмплов побаловаться.
 
В топике разбирают дропер-даунлоадер, там же семпл был если еще не потерли.

hxxp://wasm.ru/forum/viewtopic.php?id=47971
 
Ar3s
zeus 3 by slavik (клятвенно заверяли что от Славика)
а именно на 3 версию есть описание что он делает ?
 
Описания нет. Но на момент когда мне давали - билд был активен. Тянул по p2p плаги и что-то там еще. Очень просили помочь разреверсить.
 
zeus 3 by slavik

глянул бинарик, на еп такой код:
Код: 
00402045 > $  6A 00         PUSH 0
00402047   .  5F            POP EDI
00402048   .  8B35 5C304000 MOV ESI,DWORD PTR DS:[<&MSTSCAX.DllCanUn>;  MSTSCAX.DllCanUnloadNow
0040204E   .  68 00504000   PUSH zeus_3_b.00405000                  ; /pModule = "MSTSCAX.dll"
00402053   .  A1 34304000   MOV EAX,DWORD PTR DS:[<&KERNEL32.GetModu>; |
00402058   .  FFD0          CALL EAX                                ; \GetModuleHandleA
0040205A   .  33FE          XOR EDI,ESI
0040205C   .  1BF8          SBB EDI,EAX
0040205E   .  81FF 00000100 CMP EDI,10000                           ;  UNICODE "=::=::\"
00402064   .  72 15         JB SHORT zeus_3_b.0040207B
00402066   .  0340 3C       ADD EAX,DWORD PTR DS:[EAX+3C]
00402069   .  05 CC000000   ADD EAX,0CC
0040206E   .  B3 40         MOV BL,40
00402070   .  3A18          CMP BL,BYTE PTR DS:[EAX]
00402072   .  75 07         JNZ SHORT zeus_3_b.0040207B
00402074   .  BE 00504000   MOV ESI,zeus_3_b.00405000               ;  ASCII "MSTSCAX.dll"
00402079   .^ 74 C1         JE SHORT zeus_3_b.0040203C
0040207B   >  68 00000100   PUSH 10000                              ;  UNICODE "=::=::\"
00402080   .  5A            POP EDX
00402081   >  83C2 FF       ADD EDX,-1
00402084   .  74 02         JE SHORT zeus_3_b.00402088
00402086   .^ 75 F9         JNZ SHORT zeus_3_b.00402081
00402088   >  F7F2          DIV EDX

это чтото вроде антиэмуляции с последующей самомодификацией кода?
 
Betabot 1.7 + panel (взято с kernelmode.info)

Предположительно бот должен стучать на world-star-madness.com и если это так, пишем в хосты редирект, ставим панель и фапаем на всякие анти-анти :D

http://www.sendspace.com/file/lxrmtw
 
demien, Ar3s дык а оригинал что слили запароленным в zip-e расшифровали или нет?
а то у меня например 2 зевса лежит (1-й ZeuS 2.0.8.9 Leaked by S4(uR4.zip и 2-й ZeuS 2.0.8.9 Leaked by S4(uR4.zip), первый в 11,2 Мб весом, 2-й от Пернатого вес 9,20 Мб, и хрен его знает где оригинал(
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Пожалуйста, обратите внимание, что пользователь заблокирован
 
expl0iter сказал(а):
На virusshare могу дать инвайт, если кому надо. Семплы более, чем 33млн малварей, обновляются ежедневно, типы детекта в комплекте.
можно в лс ?
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх