https://archive.mroczna-zaloga.org/ Paweł Goleń, blog - Zrzędzenie starego zgreda pl Serendipity - http://www.s9y.org/ Sat, 15 Mar 2025 22:15:26 GMT https://archive.mroczna-zaloga.org/templates/bulletproof/img/s9y_banner_small.png https://archive.mroczna-zaloga.org/ 100 21 https://archive.mroczna-zaloga.org/archives/511-ten-niewykrywalny-wirus-co-o-nim-mowia.html#c914 https://archive.mroczna-zaloga.org/archives/511-ten-niewykrywalny-wirus-co-o-nim-mowia.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=511 nospam@example.com (wampir) Sprawdziłem w zrzucie - bezpośrednie próby połączenia, brak jakiegokolwiek kontaktu z DNS. Wed, 18 Feb 2009 19:30:14 +0100 https://archive.mroczna-zaloga.org/archives/511-guid.html#c914 https://archive.mroczna-zaloga.org/archives/511-ten-niewykrywalny-wirus-co-o-nim-mowia.html#c912 https://archive.mroczna-zaloga.org/archives/511-ten-niewykrywalny-wirus-co-o-nim-mowia.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=511 nospam@example.com (wampir) dell-8685e244aa pochodzi raczej z CWSandbox, a nie samego malware. Z tego co kojarzę (nie mam przy sobie zrzutu), nie było u mnie takiego odpytywania. Wed, 18 Feb 2009 09:40:09 +0100 https://archive.mroczna-zaloga.org/archives/511-guid.html#c912 https://archive.mroczna-zaloga.org/archives/511-ten-niewykrywalny-wirus-co-o-nim-mowia.html#c911 https://archive.mroczna-zaloga.org/archives/511-ten-niewykrywalny-wirus-co-o-nim-mowia.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=511 nospam@example.com (lk) Piszac glowny dropper mialem na mysli zdjecie.exe, ktore rozpakowalem wlasnie poprzez upx -d. Ale nie mogles tego wiedziec bo na rapida wrzucilem juz rozpakowana probke. Nawiasem mowiac, zastanawia mnie log DNS Lookup z CWSandbox: dell-8685e244aa 10.1.5.2. Czy to jest nazwa wirtualnej maszyny CWSandbox czy tez moze autor malwaru zostawil jakis string w execu? Pozdrawiam i gratuluje ciekawego bloga. Wed, 18 Feb 2009 08:28:37 +0100 https://archive.mroczna-zaloga.org/archives/511-guid.html#c911 https://archive.mroczna-zaloga.org/archives/511-ten-niewykrywalny-wirus-co-o-nim-mowia.html#c910 https://archive.mroczna-zaloga.org/archives/511-ten-niewykrywalny-wirus-co-o-nim-mowia.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=511 nospam@example.com (wampir) Dokładnie tak, winloge.exe (dropper) spakowany jest zwykłym UPX i można przy pomocy upx -d go rozpakować. Całość pisana w builderze. Zdjęcie mnie zastanawia, bo w sumie w tamtym czasie praktycznie wszystkie dzieciaki wyglądały na zdjęciach podobnie :) Wed, 18 Feb 2009 07:46:29 +0100 https://archive.mroczna-zaloga.org/archives/511-guid.html#c910 https://archive.mroczna-zaloga.org/archives/511-ten-niewykrywalny-wirus-co-o-nim-mowia.html#c909 https://archive.mroczna-zaloga.org/archives/511-ten-niewykrywalny-wirus-co-o-nim-mowia.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=511 nospam@example.com (lk) Glowny dropper byl defacto spakowany upxem, ale to jak wiadomo nie jest problem (upx -d, chyba ze mamy do czynienia ze zmodyfikowanym exekiem). A zdjecie jest z tego co pamietam w formacie PNG, wrzucone na forme za pomoca borlandowskiego C++ Buildera wiec wyekstrahowac je mozna. Jesli timestampy sa prawdziwe, to moze byc "second run" tego malwaru, bo pierwsze informacje o wirusie pojawialy sie juz w sierpniu zeszlego roku. Calosc przypomina zabawe dzieciaka - vide wykorzystanie Buildera i komponentow (klikanie w okienka zamiast pisania kodu) Wed, 18 Feb 2009 07:33:42 +0100 https://archive.mroczna-zaloga.org/archives/511-guid.html#c909