How to become an author
Search
Write a publication
Pull to refresh

Comments 28

Ощупаем-с.

А батниками или экзешником… Батником надёжнее и легче проконтролировать что там нет свежих вирусов.
This comment wasn’t rated yet0
Это смешно, да, запихать в программу, которую обычно используют для предохранения от вирусов, собственно вирус
Total votes 4: ↑1 and ↓3-2
Да уж, печально всё это.
Файл loader.exe — это обычный Bit-team Loader, сверху упакован ASPack v2.12.
Думаю вот это в файле gjf.fixxxer@gmail.com автора очень сильно сейчас спалило.
Total votes 1: ↑0 and ↓1-1
Я вот сейчас несовсем понял, что меня спалило-то. e-mail? Vlf? это серьёзное палево… :)

Касательно всех, обнаруживших «вирус» — я же ясно в самом начале сказал:
Кто совсем ничего не слышал — можете покинуть эту тему, Вам будет неинтересно.

Устроить на Хабре распространение вируса — это даже несмешно. При чём в такой теме. Хотя меня давно не было — видимо, айтишников заменили школьники…

На счёт ASPack — Вам +1 балл, абсолютно правильно угадали. Там, кстати, два файла им упакованы — это просьба людей, которые помогали с загрузкой драйвера и обработкой юникодового файла настроек. Они, кстати, отблагодарены — но благодарность увидят только те, кто умеет работать с файлами, а не слепо смотрит на ВирусТотал.
Total votes 3: ↑3 and ↓0+3
Ну не надо так категорично, школьники прям) Знаете, всё таки лень ради скрина выше запускать виртуалку и реверсить ненужный мне файл. Просмотрел бегло, увидел сигнатурку там «Loader By Sav1or», загуглил, сразу высветилась приведённая мной ссылка, потом уже увидел другую на фоурме, я же потом поправился и написал из-за чего такой детект происходит, а это знаете ли не каждый школьник может ;)
This comment wasn’t rated yet0
Ну Вы — молодец! Именно для таких, как Вы, которым лень реверсить и запускать виртуалки, и предназначена система, о которой я написал! Надеюсь, освоите и Вам понравится.
This comment wasn’t rated yet0
Касательно всех, обнаруживших «вирус» — я же ясно в самом начале сказал:
Кто совсем ничего не слышал — можете покинуть эту тему, Вам будет неинтересно.


В том то и дело, что родным подсебянастроенным Sandboxie я пользуюсь каждый день. Хотел посмотреть на ваш велосипед но вот глаз и зацепился за непонятный loader.exe. Понятно, что на BSA антивиры гавкают, но зачем тут этот файл я так и не понял — логично было его проверить на вирустотал. Лучше же перестраховаться, правда?
This comment wasn’t rated yet0
А вот если посмотреть внимательно да и подумать — то станет очень понятно, откуда там e-mail и зачем он, собственно :)
Total votes 1: ↑1 and ↓0+1
Палево — я подразумевал в том, что если бы это был бы какой-нить stealer, то отмазки аля «мой аккаунт взломан и с него написано» не проканали бы, так что всё логично, не обижайтесь)
This comment wasn’t rated yet0
Там файл подписанный. Вы хотя бы отличите цифровую подпись от «палева» :) Там даже не надо контент смотреть и реверсить — кнопочка «Свойства» в контекстном меню Проводника…
This comment wasn’t rated yet0
Да видел я там сертификат, речь не про это. Хотя да, признаю свою невнимательность и поспешность выводов. Только я на linux и у меня нет в проводнике свойства, есть только GHex который было не лень запустить в отличие от VirtualBox =)
Total votes 1: ↑1 and ↓0+1
image

C этим извращением нужно что-то сделать. Опять «робот» навесил детектов.

Total votes 1: ↑1 and ↓0+1
Ссылка на изображение не та
image
Total votes 2: ↑2 and ↓0+2
Те, кому эта утилита нужна — сами разберутся, а те, кто испугаются — всё равно в ней ничего не поймут. Своеобразный естественный отбор.
Отрадно, что хоть комменты и неоднозначные, хоть и плюсуют тему мало — но у семерых она уже в «Избранных». Это — главный показатель интересности.
Total votes 1: ↑1 and ↓0+1
Много плюсов и не будет. Тема интересна для довольно узкой аудитории.
This comment wasn’t rated yet0
Дык Хабр — место айтишников! Ну ладно, убедил. Пошли обратно на форум :)
This comment wasn’t rated yet0
Ужасное слово «портабельный» в заголовке :(
Total votes 1: ↑0 and ↓1-1
Да и связку IDA Pro + этот сэндбокс по аналогии IDA + Qemu тое же было бы не плохо
This comment wasn’t rated yet0
QEMU прикручивать не буду, потому как сильно тяжко будет. Сам смысл был в лёгкой системе виртуализации + анализаторе, тащить целую виртуальную машину некомильфо.

IDA Pro с набором плагов включая bindiff в портабеле конечно есть — но, думаю, она у всех есть своя, в своём любимом варианте. А потому тоже не вижу смысла прикручивать, это отдельный вариант.

Кроме того, для любителей «монстров» есть ведь уже готовые REMnux и SIFT Workstation — чем не устраивает? ;)
This comment wasn’t rated yet0
>>QEMU прикручивать не буду
Про его прикручивание ни кто не говорит. Я писал «по аналогии IDA + Qemu». Т.е. посмотреть как сейчас дружит IDA с Qemu. Учтя опыт сделать IDA + Buster Sandbox Analyzer.

>>Кроме того, для любителей «монстров»
IDA Pro конечно «монстр», как Вы выразились, но на данный момент это единственный инструмент который решает громадное множество задач. Хочется оставаться в рамках привычного инструмента
This comment wasn’t rated yet0
Извините, несовсем верно Вас понял, потому, вероятно, несовсем точно ответил.

Как я уже говорил, сделал, как мог, прошу не судить строго, а кто может лучше — пусть попробует, я буду только рад.

Если, конечно, Вы берётесь оплатить стоимость лицензии IDA Pro для меня — я приложу все усилия к реализации Вашей задумки ;)
This comment wasn’t rated yet0
Дык, недавно на хабре пробегала об утечки IDA ;)
This comment wasn’t rated yet0
Если Вы про эту тему — то да, это было совершенно «недавно» и хм — я совершенно ничего «не знал» об этом.

И в кои-то веки честный разработчик пользуется утечками и пиратками? Вы пользуетесь? Я — нет! ;)

Так что если уж заказ реквестируете — извольте экспонсировать работы хотя бы без гонорара исполнителю — так, на расходные материалы ;)
This comment wasn’t rated yet0
Sign up to leave a comment.

Articles

Show the best of all time
Change theme settings

Your account

Sections

Information

Services

Support
© 2006–2024, Habr