Помогите разобраться что за файл

Discussion in 'Защита ОС: антивирусы, фаерволы, антишпионы' started by purplekhh, 18 Jun 2012.

  1. purplekhh

    purplekhh New Member

    Joined:
    16 Apr 2012
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    На системном диске по адресу
    C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка
    находится вот этот файл mail.exe:
    http://files.etherway.ru/A6656

    С каждым включением компьютера по адресу
    C:\Documents and Settings\Admin\Local Settings\Temp
    сохраняется вот такая папка wrd-000-000-0000.~lk (где вместо нулей разные комбинации цифр и латинских букв):
    http://files.etherway.ru/EA189

    Что это может быть?
     
    #1 purplekhh, 18 Jun 2012
  2. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,694
    Likes Received:
    3,149
    Reputations:
    236
    задвинь себе Юбунта на флешке и загрусь с него.
    стырь этот mail.exe и сохрани на фейл-обманнике.

    будет многим интересно дизассемблить это чудо ))
     
    #2 altblitz, 18 Jun 2012
  3. t3cHn0iD

    t3cHn0iD Banned

    Joined:
    6 Apr 2009
    Messages:
    313
    Likes Received:
    63
    Reputations:
    66
    Там UPX навешан на него, снимается за 10 секунд (=

    Собственно, в эти папки распаковываются две флешки - одна переименована в расширение dat, но палится по заголовку и + еще 23 dll, которые так же имеют левое расширение (mdd).
    Строки, которые спокойно читаются hex-редактором во флешке ~swd1.swf:
    Code:
    [COLOR=SandyBrown][B]00000020 |                                                 01 5F 67 6C 6F 62 61 6C 00 6D 64 6D 00 6D 64 6D |                 ._global.mdm.mdm
00000040 | 69 6E 69 74 00 53 59 4E 43 00 69 6E 69 74 70 70 73 76 00 26 00 73 70 6C 69 74 00 6C 65 6E 67 74 | init.SYNC.initppsv.&.split.lengt
00000060 | 68 00 3D 00 5C 00 5C 5C 00 75 6E 65 73 63 61 70 65 00 6A 6F 69 6E 00 5F 5F 70 61 72 65 6E 74 00 | h.=.\.\\.unescape.join.__parent.
00000080 | 5F 5F 6F 62 6A 65 63 74 00 5F 5F 69 73 49 6E 73 74 61 6E 63 65 00 41 53 53 65 74 50 72 6F 70 46 | __object.__isInstance.ASSetPropF
000000A0 | 6C 61 67 73 00 5F 5F 67 6C 6F 62 61 6C 00 5F 5F 4F 53 00 53 79 73 74 65 6D 00 63 61 70 61 62 69 | lags.__global.__OS.System.capabi
000000C0 | 6C 69 74 69 65 73 00 6F 73 00 73 75 62 73 74 72 69 6E 67 00 41 53 59 4E 43 00 61 73 79 6E 63 00 | lities.os.substring.ASYNC.async.
000000E0 | 66 6F 72 6D 69 64 00 30 30 30 30 30 30 00 5F 5F 69 6E 69 74 63 6D 64 00 57 69 6E 00 78 70 70 72 | formid.000000.__initcmd.Win.xppr
00000100 | 65 73 00 69 6E 69 74 53 4F 00 78 70 70 63 6D 64 00 5F 5F 63 6D 64 63 6F 75 6E 74 65 72 00 5F 5F | es.initSO.xppcmd.__cmdcounter.__
00000120 | 73 65 6E 64 63 6D 64 00 4D 61 63 00 48 4E 31 44 49 30 36 00 73 30 30 30 30 30 30 30 30 30 30 30 | sendcmd.Mac.HN1DI06.s00000000000
00000140 | 30 00 00 4D 61 74 68 00 72 6F 75 6E 64 00 2F 00 53 68 61 72 65 64 4F 62 6A 65 63 74 00 67 65 74 | 0..Math.round./.SharedObject.get
00000160 | 4C 6F 63 61 6C 00 64 61 74 61 00 69 73 00 74 6F 53 74 72 69 6E 67 00 30 00 73 00 30 30 30 30 30 | Local.data.is.toString.0.s.00000
00000180 | 30 30 30 30 00 73 75 62 73 74 72 00 66 6C 75 73 68 00 5F 5F 72 65 74 63 6D 64 00 48 4E 31 44 49 | 0000.substr.flush.__retcmd.HN1DI
000001A0 | 30 32 00 63 6C 65 61 72 00 5F 5F 73 65 72 76 65 72 00 58 4D 4C 53 6F 63 6B 65 74 00 6F 6E 44 61 | 02.clear.__server.XMLSocket.onDa
000001C0 | 74 61 00 21 7D 7D 5E 7B 7D 21 00 6F 6E 43 6F 6E 6E 65 63 74 00 73 74 61 74 75 73 00 43 6F 6E 6E | ta.!}}^{}!.onConnect.status.Conn
000001E0 | 65 63 74 65 64 21 00 5F 5F 66 69 6E 61 6C 49 6E 69 74 00 45 72 72 6F 72 20 63 6F 6E 6E 65 63 74 | ected!.__finalInit.Error connect
00000200 | 69 6E 67 00 6F 6E 43 6C 6F 73 65 00 44 69 73 63 6F 6E 6E 65 63 74 65 64 00 5F 5F 70 6F 72 74 00 | ing.onClose.Disconnected.__port.
00000220 | 31 32 33 34 35 21 66 6F 72 6D 6D 70 6F 72 74 21 36 33 32 38 31 00 21 66 6F 72 6D 6D 70 6F 72 74 | 12345!formmport!63281.!formmport
00000240 | 21 00 31 32 37 2E 30 2E 30 2E 31 00 63 6F 6E 6E 65 63 74 00 63 00 21 7D 7D 76 7B 7D 21 00 66 00 | !.127.0.0.1.connect.c.!}}v{}!.f.
00000260 | 73 68 69 66 74 00 70 00 6F 00 2E 00 6C 61 73 74 49 6E 64 65 78 4F 66 00 5F 72 6F 6F 74 00 66 75 | shift.p.o...lastIndexOf._root.fu
00000280 | 6E 63 74 69 6F 6E 00 5F 72 6F 6F 74 2E 00 5F 67 6C 6F 62 61 6C 2E 00 61 70 70 6C 79 00 5F 5F 63 | nction._root.._global..apply.__c
000002A0 | 61 6C 6C 46 75 6E 63 74 69 6F 6E 00 61 64 64 50 72 6F 70 65 72 74 79 00 5F 5F 72 65 73 6F 6C 76 | allFunction.addProperty.__resolv
000002C0 | 65 00 6D 00 74 68 69 73 00 61 00 61 72 67 75 6D 65 6E 74 73 00 6C 00 64 6C 6D 00 21 7D 7D 5E 00 | e.m.this.a.arguments.l.dlm.!}}^.
000002E0 | 5E 7B 7D 21 00 65 73 63 00 73 74 72 69 6E 67 00 40 61 6D 70 40 00 40 64 71 40 00 22 00 40 63 6F | ^{}!.esc.string.@amp@.@dq@.".@co
00000300 | 40 00 2C 00 69 73 41 50 49 00 70 6F 70 00 75 6E 69 71 75 65 00 70 61 72 61 6D 73 00 3C 7B 7A 69 | @.,.isAPI.pop.unique.params.<{zi
00000320 | 6E 63 7D 3E 00 22 2C 22 00 44 61 74 65 00 67 65 74 54 69 6D 65 00 3C 7B 7A 69 6E 63 70 7D 3E 00 | nc}>.",".Date.getTime.<{zincp}>.
00000340 | 5F 5F 68 61 73 45 49 00 72 65 74 75 72 6E 76 61 6C 00 66 6C 61 73 68 00 65 78 74 65 72 6E 61 6C | __hasEI.returnval.flash.external
00000360 | 00 45 78 74 65 72 6E 61 6C 49 6E 74 65 72 66 61 63 65 00 63 61 6C 6C 00 6D 64 6D 2E 41 70 70 6C | .ExternalInterface.call.mdm.Appl
00000380 | 69 63 61 74 69 6F 6E 2E 63 72 65 61 74 65 46 6F 72 6D 00 46 6F 72 6D 73 00 5F 5F 64 65 73 65 72 | ication.createForm.Forms.__deser
000003A0 | 69 61 6C 69 7A 65 00 63 62 45 6E 61 62 6C 65 64 00 6E 00 78 00 74 6F 4C 6F 77 65 72 43 61 73 65 | ialize.cbEnabled.n.x.toLowerCase
000003C0 | 00 73 61 76 65 75 74 66 38 00 62 69 6E 61 72 79 66 69 6C 65 5F 73 65 74 64 61 74 61 00 73 77 66 | .saveutf8.binaryfile_setdata.swf
000003E0 | 5F 67 65 74 68 65 61 64 65 72 00 67 65 74 66 69 6C 65 61 74 74 72 69 62 73 00 67 65 74 72 65 73 | _getheader.getfileattribs.getres
00000400 | 6F 6C 75 74 69 6F 6E 00 67 65 74 73 69 7A 65 00 67 65 74 70 6F 73 69 74 69 6F 6E 00 67 65 74 6A | olution.getsize.getposition.getj
00000420 | 70 67 73 69 7A 65 00 67 65 74 6D 6F 75 73 65 70 6F 73 69 74 69 6F 6E 00 46 53 43 6F 6D 6D 61 6E | pgsize.getmouseposition.FSComman
00000440 | 64 3A 00 61 72 72 00 69 00 5F 72 6F 6F 74 2E 6D 64 6D 2E 5F 5F 74 6D 70 56 00 70 75 73 68 00 66 | d:.arr.i._root.mdm.__tmpV.push.f
00000460 | 6E 63 43 42 00 76 00 63 6F 6E 63 61 74 00 74 00 5F 5F 74 6D 70 00 5F 5F 6C 61 73 74 46 53 00 69 | ncCB.v.concat.t.__tmp.__lastFS.i
00000480 | 73 4E 61 4E 00 5F 72 6F 6F 74 2E 6D 64 6D 2E 00 73 70 6C 69 63 65 00 69 6E 64 65 78 4F 66 00 20 | sNaN._root.mdm..splice.indexOf. 
000004A0 | 00 6D 64 6D 2E 5F 5F 67 6C 6F 62 61 6C 2E 00 21 7D 7D 5E 63 5E 7B 7D 21 00 73 65 6E 64 00 70 72 | .mdm.__global..!}}^c^{}!.send.pr
000004C0 | 6F 74 6F 74 79 70 65 00 5F 5F 6F 62 6A 65 63 74 50 61 74 68 00 63 6F 6E 73 74 72 75 63 74 6F 72 | ototype.__objectPath.constructor
000004E0 | 00 69 6E 69 74 66 6F 72 6D 73 00 5F 5F 69 6E 69 74 69 61 6C 69 73 65 00 5B 53 75 62 63 6C 61 73 | .initforms.__initialise.[Subclas
00000500 | 73 20 72 65 73 6F 6C 76 65 72 5D 20 00 5F 5F 5F 69 64 00 75 6E 73 68 69 66 74 00 5F 5F 73 65 72 | s resolver] .___id.unshift.__ser
00000520 | 69 61 6C 69 7A 65 00 6F 62 6A 65 63 74 00 6E 75 6D 62 65 72 00 62 6F 6F 6C 65 61 6E 00 41 72 72 | ialize.object.number.boolean.Arr
00000540 | 61 79 00 5B 00 5D 00 58 4D 4C 00 3C 2A 3E 00 3C 2F 2A 3E 00 23 00 75 6E 64 65 66 69 6E 65 64 00 | ay.[.].XML.<*>.</*>.#.undefined.
00000560 | 3A 00 7B 00 7D 00 6E 75 6C 6C 00 69 73 46 69 6E 69 74 65 00 63 68 61 72 41 74 00 08 00 0C 00 0A | :.{.}.null.isFinite.charAt......
00000580 | 00 0D 00 09 00 5C 62 00 5C 66 00 5C 6E 00 5C 72 00 5C 74 00 63 68 61 72 43 6F 64 65 41 74 00 5C | .....\b.\f.\n.\r.\t.charCodeAt.\
000005A0 | 75 30 30 00 66 6C 6F 6F 72 00 63 68 00 61 74 00 74 65 78 74 00 6E 65 78 74 00 2A 00 55 6E 74 65 | u00.floor.ch.at.text.next.*.Unte
000005C0 | 72 6D 69 6E 61 74 65 64 20 63 6F 6D 6D 65 6E 74 00 65 72 72 6F 72 00 53 79 6E 74 61 78 20 65 72 | rminated comment.error.Syntax er
000005E0 | 72 6F 72 00 40 71 40 00 62 00 72 00 75 00 70 61 72 73 65 49 6E 74 00 53 74 72 69 6E 67 00 66 72 | ror.@[email protected]
00000600 | 6F 6D 43 68 61 72 43 6F 64 65 00 42 61 64 20 73 74 72 69 6E 67 00 77 68 69 74 65 00 76 61 6C 75 | omCharCode.Bad string.white.valu
00000620 | 65 00 42 61 64 20 61 72 72 61 79 00 42 61 64 20 6F 62 6A 65 63 74 00 2D 00 39 00 42 61 64 20 6E | e.Bad array.Bad object.-.9.Bad n
00000640 | 75 6D 62 65 72 00 3C 00 65 00 61 72 72 61 79 00 64 61 74 65 00 78 6D 6C 00 77 6F 72 64 00 5F 5F | umber.<.e.array.date.xml.word.__
00000660 | 63 72 65 61 74 65 50 72 6F 70 65 72 74 79 00 67 65 74 73 65 74 3A 20 00 67 65 74 73 65 74 00 2C | createProperty.getset: .getset.,
00000680 | 20 70 72 6F 70 4E 61 6D 65 3A 20 00 70 72 6F 70 4E 61 6D 65 00 70 70 73 76 00 67 65 74 6C 00 5F |  propName: .propName.ppsv.getl._
000006A0 | 5F 5F 00 5F 5F 63 72 65 61 74 65 4F 62 6A 65 63 74 00 70 61 72 65 6E 74 00 6E 61 6D 65 00 5F 5F | __.__createObject.parent.name.__
000006C0 | 69 6E 73 74 61 6E 63 65 73 00 5F 5F 70 61 72 61 6D 73 00 2D 31 00 2E 63 72 65 61 74 65 00 69 73 | instances.__params.-1..create.is
000006E0 | 4C 6F 61 64 65 64 00 5F 5F 70 72 6F 74 6F 5F 5F 00 5F 5F 63 6F 6E 73 74 72 75 63 74 6F 72 5F 5F | Loaded.__proto__.__constructor__
00000700 | 00 64 69 73 70 61 74 63 68 51 75 65 75 65 00 64 69 73 70 61 74 63 68 45 76 65 6E 74 00 61 64 64 | .dispatchQueue.dispatchEvent.add
00000720 | 45 76 65 6E 74 4C 69 73 74 65 6E 65 72 00 72 65 6D 6F 76 65 45 76 65 6E 74 4C 69 73 74 65 6E 65 | EventListener.removeEventListene
00000740 | 72 00 5F 5F 69 6E 69 74 69 61 6C 69 73 65 4F 62 6A 65 63 74 00 3C 7B 21 21 7A 21 21 7D 3E 00 3C | r.__initialiseObject.<{!!z!!}>.<
00000760 | 7B 21 7A 21 7D 3E 00 3C 7B 7A 7D 3E 00 6F 62 6A 4E 61 6D 65 73 00 40 00 68 61 73 4F 77 6E 50 72 | {!z!}>.<{z}>[email protected]
00000780 | 6F 70 65 72 74 79 00 73 6C 69 63 65 00 67 65 74 00 73 65 74 00 69 6E 74 65 67 65 72 00 42 6F 6F | operty.slice.get.set.integer.Boo
000007A0 | 6C 65 61 6E 00 5F 5F 69 6E 69 74 69 61 6C 69 73 65 46 6F 72 6D 00 74 68 69 73 46 6F 72 6D 00 3C | lean.__initialiseForm.thisForm.<
000007C0 | 7B 21 7A 21 21 7D 3E 00 5F 5F 64 69 73 70 61 74 63 68 45 76 65 6E 74 00 74 61 72 67 65 74 00 6D | {!z!!}>.__dispatchEvent.target.m
000007E0 | 64 6D 2E 00 6F 62 6A 4E 61 6D 65 00 65 76 74 4F 62 6A 00 74 79 70 65 00 65 76 74 4E 61 6D 65 00 | dm..objName.evtObj.type.evtName.
00000800 | 69 6E 73 74 49 64 00 74 65 73 74 73 74 72 00 5F 5F 71 5F 00 6D 6F 76 69 65 63 6C 69 70 00 68 61 | instId.teststr.__q_.movieclip.ha
00000820 | 6E 64 6C 65 45 76 65 6E 74 00 48 61 6E 64 6C 65 72 00 6F 6E 00 74 6F 55 70 70 65 72 43 61 73 65 | ndleEvent.Handler.on.toUpperCase
00000840 | 00 71 75 65 75 65 4E 61 6D 65 00 5F 5F 69 6E 69 74 00 5F 5F 70 61 75 73 65 00 63 6C 65 61 72 49 | .queueName.__init.__pause.clearI
00000860 | 6E 74 65 72 76 61 6C 00 65 69 52 65 74 75 72 6E 00 6D 64 6D 2E 68 61 73 45 49 00 69 6E 69 74 69 | nterval.eiReturn.mdm.hasEI.initi
00000880 | 61 6C 69 73 65 00 5F 5F 74 65 6D 70 50 61 74 68 00 66 69 6C 65 3A 2F 2F 00 5F 6C 65 76 65 6C 30 | alise.__tempPath.file://._level0
000008A0 | 00 5F 75 72 6C 00 41 70 70 6C 69 63 61 74 69 6F 6E 00 70 61 74 68 00 74 65 6D 70 50 61 74 68 00 | ._url.Application.path.tempPath.
000008C0 | 2E 64 61 74 00 6F 6E 45 6E 74 65 72 46 72 61 6D 65 00 72 65 73 6F 75 72 63 65 50 61 74 68 00 7E | .dat.onEnterFrame.resourcePath.~
000008E0 | 73 77 64 00 2E 6A 70 67 00 96 2B 00 00 73 63 72 69 70 74 4C 69 6D 69 74 73 20 72 65 63 75 72 73 | swd..jpg.–+..scriptLimits recurs
00000900 | 69 6F 6E 20 32 30 30 30 20 74 69 6D 65 6F 75 74 20 36 35 35 33 35 00 17 96 02 00 08 00 1C 96 02 | ion 2000 timeout 65535..–.....–.[/B][/COLOR]
    Теперь по dll (по мере убывания их по размеру).Под словом работает подразумевается то, что затрагивает:
    Code:
    [COLOR=SandyBrown][B]13 - работает с изображениями;
4 - работает с базой данных MS SQL;
11 - работает с FTP протоколом;
12 - работает с HTTP протоколом;
17 - работает с протоколом MAPI (электронная почта в Windows) - Outlook;
22 - работает с DirectX;
3 - работает с COM портом;
1 - работает с элементами ActiveX;
15 - работает с Windows Media Player;
8 - работает с файловой системой ОС (копирование, вставка, удаление etc);
18 - опять же ActiveX, работа со страницами;
14 - работает с устройством ввода JoyStick;
20 - еще одна dll работающая с ActiveX;
0 - работает с аудио (звуком);
7 - работает с шифрованием (Encryption);
5 - работает с диалогом открытия файла;
10 - работает с формами программ;
6 затерто
9 - работает с флеш;
19 - работает с процессами;
21 - работает со строками;
16 - работает с контекстным меню;
2 - работает с буфером обмена.[/B][/COLOR]
    Собственно, затрагивается почти весь базовый функционал ОС.

    //Могу быть неточен.
     
    #3 t3cHn0iD, 18 Jun 2012
    Last edited: 18 Jun 2012
(You must log in or sign up to post here.)
Language
English (US)
    ANTICHAT ™ © 2001-2027 Antichat Kft.