Нужен анализ файла!

-=lebed=- · 6 Nov 2008

Отчёт VirusTotal http://www.virustotal.com/ru/analisis/85b43c981ae3d4fb8471fc2aeb9d5d69

Антивирус Версия Обновление Результат
AhnLab-V3 2008.11.5.3 2008.11.06 -
AntiVir 7.9.0.26 2008.11.05 -
Authentium 5.1.0.4 2008.11.06 -
Avast 4.8.1248.0 2008.11.05 -
AVG 8.0.0.161 2008.11.05 -
BitDefender 7.2 2008.11.06 -
CAT-QuickHeal 9.50 2008.11.04 -
ClamAV 0.94.1 2008.11.06 -
DrWeb 4.44.0.09170 2008.11.06 -
eSafe 7.0.17.0 2008.11.05 -
eTrust-Vet 31.6.6194 2008.11.06 -
Ewido 4.0 2008.11.05 -
F-Prot 4.4.4.56 2008.11.06 -
F-Secure 8.0.14332.0 2008.11.06 Suspicious:W32/Zlob!Gemini
Fortinet 3.117.0.0 2008.11.05 -
GData 19 2008.11.06 -
Ikarus T3.1.1.45.0 2008.11.06 -
K7AntiVirus 7.10.517 2008.11.05 -
Kaspersky 7.0.0.125 2008.11.06 -
McAfee 5425 2008.11.05 -
Microsoft 1.4005 2008.11.06 -
NOD32 3589 2008.11.06 -
Norman 5.80.02 2008.11.05 -
Panda 9.0.0.4 2008.11.05 -
PCTools 4.4.2.0 2008.11.05 -
Prevx1 V2 2008.11.06 -
Rising 21.02.30.00 2008.11.06 -
SecureWeb-Gateway 6.7.6 2008.11.06 -
Sophos 4.35.0 2008.11.06 -
Sunbelt 3.1.1783.2 2008.11.05 -
Symantec 10 2008.11.06 -
TheHacker 6.3.1.1.141 2008.11.05 -
TrendMicro 8.700.0.1004 2008.11.06 -
VBA32 3.12.8.9 2008.11.05 -
ViRobot 2008.11.6.1454 2008.11.06 -
VirusBuster 4.5.11.0 2008.11.05 -
Дополнительная информация
File size: 646144 bytes
MD5...: cc5d7054676a9472f9b8232095f6014c
SHA1..: 4a73f92b9fb3fff3c616c624c3c7c9a9da36cc20
SHA256: b46667f811d0b419c3716f39a78a1c93a47ad67d0e729a0ac82c17d550502e59
SHA512: e6570f73d4c48618dea66035ed2d8ae8e0b2898ea0376817ea233d15a7a9917b
6714dc617966c980f18fec11c70b432a41fa525206b0fbf782be14e53cda9907
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (75.0%)
Win32 Executable Generic (16.9%)
Generic Win/DOS Executable (3.9%)
DOS Executable Generic (3.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x457bd9
timedatestamp.....: 0x4891a9e4 (Thu Jul 31 12:02:44 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x7e9ea 0x7ea00 6.59 74c59782b0a519e29b66d6d901ace778
.rdata 0x80000 0x1a8ea 0x1aa00 5.52 113dbdf0f8439a3f7b83a14461ba559a
.data 0x9b000 0x83c4 0x2a00 4.44 4e900fa469a188dec0c7f17286629ba4
.rsrc 0xa4000 0x1870 0x1a00 4.69 e25fcdca197139f321fd1b58073fd97e

( 15 imports )
> VERSION.dll: GetFileVersionInfoA, VerQueryValueA, GetFileVersionInfoSizeA
> MSWSOCK.dll: TransmitFile
> KERNEL32.dll: FindFirstFileA, FindNextFileA, FindClose, CreateTimerQueue, CreateTimerQueueTimer, DeleteTimerQueueEx, SetFileAttributesA, FreeLibrary, GetProcAddress, LoadLibraryA, CreateDirectoryA, SetProcessWorkingSetSize, DeleteFileA, CreateProcessA, SetThreadPriorityBoost, WaitForMultipleObjects, TerminateProcess, SystemTimeToTzSpecificLocalTime, ReleaseMutex, GetSystemDirectoryA, GetFileSize, SetLastError, SetUnhandledExceptionFilter, SetProcessAffinityMask, SetErrorMode, SetConsoleCP, SetConsoleOutputCP, ChangeTimerQueueTimer, lstrcmpW, MoveFileExA, GetCurrentDirectoryA, GetFileAttributesA, DeviceIoControl, InterlockedExchange, InterlockedDecrement, lstrcatW, HeapReAlloc, lstrcpyW, GetSystemTimeAsFileTime, ReadFile, WriteConsoleA, GetStdHandle, CreateMutexA, GetVersion, GetFileAttributesW, GetDriveTypeA, HeapCreate, HeapDestroy, InterlockedCompareExchange, InterlockedIncrement, LoadLibraryExA, EnumResourceNamesA, VerLanguageNameA, GetCommandLineA, GetConsoleMode, GetConsoleCP, IsDebuggerPresent, UnhandledExceptionFilter, HeapSize, VirtualAlloc, VirtualFree, IsProcessorFeaturePresent, TlsAlloc, TlsSetValue, TlsFree, SetHandleCount, GetTickCount, GetSystemTime, GetFileType, GetStartupInfoA, GetCPInfo, GetACP, GetOEMCP, IsValidCodePage, LCMapStringA, LCMapStringW, CreateFileW, GetConsoleOutputCP, WriteConsoleW, SetStdHandle, GetTimeZoneInformation, GetStringTypeA, GetStringTypeW, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, QueryPerformanceCounter, FlushFileBuffers, TryEnterCriticalSection, SetThreadPriority, GetCurrentThread, CreateFileA, SetFilePointer, WriteFile, InitializeCriticalSectionAndSpinCount, InitializeCriticalSection, ExitProcess, DeleteCriticalSection, FormatMessageA, LocalFree, GetLocalTime, GetCurrentProcessId, GetWindowsDirectoryA, FileTimeToLocalFileTime, GetProcessTimes, OpenProcess, GetVersionExA, Process32Next, Process32First, CreateToolhelp32Snapshot, SystemTimeToFileTime, FileTimeToSystemTime, ExitThread, SleepEx, CreateThread, TerminateThread, CloseHandle, ResetEvent, GetDateFormatA, GetTimeFormatA, GetUserDefaultLangID, HeapFree, GetProcessHeap, HeapAlloc, CompareStringA, lstrcmpiA, GetLocaleInfoA, GetSystemDefaultUILanguage, GetModuleHandleA, Sleep, LockResource, SizeofResource, FindResourceExA, WideCharToMultiByte, GetModuleFileNameA, LoadResource, FindResourceA, MultiByteToWideChar, GetCurrentProcess, FlushInstructionCache, CreateEventA, WaitForSingleObject, SetEvent, lstrlenW, lstrcpyA, lstrlenA, RaiseException, GetCurrentThreadId, LeaveCriticalSection, EnterCriticalSection, GetLastError, RtlUnwind, GetModuleHandleW, SetEndOfFile, CompareStringW, SetEnvironmentVariableA, TlsGetValue
> USER32.dll: EnumWindows, CharUpperA, CharLowerA, DrawFocusRect, DrawTextA, EndDialog, OffsetRect, GetCursorPos, PtInRect, GetCapture, DialogBoxParamA, CallWindowProcA, GetActiveWindow, LoadIconA, SetDlgItemTextW, SetWindowTextW, PostQuitMessage, SetCursor, LoadCursorA, DefWindowProcA, ReleaseCapture, GetWindowThreadProcessId, GetForegroundWindow, RegisterDeviceNotificationA, UnregisterDeviceNotification, PeekMessageA, FillRect, GetFocus, CharNextA, GetMessageA, UnregisterClassA, DispatchMessageA, SystemParametersInfoA, SetForegroundWindow, GetMonitorInfoA, MonitorFromWindow, GetClassNameA, GetDlgItem, GetDlgCtrlID, GetParent, GetWindow, SendDlgItemMessageA, SetFocus, SetCapture, IsWindowEnabled, IsWindowVisible, ShowWindow, InvalidateRect, UpdateWindow, ReleaseDC, GetDC, CreateDialogParamA, UnhookWindowsHookEx, SetWindowsHookExA, MsgWaitForMultipleObjects, GetWindowTextW, GetKeyState, GetKeyboardLayout, EndPaint, BeginPaint, MapWindowPoints, ScreenToClient, GetClientRect, GetWindowRect, SetWindowPos, ToUnicodeEx, GetKeyNameTextW, CallNextHookEx, wsprintfA, InSendMessage, GetWindowTextLengthA, GetWindowTextA, SetWindowTextA, SendMessageA, CreateWindowExA, GetWindowLongA, DestroyWindow, SetWindowLongA, IsWindow, GetSysColor, SetRectEmpty, TranslateMessage
> GDI32.dll: GetStockObject, GetObjectA, CreateFontIndirectA, SelectObject, DeleteObject, DeleteDC, SetBkMode, SetTextColor, GetDeviceCaps, CreateCompatibleBitmap, CreateCompatibleDC, BitBlt, GetDIBits, RealizePalette, GetObjectW
> WINSPOOL.DRV: EnumPrintersW, FreePrinterNotifyInfo, FindNextPrinterChangeNotification, FindFirstPrinterChangeNotification, OpenPrinterW
> ADVAPI32.dll: RegEnumKeyExA, AdjustTokenPrivileges, LookupAccountSidW, GetTokenInformation, DeleteService, CreateServiceA, GetUserNameW, ControlService, QueryServiceStatus, StartServiceA, RegSetValueExA, RegCreateKeyExA, StartServiceCtrlDispatcherA, RegisterServiceCtrlHandlerExA, ReportEventA, RegisterEventSourceA, SetServiceStatus, DeregisterEventSource, CloseServiceHandle, ChangeServiceConfig2A, OpenServiceA, RegCloseKey, RegOpenKeyExA, RegQueryValueExA, RegNotifyChangeKeyValue, RegQueryInfoKeyA, LookupPrivilegeValueA, GetUserNameA, OpenProcessToken, OpenSCManagerA
> SHELL32.dll: SHCreateDirectoryExA, ShellExecuteA, Shell_NotifyIconA
> ole32.dll: CoCreateInstance, CoUninitialize, CoInitializeEx
> OLEAUT32.dll: -, -, -, -, -
> WS2_32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> PSAPI.DLL: EnumProcessModules, GetModuleBaseNameW, EnumProcesses, EmptyWorkingSet, GetModuleBaseNameA, GetModuleFileNameExA
> COMCTL32.dll: _TrackMouseEvent
> msi.dll: -, -, -, -
> SETUPAPI.dll: SetupDiEnumDeviceInterfaces, SetupDiGetDeviceInterfaceDetailW, SetupDiGetDeviceInstanceIdW, SetupDiGetDeviceRegistryPropertyW, SetupDiDestroyDeviceInfoList, SetupDiGetClassDevsW

( 0 exports )
Click to expand...

Ставится как служба, в обычном диспечере процессов невидим, при убивании в Process Explorer запускается вновь (там виден в процессах).

Напоминает кейлоггер или программу-шпион (чисто мои подозрения) Если бы был руткит, то я думаю он бы позаботился о сокрытии себя в списке служб - там его видно...) Что за зверь такой, если раскажите буду благодарен...
Скачать подопытного

PEPSICOLA · 6 Nov 2008

http://www.softpedia.com/get/System/System-Info/Microsoft-Process-Monitor.shtml

Скачай себе Process Monitor, вбей там имя процесса этого файла и следи что он делает на твоём компе.

зеркало:
http://cracklab.ru/download.php?action=get&n=Njk1

-=lebed=- · 6 Nov 2008

PEPSICOLA said:

http://www.softpedia.com/get/System/System-Info/Microsoft-Process-Monitor.shtml

Скачай себе Process Monitor, вбей там имя процесса этого файла и следи что он делает на твоём компе.

зеркало:
http://cracklab.ru/download.php?action=get&n=Njk1
Click to expand...

В виртуалке ничего работать не хочет ни монитор процессов (не ставится) ни этот экзешник (запускается, повисит 2-5 сек и выгружается).

0x0c0de · 7 Nov 2008

Оно пытается открыть сервис "Time Control Service", но ничего не находит и после этого пытается само запуститься как сервис, но тоже у нее ничего не получается, ибо система посылает с ERROR_FAILED_SERVICE_CONTROLLER_CONNECT =)

Да, код логирования клавиш есть

Code:

00436E50                                  55              PUSH    EBP
00436E51                                  8BEC            MOV     EBP, ESP
00436E53                                  83E4 F8         AND     ESP, FFFFFFF8
00436E56                                  B8 44100000     MOV     EAX, 1044
00436E5B                                  E8 B0DC0200     CALL    00464B10                             ; csrss_tc.00464B10
00436E60                                  A1 C8B34900     MOV     EAX, DWORD PTR DS:[49B3C8]
00436E65                                  33C4            XOR     EAX, ESP
00436E67                                  898424 40100000 MOV     DWORD PTR SS:[ESP+1040], EAX
00436E6E                                  53              PUSH    EBX
00436E6F                                  56              PUSH    ESI
00436E70                                  8BF1            MOV     ESI, ECX                             ; ntdll.7C9164EE
00436E72                                  8B06            MOV     EAX, DWORD PTR DS:[ESI]
00436E74                                  57              PUSH    EDI
00436E75                                  50              PUSH    EAX
00436E76                                  68 68E24800     PUSH    48E268                               ; ASCII "CKeyboardMonitor::LogKey() vkcode: %d
"
00436E7B                                  E8 ABC80100     CALL    0045372B                             ; csrss_tc.0045372B

....

004372C9                                 .  68 00010000   PUSH    100                                  ; /Count = 100 (256.)
004372CE                                 .  8D8C24 3C0300>LEA     ECX, DWORD PTR SS:[ESP+33C]          ; |
004372D5                                 .  51            PUSH    ECX                                  ; |Buffer = ntdll.7C9164EE
004372D6                                 .  0FB64E 04     MOVZX   ECX, BYTE PTR DS:[ESI+4]             ; |
004372DA                                 .  66:C1E2 08    SHL     DX, 8                                ; |
004372DE                                 .  0FB7C2        MOVZX   EAX, DX                              ; |
004372E1                                 .  0BC1          OR      EAX, ECX                             ; |ntdll.7C9164EE
004372E3                                 .  C1E0 10       SHL     EAX, 10                              ; |
004372E6                                 .  50            PUSH    EAX                                  ; |lParam = 0
004372E7                                 .  FF15 B0044800 CALL    NEAR DWORD PTR DS:[4804B0]           ; \GetKeyNameTextW
004372ED                                 .  8B3D 50014800 MOV     EDI, DWORD PTR DS:[480150]           ;  kernel32.lstrcatW
004372F3                                 .  32C0          XOR     AL, AL
004372F5                                 .  F64424 41 80  TEST    BYTE PTR SS:[ESP+41], 80
004372FA                                 .  74 20         JE      SHORT 0043731C                       ;  csrss_tc.0043731C
004372FC                                 .  68 98CD4800   PUSH    48CD98                               ; /StringToAdd = "<"
00437301                                 .  8D9424 3C0100>LEA     EDX, DWORD PTR SS:[ESP+13C]          ; |
00437308                                 .  52            PUSH    EDX                                  ; |ConcatString = "??.."
00437309                                 .  FFD7          CALL    NEAR EDI                             ; \lstrcatW
0043730B                                 .  68 B8E24800   PUSH    48E2B8                               ; /StringToAdd = "Ctrl"
00437310                                 .  8D8424 3C0100>LEA     EAX, DWORD PTR SS:[ESP+13C]          ; |
00437317                                 .  50            PUSH    EAX                                  ; |ConcatString = NULL
00437318                                 .  FFD7          CALL    NEAR EDI                             ; \lstrcatW
0043731A                                 .  B0 01         MOV     AL, 1
0043731C                                 >  F64424 42 80  TEST    BYTE PTR SS:[ESP+42], 80
00437321                                 .  74 2A         JE      SHORT 0043734D                       ;  csrss_tc.0043734D

....

Потом еще неплохо бы было либу глянуть HideAgent.dll и дрова scfsp.sys и scnet.sys

Нужен анализ файла!

-=lebed=- хэшкрякер

PEPSICOLA . . . . . 2L . . . . .

-=lebed=- хэшкрякер

0x0c0de Elder - Старейшина

Useful Searches

Нужен анализ файла!

-=lebed=- хэшкрякер

PEPSICOLA . . . . . 2L . . . . .

-=lebed=- хэшкрякер

0x0c0de Elder - Старейшина