LINUX.ORG.RU
ФорумTalks

[WINE][Вирусня] У кого сможется запуститься ?

 


0

0

http://ostudio.org/files/file.exe http://ostudio.org/files/user32.exe

это 2 версии блокера экрана в венике. через wine 1.1.31 не запускается и clamscan file.exe file.exe: OK

----------- SCAN SUMMARY ----------- Known viruses: 719348 Engine version: 0.95.3 Scanned directories: 0 Scanned files: 1 Infected files: 0 Data scanned: 0.12 MB Data read: 0.11 MB (ratio 1.10:1) Time: 3.812 sec (0 m 3 s)

★★★

> через wine 1.1.31 не запускается

пиши багрепорт

lester ★★★★
()

Первый файл — какая-то попорченная инсталляшка.

Второй файл запустился.

Экран пока не заблокировался, сейчас перезагружусь.

edigaryev ★★★★★
()
Ответ на: комментарий от edigaryev

забавное сообщение, хомячкам наверное очень непонятно и страшно становится... а главное совсем нет времени даже на то чтобы найти где телефон )

Sylvia ★★★★★
()
Ответ на: комментарий от edigaryev

DrWeb:

Проверка: http://ostudio.org/files/user32.exe
Версия антивирусного ядра: 5.0.1.12222
Вирусных записей: 1073026
Размер файла: 109.00 КБ
MD5 файла: 64bf94be515a60ebb4c6c8e7762d064e

http://ostudio.org/files/user32.exe infected with Trojan.Packed.19647

в первом - ничего не нашлось

Sylvia ★★★★★
()
Ответ на: комментарий от troll_them_all

Поправочка по первому:

McAfee   5899   2010.02.21   Generic Dropper.qo

McAfee+Artemis   5899   2010.02.21   Generic Dropper.qo

NOD32   4886   2010.02.22   a variant of Win32/Kryptik.CNT

Rising   22.34.01.03   2010.02.11   Packer.Win32.UnkPacker.a

Symantec   20091.2.0.41   2010.02.22   Suspicious.Insight

TrendMicro   9.120.0.1004   2010.02.22   TROJ_BRDOLAB.SMF

troll_them_all
()
Ответ на: комментарий от troll_them_all

И вообще, в вопросе блокеров на Клам полагаться не стоит, учитывая, что это настолько модная и быстроменяющаяся фишка.

troll_them_all
()

Вот зажрались. У меня один блокер все-таки запустился. Правда при переключении между столами исчезал и убился через wineserver -k.

linux4ever
()

Опять не повезло! Первому не хватает WS2HELP.dll, второй сегфолтиться... wine-1.1.38 gentoo ~amd64

ArtSh ★★★
()
Ответ на: комментарий от ArtSh

>Первому не хватает WS2HELP.dll
С ним тоже сегфолтится.

x3al ★★★★★
()

Мда, только на ЛОРе могут сетовать на то, что вирус не запускается :-)

alg0rythm
()

serge@blackmarble:~/.wine/drive_c$ wine file.exe err:module:import_dll Library WS2HELP.dll (which is needed by L"C:\\file.exe") not found err:module:LdrInitializeThunk Main exe initialization for L"C:\\file.exe" failed, status c0000135 serge@blackmarble:~/.wine/drive_c$ wine user32.exe wine: Unhandled page fault on read access to 0x7efe3f08 at address 0x7efe3f08 (thread 0009), starting debugger... Unhandled exception: page fault on read access to 0x7efe3f08 in 32-bit code (0x7efe3f08).

не работает :(

exception13 ★★★★★
()

Если этот тред дать почитать вендузятнику, его хватит сердечный приступ.

lester_dev ★★★★★
()

Второй запустился, после перезагрузки черный экран. После REISUB загрузилось номально, никаких заблокированных экранов.

e3d08dff
()
Ответ на: комментарий от exception13

>воткнул недостающую либу. теперь оба бинарика сегфолтяца >_< где у автора виря баг трекер?

отошли багрепорт смской

wlan ★★
()
Ответ на: комментарий от exception13

>щас потыкаю в бинари пизженным IDA Pro + Hex Rays
скорее всего вирусокидер использовал чужой какой-то готовый и клепает из чужих вирусов.

dimon555 ★★★★★
()
Ответ на: комментарий от troll_them_all

> Дык это два разных или две части одного? 2 разных. Один с нульчана взят другой по почте прислали :)

chapay ★★★
() автор топика
Ответ на: комментарий от chapay

>Один с нульчана взят другой по почте прислали :)

Не, ну прикольно, но так это ж надо, что б лох как-то экзешки эти запустил... Они ж без автозапуска...

troll_them_all
()
Ответ на: комментарий от troll_them_all

А как ты представляешь себе автозапуск exe? По теме: реквестирую образец их родственника «internet security» или как оно там сейчас называется.

x3al ★★★★★
()

Private %100 FUD Linux Trojan

[+] Coded in pure C - no dependencies.
[+] 9 kb Unpacked Standalone Executable (not LKM)
[+] Reverse Shell
[+] Bypassing Firewall (outbound)
[+] Hide / Spoof - netstat, ps -axn, ls
[+] Easy to spread and add functionality (bank login etc)
[+] All features are available from user-space (!)
[+] Includes 6 months of updates (1 update per month)
[+] IRC Customer Support Channel
[+] %100 FUD Guaranteed

Binary : 250$
Source : 850$

Продолжайте смеятся. =))

qsloqs ★★
()
Ответ на: комментарий от x3al

>А как ты представляешь себе автозапуск exe?

Не представляю. Не представляю так же, как заставить человека его запустить... Под видом кодека что ли или «посмотри мои интимные фотки»? По-моему, лохов уже совсем мало осталось, кто ведется на экзешники.

troll_them_all
()
Ответ на: комментарий от qsloqs

tar xjf linux_trojan-x.y.z.tar.bz2
cd linux_trojan-x.y.z
dpkg-buildpackage -rfakeroot
cd ../
dpkg -i linux_trojan-x.y.z_amd64.deb
cp /usr/share/doc/linux_trojan-x.y.z/example.conf /etc/defaults/linux_trojan.conf
invoke-rc.d linux_trojan start

так?

exception13 ★★★★★
()
Ответ на: комментарий от exception13

Интересно ты об дырках в бровзерах и о эксплоитах итд слышал когда нибудь?

Вот краткое описание.

Once trojan is run from userspace (ring3) it hides its connection from netstat, hides itself from ls and ps and sends a reverse shell to a specified address.

Once you got reverse shell from the victim, you are not root of course.You are which user executes the code.Otherwise everyone with doubts would absolutely be right and the code would be called some sort of a local exploit.

You keep your connection to the machines you owned (like through web app vulns) and stay stealth.Web server will probably be working as non-root user, you got the scenario..

Trojan does not get you root, it is capable of hiding its existence without root authentication and this is done with precise coding and appropriate modifications.

qsloqs ★★
()
Ответ на: комментарий от troll_them_all

больший процент запускается на компьютере жертвы через эксплуатацию уязвимости в браузере (в том числе через flash, quicktime, pdf плагины)

Deleted
()
Ответ на: комментарий от qsloqs

>Once trojan is run from userspace (ring3) it hides its connection from netstat, hides itself from ls and ps and sends a reverse shell to a specified address.
Очевидный вывод: если рут запустит netstat, то он увидит троян.

x3al ★★★★★
()
Ответ на: комментарий от Deleted

>больший процент запускается на компьютере жертвы через эксплуатацию уязвимости в браузере (в том числе через flash, quicktime, pdf плагины)

А че у меня не заработало? Качал эти два файла для ыксперимента через браузер, под вендой, без антивира... Тю....

troll_them_all
()
Ответ на: комментарий от troll_them_all

ей-богу, ты хоть понимаешь что такой браузерный эксплойт?:)

в его коде указывается, какой exe грузить. хоть calc.exe, хоть малвару, хоть троя. все просто

Deleted
()
Ответ на: комментарий от Deleted

>в его коде указывается, какой exe грузить. хоть calc.exe, хоть малвару, хоть троя. все просто

Все, понял, спасибо :) Просто удивился, почему при скачке не сработало :) теперь ясно :)

troll_them_all
()
Ответ на: комментарий от exception13
$ tar xjf linux_trojan-x.y.z.tar.bz2
$ cd linux_trojan-x.y.z
$ ./configure --prefix=/usr
checking for a BSD-compatible install... /usr/bin/install -c
checking whether build environment is sane... yes
checking for a thread-safe mkdir -p... /bin/mkdir -p
checking for gawk... gawk
checking whether make sets $(MAKE)... yes
checking for gcc... gcc
checking for C compiler default output file name... a.out
checking whether the C compiler works... yes
...
configure: error: no library for handling trojan capabilities
$

fixed :-)

Cancellor ★★★★☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.