Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
Witam potrzebna mi jest pomoc. Sasiad wyslal mi jakis smieszny plik *.exe ktory ma cos robic w windzie - jest napisany albo w c++ albo w delphi. Potrzebuje kogos kto zajrzy do srodka tego pliku i powie mi co on robi, bo sam nie mam jak tego sprawdzic (zielony w tych sprawach). Plik moze robic jakies szkody wiec chodzi o to zeby przed otwarciem dowiedziec sie co on tam w nim nabazgral.
http://www.filegone.com/31kn
Offline
Chcesz przeczytac kod zrodlowy skompilowanego pliku ?
Nie da sie przywrocic w 100 % pierwotnej postaci takiego pliku.
Offline
Jeśli program jest napisany w Delphi to deasemblacja kodu nic Ci nie da. Najlepiej na jakichś stronach o crackingu poszukać linków do programu DeDe (Delphi Deasembler) - ale nie zajmuję się już reversem ze 4 lata, więc nie wiem czy jest on nadal rozwijany czy nie.
Jeśli program napisany jest C/C++ najbezpieczniej jest użyc czegoś w stylu W32Dasm / IDA.
Po deasemblacji programu w w/w aplikacjach otrzymasz listing funkcji API które program wykonuje. Nazwy funkcji są dość intuicyjne, lecz jeśli nie wiesz co dana funkcja wykonuje zajrzyj do Help`a z Borland C++ lub Delphi - tam masz wszystko opisane.
Offline
oks & dzieki
Offline
To pewnie wirusika ci posłał ;]
Offline
wynik skanowania:
http://www.virustotal.com/vt/en/resultadof?1b975f065191907d87858f4cb4ef54f6
to syf, nie ruszaj tego
Offline
wynik skanowania:
http://www.virustotal.com/vt/en/resultadof?1b975f065191907d87858f4cb4ef54f6
to syf, nie ruszaj tego[/quote]
Tak, a tu jest opis tego trojana: [url]http://viruslist.pl/encyclopedia.html?cat=11&uid=4591&o=2[/url]
[img]http://images3.fotosik.pl/103/116624a3ce1555a7.gif[/img]
Linux registered user #423419
Offline
Ja tam się takimi rzeczami nie martwię. Po prostu kasuję majle z załącznikami exe czy innymi badziwiami (skrypty czy jakieś podejrzane rozszerzenia), których się nie spodziewam :D No i teraz debianek jest, to może bez strachu wszystko będę zasysał, hehe.
Offline
coś te Wasze linki średnio hulają ;)
Offline
Mi tam wszystkie działaja jak trzeba ;) Może tobie jakiś wirus się zagnieździł? o.O hehe.
Offline
hehe...no to jak zwykle wszystkim działa tylko nie mi ;) Pierwszy całkowicie, a drugiemu ciastka nie podchodzą ;)
Offline
ooo wielki dziex!
z tym plikiem bylo tak ze qmpel sie jak zwykle podjaral czyms i mi powiedzial ze za 15min mi zrobi jakis program ktory bedzie cos tam robil...no i zrobil... jednym slowem qpa smiechu - jeszcze raz dziex
Offline
a ostatnio był jakiś pingwiny.exe do GG co odczytywał hasło z configu, zamieniał hasło do serwera i ustawiał opis na strone skąd można zassać wiruska :) koleś pewnie teraz wybiera fajne numerki i handluje nimi gdzieś :)
znalazłem link
http://narcy____zek.be/pingwiny.exe
nie otwieraj !! _____ wstawione specjalnie zeby komuś spod windowsa łapa się powineła przypadkiem :P
z obserwacji kolegów wynika że:
- działa tylko z najnowszą wersją GaduGadu
- działa tylko z domyślnie zainstalowanym GaduGadu w ProgramFiles
Offline
A ja Wam pokaze co moj extra sasiad mi odpisal gdy mu zapodalem to co Wy mi (na temat tego pliku z filegone) :
<wow>to niby jest trojan ?? Rudy 105 10:04:11 chlopie Rudy 105 10:04:19 ty to sie jednak znasz Rudy 105 10:04:26 tak... swietny jestes Rudy 105 10:04:44 co pewnie ci jakis antywirus pokazal Rudy 105 10:04:47 <hahaha> Rudy 105 10:04:49 kurwa Rudy 105 10:05:35 przeciez kurwa jak sie ukrywa jeden plik w drugim to kurwa chyba to dla antywirusa wyglada podejzanie Rudy 105 10:05:39 <hahaha> Rudy 105 10:06:19 jak chcesz to sobie to odpal jakims dissamblerem Rudy 105 10:06:20 i zobacz Rudy 105 10:06:40 bo widze ze jak ci antywirus pokaze ze cos to ty od razu wielkie halo Rudy 105 10:07:31 kurwa no teraz to mnie rozjebales <hahaha>
Co Wy na to? ja wymiekam
Offline
To powiedz, że ci komp nawalił i idź do niego odpalić i sprawdzić :D
Offline
nie no jak mu pokazalem ten wykres z tymi nazwani trojana to napisal mi...
widocznie binder, ktorego uzylem zostawia podobne sygnatury tych...
Wedlug niego zawartosc pliku jest taka
Rudy 105 21:45:26 #include <iostream> int main() { system ("echo nono"); system("format D: /q /FS:FAT32"); return 0; }
dalej...
Rudy 105 21:46:20 no co to jest zwykly prosty program Rudy 105 21:46:32 co wywolunie systemowe polecenie format Rudy 105 21:46:36 i echo Rudy 105 21:46:39 moglem dac Rudy 105 21:46:43 np DELETE
Offline
i tak by ten prgram dysku nie sformatowal bo czekal by na potwerdzenie :P
PS Co do pisania programow w C to tez pare razy udalo mi sie napsiac pseldo wirusa np piszac program do sortowania :P
Offline
tez wlasnie tak myslalem ze chyba bez pozwolenia nic sie nie stanie... ale ten log o trojanie to dotyczy zawartosci tego pliku czy po prostu taka pomylka czy cos :d bo juz sam nie wiem ;/
Offline
ok, jescze raz dzieki
Offline
Dodam tylko, że niedawno powstał projekt [url=http://boomerang.sourceforge.net/]boomerang[/url]. Jest to dekompilator C/C++. niestety na razie nie radzi sobie zbyt dobrze z większymi programami, ale tą petrę pewnie by zdekompilował.
EDIT:
Fakt, zdekompilował, ale albo ten dekompilator się myli, albo twój kolega. Kod źródłowy ma aż 7114 linijki, zresztą, rozmiar tej petry mówi sam za siebie, pół mega to trochę za dużo jak na 7 linijek kodu.
Offline
Strony: 1
Time (s) | Query |
---|---|
0.00010 | SET CHARSET latin2 |
0.00005 | SET NAMES latin2 |
0.00088 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.188.76.209' WHERE u.id=1 |
0.00089 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.188.76.209', 1733024374) |
0.00042 | SELECT * FROM punbb_online WHERE logged<1733024074 |
0.00066 | SELECT topic_id FROM punbb_posts WHERE id=32893 |
0.00258 | SELECT id FROM punbb_posts WHERE topic_id=4179 ORDER BY posted |
0.00081 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=4179 AND t.moved_to IS NULL |
0.00006 | SELECT search_for, replace_with FROM punbb_censoring |
0.00088 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=4179 ORDER BY p.id LIMIT 0,25 |
0.00084 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=4179 |
Total query time: 0.00817 s |