May 28th, 2010

завершение эпопеи с флэшкой

писать что-то заново не хочется, перепощу кусок лога из аськи:

Darth Anyan (28.05.2010 13:44)
вытащил с флэшки данные))
все тупо было
Евгений Павлов (28.05.2010 13:44)
И как?
Darth Anyan (28.05.2010 13:44)
он данные как-то хитро запаковал, и оставил под видом папок exe-файлы весом 324 кб
в самих файлах ничего опасного, кроме кусков радмина, не было
зловред же сидел в скрытой папке и вообще убит нодой еще при первом же включении флэшки
exe-файлы распаковывают папки назад, пытаются втиснуть в систему вирус, и самоуничтожаются
но поскольку написано хитро, под x64 все это хозяйство вылетает с ошибкой
зато под виртуалкой все распаковалось, и касперский показывает, что все чисто)))
сочетание гениальности и кретинизма...
Евгений Павлов (28.05.2010 13:46)
отличная работа
Любопытно все же разбирать механизмы вирусов
Darth Anyan (28.05.2010 13:47)
ага
Евгений Павлов (28.05.2010 13:47)
как называется то он? в viruslist есть?
Darth Anyan (28.05.2010 13:47)
помнишь файл с описаниями, который раньше к антивирусу Лозинского прикладывался?
ееесть
Евгений Павлов (28.05.2010 13:48)
не, не попадался что-то
Darth Anyan (28.05.2010 13:48)
Каспер его детекил как Win32.VBNA.b
Евгений Павлов (28.05.2010 13:48)
VB...
или это название, а к VB не имеет отношение?
Darth Anyan (28.05.2010 13:48)
без понятия
вес 324 кб намекает, что имеет самое прямое, и писалось через не то место...
Евгений Павлов (28.05.2010 13:50)
Хотя неработоспособность на 64 бит намекает на исп. недок. функций или может асм даж
Darth Anyan (28.05.2010 13:50)
более того
на x64 вызвал крах системы
какой-то сервис ругнулся матом и ребутнул все...

upd: Эх, а ведь это не конец еще был, а только начало :-)