Forum Debian Users Gang

Qdłaty · 2006-06-20 23:28:14

Witam potrzebna mi jest pomoc. Sasiad wyslal mi jakis smieszny plik *.exe ktory ma cos robic w windzie - jest napisany albo w c++ albo w delphi. Potrzebuje kogos kto zajrzy do srodka tego pliku i powie mi co on robi, bo sam nie mam jak tego sprawdzic (zielony w tych sprawach). Plik moze robic jakies szkody wiec chodzi o to zeby przed otwarciem dowiedziec sie co on tam w nim nabazgral.

http://www.filegone.com/31kn

maverick44 · 2006-06-21 01:06:46

Chcesz przeczytac kod zrodlowy skompilowanego pliku ?
Nie da sie przywrocic w 100 % pierwotnej postaci takiego pliku.

pasqdnik · 2006-06-21 08:44:46

Jeśli program jest napisany w Delphi to deasemblacja kodu nic Ci nie da. Najlepiej na jakichś stronach o crackingu poszukać linków do programu DeDe (Delphi Deasembler) - ale nie zajmuję się już reversem ze 4 lata, więc nie wiem czy jest on nadal rozwijany czy nie.

Jeśli program napisany jest C/C++ najbezpieczniej jest użyc czegoś w stylu W32Dasm / IDA.

Po deasemblacji programu w w/w aplikacjach otrzymasz listing funkcji API które program wykonuje. Nazwy funkcji są dość intuicyjne, lecz jeśli nie wiesz co dana funkcja wykonuje zajrzyj do Help`a z Borland C++ lub Delphi - tam masz wszystko opisane.

Qdłaty · 2006-06-21 08:53:14

oks & dzieki

Zbooj · 2006-06-21 08:56:48

To pewnie wirusika ci posłał ;]

TBH · 2006-06-21 12:57:33

wynik skanowania:

http://www.virustotal.com/vt/en/resultadof?1b975f06 … 58f4cb4ef54f6

to syf, nie ruszaj tego

kaszak696 · 2006-06-21 16:07:15

wynik skanowania:
http://www.virustotal.com/vt/en/resultadof?1b975f06 … 58f4cb4ef54f6
to syf, nie ruszaj tego

Tak, a tu jest opis tego trojana: http://viruslist.pl/encyclopedia.html?cat=11&uid=4591&o=2

misioooo · 2006-06-21 18:52:44

Ja tam się takimi rzeczami nie martwię. Po prostu kasuję majle z załącznikami exe czy innymi badziwiami (skrypty czy jakieś podejrzane rozszerzenia), których się nie spodziewam :D No i teraz debianek jest, to może bez strachu wszystko będę zasysał, hehe.

jaccki · 2006-06-21 21:37:07

coś te Wasze linki średnio hulają ;)

misioooo · 2006-06-21 21:38:52

Mi tam wszystkie działaja jak trzeba ;) Może tobie jakiś wirus się zagnieździł? o.O hehe.

jaccki · 2006-06-21 21:44:15

hehe...no to jak zwykle wszystkim działa tylko nie mi ;) Pierwszy całkowicie, a drugiemu ciastka nie podchodzą ;)

Qdłaty · 2006-06-25 21:51:39

ooo wielki dziex!
z tym plikiem bylo tak ze qmpel sie jak zwykle podjaral czyms i mi powiedzial ze za 15min mi zrobi jakis program ktory bedzie cos tam robil...no i zrobil... jednym slowem qpa smiechu - jeszcze raz dziex

x-dos · 2006-06-26 18:24:26

a ostatnio był jakiś pingwiny.exe do GG co odczytywał hasło z configu, zamieniał hasło do serwera i ustawiał opis na strone skąd można zassać wiruska :) koleś pewnie teraz wybiera fajne numerki i handluje nimi gdzieś :)

znalazłem link
http://narcy____zek.be/pingwiny.exe
nie otwieraj !! _____ wstawione specjalnie zeby komuś spod windowsa łapa się powineła przypadkiem :P

z obserwacji kolegów wynika że:
- działa tylko z najnowszą wersją GaduGadu
- działa tylko z domyślnie zainstalowanym GaduGadu w ProgramFiles

Qdłaty · 2006-06-26 20:47:52

A ja Wam pokaze co moj extra sasiad mi odpisal gdy mu zapodalem to co Wy mi (na temat tego pliku z filegone) :

Kod:

<wow>to niby jest trojan ??

Rudy 105 10:04:11 

chlopie

Rudy 105 10:04:19 

ty to sie jednak znasz

Rudy 105 10:04:26 

tak... swietny jestes

Rudy 105 10:04:44 

co pewnie ci jakis antywirus pokazal

Rudy 105 10:04:47 

<hahaha>

Rudy 105 10:04:49 

****

Rudy 105 10:05:35 

przeciez **** jak sie ukrywa jeden plik w drugim to **** chyba to dla antywirusa wyglada podejzanie

Rudy 105 10:05:39 

<hahaha>

Rudy 105 10:06:19 

jak chcesz to sobie to odpal jakims dissamblerem

Rudy 105 10:06:20 

i zobacz

Rudy 105 10:06:40 

bo widze ze jak ci antywirus pokaze ze cos to ty od razu wielkie halo

Rudy 105 10:07:31 

**** no teraz to mnie rozjebales <hahaha>

Co Wy na to? ja wymiekam

misioooo · 2006-06-26 20:55:53

To powiedz, że ci komp nawalił i idź do niego odpalić i sprawdzić :D

Qdłaty · 2006-06-26 22:05:56

nie no jak mu pokazalem ten wykres z tymi nazwani trojana to napisal mi...

Kod:

widocznie binder, ktorego uzylem zostawia podobne sygnatury tych...

Wedlug niego zawartosc pliku jest taka

Kod:

Rudy 105 21:45:26 

#include <iostream>

int main()
{
system ("echo nono");
system("format D: /q /FS:FAT32");
return 0;
}

dalej...

Kod:

Rudy 105 21:46:20 

no co to jest zwykly prosty program

Rudy 105 21:46:32 

co wywolunie systemowe polecenie format

Rudy 105 21:46:36 

i echo

Rudy 105 21:46:39 

moglem dac

Rudy 105 21:46:43 

np DELETE

BiExi · 2006-06-26 22:15:58

i tak by ten prgram dysku nie sformatowal bo czekal by na potwerdzenie :P

PS Co do pisania programow w C to tez pare razy udalo mi sie napsiac pseldo wirusa np piszac program do sortowania :P

Qdłaty · 2006-06-26 22:26:47

tez wlasnie tak myslalem ze chyba bez pozwolenia nic sie nie stanie... ale ten log o trojanie to dotyczy zawartosci tego pliku czy po prostu taka pomylka czy cos :d bo juz sam nie wiem ;/

BiExi · 2006-06-26 22:29:21

poprostu znalazl fragmet binarki ktora uznal za trojana ale to raczej pomylka

Qdłaty · 2006-06-26 23:20:29

ok, jescze raz dzieki

x-dos · 2006-06-27 09:23:52

polecenie format mozna ustawić aby nie oczekiwało na potwierdzenie, więcej informacji w
manualu :P

kaszak696 · 2006-06-27 10:48:43

Dodam tylko, że niedawno powstał projekt boomerang. Jest to dekompilator C/C++. niestety na razie nie radzi sobie zbyt dobrze z większymi programami, ale tą petrę pewnie by zdekompilował.
EDIT:
Fakt, zdekompilował, ale albo ten dekompilator się myli, albo twój kolega. Kod źródłowy ma aż 7114 linijki, zresztą, rozmiar tej petry mówi sam za siebie, pół mega to trochę za dużo jak na 7 linijek kodu.

Forum Debian Users Gang

Ogłoszenie

#1 2006-06-20 23:28:14

Qdłaty - Członek DUG

plik exe (c++/delphi) kto zajrzy do srodka i powie...

#2 2006-06-21 01:06:46

maverick44 - Moderator

Re: plik exe (c++/delphi) kto zajrzy do srodka i powie...

#3 2006-06-21 08:44:46

pasqdnik - Pijak ;-P

Re: plik exe (c++/delphi) kto zajrzy do srodka i powie...

#4 2006-06-21 08:53:14

Qdłaty - Członek DUG

Re: plik exe (c++/delphi) kto zajrzy do srodka i powie...

#5 2006-06-21 08:56:48

Zbooj - Dark Sith

Re: plik exe (c++/delphi) kto zajrzy do srodka i powie...

#6 2006-06-21 12:57:33

TBH - Członek DUG

Re: plik exe (c++/delphi) kto zajrzy do srodka i powie...

#7 2006-06-21 16:07:15

kaszak696 - Członek DUG

Re: plik exe (c++/delphi) kto zajrzy do srodka i powie...

#8 2006-06-21 18:52:44

misioooo - Członek DUG

Re: plik exe (c++/delphi) kto zajrzy do srodka i powie...

#9 2006-06-21 21:37:07

jaccki - Członek DUG

Re: plik exe (c++/delphi) kto zajrzy do srodka i powie...

#10 2006-06-21 21:38:52

misioooo - Członek DUG

Re: plik exe (c++/delphi) kto zajrzy do srodka i powie...

#11 2006-06-21 21:44:15

jaccki - Członek DUG

Re: plik exe (c++/delphi) kto zajrzy do srodka i powie...

#12 2006-06-25 21:51:39

Qdłaty - Członek DUG

Re: plik exe (c++/delphi) kto zajrzy do srodka i powie...

#13 2006-06-26 18:24:26

x-dos - Członek DUG

Re: plik exe (c++/delphi) kto zajrzy do srodka i powie...

#14 2006-06-26 20:47:52

Qdłaty - Członek DUG

Re: plik exe (c++/delphi) kto zajrzy do srodka i powie...

Kod:

#15 2006-06-26 20:55:53

misioooo - Członek DUG

Re: plik exe (c++/delphi) kto zajrzy do srodka i powie...

#16 2006-06-26 22:05:56

Qdłaty - Członek DUG

Re: plik exe (c++/delphi) kto zajrzy do srodka i powie...

Kod:

Kod:

Kod:

#17 2006-06-26 22:15:58

BiExi - matka przelozona

Re: plik exe (c++/delphi) kto zajrzy do srodka i powie...

#18 2006-06-26 22:26:47

Qdłaty - Członek DUG

Re: plik exe (c++/delphi) kto zajrzy do srodka i powie...

#19 2006-06-26 22:29:21

BiExi - matka przelozona

Re: plik exe (c++/delphi) kto zajrzy do srodka i powie...

#20 2006-06-26 23:20:29

Qdłaty - Członek DUG

Re: plik exe (c++/delphi) kto zajrzy do srodka i powie...

#21 2006-06-27 09:23:52

x-dos - Członek DUG

Re: plik exe (c++/delphi) kto zajrzy do srodka i powie...

#22 2006-06-27 10:48:43

kaszak696 - Członek DUG

Re: plik exe (c++/delphi) kto zajrzy do srodka i powie...

Stopka forum