Был ли в кряке ZEUS вирус?

Статус
В этой теме нельзя размещать новые ответы.
Участник
Статус
Оффлайн
Регистрация
23 Фев 2017
Сообщения
612
Реакции[?]
507
Поинты[?]
0
Вот моя маленькая исследовательская работа. В одной из моих тем Spec122 попросил проверить кряк ZEUS на вирусы. Скинув мне 2 длл (патчер и сам кряк), я приступил к проверке.
Анализ DIE показал след.:


Итак, есть 2 длл на C++, одна из них накрыта VMProtect. Патчер весит 32 кб, а значит точно не запакован. Открываем через 7Zip для просмотра data/rdata:

Просмотрев файлы, никаких ссылок на скачивание я не нашел. Открывал через IDA, безуспешно. А это может означать одно - патчер чистый!
Вскрывать VM не было желания (как и умений, чтобы это сделать), поэтому я решил перейти на виртуальную машину.
Скачал я LLDetecter от P45H3 . Я запустил FileMon и сделал его скрытным через ProcessHacker. Закрыл диспетчер задач. Заинжектил дллки в LLDetecter (3 раза). Глянул FileMon через 30 минут. НИЧЕГО не скачалось. Как итог: ВИРУСОВ НЕТ. Наверное, слух распространили, чтобы кряк потерял популярность. Возможно мой анализ не компетентный.
 
Арбитр
Арбитр
Статус
Оффлайн
Регистрация
22 Фев 2017
Сообщения
5,837
Реакции[?]
4,259
Поинты[?]
243K
Да там нашли часть кода "кейлоггера" и началась паника, да и кейлоггеры сейчас неактуальны лол.
 
Администратор
Администратор
Статус
Оффлайн
Регистрация
17 Сен 2016
Сообщения
2,143
Реакции[?]
1,746
Поинты[?]
172K
alexuiop1337 Советую так же использовать этот сревис: reverse.it
Конечно понадобится немного настроить, но будет не лишним.
 
Знаменитый бомжара с Москвы
Забаненный
Статус
Оффлайн
Регистрация
12 Июл 2017
Сообщения
540
Реакции[?]
359
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Я вот до сих пор не понимаю, как его крякнули вообще?)
 
Участник
Статус
Оффлайн
Регистрация
23 Фев 2017
Сообщения
612
Реакции[?]
507
Поинты[?]
0
Да там нашли часть кода "кейлоггера" и началась паника, да и кейлоггеры сейчас неактуальны лол.
Я за файл под вм протектом не брался. Но в любом случае у меня ничего не распаковалось. Я также глянул сети через ProcessHacker, но там было пусто
 
midnight.im
Администратор
Статус
Оффлайн
Регистрация
1 Июл 2015
Сообщения
1,648
Реакции[?]
2,172
Поинты[?]
162K
Пиздатый анализ, тупо вода не более, больше инфы, пруфоф, а так ничего интересного соре
 
Участник
Статус
Оффлайн
Регистрация
23 Фев 2017
Сообщения
612
Реакции[?]
507
Поинты[?]
0
Пиздатый анализ, тупо вода не более, больше инфы, пруфоф, а так ничего интересного соре
Я это отлично понимаю, сейчас собираюсь провести еще один анализ (с помощью еще одной программы)
 
Я слегка опоздал на пару месяцев(
 
????????
Забаненный
Статус
Оффлайн
Регистрация
4 Ноя 2017
Сообщения
461
Реакции[?]
64
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Ахуенно все рассказал и показал!
Полезная тема для тех кто не может проверить сам!
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу