WASM Phorum :: Вирус

Притопал мне по почте значит файл details.exe, запакован upx'ом, распаковывается им же, Каспер грит I-Worm.Bagle.z, вот мне интересно это новый или старый вирус, раньше вроде бы их FSG паковали. Тело вируса зашифровано, в начале вроде стоит функция дешифрации, вот кусок стартового кода:

.text:00405048                 public start
.text:00405048 start:
.text:00405048                 push    offset dword_404F6B
.text:0040504D                 push    offset dword_401000
.text:00405052                 call    sub_40502C
.text:00405057                 push    offset unk_40A893
.text:0040505C                 push    offset unk_407000
.text:00405061                 call    sub_40502C
.text:00405066                 add     ds:dword_405071, 100000h
.text:00405066 ; ---------------------------------------------------------------------- -----
.text:00405070                 db 0E9h
.text:00405071 dword_405071    dd 0FFEFFE95h           ; DATA XREF: .text:00405066w
.text:00405075                 align 2
.text:00405076                 jmp     ds:CloseHandle
.text:0040507C ; ---------------------------------------------------------------------- -----
.text:0040507C                 jmp     ds:CompareFileTime
.text:00405082 ; ---------------------------------------------------------------------- -----
.text:00405082                 jmp     ds:CopyFileA
.text:00405088 ; ---------------------------------------------------------------------- -----
.text:00405088                 jmp     ds:CreateFileA
.text:0040508E ; ---------------------------------------------------------------------- -----
.text:0040508E                 jmp     ds:CreateFileMappingA
.text:00405094 ; ---------------------------------------------------------------------- -----
.text:00405094                 jmp     ds:CreateMutexA
.text:0040509A ; ---------------------------------------------------------------------- -----
.text:0040509A                 jmp     ds:CreateThread
.text:004050A0 ; ---------------------------------------------------------------------- -----
.text:004050A0                 jmp     ds:CreateToolhelp32Snapshot
.text:004050A6 ; ---------------------------------------------------------------------- -----
.text:004050A6                 jmp     ds:ExitProcess
.text:004050AC ; ---------------------------------------------------------------------- -----
.text:004050AC                 jmp     ds:FindClose
.text:004050B2 ; ---------------------------------------------------------------------- -----
.text:004050B2                 jmp     ds:FindFirstFileA
.text:004050B8 ; ---------------------------------------------------------------------- -----
.text:004050B8                 jmp     ds:FindNextFileA
.text:004050BE ; ---------------------------------------------------------------------- -----
.text:004050BE                 jmp     ds:GetCommandLineA
.text:004050C4 ; ---------------------------------------------------------------------- -----
.text:004050C4                 jmp     ds:GetCurrentProcess
.text:004050CA ; ---------------------------------------------------------------------- -----
.text:004050CA                 jmp     ds:GetCurrentProcessId
.text:004050D0 ; ---------------------------------------------------------------------- -----
.text:004050D0                 jmp     ds:GetDateFormatA
.text:004050D6 ; ---------------------------------------------------------------------- -----
.text:004050D6                 jmp     ds:GetDriveTypeA
.text:004050DC ; ---------------------------------------------------------------------- -----
.text:004050DC                 jmp     ds:GetFileSize
.text:004050E2 ; ---------------------------------------------------------------------- -----
.text:004050E2                 jmp     ds:GetLocalTime
.text:004050E8 ; ---------------------------------------------------------------------- -----
.text:004050E8                 jmp     ds:GetLogicalDriveStringsA
.text:004050EE ; ---------------------------------------------------------------------- -----
.text:004050EE                 jmp     ds:GetModuleFileNameA

Посл.отвђт	Сообщенiе
Asterix Воин дзена	Дата: Июн 30, 2004 15:29:41 Притопал мне по почте значит файл details.exe, запакован upx'ом, распаковывается им же, Каспер грит I-Worm.Bagle.z, вот мне интересно это новый или старый вирус, раньше вроде бы их FSG паковали. Тело вируса зашифровано, в начале вроде стоит функция дешифрации, вот кусок стартового кода: .text:00405048 public start .text:00405048 start: .text:00405048 push offset dword_404F6B .text:0040504D push offset dword_401000 .text:00405052 call sub_40502C .text:00405057 push offset unk_40A893 .text:0040505C push offset unk_407000 .text:00405061 call sub_40502C .text:00405066 add ds:dword_405071, 100000h .text:00405066 ; ---------------------------------------------------------------------- ----- .text:00405070 db 0E9h .text:00405071 dword_405071 dd 0FFEFFE95h ; DATA XREF: .text:00405066w .text:00405075 align 2 .text:00405076 jmp ds:CloseHandle .text:0040507C ; ---------------------------------------------------------------------- ----- .text:0040507C jmp ds:CompareFileTime .text:00405082 ; ---------------------------------------------------------------------- ----- .text:00405082 jmp ds:CopyFileA .text:00405088 ; ---------------------------------------------------------------------- ----- .text:00405088 jmp ds:CreateFileA .text:0040508E ; ---------------------------------------------------------------------- ----- .text:0040508E jmp ds:CreateFileMappingA .text:00405094 ; ---------------------------------------------------------------------- ----- .text:00405094 jmp ds:CreateMutexA .text:0040509A ; ---------------------------------------------------------------------- ----- .text:0040509A jmp ds:CreateThread .text:004050A0 ; ---------------------------------------------------------------------- ----- .text:004050A0 jmp ds:CreateToolhelp32Snapshot .text:004050A6 ; ---------------------------------------------------------------------- ----- .text:004050A6 jmp ds:ExitProcess .text:004050AC ; ---------------------------------------------------------------------- ----- .text:004050AC jmp ds:FindClose .text:004050B2 ; ---------------------------------------------------------------------- ----- .text:004050B2 jmp ds:FindFirstFileA .text:004050B8 ; ---------------------------------------------------------------------- ----- .text:004050B8 jmp ds:FindNextFileA .text:004050BE ; ---------------------------------------------------------------------- ----- .text:004050BE jmp ds:GetCommandLineA .text:004050C4 ; ---------------------------------------------------------------------- ----- .text:004050C4 jmp ds:GetCurrentProcess .text:004050CA ; ---------------------------------------------------------------------- ----- .text:004050CA jmp ds:GetCurrentProcessId .text:004050D0 ; ---------------------------------------------------------------------- ----- .text:004050D0 jmp ds:GetDateFormatA .text:004050D6 ; ---------------------------------------------------------------------- ----- .text:004050D6 jmp ds:GetDriveTypeA .text:004050DC ; ---------------------------------------------------------------------- ----- .text:004050DC jmp ds:GetFileSize .text:004050E2 ; ---------------------------------------------------------------------- ----- .text:004050E2 jmp ds:GetLocalTime .text:004050E8 ; ---------------------------------------------------------------------- ----- .text:004050E8 jmp ds:GetLogicalDriveStringsA .text:004050EE ; ---------------------------------------------------------------------- ----- .text:004050EE jmp ds:GetModuleFileNameA
q_q Воин дзена	Дата: Июн 30, 2004 15:41:32 Asterix Мне такой пришел в середине мая.
Anonimka Воин дзена	Дата: Июн 30, 2004 15:42:43 Asterix Оно?