Всем привет,
Я скачал файл, который был в списке на этом сайте. Он застегнул с исполняемым файлом. Так что мой смысл паук tingeling конечно.
Теперь этот исполняемый файл создает несколько скрытых файлов @ AppData \ Local \ Temp \ raxnm \ whiclh видны только за счет использования CMD и реж / а
Мне очень интересно, что эти файлы. Я интересно, если это какой-то
вид скрытой miningsoftware или кейлоггер для Bitcoin кошельков?
Я прикрепил эти скрытые файлы в почтовом индексе @ ссылку ниже.
http://www.sharebeast.com/0kldteijxrlx
* Имейте в виду, что если вы загружаете файл с сайта, чтобы не запустить исполняемый файл, но вместо того, чтобы открыть его с помощью WinRAR.
Я надеюсь, что вы, ребята, можете мне помочь взломать этот случай
благодаря
|
|
||||||
23 декабря 2013, 7:54:34 PM
|
# 1 |
Сообщений: 25
цитировать ответ |
Re: Скрытые программное обеспечение шахтер? http://www.bitcoindriveprice.com/
Взлом Биткоин адресов.
500 Биткоинов взломаны в "мозговом кошельке" с паролем "bitcoin is awesome" Адрес кошелька: 14NWDXkQwcGN1Pd9fboL8npVynD5SfyJAE Приватный ключ: 5J64pq77XjeacCezwmAr2V1s7snvvJkuAz8sENxw7xCkikceV6e подробнее... Всем кто хочет заработать Биткоины без вложений - рекомендую сайт http://bitcoin-zarabotat.ru |
|
|
|
Как заработать Биткоины?
Без вложений. Не майнинг.
|
24 декабря 2013, 12:30:09 AM
|
# 2 |
|
Сообщений: 32
цитировать ответ |
Re: Скрытые программное обеспечение шахтер? http://www.bitcoindriveprice.com/
Получил 1806 Биткоинов
Реальная история. хия,
Просто быстрый вопрос: 1. Вы глупы, или ты глуп? - Загрузка исполняемого файла, который только выкрикивая VIRUS VIRUS VIRUS, IM ЗДЕСЬ STEAL вашего бумажника вместе с любым сохраненными паролями на ваш компьютер ПРИНЯТЬ всю ваши личную информацию / деньги и бегите. Используйте здравый смысл. На другой ноте, использовав Wireshark проследить соединение (в безопасной среде конечно) я получил действительный IP-адрес. Я буду создавать IC3 отчет вместе с жалобой на веб-хостинг компании к выключению сайта. Иметь хороший день все, если вам нужна помощь с чем-либо вредоносных программ связанных. Я твой мужчина. |
|
|
|
|
24 декабря 2013, 4:47:56 PM
|
# 3 |
|
Сообщения: 7
цитировать ответ |
Re: Скрытые программное обеспечение шахтер? http://www.bitcoindriveprice.com/
хия, Просто быстрый вопрос: 1. Вы глупы, или ты глуп? Хорошие навыки людей там Крис. Я знаю много очень умных людей, которые не имеют никакого интереса к ИТ, и поэтому не смог бы отличить трояны и утилитами, пока не стало слишком поздно. Давайте не слишком эгоистичен на наших выродка способностей и позволяет попытаться помочь друг другу с немного уважения. И если вам интересно, да, я был пойман и потерял биткойны - это по вашим критериям, я тупой - не преступление принято. Спасибо, HighSociety. Я был направлен на этот сайт из-за ссылки с упоминанием http://www.bitcoindriveprice.com/ над bitcoinwisdom.com, который я чувствовал, не хватало информации. Сайт не выглядит слишком убедительным, но количество комментариев в другом месте, способствующих его может быть соблазнительным. Я сделал поиск Google, чтобы проверить его и пришел с этими результатами: thuckgood 4 дней назад соль, www.bitcoindriveprice.com лучше тогда bitcoinwisdom в моем тесте выбор это ... btce1s 18 часов назад smedia2010, лол правда, кто-то должен теперь ждать, пока падение цен смотреть здесь будет происходить в ближайшее время: www.bitcoindriveprice.com http://dcaz.net/user/thuckgood - толкая этот сайт на всем протяжении этой страницы. http://dcaz.net/user/btce1s - толкая этот сайт на всем протяжении этой страницы. olliebtce Может ли модератор запрет btce1s: !!! Если вы посмотрите на свою историю они продолжают затыкать их веб-сайт мошенников www.bitcoindriveprice.com. 00:45:32 btce1s DBOOTYNABBER, BTC упадет до 550 $ сегодня смотреть на analystics www.bitcoindriveprice.com 00:49:33 btce1s jhovanny8, не смотрят на приказном они, давая ложный результат смотрите здесь: www.bitcoindriveprice.com http://dcaz.net/user/hardergamer - 3 записей на 22/12/2013 17:09:57 evilsim мой антивируса рассказывающий мне эту страницу ловушка - www.bitcoindriveprice.com http://www.skyminerlabs.com/drive/ это еще один сайт остерегаться - копия www.bitcoindriveprice.com который содержит тот же адрес ссылки для загрузки. http://wscheck.com/trust-report/bitcoindriveprice.com -сайт меньше чем недельный. Я думаю, driveprice это кейлоггер для мошеннической пользы thuckgood и / или btce1s, который я думаю, одна из самых больших угроз для Bitcoin принять меры для обычного парня. Bitcoin может быть безопасным, но обмены не являются, что означает Bitcoin средства гораздо более уязвимы, чем в банках. Bitcoin мир все еще очень дикий дикий запад и открытый для воров и пиратов. Вам нужно только посмотреть на троллей поле BTC-E, чтобы увидеть тип людей, изобилующих в данный момент. Попытка привинтить друг с другом через с насосом и свалками. Есть некоторые полезные комментарии, но в основном полны эго сражений и имя вызывающего. Итак, если предположить, что BTCDriveprice является регистратор. Сколько людей уже нажал на загрузку и потерянные деньги? Я буду помогать все, что смогу, чтобы помочь получить его обратно и принести отморозков к ответственности. Я хочу, чтобы финансовая революцию выгнать банкир, я не хочу, чтобы люди завинчивания друг друга снова. Я поделюсь подробнее здесь позже, как я узнаю больше - но если технарь свистит там может помочь то, что было бы слишком круто. |
|
|
|
|
24 декабря 2013, 8:26:51 PM
|
# 4 |
|
Сообщений: 32
цитировать ответ |
Re: Скрытые программное обеспечение шахтер? http://www.bitcoindriveprice.com/
Просто быстрый вопрос? Вы используете один и тот же компьютер, который вы были заражены на? Если да, то в зависимости от вредоносной программы, вы все равно можете быть инфицированы. Я могу предоставить вам некоторую информацию о том, как убедиться, что вы полностью свободны от любых вредоносных программ, если это необходимо.
Правда, эти сайты не будут работать независимо от того, насколько сильно вы стараетесь. Лучшее, что мы можем сделать, это закрыть их перед другим ничего не подозревающий пользователь попадает в ловушку. Я успел подать IC3 отчет об этом. Однако мне нужна ваша помощь. http://who.is/whois/bitcoindriveprice.com http://who.is/whois/skyminerlabs.com Whois охранник = защищен означая детали владельца сайта не видны в глазах общественности. Однако, глядя на информацию веб-хостинга компании которая обеспечила вебхостинг / домен имеет отчет по электронной почте. Пожалуйста, пришлите отчет: abuse@enom.com - убедитесь, чтобы сообщить им следующее. 1.the участок используется для злого умысла с целью кражи пользовательских данных. Форма жалобы 2.IC3 была начата. 3.users потеряли деньги от этого человека. Веб-хостинг компания может даже решить, проводить свои собственные юридические действия, как то, что хакер сделал идет против Т + С й сайта. P.s - мой плохой, я думал, что по очевидному стандарту можно было легко отличить, что это афера сайт, а что нет. Тем не менее, это не для меня, чтобы обсуждать о, я просто здесь пытаюсь избавиться от низких пенок жизни, которые пытаются и выгоды от других несчастий. Дайте мне знать, если кто-то нуждается в помощи, связанные с этой темой. |
|
|
|
|
26 декабря 2013, 11:36:16 AM
|
# 5 |
|
Сообщения: 7
цитировать ответ |
Re: Скрытые программное обеспечение шахтер? http://www.bitcoindriveprice.com/
Крис
Спасибо за информацию - я многому научился у вас уже. Я использую другой компьютер для смены паролей и планирую повторно зараженный компьютер, кроме меня есть некоторые программы, которые я не могу позволить себе потерять на него в данный момент. Если ПК можно протирать вместо вытер это было бы лучше для меня вариант. Я использую Sunbelt VIPRE, который отлично подходит для блокирования вирусов, но этот маленький гном не был обнаружен даже с помощью ручного сканирования. Malwarebytes взял каталог журналов и удалил его, но я не могу сказать, является ли это очистить ПК, так как я не знаю, как Thiefware работы. Если бы вы могли предоставить информацию о проверке, если компьютер чист, я был бы очень благодарен. Я следовал вашему три шага, чтобы сообщить эти сайты, и я буду идти на Twitter и Facebook в поисках других жертв этой аферы. Глядя на объем на BTC-е, существуют потенциально тысячи Bitcoin быть отсасывается. Я бы поставил предупреждение на BTC-й чате, но по иронии судьбы у меня нет достаточно средств, чтобы иметь возможность общаться Спасибо и наилучшие пожелания |
|
|
|
|
26 декабря 2013, 9:58:02 PM
|
# 6 |
|
Сообщений: 32
цитировать ответ |
Re: Скрытые программное обеспечение шахтер? http://www.bitcoindriveprice.com/
Пожалуйста, обратите внимание на прикрепленный файл PNG.
 Вы можете заметить, что не многие антивирусы подобрали файл. Это происходит потому, что файл данные были запутаны, в сущности, что это делает зашифровать информацию таким образом, чтобы переменные / строка, которые обычно обнаруживаются антивирусы не обнаруживается в этом случае. Несмотря на то, что вирус имеет равное эффект, как и тот, который обнаруживается антивирусом, это обходит AV обнаружений. Avast признал файл как вирус, это отмечается. - сам вирус был сжат, и данные были зашифрованы, не обычный файл не нужно будет это. http://anubis.iseclab.org/?action=result&TASK_ID = 14da8ed3789a7a6f40127038770170b4d&Формат = HTML PDF Версия: HTTP: //anubis.iseclab.org/ действие = результат&TASK_ID = 14da8ed3789a7a6f40127038770170b4d&формат = PDF Анубис используется для анализа вредоносных программ. Это дает представление о том, что работает / создатель вредоносной программы процессы. Пожалуйста, обратите внимание на доклад, который указывает, какой файл "DrivePrice.exe" Имеет ли. Я приступаю, чтобы объяснить вам, что делает этот файл. HKLM \ Software \ Classes 1 Key Change, Value Change 3 HKLM \ Software \ Classes \ CLSID 1 Key Change, Value Change 2 HKLM \ Software \ Microsoft \ COM3 1 Key Change, Value Change 6 HKU 1 Key Change, Value Change 4 Файл при исполнении, автоматически создает модуль запуска, так что каждый раз, когда компьютер открывает файл будет автоматически выполняться без запроса пользователя. C: \ Documents и Settings \ Администратор \ bbany C: \ Documents и Settings \ Administrator \ bbany \ JkjQmRMVf.QSP C: \ Documents и Settings \ Administrator \ bbany \ UUEROZbb.RXS C: \ Documents и Settings \ Администратор \ bbany \ __ tmp_rar_sfx_access_check_416609 C: \ Documents и Settings \ Administrator \ bbany \ iRAjSEv.VPC C: \ Documents и Settings \ Администратор \ bbany \ laRO.exe C: \ Documents и Settings \ Administrator \ bbany \ nNCigjkgoI.vbs Файлы вредоносной программы дублируются по всему компьютеру, чтобы увеличить вероятность вируса пребывания на компьютере. Если антивирус был удалить один экземпляр вируса, вирус имеет достаточно информации, чтобы дублировать и атаковать снова. Там нет никаких оснований для законного файла в: 1. Создание нескольких экземпляров файла 2. Создание ключей реестра на компьютере, чтобы автоматически загружаться при запуске компьютера. 3. детектируется антивирусным |
|
|
|
|
27 декабря 2013, 1:14:02 PM
|
# 7 |
|
Сообщений: 32
цитировать ответ |
Re: Скрытые программное обеспечение шахтер? http://www.bitcoindriveprice.com/
Оба веб-сайты были снесены.
Миссия выполнена. |
|
|
|
|
27 декабря 2013, 2:17:27 PM
|
# 8 |
|
Сообщения: 215
цитировать ответ |
Re: Скрытые программное обеспечение шахтер? http://www.bitcoindriveprice.com/
C: \ Documents и Settings \ Администратор \ bbany Кажется, подобный набор файлов, что я нашел на другом сайте: C: \ Documents и Settings \ Administrator \ bbany \ JkjQmRMVf.QSP C: \ Documents и Settings \ Administrator \ bbany \ UUEROZbb.RXS C: \ Documents и Settings \ Администратор \ bbany \ __ tmp_rar_sfx_access_check_416609 C: \ Documents и Settings \ Administrator \ bbany \ iRAjSEv.VPC C: \ Documents и Settings \ Администратор \ bbany \ laRO.exe C: \ Documents и Settings \ Administrator \ bbany \ nNCigjkgoI.vbs Одним из них является то копия двигателя AutoIt, а другой представляет собой зашифрованный AutoIt скрипт. |
|
|
|
|
27 декабря 2013, 4:22:40 PM
|
# 9 |
|
Сообщений: 32
цитировать ответ |
Re: Скрытые программное обеспечение шахтер? http://www.bitcoindriveprice.com/
... Одним из них является то копия двигателя AutoIt, а другой представляет собой зашифрованный AutoIt скрипт. 1.Same лицо, распространяющее же вредоносные программы 2.Both вредоносные программы были зашифрованы с использованием того же метода Есть сайты, все еще работает? Если это так вы можете переслать мне домены и плохо принять их. Благодарю. Рад, что взял эти 2 домена вниз сегодня, будем надеяться, что бы предотвратить некоторые потенциальные жертвы от потери их БТД. |
|
|
|
|
27 декабря 2013, 6:51:07 PM
|
# 10 |
|
Сообщения: 215
цитировать ответ |
Re: Скрытые программное обеспечение шахтер? http://www.bitcoindriveprice.com/
Там две возможности. Первый из них был asicminersoft.com, теперь, кажется, быть пустым (я вижу только "Добро пожаловать! asicminersoft.com Сайт только что создали. Реальное содержание в ближайшее время." там), второй с таким же содержанием является minersoftware.com - все еще функционирует. Однако проблема в том, что нет прямой ссылки на суд сейчас на сайте, мне удалось найти в кэше Google: Q ="сайт: minersoftware.com" -> http://webcache.googleusercontent.com/search?q=cache:vqMlzDWaJnsJ:minersoftware.com/free-7-days-trial/+&кд = 8&гл = еп&кт = CLNK&Л.Р. = lang_en -> minersoftware.com/wp-content/uploads/2013/12/BitcoinMinerSoftware.rar (файл существует)1.Same лицо, распространяющее же вредоносные программы 2.Both вредоносные программы были зашифрованы с использованием того же метода Есть сайты, все еще работает? Если это так вы можете переслать мне домены и плохо принять их. Благодарю. Рад, что взял эти 2 домена вниз сегодня, будем надеяться, что бы предотвратить некоторые потенциальные жертвы от потери их БТД. Virustotal.com для .rar: https://www.virustotal.com/en/file/6902c37d7458b33d5969859377efc5f9310c820476167ff4f234dae450158593/analysis/1387073852/ (Это один не основан AutoIt, просто 26Kb троян) И был bitcoinwisdom.net, который перенаправляется на skyminerlabs.com, который прошел подобную AutoIt основе вредоносных программ, вы, кажется, прекратить его уже Re: "то же лицо, распространяющее же вредоносные программы", Сценарии не были действительно похожи, по крайней мере, размер был сильно отличается 800KB к 20MB или около того. Может быть, есть какой-то генератор там. |
|
|
|
|
27 декабря 2013, 9:04:02 PM
|
# 11 |
|
Сообщений: 32
цитировать ответ |
Re: Скрытые программное обеспечение шахтер? http://www.bitcoindriveprice.com/
Хорошая работа по поиску некоторых доказательств. Ill рода это один из
|
|
|
|
|
9 февраля 2014, 8:33:15 AM
|
# 12 |
|
Сообщения: 908
цитировать ответ |
Re: Скрытые программное обеспечение шахтер? http://www.bitcoindriveprice.com/
Здравствуй,
вот соответствующие записи журналов веб-сервера. 2014.01.30: 23: 58: 24,237 [qtp1093804284-39801] INFO code.lib.BitMinterOpenIDVendor - SgtMoth Пользователь вошел в систему из 79.183.71.69 с OpenID ручкой https://www.google.com/accounts/o8/id?id=AItOawl3gwngW02OnsMjL4IaoZrIORTLQxh9MxQ 23: 59: 23.603 [qtp1093804284-39901] INFO code.snippet.Cashouts - SgtMoth (От 79.183.71.69) установлен новый NMC авто обналичить настройки. порог 1991.00000000 Адрес NKoRGdKkDHNQSTXwednEdyMsgnJA2oyxk2 Enable: на 23: 59: 51,711 [qtp1093804284-39787] INFO code.snippet.Send - Не хватает средства! SgtMoth пытался отправить 374.04698537 NMC обратиться NKoRGdKkDHNQSTXwednEdyMsgnJA2oyxk2 2014.01.31: 00: 00: 06,181 [qtp1093804284-39785] INFO code.snippet.Send - SgtMoth отправлено 374 NMC для решения NKoRGdKkDHNQSTXwednEdyMsgnJA2oyxk2 Timestamps в UTC. Информация о компании, владеющей IP-адрес, он подключен из, вероятно, его ISP: http://whois.net/ip-address-lookup/79.183.71.69 вот всю информацию я имею на него |
|
|
|
|
9 февраля 2014, 8:36:38 AM
|
# 13 |
|
Сообщения: 908
цитировать ответ |
Re: Скрытые программное обеспечение шахтер? http://www.bitcoindriveprice.com/
Баунти предложил
получил его отсюда http://www.reddit.com/r/Bitcoin/comments/1xdg60/heads_up_thebitcoinnewscom_is_hosting_a_fake/ |
|
|
|
Как заработать Биткоины?
Bitcoin Wallet * Portefeuille Bitcoin * Monedero Bitcoin * Carteira Bitcoin * Portafoglio Bitcoin * Bitcoin Cüzdan * 比特币钱包
bitcoin-zarabotat.ru
Почта для связи: bitcoin-zarabotat.ru@yandex.ru
3HmAQ9FkRFk6HZGuwExYxL62y7C1B9MwPW
Bitcoin Wallet * Portefeuille Bitcoin * Monedero Bitcoin * Carteira Bitcoin * Portafoglio Bitcoin * Bitcoin Cüzdan * 比特币钱包
bitcoin-zarabotat.ru
Почта для связи: bitcoin-zarabotat.ru@yandex.ru
3HmAQ9FkRFk6HZGuwExYxL62y7C1B9MwPW
Регистрация для новых участников, на данный момент не доступна. Просим извинения за временные неудобства.