как узнать, чем запакован троян Assassin?

вот захотел исследовать внутренности трояна Assassin. Ида говорит, что он запакован.. ещё бы! нужно распаковать, кидаю его в PEID чтобы узнать чем запакован... но эта прога не хочет его анализировать, так как этот хитрый троян имеет расширение Assassin(мания величия).
Подскажите, пожалуйста, как быть.

 

дада, здесь одни телепаты )

 

izlesa
извиняюсь, если что-то недосказал. Вроде всё что нужно сказал. скажите если что забыл, исправим)

 

*сорри PEID тут не причем.
RDG Paker Detector чтоб узнать пакер, но расширение... я попробовал просто поменять расширение на ехе, но анализатор всё-равно не справляется((

 

Neonix
Человек сказал, что у него нет времени
1. лазить по форумам
2. регистрироваться наних
3. искать живую ссылку на данный троян и качать его с рапиды или депозита, ожидая 60 сек

Было бы проще, если бы вы скинули экземпляр на sendspace.com и забросили сюда ссылку. Или приаттачили архив.

 

dyn
не вопрос)
вот на депозите
архив расположенный по ссылке содержит ВРЕДОНОСНОЕ ПО!!! ПРЕДСТАВЛЕН ДЛЯ ОЗНАКОМЛЕНИЯ СПЕЦИАЛИСТАМИ.

http://fileshare219.depositfiles.co...-24242054-guest/FS219-17/Trojan_AOL_win32.rar

 

*пцц не то
вот ссылка
http://depositfiles.com/ru/files/kj87h57ln

 

Neonix
> вот захотел исследовать внутренности трояна Assassin. Ида говорит, что он запакован..
ида ошибается. файл не запакован. но! парень, ты попал. это NE да еще и бациковский. hiew можно заюзать, правда не знаю чем он тебе поможет. NE файлы он поддерживет. ну получишь ты бацик калл, а вот дальше... ищи декомпиль короче

 

kaspersky
епт мою голову!
вот это старьё! да ещё на васике))
спасибо Крис, что просвятил

 

Ни кто не ошибается! Ида не эмулирует библиотечные функции(MSVBVM50.DLL)

 

П.С. Исследования вирусов можно перевести в следующие действие
1) Виртуалка
2) Поставить бряки на главные функции ос (OllyDbg)
3) НУ и нажать F9

Так что декомпилер не нужен, только придется с исключениями разбератся(паршивая vba)

П.С. П.С. И ну я конечно не учитываю грязные трюки. Эх был бы сайс....

 

Возможно Ox8BFF55 имелл ввиду Flirt, но неверно выразился.

 

TermoSINteZ А как IDA pro дизассембилирует?
Начем анализатор ИДЫ строится?

П.С. Стоит также отметить, что я, не писал что Ида == эмулятором.

 

есть плагины

 

Ox8BFF55
> П.С. Исследования вирусов можно перевести в следующие действие
> 1) Виртуалка
> 2) Поставить бряки на главные функции ос (OllyDbg)
отспыть травы. или покажи как в ольге отдебажить 16-разрядный NE.

 

Немного не по теме, но посоветуй плагин для ИДЫ определяющий крипто сигнатуры

 

kaspersky
Оля ругается что не 32-х битный файл, но выдает вроде бы осмысленный код. Это с энтри поинта до GetCommandLine.

Код (Text):

1. 0F00F34C > $ 6A 18          PUSH 18
2. 0F00F34E   . 68 4816000F    PUSH ntvdm.0F001648
3. 0F00F353   . E8 4CC20000    CALL ntvdm.0F01B5A4
4. 0F00F358   . BF 94000000    MOV EDI,94
5. 0F00F35D   . 8BC7           MOV EAX,EDI
6. 0F00F35F   . E8 3CCA0000    CALL ntvdm.0F01BDA0
7. 0F00F364   . 8965 E8        MOV DWORD PTR SS:[EBP-18],ESP
8. 0F00F367   . 8BF4           MOV ESI,ESP
9. 0F00F369   . 893E           MOV DWORD PTR DS:[ESI],EDI
10. 0F00F36B   . 56             PUSH ESI                                 ; /pVersionInformation
11. 0F00F36C   . FF15 2C10000F  CALL DWORD PTR DS:[<&KERNEL32.GetVersion>; \GetVersionExA
12. 0F00F372   . 8B46 10        MOV EAX,DWORD PTR DS:[ESI+10]
13. 0F00F375   . A3 685A060F    MOV DWORD PTR DS:[F065A68],EAX
14. 0F00F37A   . 8B4E 04        MOV ECX,DWORD PTR DS:[ESI+4]
15. 0F00F37D   . 890D 745A060F  MOV DWORD PTR DS:[F065A74],ECX
16. 0F00F383   . 8B56 08        MOV EDX,DWORD PTR DS:[ESI+8]
17. 0F00F386   . 8915 785A060F  MOV DWORD PTR DS:[F065A78],EDX
18. 0F00F38C   . 8B76 0C        MOV ESI,DWORD PTR DS:[ESI+C]
19. 0F00F38F   . 81E6 FF7F0000  AND ESI,7FFF
20. 0F00F395   . 8935 6C5A060F  MOV DWORD PTR DS:[F065A6C],ESI
21. 0F00F39B   . 83F8 02        CMP EAX,2
22. 0F00F39E   . 74 0C          JE SHORT ntvdm.0F00F3AC
23. 0F00F3A0   . 81CE 00800000  OR ESI,8000
24. 0F00F3A6   . 8935 6C5A060F  MOV DWORD PTR DS:[F065A6C],ESI
25. 0F00F3AC   > C1E1 08        SHL ECX,8
26. 0F00F3AF   . 03CA           ADD ECX,EDX
27. 0F00F3B1   . 890D 705A060F  MOV DWORD PTR DS:[F065A70],ECX
28. 0F00F3B7   . 66:813D 000000>CMP WORD PTR DS:[F000000],5A4D
29. 0F00F3C0   . 75 28          JNZ SHORT ntvdm.0F00F3EA
30. 0F00F3C2   . A1 3C00000F    MOV EAX,DWORD PTR DS:[F00003C]
31. 0F00F3C7   . 81B8 0000000F >CMP DWORD PTR DS:[EAX+F000000],4550
32. 0F00F3D1   . 75 17          JNZ SHORT ntvdm.0F00F3EA
33. 0F00F3D3   . 0FB788 1800000>MOVZX ECX,WORD PTR DS:[EAX+F000018]
34. 0F00F3DA   . 81F9 0B010000  CMP ECX,10B
35. 0F00F3E0   . 74 21          JE SHORT ntvdm.0F00F403
36. 0F00F3E2   . 81F9 0B020000  CMP ECX,20B
37. 0F00F3E8   . 74 06          JE SHORT ntvdm.0F00F3F0
38. 0F00F3EA   > 8365 E4 00     AND DWORD PTR SS:[EBP-1C],0
39. 0F00F3EE   . EB 2A          JMP SHORT ntvdm.0F00F41A
40. 0F00F3F0   > 83B8 8400000F >CMP DWORD PTR DS:[EAX+F000084],0E
41. 0F00F3F7   .^76 F1          JBE SHORT ntvdm.0F00F3EA
42. 0F00F3F9   . 33C9           XOR ECX,ECX
43. 0F00F3FB   . 3988 F800000F  CMP DWORD PTR DS:[EAX+F0000F8],ECX
44. 0F00F401   . EB 11          JMP SHORT ntvdm.0F00F414
45. 0F00F403   > 83B8 7400000F >CMP DWORD PTR DS:[EAX+F000074],0E
46. 0F00F40A   .^76 DE          JBE SHORT ntvdm.0F00F3EA
47. 0F00F40C   . 33C9           XOR ECX,ECX
48. 0F00F40E   . 3988 E800000F  CMP DWORD PTR DS:[EAX+F0000E8],ECX
49. 0F00F414   > 0F95C1         SETNE CL
50. 0F00F417   . 894D E4        MOV DWORD PTR SS:[EBP-1C],ECX
51. 0F00F41A   > 6A 00          PUSH 0                                   ; /Arg1 = 00000000
52. 0F00F41C   . E8 DFCCFFFF    CALL ntvdm.0F00C100                      ; \ntvdm.0F00C100
53. 0F00F421   . 59             POP ECX
54. 0F00F422   . 85C0           TEST EAX,EAX
55. 0F00F424   . 75 21          JNZ SHORT ntvdm.0F00F447
56. 0F00F426   . 833D 545A060F >CMP DWORD PTR DS:[F065A54],2
57. 0F00F42D   . 74 05          JE SHORT ntvdm.0F00F434
58. 0F00F42F   . E8 21C60000    CALL ntvdm.0F01BA55
59. 0F00F434   > 6A 1C          PUSH 1C
60. 0F00F436   . E8 2DC40000    CALL ntvdm.0F01B868
61. 0F00F43B   . 68 FF000000    PUSH 0FF
62. 0F00F440   . E8 D2C20000    CALL ntvdm.0F01B717
63. 0F00F445   . 59             POP ECX
64. 0F00F446   . 59             POP ECX
65. 0F00F447   > 8365 FC 00     AND DWORD PTR SS:[EBP-4],0
66. 0F00F44B   . E8 D8C7FFFF    CALL ntvdm.0F00BC28
67. 0F00F450   . 85C0           TEST EAX,EAX
68. 0F00F452   . 7D 08          JGE SHORT ntvdm.0F00F45C
69. 0F00F454   . 6A 1B          PUSH 1B
70. 0F00F456   . E8 19C10000    CALL ntvdm.0F01B574
71. 0F00F45B   . 59             POP ECX
72. 0F00F45C   > FF15 8410000F  CALL DWORD PTR DS:[<&KERNEL32.GetCommand>; [GetCommandLineA

 

kaspersky
Оля неправильно переварила, Крис? Прокомментируй пожалуйста