Что хотим, то и воротим?

[vidocq89]

Вот бродя по интернету наткнулся на то, что одного моего знакомого забанили на форуме навечно за распространение троянов... (форум был естественно НЕ хакерский), а дело было вот в чем:

 

Он выложил на форуме просто программу под названием Universal E-Mail Sender 1.0 и эту софтину залили на вирустотал - софтина пакованная автором естественно и поэтому некоторые антивири заорали... Прогу также отправили на изучение к касперу и вот процитирую, что именно ответил аналитик:

 

Здравствуйте.

Win32.EmailSender.a

В присланном Вами файле обнаружено новое вредоносное программное обеспечение.

Его детектирование будет включено в очередное обновление антивирусных баз.

Благодарим за оказанную помощь.

---------

С уважением, Юрий Несмачный

Вирусный аналитик

ЗАО "Лаборатория Касперского"

 

Тогда, я начал искать автора и с удивлением узнал, что это мой старый-старый знакомый... я ему тогда обрисовал данную ситауцию... И он ответил, что не встраивал никакого вредоностного кода в программу и не делал так , что бы ему отсылались пароли... тогда мы качнули эту прогу и он сказал, что это его оригинальная программа - т.е она не пропатчена ничем и это не фейк...

Ну, как говориться доверяй, но проверяй - просниффал весь траффик программы, распаковал ее и отладил... и просмотрел ее всю через что только можно... ничего вредосного я НЕ НАШЕЛ....

Я просто прошу пояснений от самих аналитиков или от фан-клубовцев, - объясните мне, что вредоностного в этой программе?

Или не понравился ярлык программы??

 

А вот, что выдает онлайн проверка на сайте avp.ru:

 

Universal E-Mail Sender 1.0.EXE - инфицирован not-a-virus:RiskTool.Win32.EmailSender.a

Я конечно понимаю, что нот-а-вирус.... но почему программа вообще занесена в базу? рисктул? а причины?

 

 

 

Вот даю несколько ссылок на скачивание программы:

 

Первая ссылка

 

вторая ссылка на скачивание

 

+

 

в аттаче - что бы дятлы не сказали, что у них не качает с файлообменников...

 

PS: Возможно я и не прав, но если не сложно, то объясните в чем я именно не прав...

Universal_E_Mail_Sender_1.0.rar

[FKA]

А не боитесь что Вас здесь тоже забанят ?

Я не очень разбираюсь в программировании, поэтому выскажу лишь предположение. Судя по названию, эта прога предназначена исключительно для рассылки почты, а может и спама. Нет? Возможно поэтому её сочли частью троянского функционала?

Логотип ЛК действительно не стоило использовать.

Изменено 2 октября, 2007 пользователем FKA

[NickGolovko]

Я предполагаю, что программа содержит функционал, позволяющий осуществлять массовые рассылки нежелательных почтовых сообщений. Поэтому аналитики сочли необходимым занести ее в расширенные базы потенциально опасного программного обеспечения.

[Pipkin]

Перепишите прогу, чтобы она рассылала только новогодние поздравления и пошлите на зондаж «дятлам». Что ответят? Christmas Riskware?

Возможность осуществления массовых рассылок тоже неочевидна — это ж надо сколько копипейстить в окошечко «Кому».

Резюме: отсебячина от аналитиков, внесших безобидную штуковину в базы, хотя и вежливая — рискваре, мол, решайте сами.

Логотип же ЛК, конечно, совершенно не в тему.

[FKA]

На мой неквалифицированный взгляд там классический Trojan-Dropper, как он описан в "Компьютерном zловредстве".

[starik]

vidocq89, А ОТКУДА ВЫ ЗНАЕТО ЧТО ОТВЕТИЛ ВИРУСНЫЙ АНАЛИТИК ? Скорей всего вы сами на newvirus отправили .

Я не думою что данная программа содержит вредоносный код , т.к. инсталятор самой программы написан коряво )))

>>Почему сработали антивирусы на вирустотале ?

Данное ПО закриптовано , приблизительно морфином (мои мысли)

На мой неквалифицированный взгляд там классический Trojan-Dropper, как он описан в "Компьютерном zловредстве".

Нет ... дроперра там нет

Всё-таки подозрительная софтина , проверив её поведения поведенческими блокираторами (не KLab)

При открытии прога лезит в эти ключи реестра (см.ниже)

Как я и говорил программа закриптована "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG" (не морфин) создание бинарника в реестре (работаем над ключём) , также утилита лезла к keyboard - не чего особенного , получала лэнгвич и параметры десктопа .

А вот доступ к файлам был очень своеобразный , обращение к библиотекам сокета , ну эт нормально так как прога работает с сетью , но что меня паразило так это обращение к avp.exe и nod32.exe

Если не ошибаюсь - программа написана на Delphi ?

------------------

Если автору нехочется что бы на его ПО ругался avp.exe просто напросто перекампилируй программу

На прогу для рассылки спама эта прога не катит ) уж больно она приметивная , подъмены адреса нет и подавно

````````````````

А я всё-таки узнал что за звёздочками

[vidocq89]

вот я сейчас прочитал ваши посты и увидел только одного хоть что-то сделавшего кроме пустой болтовни и выгибания понтов человека: starik ...

предположения других насчет дропов и коряво написанного инсталлятора и и всего такого я опровергать не буду, просто скажу пару слов:

 

1. если считаете, что там дроп - докажите это - софт асй, ида, оля, сниффер, все анпакеры с васма и кряклаба вам в руки...

 

2. инсталлятор написан не автором (до этого вроде не сложно догадаться по выскакивающему окошку) - для прикручивания инсталлятора использовалась незарегистрированная версия программы Smart Install Maker (если вы о ней не слышали и не знаете, что это такое - это ваши проблемы)

 

3. если у кого-то с ее помощью получиться рассылать спам - будет героем! (дерзайте - вы тут все гении)

 

4. а то, что использован был ярлык каспера можно квалифицировать тока как плагиат или пародию - не вижу как можно еще это квалифицировать...

 

 

Теперь отвечаю господину starik'у:

 

1. в пером своем посте, я вроде ясно написал - "Прогу также отправили на изучение к касперу" - логично, что отправляли на ньювирус, а не на мыло к самому Евгению Валентиновичу....

 

2. данное ПО запаковано следующими штуками: вначале каким-то приватным пакером-криптором (у него даже нету названия - он так и называется - Pack), а затем поверху было запаковано еще tElock v0.99 (возможно, что в промежутке также было закриптовано каким нибудь известным криптором не оставляющим после себя кричащих названий секций (как потом выяснилось - автор и сам не помнил чем он паковал) все это было выяснено мной а потом подтвержено им - что такими прогами точно паковал..

 

3. Программа писана на делфине

 

4. Предлагаю всем взглянуть на скрин и еще раз задать себе вопрос для чего это программа (также было бы неплохо, если бы вы прочитали ее название) прога предназначета только для отправки одного письма с какого-либо мыла расположенного на сервере маил.ру, яндекса или рамблера - т.е для отправки вам придется ввести ВАЛИДНЫЕ логин и пароль... - т.е ни о каком флуде, спаме, подмене адреса речи не идет...

 

ЗЫ: банить за выкладку трояна на форуме не нужно точно - то, что это трой не доказано и это НЕ ТРОЙ ...

Изменено 2 октября, 2007 пользователем vidocq89

[starik]

ЗЫ: банить за выкладку трояна на форуме не нужно точно - то, что это трой не доказано и это НЕ ТРОЙ ...

Вы наверно знаете что сейчас многие обитатели сети покупают пинчей и выкладывают их в наиболее людных местах , админ решил предостеречься (его можно понять)

[ojiga]

детектится как RiskTool.Win32.EmailSender.a чем и является, никакого приватного криптера нету, одиним телоком паковано

[vidocq89]

http://forum.kaspersky.com/index.php?showtopic=49430 - здесь уже все решено, мне нужно было получить ответ от человека, которому бы все безоговорочно доверяли ...

Зайцев Олег ответил... тема клозед, думаю...

...просто я не тот человек здесь, что бы мне в этом бы все доверяли))

starik, админов прекрасно понимаю, но вообще я выложил этот файл в открытую - типа давайте протестите, есть там трой или нету, раз мне не верите... типа того... т.е я не выложил свой закриптованный билд пинча слитый с какой нибудь прогой... надо быть совсем неразумным, что бы выложить пинча на ТАКОМ форуме... (хотя есть идиоты которые первым постом выкладывают на хакерских и анти-хакерских форумах пинчей )

 

***EDITED BY JIABP*** Поменьше экспрессии, побольше мыслей! = )