3127 trojan => W32.Mydoom
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
3127 trojan => W32.Mydoom - 2006-01-01 21:23:08
|
|
|
Werm_Rolent
Сообщений: 280
Оценки: 0
Присоединился: 2004-08-02 22:39:27
|
3127 trojan => W32.Mydoom
У меня вопрос! Я редко встречался с Троянами…. Так вот нужной мне машине сканом нашёл, во всю работающего червя : )
Можно его по иметь, в своих целях, типа ред админа, есть у него что то вроде терминала, доступа…. (-может это покажется смешным- я в самом деле редко имел дело с червями).
|
|
|
|
|
3127 trojan => W32.Mydoom - 2006-01-01 22:03:56
|
|
|
Вождь
Сообщений: 559
Оценки: 0
Присоединился: 2005-11-09 17:45:39
|
Блин, народ, вы чё пьёте-то?!! Скажите мне, я тож такой приход хачу))) Один седня спросил че такое гугль, другой трояна-червя иметь хочет[sm=9.gif][sm=9.gif][sm=9.gif]
Чел, не парься, иди спать, а?)))
|
|
|
|
|
3127 trojan => W32.Mydoom - 2006-01-02 02:25:08
|
|
|
Werm_Rolent
Сообщений: 280
Оценки: 0
Присоединился: 2004-08-02 22:39:27
|
//Ха… пью я счас морсбери, в перемешку с коняком…. [sm=1.gif][sm=1.gif]
а насчёт червя …. фиг его знает… может мне интересно…
где бы сорцы к нему надыбать ?
|
|
|
|
|
3127 trojan => W32.Mydoom - 2006-01-02 03:02:08
|
|
|
Chaos_logic''
Сообщений: 678
Оценки: 0
Присоединился: 2005-02-23 17:35:37
|
Толком не понял че ты хочешь…
сорсы - а на форумах вирмейкерских не спрашивал ?
|
|
|
|
|
3127 trojan => W32.Mydoom - 2006-01-02 03:45:58
|
|
|
Werm_Rolent
Сообщений: 280
Оценки: 0
Присоединился: 2004-08-02 22:39:27
|
Спрашивал…
ответы аналогичные
…
что хочу…
запустить свой прцес на удолённой машине…
shell закинул… на wed
а толку от не кокого…
shelom просканировл машину…
открыто нескоко.. портов
redadmin and троян
у redadmina пароль стоит…
вот и хочу узнать… что зо троян……
нашёл некоторое инфо на него…
Технические детали:
Копирует себя как %System%LienVandeKelder.exe.
Добавляет значение "http://xxx.lienvandekelder.be" = "LienVandeKelder.exe"
в реестр
HKEY_LOCAL_MACHINESOFTWAREMicrosoftwindоwsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftwindоwsCurrentVersion
RunServices;
значение "Start" = "4" в
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccess
Сканирует папки
%Windir%Temporary Internet Files
%UserProfile%Local SettingsTemporary Internet Files
%System%
на наличие e-mail адресов.
Сканирует файлы с разрешением
adb
.asp
.dbx
.htm*
.php
.sht*
.tbb
.txt
.wab
на наличие e-mail адресов.
При этом избегает адресов, содержащих строки:
avp
syma
icrosof
msn.
hotmail
panda
sopho
borlan
inpris
example
mydomai
nodomai
ruslis
.gov
gov.
.mil
foo.
berkeley
unix
math
bsd
mit.e
gnu
fsf.
ibm.com
google
kernel
linux
fido
usenet
iana
ietf
rfc-ed
sendmail
arin.
aster
webmaster
noone
nobody
nothing
anyone
someone
your
you
bugs
rating
site
contact
soft
somebody
privacy
service
help
not
submit
feste
gold-certs
the.bat
page
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
google
accoun
Посылает по найденным адресам письма с характеристиками:
From: (Spoofed)
john
alex
michael
james
mike
kevin
david
george
sam
andrew
jose
leo
maria
jim
brian
serg
mary
ray
tom
peter
robert
bob
jane
joe
dan
dave
matt
steve
smith
stan
bill
bob
jack
fred
ted
adam
brent
alice
anna
brenda
claudia
debby
helen
jerry
jimmy
julie
linda
sam
Subject:
Notice: **Last Warning**
Your email account access is restricted
Your Email Account is Suspended For Security Reasons
Notice:***Your email account will be suspended***
Security measures
Email Account Suspension
*IMPORTANT* Please Validate Your Email Account
*IMPORTANT* Your Account Has Been Locked
Message:
Once you have completed the form in the attached file , your account records will not be interrupted and will continue as normal.
To unblock your email account acces, please see the attachment.
Follow the instructions in the attchment.
We have suspended some of your email services, to resolve the problem you should read the attached dосиmеnt.
To safeguard your email account from possible termination, please see the attached file.
please look at attached dосиmеnt.
Account Information Are Attached!
Attachment:
email-doc
info
text
doc
your_details
dосиmеnt_full
INFO
IMPORTANT
info-text
Завершает процессы:
regedit.exe
msconfig.exe
cmd.exe
taskmgr.exe
netstat.exe
zapro.exe
navw32.exe
navapw32.exe
zonealarm.exe
wincfg32.exe
PandaAVEngine.exe
Запрещает доступ к сайтам:
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
|
|
|
|
|
3127 trojan => W32.Mydoom - 2006-01-02 03:52:02
|
|
|
Chaos_logic''
Сообщений: 678
Оценки: 0
Присоединился: 2005-02-23 17:35:37
|
а бинарник его у тя есть ?
|
|
|
|
|
3127 trojan => W32.Mydoom - 2006-01-02 04:00:24
|
|
|
Werm_Rolent
Сообщений: 280
Оценки: 0
Присоединился: 2004-08-02 22:39:27
|
есть
|
|
|
|
|
3127 trojan => W32.Mydoom - 2006-01-02 04:05:24
|
|
|
Chaos_logic''
Сообщений: 678
Оценки: 0
Присоединился: 2005-02-23 17:35:37
|
на чем он написан неизвестно? можно попытаться исходник получить )))
|
|
|
|
|
3127 trojan => W32.Mydoom - 2006-01-02 04:18:25
|
|
|
Werm_Rolent
Сообщений: 280
Оценки: 0
Присоединился: 2004-08-02 22:39:27
|
да вот счас этим и занимаюсь….
eMule - юзаю
|
|
|
|
|
3127 trojan => W32.Mydoom - 2006-01-02 04:20:34
|
|
|
Werm_Rolent
Сообщений: 280
Оценки: 0
Присоединился: 2004-08-02 22:39:27
|
Кстати вопрос… вот ещё на 9997 порту irc весит…
походу над этой машиной до меня поработали :)
можна как ни будь снифер посадить ?
|
|
|
|
|
3127 trojan => W32.Mydoom - 2006-01-02 04:22:03
|
|
|
Chaos_logic''
Сообщений: 678
Оценки: 0
Присоединился: 2005-02-23 17:35:37
|
насчет снифера пока ниче сказать не могу. А какие у тебя права на тачке ?
|
|
|
|
|
3127 trojan => W32.Mydoom - 2006-01-02 04:24:52
|
|
|
Chaos_logic''
Сообщений: 678
Оценки: 0
Присоединился: 2005-02-23 17:35:37
|
К слову, когда пишешь ответ, внизу в окошке для простмотра темы прострые теги нормально работают
В подписи Werm_Rolent картинка становится видна )
|
|
|
|
|
3127 trojan => W32.Mydoom - 2006-01-02 04:37:54
|
|
|
Werm_Rolent
Сообщений: 280
Оценки: 0
Присоединился: 2004-08-02 22:39:27
|
права… Backdoor :)
разве это можно назвать провами… :)
кстати спаибо за совет… с тегами…
… я так понял… там два сервака…
один под unix другой под виндой….
udp порта почему то одинаковы… пока для меня это сикрет…
как это дело работает…
короче сканирую машину а он выдаёт такой ответ…
110 pop3 => Post Office Protocol - Version 3
22 ssh => Remote Login Protocol
SSH-2.0-OpenSSH_3.8.1p1 Debian-8.sarge.4
25 smtp => Simple Mail Transfer Protocol
220 ESMTP Postfix (Debian/GNU)
80 http => World Wide Web HTTP
4000 => shell
9991 => irc
HEAD / HTTP/1.0
HTTP/1.1 200 OK
Date: Sun, 01 Jan 2006 18:01:32 GMT
Server: Apache/1.3.33 (Debian GNU/Linux) AuthMySQL/4.3.9-2
Connection: close
Content-Type: text/html
UDP порт
53 domain => Domain Name Server
135 epmap => DCE endpoint resolution
137 netbios-ns => NetBios Name Service
138 netbios-dgm => NetBios Datagram Service
161 SNMP => Simple Network Management Protocol
445 microsoft-ds => Microsoft-DS
1433 ms-sql-s => Microsoft-SQL-Server
1434 ms-sql-s => Microsoft-SQL-Server
1900 ssdp => Simple Service Discovery Protocol
3003 cgms => CGMS
3127 trojan => W32.Mydoom
4500 redadmin => Red Admin v 1.0
4672 eD2Kt => eD2K P-2-P Transport
|
|
|
|
|
3127 trojan => W32.Mydoom - 2006-01-02 04:48:09
|
|
|
Chaos_logic''
Сообщений: 678
Оценки: 0
Присоединился: 2005-02-23 17:35:37
|
ХЗ.
Если сможешь, попробуй логгер поставить, сплоит под линь не искал ?
|
|
|
|
|
3127 trojan => W32.Mydoom - 2006-01-02 04:56:53
|
|
|
Werm_Rolent
Сообщений: 280
Оценки: 0
Присоединился: 2004-08-02 22:39:27
|
…. уже сейчас поставил [sm=11.gif]
|
|
|
|
|
3127 trojan => W32.Mydoom - 2006-01-02 05:19:17
|
|
|
Chaos_logic''
Сообщений: 678
Оценки: 0
Присоединился: 2005-02-23 17:35:37
|
Рад небось и доволен собой[sm=9.gif]
|
|
|
|
|
3127 trojan => W32.Mydoom - 2006-01-02 05:25:48
|
|
|
Werm_Rolent
Сообщений: 280
Оценки: 0
Присоединился: 2004-08-02 22:39:27
|
[sm=9.gif][sm=9.gif][sm=9.gif][sm=9.gif]
|
|
|
|
|
|
