3127 trojan => W32.Mydoom
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя |
Сообщение |
<< Старые топики Новые топики >> |
|
|
3127 trojan => W32.Mydoom - 2006-01-01 21:23:08
|
|
|
Werm_Rolent
Сообщений: 280
Оценки: 0
Присоединился: 2004-08-02 22:39:27
|
3127 trojan => W32.Mydoom У меня вопрос! Я редко встречался с Троянами…. Так вот нужной мне машине сканом нашёл, во всю работающего червя : ) Можно его по иметь, в своих целях, типа ред админа, есть у него что то вроде терминала, доступа…. (-может это покажется смешным- я в самом деле редко имел дело с червями).
|
|
|
3127 trojan => W32.Mydoom - 2006-01-01 22:03:56
|
|
|
Вождь
Сообщений: 559
Оценки: 0
Присоединился: 2005-11-09 17:45:39
|
Блин, народ, вы чё пьёте-то?!! Скажите мне, я тож такой приход хачу))) Один седня спросил че такое гугль, другой трояна-червя иметь хочет[sm=9.gif][sm=9.gif][sm=9.gif] Чел, не парься, иди спать, а?)))
|
|
|
3127 trojan => W32.Mydoom - 2006-01-02 02:25:08
|
|
|
Werm_Rolent
Сообщений: 280
Оценки: 0
Присоединился: 2004-08-02 22:39:27
|
//Ха… пью я счас морсбери, в перемешку с коняком…. [sm=1.gif][sm=1.gif] а насчёт червя …. фиг его знает… может мне интересно… где бы сорцы к нему надыбать ?
|
|
|
3127 trojan => W32.Mydoom - 2006-01-02 03:02:08
|
|
|
Chaos_logic''
Сообщений: 678
Оценки: 0
Присоединился: 2005-02-23 17:35:37
|
Толком не понял че ты хочешь… сорсы - а на форумах вирмейкерских не спрашивал ?
|
|
|
3127 trojan => W32.Mydoom - 2006-01-02 03:45:58
|
|
|
Werm_Rolent
Сообщений: 280
Оценки: 0
Присоединился: 2004-08-02 22:39:27
|
Спрашивал… ответы аналогичные … что хочу… запустить свой прцес на удолённой машине… shell закинул… на wed а толку от не кокого… shelom просканировл машину… открыто нескоко.. портов redadmin and троян у redadmina пароль стоит… вот и хочу узнать… что зо троян…… нашёл некоторое инфо на него… Технические детали: Копирует себя как %System%LienVandeKelder.exe. Добавляет значение "http://xxx.lienvandekelder.be" = "LienVandeKelder.exe" в реестр HKEY_LOCAL_MACHINESOFTWAREMicrosoftwindоwsCurrentVersionRun HKEY_LOCAL_MACHINESoftwareMicrosoftwindоwsCurrentVersion RunServices; значение "Start" = "4" в HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccess
Сканирует папки %Windir%Temporary Internet Files %UserProfile%Local SettingsTemporary Internet Files %System% на наличие e-mail адресов. Сканирует файлы с разрешением adb .asp .dbx .htm* .php .sht* .tbb .txt .wab на наличие e-mail адресов. При этом избегает адресов, содержащих строки: avp syma icrosof msn. hotmail panda sopho borlan inpris example mydomai nodomai ruslis .gov gov. .mil foo. berkeley unix math bsd mit.e gnu fsf. ibm.com google kernel linux fido usenet iana ietf rfc-ed sendmail arin. aster webmaster noone nobody nothing anyone someone your you bugs rating site contact soft somebody privacy service help not submit feste gold-certs the.bat page admin icrosoft support ntivi unix bsd linux listserv certific google accoun
Посылает по найденным адресам письма с характеристиками: From: (Spoofed) john alex michael james mike kevin david george sam andrew jose leo maria jim brian serg mary ray tom peter robert bob jane joe dan dave matt steve smith stan bill bob jack fred ted adam brent alice anna brenda claudia debby helen jerry jimmy julie linda sam
Subject: Notice: **Last Warning** Your email account access is restricted Your Email Account is Suspended For Security Reasons Notice:***Your email account will be suspended*** Security measures Email Account Suspension *IMPORTANT* Please Validate Your Email Account *IMPORTANT* Your Account Has Been Locked
Message:
Once you have completed the form in the attached file , your account records will not be interrupted and will continue as normal. To unblock your email account acces, please see the attachment. Follow the instructions in the attchment. We have suspended some of your email services, to resolve the problem you should read the attached dосиmеnt. To safeguard your email account from possible termination, please see the attached file. please look at attached dосиmеnt. Account Information Are Attached!
Attachment: email-doc info text doc your_details dосиmеnt_full INFO IMPORTANT info-text
Завершает процессы: regedit.exe msconfig.exe cmd.exe taskmgr.exe netstat.exe zapro.exe navw32.exe navapw32.exe zonealarm.exe wincfg32.exe PandaAVEngine.exe
Запрещает доступ к сайтам: 127.0.0.1 www.symantec.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 symantec.com 127.0.0.1 www.sophos.com 127.0.0.1 sophos.com 127.0.0.1 www.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 www.viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 f-secure.com 127.0.0.1 www.f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 kaspersky-labs.com 127.0.0.1 www.avp.com 127.0.0.1 www.kaspersky.com 127.0.0.1 avp.com 127.0.0.1 www.networkassociates.com 127.0.0.1 networkassociates.com 127.0.0.1 www.ca.com 127.0.0.1 ca.com 127.0.0.1 mast.mcafee.com 127.0.0.1 my-etrust.com 127.0.0.1 www.my-etrust.com 127.0.0.1 download.mcafee.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 nai.com 127.0.0.1 www.nai.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 customer.symantec.com 127.0.0.1 rads.mcafee.com 127.0.0.1 trendmicro.com 127.0.0.1 www.trendmicro.com 127.0.0.1 www.grisoft.com 127.0.0.1 www.microsoft.com
|
|
|
3127 trojan => W32.Mydoom - 2006-01-02 03:52:02
|
|
|
Chaos_logic''
Сообщений: 678
Оценки: 0
Присоединился: 2005-02-23 17:35:37
|
а бинарник его у тя есть ?
|
|
|
3127 trojan => W32.Mydoom - 2006-01-02 04:00:24
|
|
|
Werm_Rolent
Сообщений: 280
Оценки: 0
Присоединился: 2004-08-02 22:39:27
|
есть
|
|
|
3127 trojan => W32.Mydoom - 2006-01-02 04:05:24
|
|
|
Chaos_logic''
Сообщений: 678
Оценки: 0
Присоединился: 2005-02-23 17:35:37
|
на чем он написан неизвестно? можно попытаться исходник получить )))
|
|
|
3127 trojan => W32.Mydoom - 2006-01-02 04:18:25
|
|
|
Werm_Rolent
Сообщений: 280
Оценки: 0
Присоединился: 2004-08-02 22:39:27
|
да вот счас этим и занимаюсь…. eMule - юзаю
|
|
|
3127 trojan => W32.Mydoom - 2006-01-02 04:20:34
|
|
|
Werm_Rolent
Сообщений: 280
Оценки: 0
Присоединился: 2004-08-02 22:39:27
|
Кстати вопрос… вот ещё на 9997 порту irc весит… походу над этой машиной до меня поработали :) можна как ни будь снифер посадить ?
|
|
|
3127 trojan => W32.Mydoom - 2006-01-02 04:22:03
|
|
|
Chaos_logic''
Сообщений: 678
Оценки: 0
Присоединился: 2005-02-23 17:35:37
|
насчет снифера пока ниче сказать не могу. А какие у тебя права на тачке ?
|
|
|
3127 trojan => W32.Mydoom - 2006-01-02 04:24:52
|
|
|
Chaos_logic''
Сообщений: 678
Оценки: 0
Присоединился: 2005-02-23 17:35:37
|
К слову, когда пишешь ответ, внизу в окошке для простмотра темы прострые теги нормально работают В подписи Werm_Rolent картинка становится видна )
|
|
|
3127 trojan => W32.Mydoom - 2006-01-02 04:37:54
|
|
|
Werm_Rolent
Сообщений: 280
Оценки: 0
Присоединился: 2004-08-02 22:39:27
|
права… Backdoor :) разве это можно назвать провами… :) кстати спаибо за совет… с тегами… … я так понял… там два сервака… один под unix другой под виндой…. udp порта почему то одинаковы… пока для меня это сикрет… как это дело работает… короче сканирую машину а он выдаёт такой ответ…
110 pop3 => Post Office Protocol - Version 3 22 ssh => Remote Login Protocol SSH-2.0-OpenSSH_3.8.1p1 Debian-8.sarge.4 25 smtp => Simple Mail Transfer Protocol 220 ESMTP Postfix (Debian/GNU) 80 http => World Wide Web HTTP 4000 => shell 9991 => irc HEAD / HTTP/1.0 HTTP/1.1 200 OK Date: Sun, 01 Jan 2006 18:01:32 GMT Server: Apache/1.3.33 (Debian GNU/Linux) AuthMySQL/4.3.9-2 Connection: close Content-Type: text/html
UDP порт 53 domain => Domain Name Server 135 epmap => DCE endpoint resolution 137 netbios-ns => NetBios Name Service 138 netbios-dgm => NetBios Datagram Service 161 SNMP => Simple Network Management Protocol 445 microsoft-ds => Microsoft-DS 1433 ms-sql-s => Microsoft-SQL-Server 1434 ms-sql-s => Microsoft-SQL-Server 1900 ssdp => Simple Service Discovery Protocol 3003 cgms => CGMS 3127 trojan => W32.Mydoom 4500 redadmin => Red Admin v 1.0 4672 eD2Kt => eD2K P-2-P Transport
|
|
|
3127 trojan => W32.Mydoom - 2006-01-02 04:48:09
|
|
|
Chaos_logic''
Сообщений: 678
Оценки: 0
Присоединился: 2005-02-23 17:35:37
|
ХЗ. Если сможешь, попробуй логгер поставить, сплоит под линь не искал ?
|
|
|
3127 trojan => W32.Mydoom - 2006-01-02 04:56:53
|
|
|
Werm_Rolent
Сообщений: 280
Оценки: 0
Присоединился: 2004-08-02 22:39:27
|
…. уже сейчас поставил [sm=11.gif]
|
|
|
3127 trojan => W32.Mydoom - 2006-01-02 05:19:17
|
|
|
Chaos_logic''
Сообщений: 678
Оценки: 0
Присоединился: 2005-02-23 17:35:37
|
Рад небось и доволен собой[sm=9.gif]
|
|
|
3127 trojan => W32.Mydoom - 2006-01-02 05:25:48
|
|
|
Werm_Rolent
Сообщений: 280
Оценки: 0
Присоединился: 2004-08-02 22:39:27
|
[sm=9.gif][sm=9.gif][sm=9.gif][sm=9.gif]
|
|
|
|
|