Главная страница
    Top.Mail.Ru    Яндекс.Метрика
Форум: "Потрепаться";
Текущий архив: 2003.09.18;
Скачать: [xml.tar.bz2];

Вниз

Без слов-))   Найти похожие ветки 

 
panov   (2003-08-29 16:00) [0]

McSimm: (1:25 PM) Это что ???
panov: (1:25 PM) rundllx.sys
panov: (1:25 PM) в сист. каталоге
McSimm: (1:26 PM) Вот, очень похоже на маскировку троянов или вирусов
panov: (1:26 PM) создан 13:25 сегодня
McSimm: (1:26 PM) минуту назад?
panov: (1:27 PM) нет, минуту назад в него добавилась строчка -
rundllx.sys
panov: (1:27 PM) и еще одна
panov: (1:27 PM) такая же только что
McSimm: (1:28 PM) Бррр
panov: (1:28 PM) заглушу-ка я процесс один... rundllw и GMT.exe
McSimm: (1:28 PM) Это у тебя какое-то шпионство
panov: (1:28 PM) угу... хорошо AtGuard не прошляпил
panov: (1:29 PM) а то б куки и пароли ушли
McSimm: (1:29 PM) А что, были попытки отправить?
panov: (1:29 PM) да...
McSimm: (1:29 PM) А куда, не засек?
panov: (12:59 PM)
mail.ru
yandex.ru
rambler.ru
hotbox.ru
xaker.ru
panov: (1:01 PM) rundllw.exe лезет от меня на эти сервера
McSimm: (1:29 PM) Должны быть логи
McSimm: (1:30 PM) У, вам лечиться надо :)
panov: (1:30 PM) -)))
panov: (1:30 PM) сейчас вот весь диск сканируется NAV"ом...
McSimm: (1:30 PM) AVP классная вещь...

McSimm: (1:30 PM) Только не последний
panov: (1:31 PM) а ты сравни автора той ветки и адрес в файле, который я тебе показал...
McSimm: (1:31 PM) 194.78.xx.xxx
194.78.xx.xxx
mailto:e******@hotbox.ru
194.78.xx.xxx
194.78.xx.xxx


 
panov   (2003-08-29 16:00) [1]

Это?
panov: (1:31 PM) да
McSimm: (1:32 PM) Это твой шпион перехватывает либо клипбоард, либо клавиатурный ввод и отсеивает
McSimm: (1:32 PM) ИЛИ
Он из сетевых пакетов может вытаскиваьб
panov: (1:32 PM) похоже на клав. шпиона
McSimm: (1:33 PM) А также клики на ссылки в IE
McSimm: (1:33 PM) Ты кликал на
mailto:e******@hotbox.ru
panov: (1:33 PM) щас попробую...
McSimm: (1:33 PM) ?
panov: (1:33 PM) не записал клик-)
McSimm: (1:34 PM) 100% шпион
Но где и как ты его поймал???
panov: (1:34 PM) без понятия.
panov: (1:35 PM) единственную игрушку установил, скачав по ссылке с нашего сайта из форума "игры"
panov: (1:35 PM) игра "танки"
McSimm: (1:35 PM) Дай ссылку
panov: (1:35 PM) посмотреть скачал
panov: (1:36 PM) http://delphimaster.net/view/9-1061483903/
McSimm: (1:36 PM) http://www.fromko.narod.ru/Tanks2.exe
Это?
panov: (1:36 PM) сегодня правда MSSQL установил - клиента
panov: (1:36 PM) да
panov: (1:36 PM) это
panov: (1:38 PM) Срочно у этого e****** посмотри анкету...
panov: (1:39 PM) есть ли там скрипты какие...
panov: (1:39 PM) при просмотре анкеты в этот файл добавляются строки
McSimm: (1:39 PM) Вроде нету...
McSimm: (1:39 PM) Уже интересно
panov: (1:40 PM) Сейчас попробую другую анкету посмотреть
McSimm: (1:40 PM) Анкета чиста перед законом
panov: (1:40 PM) вроде снова открыл его анкету - не добавляются строки
panov: (1:41 PM) ситуация такая:
panov: (1:41 PM) в IE на нике выбираю в popup-меню "копировать ярлык"
panov: (1:42 PM) сразу добавляются строки в этот файл
panov: (1:42 PM) похоже червяк
McSimm: (1:42 PM) Шпигун
McSimm: (1:42 PM) :)
panov: (1:42 PM) еще и шпиён
panov: (1:42 PM) -)
panov: (1:43 PM) теперь надо ссылку искать на Rundllw
panov: (1:44 PM) началось сегодня.
Есдинственное, что установил сегодня - MSSQL
McSimm: (1:44 PM) А таки?
McSimm: (1:44 PM) танки
panov: (1:44 PM) танки не сегодня
McSimm: (1:45 PM) Rundllw.exe пришли-ка
McSimm: (1:45 PM) Поизучаю
panov: (1:45 PM) сейчас пришлю
panov: (1:45 PM) у меня w2000
McSimm: (1:45 PM) xxx@xxx.com
panov: (1:48 PM) хм... посмотрел на размер... что-то до боли знакомое...
по-моему в прошлогм году бился я вручную с чем-то похожим
McSimm: (1:50 PM) Сжат UPX
panov: (1:50 PM) тогда это не тот
panov: (1:50 PM) а может и тот
panov: (1:50 PM) не помню... давно было
McSimm: (1:51 PM) Интересные в нем строчки :)
McSimm: (1:52 PM) WEbMoney пытается воровать
panov: (1:52 PM) жуть какая
McSimm: (1:52 PM) Имена:
"\dllreg.exe"
"\guid32.dll"
"\load32.exe"
"\rundlln.sys"
"\rundllw.exe"
"\rundllx.sys"
"\rundllz.sys"
"\TEMP\1.eml"
"\TEMP\pwl.tmp"
"\vxdload.log"
"\vxdmgr32.exe"
"\windrive.exe"
"\winimg.exe"


 
panov   (2003-08-29 16:00) [2]

panov: (1:53 PM) блин... вот паразит
McSimm: (1:53 PM) Просмотри ключи:
"SOFTWARE\Far\Plugins\FTP\Hosts"
"Software\Microsoft\Internet Account "
"Software\Microsoft\Windows\CurrentVersion"
"Software\Microsoft\Windows\CurrentVersion\Expl"
"Software\Microsoft\Windows\CurrentVersion\Run"
"SOFTWARE\Mirabilis\ICQ\Owners"
"Software\SARS"
"SOFTWARE\WebMoney\Options"
McSimm: (1:53 PM) Все ворует, адреса, явки, пароли.
ICQ, почту, WM
McSimm: (1:54 PM) Вот еще интересные строчки
"TCP BACKDOOR CONNECTED"
"THIS MACHINE IS CRACKED"
McSimm: (1:54 PM) "OK SCREEN CAPTURED"
McSimm: (1:55 PM) kollekt-info@mail.ru
panov: (1:56 PM) хм...
McSimm: (1:56 PM) См. также
"win.ini"
"system.ini"
McSimm: (1:58 PM) Сделай поиск
ZAUINST.EXE
panov: (1:58 PM) файл поискать или строку в файлах?
McSimm: (1:58 PM) Файл
McSimm: (1:58 PM) Ты FAR пользуешся?
panov: (1:59 PM) да
McSimm: (1:59 PM) По FTP ходишь?
panov: (1:59 PM) угу
McSimm: (1:59 PM) Из FAR
panov: (1:59 PM) в реестре только мои ссылки
panov: (1:59 PM) FTP
panov: (1:59 PM) посмотрел
panov: (2:00 PM) нет такого файла...
McSimm: (2:00 PM) Он во-первых пароли оттуда может воровать, во вторых может попытаться установить атрибуты - rwxrwxrwx
McSimm: (2:00 PM) Т.е. FULL Control
panov: (2:00 PM) вот, опять начал пытаться пробиться...
panov: (2:00 PM) по SMTP
panov: (2:00 PM) mxs.mail.ru
panov: (2:01 PM) mx1.yandex.ru
panov: (2:01 PM) mxd.rambler.ru
panov: (2:01 PM) relay.hotbox.ru
panov: (2:01 PM) mail.xaker.ru
panov: (2:02 PM) гы... AV для RundllW.exe вылетело
McSimm: (2:05 PM) LOL

Я его ящик взломал !!!
panov: (2:05 PM) как так?
McSimm: (2:05 PM) Пароль нашел в rundllw :)
McSimm: (2:06 PM) В Вашем почтовом ящике kollekt-info@mail.ru
38 непрочитанных сообщений


panov: (2:06 PM) адреса обратные есть?
McSimm: (2:06 PM) address@yandex.ru в основном
panov: (2:07 PM) скажи пароль??
McSimm: (2:07 PM) <ВЦ>
panov: (2:07 PM) когда заходил первый раз, тебе сказали, с какого адреса последний вход был?
McSimm: (2:07 PM) Нет
panov: (2:07 PM) жаль-)
McSimm: (2:08 PM) Вот, а там письма с награбленным
panov: (2:08 PM) слушай... какой кошмар...
McSimm: (2:08 PM) Предлагаю связаться с mail.ru
McSimm: (2:09 PM) Или самим украсть ящик :)
panov: (2:09 PM) давай, свяжись
panov: (2:09 PM) -))))
McSimm: (2:09 PM) Не, второе не годится
McSimm: (2:09 PM) Потом нас примут за владельцев
panov: (2:09 PM) угу

...

panov: (2:14 PM) уже связался?
McSimm: (2:14 PM) Пишу.

Для начала я забрал себе копии всех писем
panov: (2:15 PM) просто я просмотреть уже не могу
McSimm: (2:15 PM) Почему?
panov: (2:15 PM) ты сейчас в сессии на mail?
McSimm: (2:15 PM) Уже вышел.
Забираю по POP3
panov: (2:16 PM) количество непрерывно пополняется
McSimm: (2:16 PM) Да.
panov: (2:16 PM) блин
panov: (2:17 PM) срочно надо связаться с mail.ru
panov: (2:20 PM) Марина идентифицировала его
McSimm: (2:20 PM) Это не он, я посмотрел
McSimm: (2:21 PM) Совпадение
panov: (2:21 PM) да, это не он, просто шпионит за клавиатурой
panov: (2:21 PM) http://forum.drweb.ru/view/45442
panov: (2:24 PM) а ты заметь - там всего 50 писем
McSimm: (2:26 PM) Отправил на mail.ru
Уважаемая администрация.

Мной и моими коллегами был пойман вирус, который установившись на компьютер, пытается (успешно) воровать информацию с компьютера. Например пароли ICQ, WebMoney, почтовые, FTP и прочие.

Анализ тела вируса показал, что для сбора всей этой информации используется ящик в вашей почтовой системе, а именно kollekt-info@mail.ru

Вы можете убедится в этом, посмотрев на письма, постоянно пополняющие этот ящик.
Из тела вируса я достал пароль (уж не знаю зачем автор его туда поместил) и зашел проверить прежде, чем писать Вам письмо.

Вирус маскируется в компьютере под именами
"\dllreg.exe"
"\guid32.dll"
"\load32.exe"
"\rundlln.sys"
"\rundllw.exe"
"\rundllx.sys"
"\rundllz.sys"
"\vxdmgr32.exe"
"\windrive.exe"
"\winimg.exe"

И подобными.

Ни один из имеющихся антивирусных пакетов его пока не определяет, авторам антивирусных пакетов я собираюсь написать отчет об этом также.

Просьба принять меры по блокированию указанного почтового адреса, а также, по возможности, другие санкции.

Спасибо.
panov: (2:27 PM) угу, нормально

...

McSimm: (2:38 PM) Он и БК пытается воровать :)
panov: (2:38 PM) -0
panov: (2:41 PM) http://www.symantec.ca/avcenter/venc/data/backdoor.nibu.html
McSimm: (2:41 PM) Я смотрел. Не похож
McSimm: (2:42 PM) Хотя...
McSimm: (2:42 PM) Точно он
panov: (2:43 PM) угу
McSimm: (2:43 PM) Logs key strokes
Steals WebMoney information
Steals clipboard data
Steals ICQ information
Creates a process log, Vxdload.log, in the %Windir% folder
Steals PWL files
Sends stolen information to specific email addresses
Opens/closes the CD-ROM drive
Plays a .Wav file
McSimm: (2:44 PM) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"load32" = "%System%\load32.exe"

Смотрел?
panov: (2:44 PM) еще не успел. сейчас начну заниматься активно
McSimm: (2:51 PM) А разжатый файл определяется

29 августа 2003 г. 12:42 AVP Сканер закончил:
AVP32 проверяет 08.29.03 13:48:13

e:\temp\vir\rundllw.exe обнаружен вирус Backdoor.Small.f

panov: (2:51 PM) а сжатый?
McSimm: (2:51 PM) Вроде - нет
panov: (3:27 PM) DrWeb - нашел
McSimm: (3:27 PM) Сжатый?
panov: (3:27 PM) http://online.drweb.ru/
panov: (3:29 PM) Касперский не ловит...
McSimm: (3:29 PM) У меня поймал, только распакованный
panov: (3:34 PM) жаль... ридется DRWebискать


 
Dmitriy O.   (2003-08-29 16:12) [3]


> panov: (2:07 PM) скажи пароль??
> McSimm: (2:07 PM) <ВЦ>
Чето не действует пароль.


 
McSimm   (2003-08-29 16:16) [4]

Резюмирую, т.к. наверняка не все захотят читать и разбираться в диалоге.

Обязательно проверьте свою машину на наличие файлов
"\guid32.dll"
"\load32.exe"
"\rundlln.sys"
"\rundllw.exe"
"\rundllx.sys"
"\rundllz.sys"
"\vxdmgr32.exe"
"\windrive.exe"
"\winimg.exe"

Проверьте также активные процессы.

Если вы обнаружите этот троян у себя, срочно меняйте свои пароли, где только можете.

Просмотренные мной письма из почтового ящика, которые троян использует для отправки информации показывают, что вы реально можете лишиться практически любых паролей на WEB ресурсы (БК, например), на ICQ, на FTP, на почту, и т.д.


 
HolACost!   (2003-08-29 16:16) [5]

Господа, а можно более менее полный список возможных файлов и хотелосьбы заиметь его себе!!! - для изучения!


 
McSimm   (2003-08-29 16:21) [6]


> > panov: (2:07 PM) скажи пароль??
> > McSimm: (2:07 PM) <ВЦ>
> Чето не действует пароль.

<ВЦ> - вырезано цензурой :)


> заиметь его себе!!! - для изучения!

Не раньше, чем mail.ru прикроет ящик.


 
HolACost!   (2003-08-29 16:22) [7]

Ok!


 
panov   (2003-08-29 16:23) [8]

активный процесс, который занимается сбором - rundllw.exe

rundllw.exe может находиться в каталоге автозагрузки.
последний DRWeb обнаруживает трояна и лечит


 
McSimm   (2003-08-29 16:23) [9]

>Не раньше, чем mail.ru прикроет ящик.

Хотя, пожалуй и не позже.
Т.к. заменить в вирусе адрес и использовать его для своих нужд несложно.


 
HolACost!   (2003-08-29 16:29) [10]

Типа если надо и найти другой можно - интерес чисто профессиональный!:)


 
nikkie   (2003-08-29 16:39) [11]

panov: (1:41 PM) ситуация такая:
panov: (1:41 PM) в IE на нике выбираю в popup-меню "копировать ярлык"
panov: (1:42 PM) сразу добавляются строки в этот файл

то есть это и есть метод попадания трояна? а можете найти описание этой дыры у microsoft? в идеале бы сразу ссылку патч :)


 
McSimm   (2003-08-29 16:54) [12]


> nikkie © (29.08.03 16:39) [11]

Нет. Это реакция активного вируса.

Вирус ведет KeyLog, а также собирает информацию из разных мест в системе, например из IE AutoComplete, из почтовых баз, из FTP плугина для FAR.

Заражение машины происходит обычным способом - запуском какой-нибудь зараженной программы.


 
nikkie   (2003-08-29 16:59) [13]

спасибо, уcпокоили :))


 
Adder   (2003-08-29 17:10) [14]

> nikkie © (29.08.03 16:59) [13]
> спасибо, уcпокоили :))

хм.... рано успокоился, имхо -)


 
Anatoly Podgoretsky   (2003-08-29 17:16) [15]

http://vil.nai.com/vil/content/v_100560.htm

DUMARU


 
panov   (2003-08-29 18:00) [16]

>C:\Documents and Settings\panov.GKBANK\Главное меню\Программы\Автозагрузка\rundllw.exe инфицирован BackDoor.Dumaru - удален
>C:\Documents and Settings\panov.GKBANK\Главное меню\Программы\Автозагрузка\rundllw.zip\rundllw.exe - защищен паролем - пропущен
>C:\Program Files\The Bat!\MAIL\_panov_\Outbox\MESSAGES.TBB\rundllw.exe инфицирован BackDoor.Dumaru
>C:\WINNT\dllreg.exe инфицирован BackDoor.Dumaru - удален
C:\WINNT\guid32.dll инфицирован Trojan.SilentLog - удален
C:\WINNT\windrive.exe инфицирован Trojan.SilentLog - удален
>C:\WINNT\winimg.exe инфицирован Trojan.PWS.Dumaru - удален
>C:\WINNT\system32\load32.exe инфицирован BackDoor.Dumaru - удален
>C:\WINNT\system32\vxdmgr32.exe инфицирован BackDoor.Dumaru - удален
---------------------------------------------------------------------- -------
Статистика проверки
---------------------------------------------------------------------- -------
Объектов проверено: 67250
Инфицированных: 10
Инфицированных модификациями: 0
Подозрительных: 0
Исцелено: 0
Удалено: 8
Переименовано: 0
Перемещено: 0
Скорость проверки: 909 Kb/s
Время проверки: 00:50:12
---------------------------------------------------------------------- -------

И откуда взялись - непонятно...

Никогда за собой не замечал такой расслабленности...


 
Romkin   (2003-08-29 18:33) [17]

Ну ты попал :))))
Талантливо


 
Rouse_   (2003-08-29 20:28) [18]

> panov ©
Одно только осталось непроясненным, где ты его поймал? У нас на сайте или где дальше на просторах?

Желаю успехов



Страницы: 1 вся ветка

Форум: "Потрепаться";
Текущий архив: 2003.09.18;
Скачать: [xml.tar.bz2];

Наверх




Память: 0.52 MB
Время: 0.01 c
1-58651
DelphiNew
2003-09-04 15:40
2003.09.18
OnKeyPress


6-58818
shane54
2003-07-15 18:37
2003.09.18
Вопрос по программированию рутера


1-58719
Yuraz
2003-09-02 09:01
2003.09.18
Помогите доработать код, ввод Edit только цифр+запятая+backsp


3-58527
SiJack
2003-08-28 13:58
2003.09.18
Организация работы с базой


8-58789
Still Swamp
2003-05-20 15:00
2003.09.18
mciSendCommand в в трэде косячит.





Afrikaans Albanian Arabic Armenian Azerbaijani Basque Belarusian Bulgarian Catalan Chinese (Simplified) Chinese (Traditional) Croatian Czech Danish Dutch English Estonian Filipino Finnish French
Galician Georgian German Greek Haitian Creole Hebrew Hindi Hungarian Icelandic Indonesian Irish Italian Japanese Korean Latvian Lithuanian Macedonian Malay Maltese Norwegian
Persian Polish Portuguese Romanian Russian Serbian Slovak Slovenian Spanish Swahili Swedish Thai Turkish Ukrainian Urdu Vietnamese Welsh Yiddish Bengali Bosnian
Cebuano Esperanto Gujarati Hausa Hmong Igbo Javanese Kannada Khmer Lao Latin Maori Marathi Mongolian Nepali Punjabi Somali Tamil Telugu Yoruba
Zulu
Английский Французский Немецкий Итальянский Португальский Русский Испанский