Главная страница
Регистрация
Вход

Среда, 13.11.2019, 13:10
Приветствую Вас Гость | RSS
uz-ru hack
[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 1
  • 1
Модератор форума: Manowar  
Форум » Андерграунд » Вирусология » новый троян!!!!
новый троян!!!!
SNG-xakersДата: Среда, 13.06.2007, 22:10 | Сообщение # 1
Admin
Группа: Администраторы
Сообщений: 32
Репутация: 1
Статус: Offline
Вчера вечером сидел в нете...(как всегда)
отключил антивира...и всех других программ,осталось тока файрик Аутпост !
через 30мин сморю иконка аутпоста нету (около часиков),я сразу подумал что энто вирус,открыл диспетчера тама ничево такого нету,потом отркыл Phuntera ,есть скрытый процесс! название:9129837.exe,сразу убыл процесса,и открыл Hjackthis,реестр был изменен,автозагрузка C:\WINDOWS\9129837.exe! и еще 4файлика OP_CACHE! сразу удалил,перезагрузил,и проверил весь комп!
9129837.exe энто новый мощный троян Trojan.DR.Cimuz.Gen.1
инфа:
When it loads up, the initial file (bend.exe) drops a device driver from within its data section. This file (hide_evr2.sys) hooks/patches the service descriptor table and intercepts calls to zwQueryDirectoryFile, zwEnumerateValueKey, and zwQuerySystemInformation. The driver then uses them to hide the existence of its files and its service from programs such as the services dialog, task manager, command line directory listing, and windows explorer. From this point on, an average end user will have no idea that the trojan is even running on their system.
bend.exe also copies itself into the windows directory under the name 9129837.exe (The name would seem random, but is quite fixed - and is in fact a recognizable feature of the UrSnif trojan), and creates the service '!!!!' which loads the hide_evr2.sys driver file. The trojan then sets itself up to run automatically every time the computer starts up with a simple registry entry in the run key referencing 9129837.exe.
на русском:
когда вы заходите на заражонный сайт ,к вам загружается файлик 9129837.exe!
этот файл качает с нете других частей троя,каких то dll,на %sistem32%.
энтот троян отправляет хозяену всех ващых пассов! ВСЕХ!!!!
сниффует Ftp,Pop3,IMAP, и ICQ traffic.
Желателно обновить базу антивира,и проверить весь комп,
после чего измените всех пассов !!даже Http сайтов! даже вы не сохраняете !
еще че нить будеть пишите!
 
ManowarДата: Четверг, 14.06.2007, 10:14 | Сообщение # 2
гегабайт
Группа: Модераторы
Сообщений: 35
Репутация: 1
Статус: Offline
Да, а кто-то о похом вчера подумал! Усамнился в ком-то! )))) Вот! ВОТ тот случай! Помните я еще на старом форуме писал про обход файрика. Надо больше узнать про это.

Всё, что защищено - взламывается!
 
SNG-xakersДата: Четверг, 14.06.2007, 17:54 | Сообщение # 3
Admin
Группа: Администраторы
Сообщений: 32
Репутация: 1
Статус: Offline
я же тя сказал когда мы прошались,что у мну с компом чот нето,вот тогда проверил всех папок где могуть быть вреданосные проги,вот и в папке видноувса нашел энтот прогу,потом заблокировал ,искал инфу в гугле,но теперь все будеть ок!-)))
p.s:Антвира тоже выключает!
 
Dark_AngelДата: Четверг, 14.06.2007, 19:29 | Сообщение # 4
Хацкер
Группа: Модераторы
Сообщений: 33
Репутация: 1
Статус: Offline
Опа... Не знаю кого имел ввиду Manowar, но это не я... biggrin biggrin biggrin Надо инфу нарывать срочно. В идеале код этой заразы достать... SNG-xakers, ты себе в архивчик копию троя не сохранил? Можно его дизассемблернуть попробовать. Может и получиться что нить.
 
ManowarДата: Пятница, 15.06.2007, 12:21 | Сообщение # 5
гегабайт
Группа: Модераторы
Сообщений: 35
Репутация: 1
Статус: Offline
Я думаю что он его убил с концами. А то бы хороший экземпляр был. Я его долго ищу.

Всё, что защищено - взламывается!
 
Dark_AngelДата: Суббота, 16.06.2007, 15:03 | Сообщение # 6
Хацкер
Группа: Модераторы
Сообщений: 33
Репутация: 1
Статус: Offline
Мда... похоже кому-то повезло в поисках больше. biggrin
 
SNG-xakersДата: Суббота, 23.06.2007, 22:28 | Сообщение # 7
Admin
Группа: Администраторы
Сообщений: 32
Репутация: 1
Статус: Offline
мля,где то у мну ссилка была на зараженный сайт!-))
 
ManowarДата: Суббота, 23.06.2007, 23:49 | Сообщение # 8
гегабайт
Группа: Модераторы
Сообщений: 35
Репутация: 1
Статус: Offline
Есть ссылка?

Всё, что защищено - взламывается!
 
Dark_AngelДата: Понедельник, 02.07.2007, 21:40 | Сообщение # 9
Хацкер
Группа: Модераторы
Сообщений: 33
Репутация: 1
Статус: Offline
Давай колись!!! =)))))))))
 
Форум » Андерграунд » Вирусология » новый троян!!!!
  • Страница 1 из 1
  • 1
Поиск:


Copyright SnG TeaM © 2007