Форум АНТИЧАТ
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Защита ОС: вирусы, антивирусы, файрволы. (https://forum.antichat.xyz/forumdisplay.php?f=80)
-   -   не понятный файл (https://forum.antichat.xyz/showthread.php?t=164950)

Belov 20.12.2009 20:15
Непонятный файл
 
Приветствую всех,

кинули мне урл [http://78.58.10.46:33202/ru/Belov/Italy?i=Belov&l=ru&t=e] если зайти то автоматический спрашивает скачать фаил екзе, хочу узнать что он делает и т.д.

просьба помочь, вот ссылка от вирустотал http://www.virustotal.com/ru/analisis/a987476c81263673b2b0964ee0bff6d7941cc205227744db64 a896b305107523-1261324420

вроде вирус, но всё таки хочу знать подробности о нём

с ув. Белов

(Dm) 20.12.2009 20:24
тебя привлекло название файла, я так понял)

http://78.58.10.46:33202/ru/xxx/xuyznaet?i=Ebat-ebat&l=ru&t=e
да вирус скорее всего... что делает не знаю) ну лучше думаю не ставить

Belov 20.12.2009 20:26
Да,прикол в этом если изменить чуть урл то и имя файла также, также мне файл кинул одна девушка которую знаю я, по этому хотел проверить и мне кажется она тоже попала в этот вирус т.к. у неё скайп тупит (через скайп мне кинули урл )

lukmus 20.12.2009 22:18
Зашел под линуксом и он выдал:
Цитата:
<h1> а�б�аЖаНаО Microsoft аОаПаЕб�аАб�аИаОаНаНаАб� б�аИб�б�аЕаМаА аДаЛб� аПб�аОб�аМаОб�б�аА б�б�аОаЙ б�б�б�аАаНаИб�б�.</h1>
или в переводе на utf-8
Цитата:
Нужно Microsoft операционная система для просмотра этой страницы.

root_sashok 20.12.2009 22:31
Залейте куда-нибудь. У меня при смене юзерагента тоже не качает, требует Microsoft OS.

Belov 20.12.2009 22:51
вот "Скачать файл Belov.exe"

root_sashok 20.12.2009 23:10
http://s43.radikal.ru/i100/0912/47/23be111ef9bf.png

Вот-с, куда мы ломимся... Завтра отснифаю передаваемые данные. Какой-то забугорный вор паролей, не? :D

Belov 20.12.2009 23:30
отлично вот уже что то интересное про вир ) держи плюсег, жду до завтра когда ты там закончишь

root_sashok 21.12.2009 00:00
Итак. Сначала мы ломимся на 80 порт, представляемся как винда, ну и т.д. Забираем айпишник.

http://i070.radikal.ru/0912/40/fa994a69c477.png

Все запросы примерно одинаковые. Что получаем. А получаем вот такую замысловатую штуку, которую я не до конца понял засыпающим мозгом:

http://i038.radikal.ru/0912/20/749a1eeeffe0.png

По крайней мере напрягает reset password, а еще какой-то sms token. До конца смысл трояна я не понял, по-моему, никуда ничего не отсылает, лишь что-то меняет. Хм.

Мелькнула сумасшедшая идея: а не отправляет ли он никакую смс-ку с данными? :o :D

UPD: Ломится еще сюда:

Код:
87.116.85.7
93.116.120.207
Больше ничего в логах сниффера не нашел (интересно, разве что, что он ломится в гугл, подставляет cookie, и делает какую-то не понятную вещь, которая вообще возвращает ошибку 302 :D).

Странно, если данные отсылаются на айпишник, каким образом он их принимает? :eek:

Эх, вот это натупил. Завтра наверное ржать буду с этого :D

Вообщем-то, наверное, бояться ничего не нужно. Просто не качай этот левый файл. Мне кажется, он ориентирован на забугорных юзеров (сайты популярны в США и т.д, да еще перевод на странице вируса кривой).

Belov 21.12.2009 02:06
запустил на тест машине, фаерволл вроди промолчал значит он не посылает инфа через веб, кароче он посылает этот вирус через скаип то есть заражёные посылает кауето тупь с ссылкой на вирус и ссылка постоянно меняется то есть мне с одного акка послали 10 разных ип с разными портами на урл вируса я писал заражёному но тупо игнор видел что заражёный говорит с кем то и всё что говорил я видел, похоже было что заражёный говорит сам с собой ))
только в вирусе вроде ничего не сказано про скаип не поиму тогда прикола с рассылкой вируса.

Спасибо "root_sashok" что помог с вирусом


Время: 16:49
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице