ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
17.11.2008, 11:36
|
|
Флудер
Регистрация: 21.06.2006
Сообщений: 3,193
Провел на форуме:
12702287
Репутация:
4738
|
|
Trojan.Win32.Autoit.fd
Интересует механизм распространения по локальной сети + что он делает?
|
|
|
18.11.2008, 11:11
|
|
Постоянный
Регистрация: 08.05.2006
Сообщений: 816
Провел на форуме:
1845671
Репутация:
1338
|
|
Также интересно... Нашел у себя в локалке, появляется в Share-папках но не пойму какой комп их туда бросает )
|
|
|
|
18.11.2008, 11:21
|
|
Флудер
Регистрация: 21.06.2006
Сообщений: 3,193
Провел на форуме:
12702287
Репутация:
4738
|
|
Сообщение от GlOFF
Также интересно... Нашел у себя в локалке, появляется в Share-папках но не пойму какой комп их туда бросает )
Аналогичная трабла, чем бы запалить запись в шару (Ip компа) , рассылку как я понял делает не постоянно, а раз в сутки. Вчера во всех шарах поубивали, сегодня снова разослал, после удаления из шары уже не шлёт...
P.S. Используется простой общий доступ к файлам и принтерам, без контроллера домена, AD и т.д.
пациент на VirusTotal
UP:
Начал тестить тварь в виртуалке, первая инфа:
1. Создаёт ключи реестра для своего автозапуска, в системе виден после запуска как процесс csrcs.exe запускаемый из System32.
Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"csrcs"="C:\WINNT\system32\csrcs.exe"
Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe csrcs.exe"
Меняет настройки безопасности и устанавливает настройки плагинов IE
Код:
18.11.2008 12:03:27 Процесс C:\Documents and Settings\Администратор\Рабочий стол\pvjdqh.exe (PID: 1772): подозрительное действие. Попытка записи настройки безопасности компьютера (ключ HKEY_USERS\S-1-5-21-2025429265-1606980848-1708537768-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, значение Hidden, данные 0x00000002 (2)).
18.11.2008 12:04:04 Процесс C:\Documents and Settings\Администратор\Рабочий стол\pvjdqh.exe (PID: 1772): попытка записи настройки безопасности компьютера (ключ HKEY_USERS\S-1-5-21-2025429265-1606980848-1708537768-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, значение Hidden, данные 0x00000002 (2)) разрешена.
18.11.2008 12:04:05 Процесс C:\Documents and Settings\Администратор\Рабочий стол\pvjdqh.exe (PID: 1772): подозрительное действие. Попытка записи настройки безопасности компьютера (ключ HKEY_USERS\S-1-5-21-2025429265-1606980848-1708537768-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, значение ShowSuperHidden, данные 0x00000000 (0)).
18.11.2008 12:04:08 Процесс C:\Documents and Settings\Администратор\Рабочий стол\pvjdqh.exe (PID: 1772): попытка записи настройки безопасности компьютера (ключ HKEY_USERS\S-1-5-21-2025429265-1606980848-1708537768-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, значение ShowSuperHidden, данные 0x00000000 (0)) разрешена.
18.11.2008 12:05:43 Процесс C:\Documents and Settings\Администратор\Рабочий стол\pvjdqh.exe, обнаружено: потенциально опасное ПО 'Trojan.generic' (модификация).
18.11.2008 12:05:57 Процесс C:\Documents and Settings\Администратор\Рабочий стол\pvjdqh.exe (PID: 1772): попытка выполнения подозрительных действий разрешена.
18.11.2008 12:05:57 Процесс C:\Documents and Settings\Администратор\Рабочий стол\pvjdqh.exe, обнаружено: потенциально опасное ПО 'Trojan.generic' (модификация).
18.11.2008 12:05:59 Процесс C:\Documents and Settings\Администратор\Рабочий стол\pvjdqh.exe (PID: 1772): попытка выполнения подозрительных действий разрешена.
18.11.2008 12:09:47 Процесс C:\WINNT\Explorer.EXE (PID: 1212): подозрительное действие. Попытка создания настройки плагинов для браузера Microsoft Internet Explorer (ключ HKEY_USERS\S-1-5-21-2025429265-1606980848-1708537768-500\Software\Microsoft\Internet Explorer\Toolbar\Explorer, значение ITBarLayout, данные 11 00 00 00 4c 00 00 00 00 00 00 00 24 00 00 00 1b 00 00 00 52 00 00 00 01 00 00 00 20 07 00 00 a0 0f 00 00 05 00 00 00 62 05 00 00 26 00 00 00 02 00 00 00 21 07 00 00 a0 0f 00 00 04 00 00 00 21 01 00 00 a0 0f 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00).
18.11.2008 12:10:13 Процесс C:\WINNT\Explorer.EXE (PID: 1212): попытка создания настройки плагинов для браузера Microsoft Internet Explorer (ключ HKEY_USERS\S-1-5-21-2025429265-1606980848-1708537768-500\Software\Microsoft\Internet Explorer\Toolbar\Explorer, значение ITBarLayout, данные 11 00 00 00 4c 00 00 00 00 00 00 00 24 00 00 00 1b 00 00 00 52 00 00 00 01 00 00 00 20 07 00 00 a0 0f 00 00 05 00 00 00 62 05 00 00 26 00 00 00 02 00 00 00 21 07 00 00 a0 0f 00 00 04 00 00 00 21 01 00 00 a0 0f 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00) разрешена.
Пытается бороться с Антивирусом Касперского:
18.11.2008 12:56:31 Попытка процесса с PID 1092 получения доступа к процессу Антивирус Касперского с PID 1368 была заблокирована. Это результат срабатывания механизма самозащиты.
2. Далее использует стандартные комманды cmd:
- сначала пингует что-то (даже при откл. сетевом подключении, скорее всего пытается отстучаться).
- затем скорее всего пытается определить конфигурацию сети (c помощью ipconfig) - на данном этапе у меня был отключен сетевой адаптер - так что это только предположение из его дальнейших действий:
- поскольку класс подсети он не смог определить, стал тупо сканить по диапазону 127.0.0.2-127.0.0.255 (используя комманду net view)
продолжение следует...
Последний раз редактировалось -=lebed=-; 18.11.2008 в 15:09..
|
|
|
|
18.11.2008, 16:14
|
|
Флудер
Регистрация: 21.06.2006
Сообщений: 3,193
Провел на форуме:
12702287
Репутация:
4738
|
|
Такс... вроде нашёл чем определить откуда идёт рассылка, качаем NetBIOS Monitor (http://www.freeware.ru/program_prog_id_12524.html) смотрим подозрительную (частую) активность IP. Идём на тачки и проверям факт заражения (по процессам, ключам реестра).
У меня три машины обнаружились с интенсивной активностью по NetBIOS...
P.S. Пошёл их проверять, продолжение следует...
Последний раз редактировалось -=lebed=-; 18.11.2008 в 16:17..
|
|
|
|
18.11.2008, 17:09
|
|
Флудер
Регистрация: 21.06.2006
Сообщений: 3,193
Провел на форуме:
12702287
Репутация:
4738
|
|
Одного прихлопнул, ломился в интернет на следующие сайты:
Код:
LEMOX.MYHOME.CX
ZKARMY.DIP.JP
TONKOR.OR.TP
DIESAM.MOE.HM
- правда на шлюзе авторизация, так что безуспешно...
P.S. Заходить не рекомендую, потому как сайты походу заряжены свежими сплоитами (по крайней мере у Оперы 9.51 сносит крышу).
Последний раз редактировалось -=lebed=-; 18.11.2008 в 17:14..
|
|
|
|
18.11.2008, 19:26
|
|
Постоянный
Регистрация: 08.05.2006
Сообщений: 816
Провел на форуме:
1845671
Репутация:
1338
|
|
Спасибо... Попробую по твоей методики выслить заразу..  |
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
