Форум АНТИЧАТ - 3127 trojan => W32.Mydoom

УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz

		Форум АНТИЧАТ > Безопасность и Уязвимости > Безопасность > Windows
3127 trojan => W32.Mydoom

Опции темы

Поиск в этой теме

Опции просмотра

3127 trojan => W32.Mydoom

01.01.2006, 22:27

WerMRolenT

Новичок

Регистрация: 25.11.2005

Сообщений: 3

Провел на форуме:
16225

Репутация: 0

3127 trojan => W32.Mydoom

3127 trojan => W32.Mydoom
У меня вопрос! Я редко встречался с Троянами…. Так вот нужной мне машине сканом нашёл, во всю работающего червя : )
Можно его по иметь, в своих целях, типа ред админа, есть у него что то вроде терминала, доступа…. (-может это покажется смешным- я в самом деле редко имел дело с червями).

02.01.2006, 12:35

Ruax

Новичок

Регистрация: 25.11.2005

Сообщений: 21

Провел на форуме:
49193

Репутация: 3

Отправить сообщение для Ruax с помощью ICQ

W32.Mydoom.AH@mm - это червь массовой рассылки, который эксплуатирует уязвимость удаленного переполнения буфера в Microsoft Internet Explorer в тэге IFRAME. Распространяется червь, рассылая себя по email адресам, которые найдет на зараженном компьютере.

При запуске W32.Mydoom.AH@mm выполняет следующие действия:

1. Создает файл %System%\[random name]32.exe.

2. Добавляет значение:

"Reactor5" = "%System%\[random name]32.exe"

в ключ реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run

3. Может создать следующие ключи реестра:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\
Explorer\ComExplore
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\
Explorer\ComExplore\Version
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
Explorer\ComExplore
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
Explorer\ComExplore\Version

4. Удаляет следующие значения:

# center
# reactor
# Rhino
# Reactor3
# Reactor4

из ключа реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run

5. Пытается внедрить свой код в качестве потока в любой процесс с window class name "Shell_TrayWnd" или в любой запущенный высокоприоритетный процесс. Если это червю удалось, то он продолжает выполняться внутри зараженного процесса. Все действия, описываемые в следующих пунктах выполняет зараженный процесс, а червь становится невидимым в списке процессов в Windows Task Manager. Если червю не удалось внедрить свой код, то он продолжает выполнятьтся как собственный процесс.

6. Собирает email адреса из Windows address book и из файлов с расширениями:

# .txt
# .htmb
# .shtl
# .phpq
# .aspd
# .dbxn
# .tbbg
# .adbh
# .pl
# .wab

7. Использует собственный SMTP механизм для того, чтобы разослать себя по найденным email адресам.

8. Открывает 1639 TCP порт для команд.

9. Пытается соединиться со следующими IRC серверами по 6667 TCP порту:

# broadway.ny.us.dal.net
# brussels.be.eu.undernet.org
# caen.fr.eu.undernet.org
# ced.dal.net
# coins.dal.net
# diemen.nl.eu.undernet.org
# flanders.be.eu.undernet.org
# graz.at.eu.undernet.org
# london.uk.eu.undernet.org
# los-angeles.ca.us.undernet.org
# lulea.se.eu.undernet.org
# ozbytes.dal.net
# qis.md.us.dal.net
# vancouver.dal.net
# viking.dal.net
# washington.dc.us.undernet.org

10. Прекращает работу 16-го декабря 2004 года.

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

А вообще попробуй приконнектица к тачке на 3127 порт..

>telnet 127.0.0.1 3127

Отпиши что скажет..

« Предыдущая тема | Следующая тема »

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Вирус?	PSalm69	Болталка	7	16.11.2005 13:05

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход