 |
|
20.12.2009, 20:15
|
|
Познающий
Регистрация: 04.08.2008
Сообщений: 78
С нами:
9351217
Репутация:
7
|
|
Непонятный файл
Приветствую всех,
кинули мне урл [http://78.58.10.46:33202/ru/Belov/Italy?i=Belov&l=ru&t=e] если зайти то автоматический спрашивает скачать фаил екзе, хочу узнать что он делает и т.д.
просьба помочь, вот ссылка от вирустотал http://www.virustotal.com/ru/analisis/a987476c81263673b2b0964ee0bff6d7941cc205227744db64 a896b305107523-1261324420
вроде вирус, но всё таки хочу знать подробности о нём
с ув. Белов
Последний раз редактировалось Keltos; 23.12.2009 в 15:05..
Причина: Грамматика
|
|
|
20.12.2009, 20:24
|
|
Reservists Of Antichat - Level 6
Регистрация: 08.04.2008
Сообщений: 286
С нами:
9521666
Репутация:
1695
|
|
тебя привлекло название файла, я так понял)
http://78.58.10.46:33202/ru/xxx/xuyznaet?i=Ebat-ebat&l=ru&t=e
да вирус скорее всего... что делает не знаю) ну лучше думаю не ставить
__________________
Cервер cs 1.6
cs.antichat.net:27015
|
|
|
|
20.12.2009, 20:26
|
|
Познающий
Регистрация: 04.08.2008
Сообщений: 78
С нами:
9351217
Репутация:
7
|
|
Да,прикол в этом если изменить чуть урл то и имя файла также, также мне файл кинул одна девушка которую знаю я, по этому хотел проверить и мне кажется она тоже попала в этот вирус т.к. у неё скайп тупит (через скайп мне кинули урл )
Последний раз редактировалось Keltos; 23.12.2009 в 15:06..
|
|
|
|
20.12.2009, 22:18
|
|
Постоянный
Регистрация: 18.11.2009
Сообщений: 709
С нами:
8674045
Репутация:
214
|
|
Зашел под линуксом и он выдал:
<h1> а�б�аЖаНаО Microsoft аОаПаЕб�аАб�аИаОаНаНаАб� б�аИб�б�аЕаМаА аДаЛб� аПб�аОб�аМаОб�б�аА б�б�аОаЙ б�б�б�аАаНаИб�б�.</h1>
или в переводе на utf-8
Нужно Microsoft операционная система для просмотра этой страницы.
Последний раз редактировалось Keltos; 23.12.2009 в 15:07..
|
|
|
|
20.12.2009, 22:31
|
|
Познавший АНТИЧАТ
Регистрация: 04.08.2008
Сообщений: 1,359
С нами:
9351139
Репутация:
1593
|
|
Залейте куда-нибудь. У меня при смене юзерагента тоже не качает, требует Microsoft OS.
|
|
|
|
20.12.2009, 22:51
|
|
Познающий
Регистрация: 04.08.2008
Сообщений: 78
С нами:
9351217
Репутация:
7
|
|
|
|
|
|
20.12.2009, 23:10
|
|
Познавший АНТИЧАТ
Регистрация: 04.08.2008
Сообщений: 1,359
С нами:
9351139
Репутация:
1593
|
|
Вот-с, куда мы ломимся... Завтра отснифаю передаваемые данные. Какой-то забугорный вор паролей, не? 
Последний раз редактировалось root_sashok; 20.12.2009 в 23:13..
|
|
|
|
20.12.2009, 23:30
|
|
Познающий
Регистрация: 04.08.2008
Сообщений: 78
С нами:
9351217
Репутация:
7
|
|
отлично вот уже что то интересное про вир ) держи плюсег, жду до завтра когда ты там закончишь
|
|
|
|
21.12.2009, 00:00
|
|
Познавший АНТИЧАТ
Регистрация: 04.08.2008
Сообщений: 1,359
С нами:
9351139
Репутация:
1593
|
|
Итак. Сначала мы ломимся на 80 порт, представляемся как винда, ну и т.д. Забираем айпишник.
Все запросы примерно одинаковые. Что получаем. А получаем вот такую замысловатую штуку, которую я не до конца понял засыпающим мозгом:
По крайней мере напрягает reset password, а еще какой-то sms token. До конца смысл трояна я не понял, по-моему, никуда ничего не отсылает, лишь что-то меняет. Хм.
Мелькнула сумасшедшая идея: а не отправляет ли он никакую смс-ку с данными? 
UPD: Ломится еще сюда:
Код:
87.116.85.7
93.116.120.207
Больше ничего в логах сниффера не нашел (интересно, разве что, что он ломится в гугл, подставляет cookie, и делает какую-то не понятную вещь, которая вообще возвращает ошибку 302 ).
Странно, если данные отсылаются на айпишник, каким образом он их принимает? 
Эх, вот это натупил. Завтра наверное ржать буду с этого
Вообщем-то, наверное, бояться ничего не нужно. Просто не качай этот левый файл. Мне кажется, он ориентирован на забугорных юзеров (сайты популярны в США и т.д, да еще перевод на странице вируса кривой).
Последний раз редактировалось root_sashok; 21.12.2009 в 00:26..
|
|
|
|
21.12.2009, 02:06
|
|
Познающий
Регистрация: 04.08.2008
Сообщений: 78
С нами:
9351217
Репутация:
7
|
|
запустил на тест машине, фаерволл вроди промолчал значит он не посылает инфа через веб, кароче он посылает этот вирус через скаип то есть заражёные посылает кауето тупь с ссылкой на вирус и ссылка постоянно меняется то есть мне с одного акка послали 10 разных ип с разными портами на урл вируса я писал заражёному но тупо игнор видел что заражёный говорит с кем то и всё что говорил я видел, похоже было что заражёный говорит сам с собой ))
только в вирусе вроде ничего не сказано про скаип не поиму тогда прикола с рассылкой вируса.
Спасибо "root_sashok" что помог с вирусом
|
|
|
|
|
|
|
Предыдущая тема
Следующая тема
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
