Реклама на сайте Advertise with us

Осторожно Читер разослал поддельную рассылку от МХ с вирусом

Расширенный поиск по форуму
 
Новая тема Новая тема   
Автор
Поиск в теме:

www.awm-tools.com

С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056


Передовик Master-X (01.01.2006) Передовик Master-X (16.01.2006) Передовик Master-X (01.03.2006)
Ссылка на сообщениеДобавлено: 06/10/06 в 14:00       Ответить с цитатойцитата 

Вообщем принцип действия следующий:
При заходе на тот адрес в систему устанавливается загрузчик,
который располагается затем здесь:
C:\windows\system32\winupdate.dll
Задача загрузчика каждый раз при запуске системы подкачивать из инета основное ядро, которое лежит (а может лежало и кулхацкер его уже убрал)
где-то здесь:
http://windows.updates-microsoft.com/6248x1-248Q9297/
либо
http://windows.updates-microsoft.com/6248x1-248Q9297/wsp2update.dll

Чтобы выяснить, что делает это ядро, нужно его получить.
С выше приведенных адресов его получить браузером нельзя, потому что скорее всего проверяется запрос. И если запрос идет от загрузчика, то выгружается ядро. Если запрос идет не от загрузчика, то происходит обыкновенный редирект на сайт апдейтов микрософта.

Ядро можно получить двумя вариантами:
1. Сэмулировать запрос по адресу и получить ядро (если автор его не убрал).
2. Поискать файлик в папках винды, либо во временных папках системы с сегодняшней датой создания/изменения. Имя файла предположительно wsp2update.dll

В силу некоторых причин я не могу сейчас сделать первый вариант, ну о втором и говорить нечего. Я юзаю Оперу icon_smile.gif
Если кто-нибудь сможет получить это ядро, то делитесь, попытаюсь раскопать, что оно делает.

Могу сказать одно: С большей степени вероятности это может быть кейлоггер/сниффилка паролей. Так что чистите истему и потом сразу же меняйте пароли.

Вечером попытаюсь получить ядро.

Засабмить свой вебмастерский ресурс, получи PR!

0
 

www.awm-tools.com

С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056


Передовик Master-X (01.01.2006) Передовик Master-X (16.01.2006) Передовик Master-X (01.03.2006)
Ссылка на сообщениеДобавлено: 06/10/06 в 14:03       Ответить с цитатойцитата 

Skat писал:
*.pwm - расширение от ключей вм icon_sad.gif

Эта информация откуда? В реестре? В какой ветке?

Засабмить свой вебмастерский ресурс, получи PR!

0
 



С нами с 20.10.05
Сообщения: 833
Рейтинг: 629

Ссылка на сообщениеДобавлено: 06/10/06 в 14:03       Ответить с цитатойцитата 

после клика по ссылке появились ключи
SOFTWARE\Microsoft\Windows NT\CurrentVersion\GreA3752DX
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy
и файл
winupdate.dll нашел
что еще можно почистить?

to kit: это странно и нелогично делать рассылку чтобы люди скачали вирус, который ничего не делает. может он что-то меняет в виндовых файлах и сделает позже - через windows update закачает дерьмо никем не замеченный

и почему нет никакой инфы на крутопе? напиши туда, а то я параною, что ты не кит, а тот кто вирь впаривает

0
 



С нами с 12.01.02
Сообщения: 667
Рейтинг: 371

Ссылка на сообщениеДобавлено: 06/10/06 в 14:03       Ответить с цитатойцитата 

кто нибудь может подытожить как эта хрень детектиться?

как я понял основной признак - это наличие файлов winupdate.dll и
wsp2update.dll (к счастью у меня пока таких нет - возможно аутпост не дал загрузить)

кто может еще что-либо сказать по данному поводу?

0
 

предгубчк

С нами с 17.10.02
Сообщения: 794
Рейтинг: 668

Ссылка на сообщениеДобавлено: 06/10/06 в 14:08       Ответить с цитатойцитата 

кликнул по ссылке под вин2к ие 5.5
как и у всех браузер вылетел по ошибке
но файл winupdate.dll отсутствует, wsp2update.dll тем более
ntdll.dll имеет старую дату создания
или оно работает только по хр, или одно из двух

титушка-сепаратист

0
 

www.awm-tools.com

С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056


Передовик Master-X (01.01.2006) Передовик Master-X (16.01.2006) Передовик Master-X (01.03.2006)
Ссылка на сообщениеДобавлено: 06/10/06 в 14:08       Ответить с цитатойцитата 

Andy писал:
кто нибудь может подытожить как эта хрень детектиться?
как я понял основной признак - это наличие файлов winupdate.dll и
wsp2update.dll (к счастью у меня пока таких нет - возможно аутпост не дал загрузить)

Именно так и детектится.
Еще по ключам
SOFTWARE\Microsoft\Windows NT\CurrentVersion\GreA3752DX
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy
в реестре

Засабмить свой вебмастерский ресурс, получи PR!

0
 



С нами с 20.10.05
Сообщения: 833
Рейтинг: 629

Ссылка на сообщениеДобавлено: 06/10/06 в 14:10       Ответить с цитатойцитата 

странности с форумом продолжаются
пост kit-a о том, что все проверили и никуда левых конектов нет (на который я отвечал icon_smile.gif) ИСЧЕЗ как и несколько топиков о левой рассылке сегодня утром. Предлагаю переместиться на крутоп, может его еще не хакнули =)

0
 



С нами с 06.03.05
Сообщения: 6216
Рейтинг: 7375


Передовик Master-X (01.02.2007) Передовик Master-X (16.02.2007) Передовик Master-X (01.04.2007) Передовик Master-X (01.05.2007) Передовик Master-X (01.10.2007) Ветеран трепа Master-X ()
Ссылка на сообщениеДобавлено: 06/10/06 в 14:10       Ответить с цитатойцитата 

A d u l t писал:
Эта информация откуда? В реестре? В какой ветке


я не посмотрел ветку (сча уже снес все), просто набрал в поиске реестра winupdate.dll там целая папка былы с комплектом упомянутых вышее длл и это расширение

0
 

пират

С нами с 25.10.02
Сообщения: 3071
Рейтинг: 776

Ссылка на сообщениеДобавлено: 06/10/06 в 14:10       Ответить с цитатойцитата 

Это не первая атака на адалт-ресурсы. Мы с Китом обсуждаем пионера в асе не первый день. Наш сайт был вскрыт, эксп висел в разделе даунлода и был быстро обнаружен. Мы уже нашли дыру, через которую пионер попал на сайт. Скажу так - работает не лох, и все мессаги здесь он несомненно читает.
Яву мы препарировали. По предварительной НО НЕ ТОЧНОЙ ИНФЕ, код относительно безобиден. Он старался установить в букмарки или в стартовую какие-то линки. Видимо там были трои или ещё что-то.

+++++++++++++++++++
Внимание. Напоминаю, что любая инфа о пионере будет вознаграждена, в случае если она подтвердится. В этом случае могу сказать точно, что тёплое место на долгие годы и отбитые яйца мы ему гарантируем.

Ну и публичное обращение к пионеру: если ты, осёл не понимаешь, что так много денег тебе не наловить, то можешь хулиганить дальше. Но рано или поздно ты накосячишь где-то и не спасут тебя потом даже китайские серваки и цепи впнов. И вот тогда мы будем крепко держать тебя за яйца и снимать в гейском р_эй_пе.
Подумай своей башкой, проявись. Заработать ты сможешь гораздо больше, работая консультантом по безопасности, админом итд. Домашний адрес у тебя при этом никто не спросит.
И ещё помни, что ты нарушил главную заповедь: "своих не хачат".

+++++++++++++++++++++
зы: по последним данным, паретто лоджик трой видит.

скупаю tumblr блоги. дорого.

0
 

www.awm-tools.com

С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056


Передовик Master-X (01.01.2006) Передовик Master-X (16.01.2006) Передовик Master-X (01.03.2006)
Ссылка на сообщениеДобавлено: 06/10/06 в 14:12       Ответить с цитатойцитата 

vxod писал:
странности с форумом продолжаются
пост kit-a о том, что все проверили и никуда левых конектов нет (на который я отвечал icon_smile.gif) ИСЧЕЗ как и несколько топиков о левой рассылке сегодня утром. Предлагаю переместиться на крутоп, может его еще не хакнули =)

Я нашел два возможных левых коннекта на
http://windows.updates-microsoft.com/6248x1-248Q9297/
либо
http://windows.updates-microsoft.com/6248x1-248Q9297/wsp2update.dll
Овнер домена тотже, что и у masster-x.com

PS: На крутоп не поеду icon_smile.gif

Засабмить свой вебмастерский ресурс, получи PR!

0
 



С нами с 06.03.05
Сообщения: 6216
Рейтинг: 7375


Передовик Master-X (01.02.2007) Передовик Master-X (16.02.2007) Передовик Master-X (01.04.2007) Передовик Master-X (01.05.2007) Передовик Master-X (01.10.2007) Ветеран трепа Master-X ()
Ссылка на сообщениеДобавлено: 06/10/06 в 14:14       Ответить с цитатойцитата 

во короче нашел где были эти файлы

\Software\Microsoft\Search Assistant\ACMru\5603

0
 

Ревнивый муж подобен турку

С нами с 01.03.06
Сообщения: 4302
Рейтинг: 905

Ссылка на сообщениеДобавлено: 06/10/06 в 14:16       Ответить с цитатойцитата 

DNK писал:
И ещё помни, что ты нарушил главную заповедь: "своих не хачат".


Эта... А я и не знал, что на Мастере хакеры - это "свои"...

Если тебе надо просто подрочить, жми сюда

0
 

www.awm-tools.com

С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056


Передовик Master-X (01.01.2006) Передовик Master-X (16.01.2006) Передовик Master-X (01.03.2006)
Ссылка на сообщениеДобавлено: 06/10/06 в 14:18       Ответить с цитатойцитата 

Skat писал:
во короче нашел где были эти файлы
\Software\Microsoft\Search Assistant\ACMru\5603


Бро, это Search Assistant.
Видимо ты его когда-то ставил, а может и сейчас стоит.
И когда искал файлы ключей, и сам этот файл трояненый - у тебя записи об этих поисках записались в реестр.

PS: ACMru - это Auto Complete Most Recently Used. Тобишь Автозаполнялка.

Засабмить свой вебмастерский ресурс, получи PR!

0
 

www.awm-tools.com

С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056


Передовик Master-X (01.01.2006) Передовик Master-X (16.01.2006) Передовик Master-X (01.03.2006)
Ссылка на сообщениеДобавлено: 06/10/06 в 14:19       Ответить с цитатойцитата 

Петр Кроликов писал:
Эта... А я и не знал, что на Мастере хакеры - это "свои"...

Своих - это русские русских.

PS: Ну пипец этот нахеренок кармы себе попортил. Скоро небось или раком заболеет, или язва откроется.

Засабмить свой вебмастерский ресурс, получи PR!

0
 



С нами с 25.04.05
Сообщения: 1170
Рейтинг: 79

Ссылка на сообщениеДобавлено: 06/10/06 в 14:21       Ответить с цитатойцитата 

народ, кому не прибить - пробуйте http://www.sysinternals.com/Utilities/ProcessExplorer.html

0
 



С нами с 06.03.05
Сообщения: 6216
Рейтинг: 7375


Передовик Master-X (01.02.2007) Передовик Master-X (16.02.2007) Передовик Master-X (01.04.2007) Передовик Master-X (01.05.2007) Передовик Master-X (01.10.2007) Ветеран трепа Master-X ()
Ссылка на сообщениеДобавлено: 06/10/06 в 14:22       Ответить с цитатойцитата 

короче хз, что это за борода, но я все форматирую

0
 

Cracked by Bill Gilbert

С нами с 16.09.03
Сообщения: 4228
Рейтинг: 2814

Ссылка на сообщениеДобавлено: 06/10/06 в 14:30       Ответить с цитатойцитата 

Skat писал:
я не посмотрел ветку (сча уже снес все), просто набрал в поиске реестра winupdate.dll там целая папка былы с комплектом упомянутых вышее длл и это расширение


Не паникуй, это не вирь, я у себя тоже эту ветку нашел, хотя все переустановил из образа.

Всех с Наступившим Новым Годом!
Статы пиздеж и провокация: ща лучше. СКРИНЫ СТАТСОВ ТУТ Мой ЛЛ

0
 

Web Дизайн Сервис

С нами с 08.06.04
Сообщения: 21704
Рейтинг: 2248

Ссылка на сообщениеДобавлено: 06/10/06 в 14:30       Ответить с цитатойцитата 

повёлся и открыл.
изменённых файлов за прошедшие сутки почти нет.
указанных файлов нет.
делаю откат до прошлого запуска

Графический дизайн! | Шаблоны CJ-tube!
tg: @Denzikzt | Den.evilin@gmail.com | Хостюсь тут 13 лет!

0
 

V.V.V.V.V.

С нами с 28.10.05
Сообщения: 2604
Рейтинг: 873

Ссылка на сообщениеДобавлено: 06/10/06 в 14:34       Ответить с цитатойцитата 

Хорошо, что я асю первым делом чекаю, когда встаю.

Спасибо Норману и Казантипмену за предупреждение! smail44.gif

Тем, кто пострадал, желаю поскорее разобраться с минимальными потерями.

Покупаешь траф | Льешь попандер сюда.

0
 
+ + +
раздаю траф на халяву

С нами с 10.03.06
Сообщения: 1226
Рейтинг: 633

Ссылка на сообщениеДобавлено: 06/10/06 в 14:34       Ответить с цитатойцитата 

Расслабтесь и поменьше тыкайте всякие ссылки в почте. От якобы пейпала через день письма ходят. Я вообще рассылок не читаю, сразу в корзину. Юзайте лису или оперу + gmail.
Я думаю что это письмо только начало, дальше от спонов ждите

0
 

Качественная работа с текстом!

С нами с 24.01.06
Сообщения: 572
Рейтинг: 444

Ссылка на сообщениеДобавлено: 06/10/06 в 14:36       Ответить с цитатойцитата 

хы... а я не читал =) рука машинально удалила, седня вот открыл письмо. посмотрел, но на линк не тыкал =) там же в урле подставу видно ))

AdulTTrans.ru - услуги перевода и дескописания
ICQ 346214

0
 

♥♥♥

С нами с 28.08.04
Сообщения: 7098
Рейтинг: 5671


Передовик Master-X (01.08.2007) Передовик Master-X (16.08.2007)
Ссылка на сообщениеДобавлено: 06/10/06 в 14:36       Ответить с цитатойцитата 

Письмо получил еще утром, как обычно не удалял, что бы потом почитать.
подозрение закрались сразу после того как увидел объяву - не в стиль, ну а потом линки увидел....

Думаю правильно будет перенести в треп.... так как вероятно не только я один в начале в треп полез, потом в читеры, ну и только потом сюда попал.

0
 

форумъ сдохъ

С нами с 01.10.04
Сообщения: 4621
Рейтинг: 481

Ссылка на сообщениеДобавлено: 06/10/06 в 14:40       Ответить с цитатойцитата 

Если НИЧЕГО из вышеприведенного у меня нету (что странно... антивирь был выключен. правда, ОС обновленная), то могу ли я спать спокойно?
переустанавливать ос, менять пароли ооочень лень. лучше рискну и не буду этого делать

0
 



С нами с 15.10.02
Сообщения: 171
Рейтинг: 30

Ссылка на сообщениеДобавлено: 06/10/06 в 14:41       Ответить с цитатойцитата 

Сформатирую ка я на всякий случай Матрицу. Если потом окажется, что кого-то не будет - не обижайтесь.... Вы ведь все - только процессы... icon_smile.gif

The Админ.

Крутим Спедию! За инвайтами в личку!

0
 

форумъ сдохъ

С нами с 01.10.04
Сообщения: 4621
Рейтинг: 481

Ссылка на сообщениеДобавлено: 06/10/06 в 14:42       Ответить с цитатойцитата 

я никогда рассылки не читаю, сроазу удаляю. а тут прежде, чем нажать делит увидел что какой-то там проект подготовили... и нажал на линк, мля

0
 
Новая тема Новая тема   

Текстовая реклама в форме ответа
Заголовок и до четырех строчек текста
Длина текста до 350 символов
Купить рекламу в этом месте!


Перейти:  



Спонсор сайта

Реклама на сайте Advertise with us

Опросы

Рецепт новогоднего блюда 2022



Обсудите на форуме обсудить (11)
все опросы »