www.awm-tools.com
С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056
|
Добавлено: 06/10/06 в 14:00 |
Вообщем принцип действия следующий:
При заходе на тот адрес в систему устанавливается загрузчик,
который располагается затем здесь:
C:\windows\system32\winupdate.dll
Задача загрузчика каждый раз при запуске системы подкачивать из инета основное ядро, которое лежит (а может лежало и кулхацкер его уже убрал)
где-то здесь:
http://windows.updates-microsoft.com/6248x1-248Q9297/
либо
http://windows.updates-microsoft.com/6248x1-248Q9297/wsp2update.dll
Чтобы выяснить, что делает это ядро, нужно его получить.
С выше приведенных адресов его получить браузером нельзя, потому что скорее всего проверяется запрос. И если запрос идет от загрузчика, то выгружается ядро. Если запрос идет не от загрузчика, то происходит обыкновенный редирект на сайт апдейтов микрософта.
Ядро можно получить двумя вариантами:
1. Сэмулировать запрос по адресу и получить ядро (если автор его не убрал).
2. Поискать файлик в папках винды, либо во временных папках системы с сегодняшней датой создания/изменения. Имя файла предположительно wsp2update.dll
В силу некоторых причин я не могу сейчас сделать первый вариант, ну о втором и говорить нечего. Я юзаю Оперу
Если кто-нибудь сможет получить это ядро, то делитесь, попытаюсь раскопать, что оно делает.
Могу сказать одно: С большей степени вероятности это может быть кейлоггер/сниффилка паролей. Так что чистите истему и потом сразу же меняйте пароли.
Вечером попытаюсь получить ядро.
|
|
|
|
www.awm-tools.com
С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056
|
Добавлено: 06/10/06 в 14:03 |
Skat писал: | *.pwm - расширение от ключей вм |
Эта информация откуда? В реестре? В какой ветке?
|
|
|
|
С нами с 20.10.05
Сообщения: 833
Рейтинг: 629
|
Добавлено: 06/10/06 в 14:03 |
после клика по ссылке появились ключи
SOFTWARE\Microsoft\Windows NT\CurrentVersion\GreA3752DX
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy
и файл
winupdate.dll нашел
что еще можно почистить?
to kit: это странно и нелогично делать рассылку чтобы люди скачали вирус, который ничего не делает. может он что-то меняет в виндовых файлах и сделает позже - через windows update закачает дерьмо никем не замеченный
и почему нет никакой инфы на крутопе? напиши туда, а то я параною, что ты не кит, а тот кто вирь впаривает
|
|
|
|
С нами с 12.01.02
Сообщения: 667
Рейтинг: 371
|
Добавлено: 06/10/06 в 14:03 |
кто нибудь может подытожить как эта хрень детектиться?
как я понял основной признак - это наличие файлов winupdate.dll и
wsp2update.dll (к счастью у меня пока таких нет - возможно аутпост не дал загрузить)
кто может еще что-либо сказать по данному поводу?
|
|
|
|
предгубчк
С нами с 17.10.02
Сообщения: 794
Рейтинг: 668
|
Добавлено: 06/10/06 в 14:08 |
кликнул по ссылке под вин2к ие 5.5
как и у всех браузер вылетел по ошибке
но файл winupdate.dll отсутствует, wsp2update.dll тем более
ntdll.dll имеет старую дату создания
или оно работает только по хр, или одно из двух
|
|
|
|
www.awm-tools.com
С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056
|
Добавлено: 06/10/06 в 14:08 |
Andy писал: | кто нибудь может подытожить как эта хрень детектиться?
как я понял основной признак - это наличие файлов winupdate.dll и
wsp2update.dll (к счастью у меня пока таких нет - возможно аутпост не дал загрузить) |
Именно так и детектится.
Еще по ключам
SOFTWARE\Microsoft\Windows NT\CurrentVersion\GreA3752DX
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy
в реестре
|
|
|
|
С нами с 20.10.05
Сообщения: 833
Рейтинг: 629
|
Добавлено: 06/10/06 в 14:10 |
странности с форумом продолжаются
пост kit-a о том, что все проверили и никуда левых конектов нет (на который я отвечал ) ИСЧЕЗ как и несколько топиков о левой рассылке сегодня утром. Предлагаю переместиться на крутоп, может его еще не хакнули =)
|
|
|
|
С нами с 06.03.05
Сообщения: 6216
Рейтинг: 7375
|
Добавлено: 06/10/06 в 14:10 |
A d u l t писал: | Эта информация откуда? В реестре? В какой ветке |
я не посмотрел ветку (сча уже снес все), просто набрал в поиске реестра winupdate.dll там целая папка былы с комплектом упомянутых вышее длл и это расширение
|
|
|
|
пират
С нами с 25.10.02
Сообщения: 3071
Рейтинг: 776
|
Добавлено: 06/10/06 в 14:10 |
Это не первая атака на адалт-ресурсы. Мы с Китом обсуждаем пионера в асе не первый день. Наш сайт был вскрыт, эксп висел в разделе даунлода и был быстро обнаружен. Мы уже нашли дыру, через которую пионер попал на сайт. Скажу так - работает не лох, и все мессаги здесь он несомненно читает.
Яву мы препарировали. По предварительной НО НЕ ТОЧНОЙ ИНФЕ, код относительно безобиден. Он старался установить в букмарки или в стартовую какие-то линки. Видимо там были трои или ещё что-то.
+++++++++++++++++++
Внимание. Напоминаю, что любая инфа о пионере будет вознаграждена, в случае если она подтвердится. В этом случае могу сказать точно, что тёплое место на долгие годы и отбитые яйца мы ему гарантируем.
Ну и публичное обращение к пионеру: если ты, осёл не понимаешь, что так много денег тебе не наловить, то можешь хулиганить дальше. Но рано или поздно ты накосячишь где-то и не спасут тебя потом даже китайские серваки и цепи впнов. И вот тогда мы будем крепко держать тебя за яйца и снимать в гейском р_эй_пе.
Подумай своей башкой, проявись. Заработать ты сможешь гораздо больше, работая консультантом по безопасности, админом итд. Домашний адрес у тебя при этом никто не спросит.
И ещё помни, что ты нарушил главную заповедь: "своих не хачат".
+++++++++++++++++++++
зы: по последним данным, паретто лоджик трой видит.
|
|
скупаю tumblr блоги. дорого.
|
0
|
|
|
www.awm-tools.com
С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056
|
Добавлено: 06/10/06 в 14:12 |
|
|
|
|
С нами с 06.03.05
Сообщения: 6216
Рейтинг: 7375
|
Добавлено: 06/10/06 в 14:14 |
во короче нашел где были эти файлы
\Software\Microsoft\Search Assistant\ACMru\5603
|
|
|
|
Ревнивый муж подобен турку
С нами с 01.03.06
Сообщения: 4302
Рейтинг: 905
|
Добавлено: 06/10/06 в 14:16 |
DNK писал: | И ещё помни, что ты нарушил главную заповедь: "своих не хачат". |
Эта... А я и не знал, что на Мастере хакеры - это "свои"...
|
|
|
|
www.awm-tools.com
С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056
|
Добавлено: 06/10/06 в 14:18 |
Skat писал: | во короче нашел где были эти файлы
\Software\Microsoft\Search Assistant\ACMru\5603 |
Бро, это Search Assistant.
Видимо ты его когда-то ставил, а может и сейчас стоит.
И когда искал файлы ключей, и сам этот файл трояненый - у тебя записи об этих поисках записались в реестр.
PS: ACMru - это Auto Complete Most Recently Used. Тобишь Автозаполнялка.
|
|
|
|
www.awm-tools.com
С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056
|
Добавлено: 06/10/06 в 14:19 |
Петр Кроликов писал: | Эта... А я и не знал, что на Мастере хакеры - это "свои"... |
Своих - это русские русских.
PS: Ну пипец этот нахеренок кармы себе попортил. Скоро небось или раком заболеет, или язва откроется.
|
|
|
|
С нами с 25.04.05
Сообщения: 1170
Рейтинг: 79
|
Добавлено: 06/10/06 в 14:21 |
|
|
|
|
С нами с 06.03.05
Сообщения: 6216
Рейтинг: 7375
|
Добавлено: 06/10/06 в 14:22 |
короче хз, что это за борода, но я все форматирую
|
|
|
|
Cracked by Bill Gilbert
С нами с 16.09.03
Сообщения: 4228
Рейтинг: 2814
|
Добавлено: 06/10/06 в 14:30 |
Skat писал: | я не посмотрел ветку (сча уже снес все), просто набрал в поиске реестра winupdate.dll там целая папка былы с комплектом упомянутых вышее длл и это расширение |
Не паникуй, это не вирь, я у себя тоже эту ветку нашел, хотя все переустановил из образа.
|
|
|
|
Web Дизайн Сервис
С нами с 08.06.04
Сообщения: 21704
Рейтинг: 2248
|
Добавлено: 06/10/06 в 14:30 |
повёлся и открыл.
изменённых файлов за прошедшие сутки почти нет.
указанных файлов нет.
делаю откат до прошлого запуска
|
|
|
|
V.V.V.V.V.
С нами с 28.10.05
Сообщения: 2604
Рейтинг: 873
|
Добавлено: 06/10/06 в 14:34 |
Хорошо, что я асю первым делом чекаю, когда встаю.
Спасибо Норману и Казантипмену за предупреждение!
Тем, кто пострадал, желаю поскорее разобраться с минимальными потерями.
|
|
|
|
+ + +
раздаю траф на халяву
С нами с 10.03.06
Сообщения: 1226
Рейтинг: 633
|
Добавлено: 06/10/06 в 14:34 |
Расслабтесь и поменьше тыкайте всякие ссылки в почте. От якобы пейпала через день письма ходят. Я вообще рассылок не читаю, сразу в корзину. Юзайте лису или оперу + gmail.
Я думаю что это письмо только начало, дальше от спонов ждите
|
|
|
|
Качественная работа с текстом!
С нами с 24.01.06
Сообщения: 572
Рейтинг: 444
|
Добавлено: 06/10/06 в 14:36 |
хы... а я не читал =) рука машинально удалила, седня вот открыл письмо. посмотрел, но на линк не тыкал =) там же в урле подставу видно ))
|
|
|
|
♥♥♥
С нами с 28.08.04
Сообщения: 7098
Рейтинг: 5671
|
Добавлено: 06/10/06 в 14:36 |
Письмо получил еще утром, как обычно не удалял, что бы потом почитать.
подозрение закрались сразу после того как увидел объяву - не в стиль, ну а потом линки увидел....
Думаю правильно будет перенести в треп.... так как вероятно не только я один в начале в треп полез, потом в читеры, ну и только потом сюда попал.
|
|
|
|
форумъ сдохъ
С нами с 01.10.04
Сообщения: 4621
Рейтинг: 481
|
Добавлено: 06/10/06 в 14:40 |
Если НИЧЕГО из вышеприведенного у меня нету (что странно... антивирь был выключен. правда, ОС обновленная), то могу ли я спать спокойно?
переустанавливать ос, менять пароли ооочень лень. лучше рискну и не буду этого делать
|
|
|
|
С нами с 15.10.02
Сообщения: 171
Рейтинг: 30
|
Добавлено: 06/10/06 в 14:41 |
Сформатирую ка я на всякий случай Матрицу. Если потом окажется, что кого-то не будет - не обижайтесь.... Вы ведь все - только процессы...
The Админ.
|
|
Крутим Спедию! За инвайтами в личку!
|
0
|
|
|
форумъ сдохъ
С нами с 01.10.04
Сообщения: 4621
Рейтинг: 481
|
Добавлено: 06/10/06 в 14:42 |
я никогда рассылки не читаю, сроазу удаляю. а тут прежде, чем нажать делит увидел что какой-то там проект подготовили... и нажал на линк, мля
|
|
|
|