Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: Пред. 1 2 3 След.
RSS
Первая глобальная эпидемия ICQ-червя
 
ну приходила мне эта ссылка ну ходил я по ней но
оутпост с плокировкой явы + панда антивирус и всё спокойно:)
 
У меня винда и аська 2001б
Зашёл на линк,  открылась флешка в IE
открылся хелп с месагой The page could not be displayed
И на этом всё... от меня никому такое не приходило, и файлов никаких не появилось.
 
He.. tut pravilino odin chel skazal, v pervujuju ocheredi nado fiksiti to, chto nafoditsja mezdu klavoi i stulom :D
A melkosoft za 4 goda mog bi uze pereproveriti kod, tem-bolee obrabotku *.chm failov v kotorm uze ne 5-6 dirok toliko na moei pamjati.
 
разобрал вирус
вот ftp куда все сливается...

ftp://rat:rat@ustrading.info

давайте загадим этому уроду ftp
что бы мнесто там что ли кончилось...
 
Цитата
puzzo пишет:
разобрал вирус
вот ftp куда все сливается...

ftp://rat:rat@ustrading.info

давайте загадим этому уроду ftp
что бы мнесто там что ли кончилось...
Слушай, не мог бы прислать на мыло сам вирус? Зазипенный или зараренный, конечно, если он у тебя ещё лежит. Тоже охота покопаться! [IMG]http://www.securitylab.ru/forum/smileys/smiley2.gif[/IMG] mailhere_forme@mail.ru
Заранее спасибо.
 
Ктонить был на этом фтп, судя по содержимому много людей эту заразу подцепило.
 
Не так уж и много, кстати файло читать не дает, сволочь!

ftp> ls
200 PORT Command successful.
150 Opening ASCII mode data connection for /bin/ls.
drw-rw-rw-   1  user     group   &nb sp;       0  Feb 24 11:19 .
drw-rw-rw-   1  user     group   &nb sp;       0  Feb 24 11:19 ..
drw-rw-rw-   1  user     group   &nb sp;       0  Feb 24 11:12 10_0_0_19
drw-rw-rw-   1  user     group   &nb sp;       0  Feb 24 11:19 10_11_11_5
drw-rw-rw-   1  user     group   &nb sp;       0  Feb 24 11:13 10_40_0_3
drw-rw-rw-   1  user     group   &nb sp;       0  Feb 24 11:15 130_126_77_203
drw-rw-rw-   1  user     group   &nb sp;       0  Feb 24 11:17 147_229_205_242
drw-rw-rw-   1  user     group   &nb sp;       0  Feb 24 11:19 169_254_130_64
drw-rw-rw-   1  user     group   &nb sp;       0  Feb 24 11:14 169_254_217_197
drw-rw-rw-   1  user     group   &nb sp;       0  Feb 24 11:13 169_254_25_129
drw-rw-rw-   1  user     group   &nb sp;       0  Feb 24 11:13 169_254_83_74
drw-rw-rw-   1  user     group   &nb sp;       0  Feb 24 11:18 172_16_193_240
drw-rw-rw-   1  user     group   &nb sp;       0  Feb 24 11:19 172_20_34_203
drw-rw-rw-   1  user     group   &nb sp;       0  Feb 24 11:17 172_20_44_194
drw-rw-rw-   1  user     group   &nb sp;       0  Feb 24 11:17 172_20_45_145
drw-rw-rw-   1  user     group   &nb sp;       0  Feb 24 11:16 172_20_66_154
drw-rw-rw-   1  user     group   &nb sp;       0  Feb 24 11:12 172_31_83_180
drw-rw-rw-   1  user     group   &nb sp;       0  Feb 24 11:17 192_168_0_1
drw-rw-rw-   1  user     group   &nb sp;       0  Feb 24 11:15 192_168_0_11
drw-rw-rw-   1  user     group   &nb sp;       0  Feb 24 11:15 192_168_0_3
drw-rw-rw-   1  user     group   &nb sp;       0  Feb 24 11:14 192_168_0_6
drw-rw-rw-   1  user     group   &nb sp;       0  Feb 24 11:19 192_168_1_100
drw-rw-rw-   1  user     group   &nb sp;       0  Feb 24 11:17 192_168_1_15
drw-rw-rw-   1  user     group   &nb sp;       0  Feb 24 11:06 192_168_1_226
drw-rw-rw-   1  user     group   &nb sp;       0  Feb 24 11:15 192_168_1_55
drw-rw-rw-   1  user     group   &nb sp;       0  Feb 24 11:17 192_168_200_142
drw-rw-rw-   1  user     group   &nb sp;       0  Feb 24 11:11 192_168_2_163
drw-rw-rw-   1  user     group   &nb sp;       0  Feb 24 11:14 192_168_2_2
drw-rw-rw-   1  user     group   &nb sp;       0  Feb 24 11:12 192_168_2_29
drw-rw-rw-   1  user     group   &nb sp;       0  Feb 24 11:14 192_168_3_42
drw-rw-rw-   1  user     group   &nb sp;       0  Feb 24 11:16 192_168_4_38
drw-rw-rw-   1  user     group   &nb sp;       0  Feb 24 11:13 194_145_138_13
drw-rw-rw-   1  user     group   &nb sp;       0  Feb 24 11:12 195_91_181_245
drw-rw-rw-   1  user     group   &nb sp;       0  Feb 24 11:19 202_125_205_141
drw-rw-rw-   1  user     group   &nb sp;       0  Feb 24 11:15 203_173_134_126
drw-rw-rw-   1  user     group   &nb sp;       0  Feb 24 11:16 217_122_234_114
drw-rw-rw-   1  user     group   &nb sp;       0  Feb 24 11:14 218_253_160_66
drw-rw-rw-   1  user     group   &nb sp;       0  Feb 24 11:06 219_74_118_108
drw-rw-rw-   1  user     group   &nb sp;       0  Feb 24 11:12 219_77_26_5
drw-rw-rw-   1  user     group   &nb sp;       0  Feb 24 11:18 61_92_186_9
drw-rw-rw-   1  user     group   &nb sp;       0  Feb 24 11:17 64_175_34_153
drw-rw-rw-   1  user     group   &nb sp;       0  Feb 24 11:17 80_230_103_15
drw-rw-rw-   1  user     group   &nb sp;       0  Feb 24 11:18 82_80_22_162
drw-rw-rw-   1  user     group   &nb sp;       0  Feb 24 11:18 90_0_0_179
226 Transfer complete.
 
Маловато у меня было раз в 20 больше
 
я так понимаю, если можно писать, то можно и стирать?
 
Открываешь асю - а там ... - глобальный ICQ червяк -
Хамммм... тебя  [IMG]http://www.securitylab.ru/forum/smileys/smiley36.gif[/IMG]
ням..ням..ням...ням..
аааа...
[IMG]http://www.securitylab.ru/forum/smileys/smiley36.gif[/IMG] [IMG]http://www.securitylab.ru/forum/smileys/smiley36.gif[/IMG] [IMG]http://www.securitylab.ru/forum/smileys/smiley36.gif[/IMG] [IMG]http://www.securitylab.ru/forum/smileys/smiley36.gif[/IMG] [IMG]http://www.securitylab.ru/forum/smileys/smiley36.gif[/IMG]
 
а теперь лажы статьи.
(кроме того что прогнав на своем ПО стареньком спец-но для тестов и не добившись ничего)
если и есть такая беда, ТО:
1. уязвимость НЕ В ICQ (как написано),  а в IE
2. Уязвимость не а Java, а в JavaScript (сами понимаете какая разница)
3. НЕ уверен, что все icq уязвимы, а если и уязвимы, то те версии, которые являются COM-серверами...

пока все.
 
А что он на это FTP скидывает ?
 
Цитата
puzzo пишет:
разобрал вирус
вот ftp куда все сливается...

ftp://rat:rat@ustrading.info

давайте загадим этому уроду ftp
что бы мнесто там что ли кончилось...
Полностью поддерживаю. Уже начал.
 
если всем приходила ссылка в основном от трояна, то мне сам чел послал :))))))))))). еще улыбнулся..
ну бывает..
ко мне кстати на вин98 он влез под именем C:\%windir%\system\sysmon\sysmon.exe
там же был еще и ~pass.log файл был.. кому интересна я залил его сюды:
http://www.hot.ee/bladez/sysmon.rar
Rared with latest rar :P
 
Цитата
Илья пишет:
 
Цитата
puzzo пишет:
разобрал вирус
вот ftp куда все сливается...

ftp://rat:rat@ustrading.info

давайте загадим этому уроду ftp
что бы мнесто там что ли кончилось...
Слушай, не мог бы прислать на мыло сам вирус? Зазипенный или зараренный, конечно, если он у тебя ещё лежит. Тоже охота покопаться! [IMG]http://www.securitylab.ru/forum/smileys/smiley2.gif[/IMG] mailhere_forme@mail.ru
Заранее спасибо.

у меня все на работе осталось, но там ничего хитрого...
в html файле есть ссылка на scm файл
его аккуратненько скачиваем в flashget'е например
внутри небольшой заголовок а дальше начинается CHM файл
его вырезаем, внутри файл iefucker.html
внутри него VBScript, который пишет как раз WinUpdate.exe
берем этот EXE файл, и находим внутри место где расшифровывается реальный URL вируса... URL лежит в конце и простненько покриптован.
Вот скачали сам вирь уже с ustrading.info
он пожат PECompact (придется малость попотеть ;)
после распаковки получается файл около 800 кил.
Ну там и KeyLogger (вроде) и DLL что бы хукать окошки с паролями... и DLL что бы пароли аськи декриптить... ну и часть которая выкладывает все на FTP

P.S. с утра закину основной файл ;)
 
icq 2003a
IE 6.0
Принял по аське - зашёл, вышел...
Ничего не произошло.
Решил перейти на другой аськ-клиент.
 
Цитата
NaFigator пишет:

aSu4ka, и что же ты вместо аськи предлагаешь? На ирку всех пересадить хочешь? Дак что-то не столь удобная как аська вещь.
А остальное - г неимоверное (по опыту).

я про ирку ничего не сказал
а сказал про клиента аси &RQ . а если ты пробовал клиентов , то значит не всех ...
 
а почему мне ничего не пришло???? У МЕНЯ МИРАНДА 0.3.2 И КОНТАКТ БОЛЬШЕ 1000 ..... И ПУСТО  [IMG]http://www.securitylab.ru/forum/smileys/smiley5.gif[/IMG] obidno....
 
Заходил по УРЛу Мозиллой м включенной явой... И ничего... Чисто. :)
 
Я вчерась тоже ходил по указанной ссылке - просто открыл страницу не кликая по мультам сразу закрыл - хрен ли там делать было.
Конфигурация - ВинХР, Керио ПФ, Ф-секур.
Ни сообщений, ни обвалов, ничего. Но не обидно 8))))
Страницы: Пред. 1 2 3 След.
Читают тему