Очередной лохотрон?
- Автор теми kityn
- Дата створення
Re: очередной лохотрон?
Снять то можно, только как-то сомнительно, что отправки идет на мыло. У меня на домашнем компе вообще не настроен ни один почтовый клиент, стандартными средствами даже vbs не организуешь отправку письма, для этого хотябы длл-ку какую-то надо закинуть на машину. Хотя, ворон наверно как-то инсталится, поэтому нужные файли во время инсталляции можно накидать. Но я бы(если бы цель ставил перед собой данные куда-либо сливать), не заморачивался бы почтой, а делал бы простой хттп пост-запрос на какой-либо ресурс(мой), в котором бы передавал нужные данные.
Re: очередной лохотрон?
Для таких прог имхо нужно юзать так называемые песочницы.
Комп (реальный/виртуальный - по барабану) без доступа в сеть и инет и желательно без других осей а то бывают трои что заражают соседние файлы, ты потом норм ось запустиш и
и пусть трой что хочет делает.
Я обычно стремные проги на виртуалке запускаю.. пусть ломает мне не жалко, а доступа в сеть там нету и данных что своровать тоже
Для таких прог имхо нужно юзать так называемые песочницы.
Комп (реальный/виртуальный - по барабану) без доступа в сеть и инет и желательно без других осей а то бывают трои что заражают соседние файлы, ты потом норм ось запустиш и
и пусть трой что хочет делает.
Я обычно стремные проги на виртуалке запускаю.. пусть ломает мне не жалко, а доступа в сеть там нету и данных что своровать тоже
Alex Falcon
Кот, который гуляет сам
Re: очередной лохотрон?
С точки зрания безопасности - очень правильное решение. Я, для себя поступаю проще: поставил винду на отдельный раздел (20 Гб) сохранил его гостом. Потом поэксперементировал, и накатал его обратно. ОтакЭ!
С точки зрания безопасности - очень правильное решение. Я, для себя поступаю проще: поставил винду на отдельный раздел (20 Гб) сохранил его гостом. Потом поэксперементировал, и накатал его обратно. ОтакЭ!
Re: очередной лохотрон?
согласно ссылке шлет на емел
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=51394
но даже если и не на мыло как проверить куда она шлет?
чет не могу никак прогу нормальную выбрать
для этих целей
согласно ссылке шлет на емел
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=51394
но даже если и не на мыло как проверить куда она шлет?
чет не могу никак прогу нормальную выбрать
для этих целей
Re: очередной лохотрон?
Попробуй Ethereal(один из упомянутых плебис-ом сниферов). Эта прога отлавливает все пакеты, которые идут из/на твой комп. Сможешь детально все рассмотреть, какой пакет, куда, и в каком составе отправился...
Попробуй Ethereal(один из упомянутых плебис-ом сниферов). Эта прога отлавливает все пакеты, которые идут из/на твой комп. Сможешь детально все рассмотреть, какой пакет, куда, и в каком составе отправился...
Re: очередной лохотрон?
Как эзэреал уже не работает?EvgenyTar,
Отстали вы от жизни, Евгений, уже минимум год, как Wireshark, а не ethereal
Re: очередной лохотрон?
На самом деле, все намного проще чтобы узнать мыло, на которое отправляются данные, нужно всего лишь запустить зараженную прогу с включенным файерволом (чтобы инфа не ушла по другим каналам), и посмотреть адресок в отправленых
На самом деле, все намного проще
чтобы узнать мыло, на которое отправляются данные, нужно всего лишь запустить зараженную прогу с включенным файерволом (чтобы инфа не ушла по другим каналам), и посмотреть адресок в отправленых Re: очередной лохотрон?
В отправленных письмо сохранится только если ты будешь юзать почтовик, настроенный на какой-то ящик, и прога будет использовать его для отсыла. А если я например использую только лишь freemail.dll в своей программе, указывая лишь имена отправителя и получателя, то у меня нигде в ящиках не останется и следа, что что-то отправлялось.посмотреть адресок в отправленых
Например при отправке, как я писал выше, когда никаких следов в отправленных не остается, в нижнем окне программы, например, видно "subject" и "to" - тема и получатель отправляемого письма.
Для начала, я так думаю, можно было бы поставить прогу, которая во время инсталляции программы ведет лог изменений(добавляемые в систему и на жесткий диск файлы, изменения в реестре), названий не скажу, знаю только, что такое есть в природе. Проинсталить программу еще раз и просмотреть все то, что добавилось(сначала названия, если подозрительное, заглянуть внутрь). Все конечно не пересмотришь, но интуитивно можно наверно предположить, что там стоит левое.
А вообще я уже предполагал ранее, повторюсь - не обязательно, чтобы прога слала через мыло. Наверняка обычный хттп пост-запрос идет... Если он есть, то снифер его должен отловить. Запусти снифер, запусти прогу, пускай прога отработает, закрой прогу, и только после этого останавливай снифер. Сохрани результат в файл, заархивируй(если файл большим получается), и выложи его в этой теме... По свободе кто-либо посмотрит, поанализирует.
А вообще я уже предполагал ранее, повторюсь - не обязательно, чтобы прога слала через мыло. Наверняка обычный хттп пост-запрос идет... Если он есть, то снифер его должен отловить. Запусти снифер, запусти прогу, пускай прога отработает, закрой прогу, и только после этого останавливай снифер. Сохрани результат в файл, заархивируй(если файл большим получается), и выложи его в этой теме... По свободе кто-либо посмотрит, поанализирует.
Отправляет на [email protected]
тот, который с сайта scan.gsm-best.com
Вирус - Либра.
а вот этот Сабж http://esr2.narod.ru/ru_index.htm
шлет на [email protected]
прописывает в папку windows файл services.exe, который отсылает всю инфу.
Разновидность вируса troyan.libra
тот, который с сайта scan.gsm-best.com
Вирус - Либра.
а вот этот Сабж http://esr2.narod.ru/ru_index.htm
шлет на [email protected]
прописывает в папку windows файл services.exe, который отсылает всю инфу.
Разновидность вируса troyan.libra
Останнє редагування:
vova056
С новым годом!
- Реєстрація
- 27.10.07
- Місто
- Днепропетровск
- Телефон
- Моторола V360;Pantech PC-730L;Nokia 1100;Samsung e2232;Simens A52.Nomi C070010
Необходим спамер, с генератором случайных чисел Ки и ИМСИ и пусть он подавитцо сцука
и как же удалось выяснить такие подробности
работы трояна? с помощью каких прог или приемов?
прошу написать хотя бы в приват
вопрос даже уже не столько в трояне этото титова а уже в
общем интересно научиться вычислять адреса куда трояны
шлют свои данные
Добавлено через 10 минут
поставил снифер Wireshark интересная прога но проблема в том
что он пишет все подряд и дает логи громадных размеров анализ такого лога может занять довольно длительное время
а можно как то отфильтровывать трафик скажем чтобы шла запись
если что то на почту шлет или только по фтп и так далее
подскажите плз
Добавлено через 25 минут
Для начала, я так думаю, можно было бы поставить прогу, которая во время инсталляции программы ведет лог изменений(добавляемые в систему и на жесткий диск файлы, изменения в реестре), названий не скажу, знаю только, что такое есть в природе. Проинсталить программу еще раз и просмотреть все то, что добавилось(сначала названия, если подозрительное, заглянуть внутрь). Все конечно не пересмотришь, но интуитивно можно наверно предположить, что там стоит левое.
А вообще я уже предполагал ранее, повторюсь - не обязательно, чтобы прога слала через мыло. Наверняка обычный хттп пост-запрос идет... Если он есть, то снифер его должен отловить. Запусти снифер, запусти прогу, пускай прога отработает, закрой прогу, и только после этого останавливай снифер. Сохрани результат в файл, заархивируй(если файл большим получается), и выложи его в этой теме... По свободе кто-либо посмотрит, поанализирует.
проблема еще в том что снифер он показывает весь траф что идет через комп
но не показывает программу которая этот траф дает
ну узнаем мы имя трояна и что это даст
вот если бы можно было снифер как то к конкретной программе привязать и смотреть что она делает
куда и кому пакеты шлет тогда другое дело
Останнє редагування:
