Отправляет email-рассылки с помощью сервиса Sendsay

BugTraq: Обозрение

Подписаться Бесплатная «Серебряная» новостная рассылка Подписчиков 13.782 RSS
  Март 2000  
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31


За последние 60 дней 1 выпусков (1 раз в 2 месяца)


Сайт рассылки: http://www.bugtraq.ru/review/
Открыта: Давно

Автор
Дмитрий Леонов

Статистика

13.782 подписчиков
-4 за неделю
  Все выпуски  

Служба Рассылок Городского Кота


Служба Рассылок Городского Кота
HackZone
Журнал
HackZone alert
Обзор
Обсуждение
Архив
Статьи
Закон есть закон
Форум
Ваши ссылки
Underground
Юмор
Hacked sites
Чат




Анекдоты от Kiri wizard

Подписаться на ЕжеПравду


HackZone Alert:


Aleph 18.03.2000 17:42:12:

Уточнение к предыдущему сообщению.
http://irinap.cjb.net/ - это редирект, сам файл находится здесь:

Url: http://www.chat.ru/~irina_home/Irina.exe
size: 115481

Trojan.Psw.Coced.239
WinZip SFX Archive.
Упакован ASPack 1.05b

При запуске расщепляется на 2 файла (оба - Irina.exe)

Чистый файл (WinZip SFX Archive - 101,890) переписывается в %TEMP% директорию и запускается (появляется стандартное окошко WinZip), собственно троянец (также упакованный ASPack 1.05b - 13,592) переписывается в %windir% (обычно, c:\windows\).

Создается ключ реестра (Jammer отлавливает):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MS_Proccess_ID1"="D:\\WINDOWS\\IRINA.EXE"

Отключается @Guard Firewall:
[HKEY_LOCAL_MACHINE\SOFTWARE\WRQ\IAM\FirewallState]
"FilterEnabled"=hex:00

И, как обычно, создается ключ Mirabilis:
[HKEY! _CURRENT_USER\Software\Mirabilis]
[HKEY_CURRENT_USER\Software\Mirabilis\ICQ]
[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent]
"Launch Warning"="No"
[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps]
[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\Run]
"Path"="D:\\WINDOWS\\IRINA.EXE"
"Enable"="Yes"
"Startup"=""
"Parameters"=""
[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\DefaultPrefs]
"SSLKey"=hex:0c,00,66,00,7c,e5,d0,38

Изменяются файлы WIN.INI и SYSTEM.INI, в них дописывается автозапуск троянца:

WIN.INI
-------
[windows]
run=D:\WINDOWS\IRINA.EXE

SYSTEM.INI
----------
[boot]
Explorer=Explorer D:\WINDOWS\IRINA.EXE

В "хвосте" тела троянца размещены слегка зашифрованные (Caesar Encoding ? - лень было разбираться) строчки (кажется, так):

IRINA_HOME@MAIL.COM
MAIL.INAME.COM
ANDI@WRITEME.COM

Надо полагать, добавленные при конфи! гурации троянца "Ириной". (Фото, кстати, дрянные).

После распаковки (17,176) внутри может быть найден дополнительный список адресов:

john@email.com
ivan@mail.ru
ivan@chat.ru
bill@iname.com


Предложить экспонат для HackZone Alert

Другие обновления на сервере:


HackZone-обозрение #91:

почти разумное объяснение поведения запароленных документов в Excel; FreeBSD 4.0 Release; взлом hackzone: faq; Apache 2.0; мы - в десятке; мечта московского диалапщика; еще разок об icq; еще разок о подарке секретаршам;

Статьи:

CyberPunk. "Спрут"




Продолжается конкурс "Говорящей собаки" на лучший материал из собачьей жизни



Ведущий рассылки - Дмитрий Леонов
http://www.compulog.ru, http://www.hackzone.ru

http://www.citycat.ru/         E-mail: citycat@citycat.ru
В избранное