TheBestMarch.zip - лучшее видео марта :(

[0xygen]

Значит хай запускает

 

[Marshal]

И что с того? Думаешь прийдут к тебе логиниться? А пасс на винду поменять не проблема.

Прийдёт этот паразит за мой камп и будит играть в Моего Сталкера

а всётаки интересно какиеже он пароли собирает и отслылает

 

[0xygen]

Он отсылает только пароли от сталкера! И все. Больше ничем не занимаеццо!

 

[ALEX Stealthon]

а всётаки интересно какиеже он пароли собирает и отслылает

Мне тоже интересно. В ведь пароли не хранятся в системе в открытом виде, они ведь зашифрованы, значит он как-то их расшифровывает...

 

[Marshal]

коротше я надыбал то что это заразо
ворует вебманиевские пароли или еще чегото связоное с ним
и еще ворует ICQ для дальнейшего распространения Виря
Шоб он Вдовиля моим Лицензионым СТАЛКЕРОМ

 

[ALEX Stealthon]

коротше я надыбал то что это заразо
ворует вебманиевские пароли или еще чегото связоное с ним
и еще ворует ICQ для дальнейшего распространения Виря

Откуда инфа? Есть достоверный источник?
Если это так, то получается у меня кроме пароля на Аську ничего не спёрли, и это радует...

 

[Marshal]

Процетиру еще одного человечишку

Семейство троянских программ, похищающих с компьютера пользователя конфиденциальную информацию, такую как, файлы настроек различных программ и хранящиеся в них пароли. Хотя пароли, обычно, хранятся в зашифрованном виде, часто для этого используется очень слабая криптография.

Размер исполняемого файла, обычно, менее 20 КБ.

Похищают они файлы, содержащие настройки ниже перечисленных программ и сервисов:
&RQ(IRQ)
Becky! Internet Mail
Cute FTP
EDialer
FAR (ftp plugin info)
Microsoft Outlook
Mirabilis ICQ
Miranda ICQ
Mozilla
Opera
The Bat!
Total Commander
Trillian Messenger
WS_FTP
Информация RAS службы Windows

В итоге, создается временный файл — C:\out.bin, в который упаковывается и зашифровывается вся собранная информация. После этого данный файл отправляется по электронной почте на какой-либо адрес с темой письма «Passes from Pinch 2(<host>)».

Других вредоносных действий программа не производит.

 

[Marshal]

Откуда инфа? Есть достоверный источник?
Если это так, то получается у меня кроме пароля на Аську ничего не спёрли, и это радует...

Насчёт Вебманиев и ICQ так это весь инет гудит
а насчёт остальных програм незнаю

Слушай Алекс Я вот шо подумал
а ты ли это пишешь или вирус
или ты может подкоректировал вирь в свой адрес?
и теперь скирдуеш пароли.

Прошу тебя очень не разглашай мои посещеные ***** сайты
и не играй в мой Сталкер

 

[0xygen]

Ужоснах! Как страшно жить!

 

[clown88]

Так оно отправлет пароли только когда запускаеш файл? или в дальнейшем тоже если нехрена неудалять?

 

[Marshal]

бедняга тоже попался?
сча буду химичить с разными антивирями

 

[clown88]

Ага попался)) как знал что это вирус...ещё ж проверил думал думал и запустил а потом думаю погляжу в инете чё за файл...

 

[ALEX Stealthon]

Так оно отправлет пароли только когда запускаеш файл? или в дальнейшем тоже если нехрена неудалять?

похоже что только при запуске отправляет пароли, потом деактивируется. Так что если сменил пароли, то можно уже не беспокоиться.

 

[XoJlToH]

**********, кстати, его не видит:

доктор, что я делаю не так?
первая модификация вируса появилась еще в 2003 году
периодически появляются новые модификации

Описание опубликовано 10 сен 2003
Поведение Trojan-PSW, кража паролей
Технические детали

Семейство "троянских коней", ворующих пароли пользователя.

При запуске троянец прописывается в ключ автозапуска системного реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
putil = %windir%\%имя_файла%
Затем копирует себя в каталог Windows, запускается оттуда, а исходный файл удаляет.

"Троянец" собирает сведения о системе (версия ОС, конфигурация аппаратного обеспечения) и пароли для различных сервисов и прикладных программ, в том числе RAS, POP3, IMAP, ICQ, FTP и т.д.

Собранная информация кодируется с помощью MIME (Base64) и отправляется на электронный адрес злоумышленника через SMTP-сервер, IP-адрес которого записан в теле "троянца".

 

[Marshal]

Аликс ты б хоть сылку измени на ложную чтоб не качали
бо баш скики пострадалых

 

[ALEX Stealthon]

Аликс ты б хоть сылку измени на ложную чтоб не качали
бо баш скики пострадалых

Просто пусть знают где вирус водится, чтобы не заходили туда...

 

[oldcolony]

А чего его скачивать- сам он тебя найдет. На половине машин, что в ремонт тащат, его нахожу, или родственника его какого. На 30% так точно

 

[diesel]

Вот еще в колекцию

///////////ВНИМАНИЕ ВИРУС\\\\\\\\\\\\\\\

Посилання видалено

 

[Sefiroth]

Что именно ворует эта модификация - понятно.
Но могу предположить КАК он это делает. Потестил на WMWare...
Поскольку фигурирует перехват функции ZwQuerySystemInformation (А все функции WinAPI начинающиеся на ZW - это недокументированные функции Api ведра).

Функция ZwQuerySystemInformation позволяет получить список и информацию о драйверах в системе. Следовательно, её перехват позволит замаскировать внедрение своего драйвера, который волен делать что угодно.
А собсно выдёргивание паролей - это индивидуально для каждой проги. И стырить пароли на левые проги она не сможет. Разве что её писали с целью тырить пароль на сталкера.
Способ внедрения в списке эффективности на 2-м месте (после внедрения на уровне API ведра, когда ваш вирь грузится раньше ведра ), и файрволом/антивирем перехват/отправка не пофиксится. Только косвенными методами опять же с помощью недокументированных функций.
Поэтому опять же предположение - внедряемый драйвер - это драйвер-фильтр на драйвер сети.

Чтоб получить более полную инфу надо дизасмить. Но влом.

ЗЫ: Когда-то в целях самообразования писал кейлогер по такому же принципу. Драйвер-фильтр на клаву. Но маскировку не делал. Хотя идея прикольная. )

 

[RainBoy]

Вот еще в колекцию

///////////ВНИМАНИЕ ВИРУС\\\\\\\\\\\\\\\

[A href="[B]Посилання видалено[/B]" target="_blank"]Посилання видалено

Касперыч со вчерашними базами прошляпил
С сегодняшними словил