К списку форумов К списку вопросов
Trojan на железном форуме
Nikto
20.05.2004 - 23:04
Народ, что за приколы. Сижу на железном форуме , читаю сабжи и коментарии Гуру, никого не трогаю.
Открыта только одна страница Интернет Эсплолера. Вдруг при очередном открытии сабжа, начинает верещать Касперский.
Отключаюсь от Инета, сканирую диск С, и на тебе:
TrojanProxy.Win32.Bobax.b.
20 мaя 2004 г., 22:37 IC:\WINDOWS\Temp\~81.tmp Пpeдупpeждeниe TrojanProxy.Win32.Bobax.b
Вчера так же было, но внимания не обратил особого - думал что-то случайно получил. Видимо что-то нечисто здесь однако.
Уважаемые господа модёры, примите срочно меры.......
Nikto
1 - 20.05.2004 - 23:06
Пардон, 2 раза получилось, фильтр не пропускал. пришлось корректировать, :)
Модёр убери один сабж.
gloomymen
2 - 20.05.2004 - 23:10
(Извиняюсь) подмываться надо вовремя, при чем здесь невинный форум?
http://www.viruslist.com/index.html
Slon
3 - 20.05.2004 - 23:14
(0) Форум здесь совешенно не причем. Качай обновления для своей операционной системы, а то нацепляешь типичной дряни букет.
---------------------------------
TrojanProxy.Win32.Bobax
Троянская программа позволяет злоумышленнику использовать зараженную машину в качестве прокси-сервера. Имеет возможность размножения по команде через уязвимость в службе LSASS Microsoft Windows. Написана на языке Microsoft Visual C++. Тело зашифровано. Работает под Windows. Имеет размер 20480 байт.
Инсталляция
При загрузке вирус расшифровывает свое тело и сохраняет во временный каталог DLL-файл с произвольным именем в формате "~xxxx.tmp", где xxxx - произвольное шестнадцатиричное число.
Данный DLL-файл является основным модулем троянской программы. Упакован UPX и имеет размер 17920 байт.
При загрузке DLL-файла, исполняемый модуль вируса копируется в системный каталог Windows с произвольным именем, состоящим из случайного набора символов. Создает в памяти уникальный идентификатор "00:24:03:54A9D" для определения своего присутствия в системе. Прописывает себя в ключ автозагрузки системного реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"[произвольное имя ключа]" = "[путь к исполняемому файлу]"
Имя ключа представляет из себя произвольное число в шестнадцатеричном формате.
Действие
Троянец получает команды от web-серверов. Данные команды позволяют:
производить обновление текущей версии троянца;
производить загрузку различных программ на машину-жертву, с их последующим исполнением;
производить размножение троянца, используя уязвимость в службе LSASS Microsoft Windows;
производить массовые почтовые рассылки любого содержания;
получать информацию об инфицированной машине.
Nikto
4 - 20.05.2004 - 23:19
Да чего уж там, можно и без извинений, я вчера можно так сказать подмылся, всё удалил, обновления Касперскому сделал. Стоит ХР+SP1, какие ещё порекоменуете обновления? SP2 мне что не понравился.
А я думал на форуме нечисть завелась :0)
Slon
5 - 20.05.2004 - 23:20
Ссори, это я дал расклад по TrojanProxy.Win32.Bobax.a.
Зайди по ссылке gloomymen, там все толково расписано....
А апдейт на винду качай по-любому.
Slon
6 - 20.05.2004 - 23:22
качай для Win XP
_URL
для Win 2000
edm
7 - 20.05.2004 - 23:22
Какие меры?
Забанить чтобы инфекцию здесь не распространял? ;)
Slon
8 - 20.05.2004 - 23:23
win XP
http:// download.microsoft. com/download/2/f/8/2f8b11f2-244f-41b6-b038-b15a1dd13457/WindowsXP-KB835732-x86-RUS.EXE
(пробелы убери, фильтр не пускает)
Slon
9 - 20.05.2004 - 23:39
ОФФ Касперского 5.0 заодно скачай, хуже не будет.
http://
Оставь мыло, помогу с ключем.
Slon
10 - 20.05.2004 - 23:41
http:// downloads1.kaspersky-labs.com/ trial/ registered/ 4IG5XENT-FICW-61KE-8CLY-5MSE8NY3HT8J/kav5.0trial_personalru.exe
Nikto
11 - 20.05.2004 - 23:44
Блин, так оно всё и есть . Нихрена Касперский не удалил этого трояна.
Точно, в папке Темп есть каких-то 2 левых файла, удалились только из ДОСа, и в реестре левый ключ нашёл и
в автозагрузке один иэтих фалов стоял.
Дак это что ж получается? Касперский мне отрапортавал, что удалил этого виря, а на самом деле ничерта не сделал??
В настройках стоит: лечить, и удалять, если лечение невозможно.
Приношу свои извинения Железному Форуму за подозрения, даже на душе отлегло, думал, что уж и сюда враги проникли.;%)
Slon 5-го касперского на диске найду, куачпть канал очень тугой.
gloomymen
12 - 20.05.2004 - 23:53
То-ли я редко заглядывать стал, то-ли совпадение...
Eduard, добрый ночер, как дела в железном королевстве ;)
Slon, привет! Давно не виделись, не желаешь куш сорвать?
gloomymen
13 - 20.05.2004 - 23:54
Ну не могу же я #13 пропустить.
Slon
14 - 20.05.2004 - 23:57
Привет gloomymen, ты имеешь ввиду дощелкать до 250 поста?
:-)
Slon
15 - 20.05.2004 - 23:59
... телеЖОПИКА же нет, так что наврядли что получится.... :-)
gloomymen
16 - 21.05.2004 - 00:05
Что, юный провокатор опять на Колыме ? ;)
Slon
17 - 21.05.2004 - 00:06
Да нет, появлялся тут недавно....
Спрашивал как ч/з вход тв.тюнера сегу подключить......
gloomymen
18 - 21.05.2004 - 00:18
Это я видел, если не ошибаюсь - он там повздорил с официальными лицами,
и пропал :)
Slon
19 - 21.05.2004 - 00:19
Не дочитал я до конца ветку, грохнули....
С кем он там что не поделил?
Slon
20 - 21.05.2004 - 00:22
Но за год то все равно по спокойней стал..... Взрослеет. :-)

К списку вопросов на форуме Железо

>>