Trojan w downloadzie

0

Siemka. Posłałem koledze link http://download.4programmers.net/KM_Bot . Coż... mowi ze ma trojana. To znaczy keylogera czy cos w tym stylu. Wezcie sprawdzie na 100 %. Bo tak naprawde on mysli ze wszystko jest wirusem.

0

Rzeczywiście coś z tym plikiem jest nie tak. Po uruchomieniu uruchamia sam siebie tyle że z folderu Temp. Po zamknięciu uruchamia plik svchost.exe (z folderu Temp) i nie jest to ten systemowy, tylko jakaś podróbka. Antywirus (NOD32, aktualizacja dzisiaj) nic nie wykrył. Poza tym został dodany po 19 minutach od zarejestrowania. Byłbym za wywaleniem

0

Moim zdaniem powinno wylecieć z downloadu wszystko co związane jest jakkolwiek z Tibią :P Ostatnie 3 wirole które były w downloadzie również były związane z Tibią... jestem za wywaleniem wszystkich plików związanych z tą "przecudną" ( ;) ) grą...

0

Poooszloo ....
Dzieki za info.

0

Jestem za wprowadzeniem ograniczenia, które zablokuje dodawanie plików jeśli konto istnieje jeszcze bardzo krótko. Takie "akcje" są bardziej niż podejrzane.

0

Prawde mowiac jestem za, w ogole mysle, ze mozliwosc wrzucania binarek na 4p jest chybionym pomyslem.

0
Wolverine napisał(a)

w ogole mysle, ze mozliwosc wrzucania binarek na 4p jest chybionym pomyslem.

Czy chybionym...nie powiedziałbym. Czasami ma to swoje plusy, ale jak widać daje (niestety) to pole do nadużyć i nie da sie temu zaprzeczyć. Z drugiej strony nie można zabronić wrzucać binarek, bo to zmuszałoby ściągającego do samodzielnego kompilowania kodu, a to może być problem (znaleźć odpowiedni kompilator, skompilować)

0

Bo kolega powiedział niby, ze sama mu myszka chodziła, keylogera ma. Jutro mu idę naprawić kompa. Anonim2113412432143213214 to ja. Pisalem z kompa z szkoly. Warto dac bana temu co tam go dał

0

Mógłbym poprosić o przesyłanie mi kopii takowych binarek?

najlepiej na konto trzymane na GMailu, którego username to: BinarkiDlaCyberka ;) Byłbym dźwięczny :)

Jako, że to GMail, to warto by taką binarkę potraktować jakimś archiwerem innym niż ZIP ;)

0

Poproszę o podsyłanie takich plików na [email protected]
Postaram się spiąć coyote z clamav, tylko musze najpierw sprawdzic czt ten ostatni wykrywa te pliki czy nie...

0

Ja już to skasowałem. Przecież nie będę trzymał takich śmieci :) .

0

Pewnie to znów ten sam syf, który swego czasu analizowałem, wreszcie jakieś antywiry to obsługują, na początku maja tylko bodaj 4 na 30 testowanych 'coś' w tym wykrywało. Byłbym wdzięczny za przesyłanie tych śmieci na [email protected] ... Ech, nadal mam trochę problemów, postaram się z nimi jak najszybciej uporać... a binarki zawsze się przydadzą - może w międzyczasie zrobię jakiś analizer /ostatnio nad czymś podobnym pracowałem/.
Swoją drogą te trojany to różne wersje tego samego syfu. Ciekawe, że tym osobnikom nadal się to nie znudziło. </delphi> im na drogę :>

pozdrawiam
deus/baiji

//deus - Ty żyjesz? Myśleliśmy, że Cię Marsjanie porwali - M

0
baiji napisał(a)

binarki zawsze się przydadzą - może w międzyczasie zrobię jakiś analizer

Większość tych badziewi wysyła logi poprzez odpalenie przeglądarki (z reguły IE) w trybie "niewidzialnym", tak więc na początek można by zrobić prostą regułę, która blokuje program próbujący odpalić przeglądarkę z wpisanym adresem url w trybie niewidzialnym.

0

z tego co tu czytam, to wyglada mi ze macie problem z jakims trojanem wysylanym przez anonimow..? ostatnio jakis taki program dot. Tibii widzialem na forum, przejrzalem go, byl zaszyfrowany jakas autorska, idiotycznie prosta metoda, kopiowal sie do c:\windows\services.exe i dodawal do rejestru. Sam zaszyfrowany ta metoda plik mozna bardzo prosto wykryc, jesli je przyda to dostarcze opisu jesli mam ten plik jeszcze gdzies :)
Jesli ktos z Was ma problem z wywaleniem jakiegos wira/trojana/etc sluze pomoca, uwielbiam je rozkladac na czynniki pierwsze i wykorzeniac z systemu :) wystarcza mi binarki oraz strona skad one przyszly, o ile byla jakowas podejrzana.
biny - jesli pochodza gdzies z internetu, wyslijcie mi linka mailem, w innym przypadku - spakujcie ZIPem dwa razy, za kazdym razem szyfrujac z haslem jakims, haslo podajcie w tresci maila. w ten sposob oglupi sie kazdy portalowy antywirus. trzeba dwa razy z haslem, poniewaz po jednym antywirus moglby przejrzec liste plikow, zauwazylby .exe i nie przepuscil.

0

Ja zmieniam rozszerzenia na .nonexe ;-)
I ten trojan o którym mówisz to jest "standardowy" OwnTibia, za ciężkie pieniądze takie coś się kupuje (!).

I akurat quetzalcoatlu (rany, nigdy nie wiem jak to się pisze - dobrze że i tak potrafię wymówić :)) to anonimy nie dodają, robią to ledwo zarejestrowani użytkownicy :-)
Fajnie że tyle osób podejmuje się sprawdzania czy to jest złosliwość jaka, może nam łatwiej będzie usuwać dzięki temu.

0

Jesli ktos z Was ma problem z wywaleniem jakiegos wira/trojana/etc sluze pomoca, uwielbiam je rozkladac na czynniki

Problem w tym że Tibiany są zamieszczane przez głupoli .
Jesli ktoś [bardzo złośliwy] będzie chciał zamieścić jakiś program który
załamie twój system lub wykradnie(tajne) dane nic na to nie poradzisz , kod może wyglądac na niewinny .
Kwestia (ort ) dobrej woli ...

0

dzejo: wlasnie dlatego nie robi sie tego na "swoim" komputerze, tylko na jakims komputerze-poligonie-rzęchu klasy P333 albo na spreparowanej wirtualnej maszynie. ostatnia rzecza jaka z tym robi z nieznanym plikiem jest odpalenei tego na swoim kompie:) a na poligon sobie najpierw zaminowujesz (filemon, regmon, etc), odpalasz podejrzany plik wprost z debuggera z breakiem na samym wstepie itp. oczywiscie to wszystko jak cos podejrzewasz. nie jestem typem paranoidalnym ktory skanuje wzsystkei pliki sciagniete dziesiecioma antywirami, ale jak sie cokolwiek podejrzewa to warto na wstepie chocby stringi, importy/exporty obejrzec, i typ packera o ile byl jakis. w tym przypadku packer byl wyraznie autorski.. smiem twierdzic ze jednak troche sie orientuje, od jakis 3-4 lat nie mam ani firewalla ani antywira, i mam komp czysty (raz na jakis czas czysto informacyjnie przelatuje jakims jednak, bo a nuz cos przeoczylem) - moze ze 2 infekcje przypadkowe mialem lacznie, ale je sam wykrylem i usunalem. a infekcji nazdorowanych - paredziesiat, wszystko potem czyszczone rezcnie. czyszczen kompow znajomych juz nie liczylem. niestety ostatnio czasu mialem malo i sie rootkitami nie zdazylem w pelni 'pobawic'.. ale ogolnie sie zgadzam -- jak ktos bedzie chcial, to napisze cos czego za chorobe nie znajde, to tylko kwestia czasu poswieconego. ale w druga strone to tez dziala :) ot, taki "wyscig zbrojen"..

0

Bardzo rozsądne podejście .

Wydaje mi sie że ludzie którzy potrafią coś fajnego napisać nie wykorzystają
kodu do bandyckich celów ( ew. mają tylko problem - zrobić coś lub nie ).
Osobiście jestem za rozwijaniem umiejętności pisania programów które wykraczają
poza "legalne formy" , ale w celach edukacyjnych , warto przecież wiedzieć
jak działa program który piszesz , im więcej wiesz tym więcej możliwości wykrycia
błędu gdy przestanie działać :-D .

Te potwory które się pojawiają to nędzne wypociny
przedszkolaków z jakimis problemami emocjonalnymi ...

0

A ja popieram Wolverine. Wrzucanie binarek to chybiony pomysł.
Byłbym za zablokowaniem. Jakby było coś cennego, to zawsze można do administratorów z prośbą się zwrócić.
To forum programistyczne. Tutaj same źródła powinny być.

0

@Dryo: Nie do końca się zgodzę. Jeśli przykładowo ktoś napisze aplikację powiedzmy w Javie, która będzie służyła do czegoś przydatnego programistom (nie mam akurat w tym momencie sensownego pomysłu, ale chociażby jakiś ambitny edytor tekstu czy coś), to osoba, która by chciała z tego skorzystać musiałaby mieć prekompilator Javy, żeby móc ściągnąć źródła i je skompilować i używać takiego programu.

Oczywiście Java to tylko przykład, bo akurat osobiście nie mam żadnego środowiska/prekompilatora do Javy i dopóki nie będę musiał mieć, to nie zainstaluję, bo nie planuję nauki tego języka dla własnej satysfakcji.

Co do wirusów pisanych przez przedszkolaków z problemami emocjonalnymi - te czasy dawno minęły. Proponuję obejrzeć wywiad z Davidem Perrym (http://dobreprogramy.pl/index.php?dz=8&a=150) - większość takich wirusów/trojanów/rootkitów itp. pisanych jest na zamówienie organizacji przestępczych przez specjalistów. Służą do kradnięcia prywatnych informacji, które mogą być wykorzystane w niecnych celach (od spamu aż po włamania do systemów bankowych i kradzież pieniędzy).

0

Adam: a czy w tej sytuacji, skoro binarka jest tak przydatna, można podać w opisie linka do pliku zahostowanego gdzie indziej

0

A może by tak zaatakować z innej strony niż zwykłe leczenie kompa / zapobieganie ;> Przecież taki OwnTibia wysyła logi do swojego serwera: UIN, PASS i nickname postaci. Możnaby napisać prosty soft wyciągający id użytkownika w serwisie OwnTibia i spamować mu te logi ;>

Po takim manewrze taki hakier dobrze by się zastanowił nim gdziekolwiek wrzuciłby swoją kopię OwnTibia.

0

Wrzucanie binarki obok źródeł to dla mnie podstawa - nie muszę mieć każdego stworzonego kompilatora, a czasem coś ciekawego się pojawia i chciałbym z tego móc skorzystać.

0

to już mnei zaczyna wkurzać, wywaliłem pięć "narzędzi" do tibii, ale to chyba nie ma końca.
proponuję uniemożliwienie wrzucania binarek użytkownikom, którzy są zarejestrowani krócej niż przez miesiąc lub mają mniej niż kilka-kilkanaście napisanych postów. binarki takich userów powinny być moderowane, albo od razu odrzucane.

0

Adam - jak tam nowy Coyote? Może dodasz tam jakieś narzędzia ułatwiające moderowanie i ograniczanie uploadu?

0
CyberKid napisał(a)
baiji napisał(a)

binarki zawsze się przydadzą - może w międzyczasie zrobię jakiś analizer

Większość tych badziewi wysyła logi poprzez odpalenie przeglądarki (z reguły IE) w trybie "niewidzialnym", tak więc na początek można by zrobić prostą regułę, która blokuje program próbujący odpalić przeglądarkę z wpisanym adresem url w trybie niewidzialnym.
Miałem na myśli analizer działający po stronie 4p /tak jak kiedyś z qyonem gadaliśmy/ - wykrywa taki złom i niby dodaje: wrzucający otrzyma info o wrzuceniu a plik pójdzie w diabły :>. Z tego co widziałem ten złom to pakowany upx-em, w praktyce to nie przeszkoda, inne packery też nie stanowią problemu. Hm... starego trojana /tego z maja/ mam rozpracowanego / [rotfl] jaki prymityw/ - kilka osób widziało rozpisane przeze mnie algo i widziało screeny 'niewidzialnego' okna. Konkretnie to na oknie z 8 editów, webbrowser, chyba 4 buttony i 2 timery... jakiś button nie miał wcale zastosowania, jeden timer również. Z tego co pamiętam to Timer1 wywoływał Button1Click, ta procka zaś na końcu Button2Click, a ta - i tu niespodzianka - Button3Click. Edity robiły za... zmienne globalne. Btw. ten trojan miał ładną lukę - można było przez niego /z konta e-mail autora :>/ wysyłać maile - ten syf to niby program do odzyskiwania haseł, można było podać w zapytaniu adres na jaki pozostałe dane z zapytania zostaną wysłane /a limitu długości zapytania nie widziałem ;P/. Heh, ktoś to nawet zastosował do wysłania do jego hostingowców maila z tekstem 'jestem durnym spamerem, usuńcie mi konto' /chyba tak to było? ;P/.
To gdyby ktoś był tak miły to tego nowego bym prosił, adres znacie. Przy aktualnej robocie mam momentami nieco wolnego, a pobawiłbym się w utrudnianie życia durnym spamerom :>. W przyszłym tygodniu może już zamelduję się wolny i od siebie, wtedy się zabawimy - nie przepuszcze tym częściom rowerowym.
Jeżeli chodzi o możliwość wrzucania binarek na 4p to nie mam nic przeciwko, tylko problemem pozostaje kontrola. Hmm... wprowadzenie limitów postów nie jest złym pomysłem, ale to łatwo obejść - trochę logicznego myślenia, kilka linijek np. w pythonie i voila. Faktycznie obecność w serwisie byłaby lepszym kryterium. Jeżeli zaś o same pliki chodzi to w wielu wypadkach wystarczy 'grep -i "Tibia"' i ew. "strings -el | -i grep "Tibia"' ale przy szyfrowaniu stringów... dobra, czas goni a za wiele o tym jak pisane są te nieco lepsze trojany to pisać nie powinienem żeby życia kretynom nie ułatwiać.

pozdrawiam
deus/baiji

p.s. obym następnym razem zameldował się tutaj już na stałe...
@Marooned: Marsjanie? to ja ich porywam a nie oni mnie ;P

0

Zróbmy cos na podstawie "lustracji". Przebudować profil usera o dodatkowe pole nazwijmy je "zaufany". Domyślnie FALSE. Chcesz dodać binarkę - PM do moda, admina. Ten "lustruje" (czas na forum, aktywność itp.) i ustala zaufany=TRUE. Dzięki temu będzie miał aktywny przycisk UPLOAD. Jakos tak to widzę.

0

Adam: i kto będzie wszystkim userom edytował "zaufanie"? :)

0

Znajdzie się jakaś podpadziocha :)

0
Marooned napisał(a)

Adam - jak tam nowy Coyote? Może dodasz tam jakieś narzędzia ułatwiające moderowanie i ograniczanie uploadu?

Powiem Ci ze kiepsko. Od dawna nie ruszalem nic. Nawet nie chodzi o to ze nie mam czasu, ale brak zapalu. Lapie czasem takie "doly", ten trwal juz z 1,5 miesiaca, ale jak wpadne w ciag to nie moge przestac robic :P Wiec czekam az wena wroci :D

A co do dzialu upload, to juz powiedziane bylo ze trzeba bedzie przebudowac ;] Mam zamiar organiczyc wstawianie exekow (co oczywiscie na 100% nie ograniczy mozliwosci zawierania trojanow). Tak jak Marooned pisal, fajnie gdy czasem jest dolaczone demo i nie trzeba kompilowac. Ale chcialbym (kiedys) utworzyc osobny dzial, gdzie ludzie mogliby umieszczac swoje programy freeware oraz shareware (ale wartosciowe). Bo teraz ktos do dzialu upload laduje kolejna gre kolko i krzyzyk, aby sie pochwalic i nawet kodow nie dolacza. Po co to komu? :/ Tylko zagraca. Wiec mowie: zrodla + demo albo same zrodla jako plan na przyszlosc :P

//programista i taki ort ;P - M
// poprawione - A.B. :]

1 użytkowników online, w tym zalogowanych: 0, gości: 1