ntaryl Δημοσ. 29 Μαρτίου 2010 Δημοσ. 29 Μαρτίου 2010 Το συγκεκριμενο Backdoor ειναι γραμενο απο ενα πολυ καλο προγραματιστη τον shapeless .Ειναι γραμμενο σε asm . Οπως ειχα γραψει ισως να χρησιμοποιει rookit τεχνικες (πραγματι χρησιμοποιει rootkit) για να κρυφτει και επισης χρησιμοποιει FWB++ για να περασει τα soft Firewall(process injection). το συγκεκριμενο προγραματακι μπορει να βρεθει παντου αλλα κατα 99% ειναι detect απο το καθε AV.Xρεαιζονται καποιες γνωσεις για να το κανεις Undetect. Θεωρειται απο τα πιο εξελιγμενα Trojan .Αλλα ο Shapeless σταματησε να το ενημερωνει . Κριμα ενα αναλυτικο how to : http://www.scribd.com/doc/17169453/Poison-IVY-Tutorial Υ.γ Φιλε μου το συγκεκριμενο προγραματακι χρησιμποποιει persistense option .Δινει την δυνατοτητα στον Server καθε φορα που διαγραφεται να αναπαραγει τον εαυτο του και να ξαναγραφει το σβησμενο κλειδι . Ο shapeless ηταν ο πρωτος που χρησιμοποιησε αυτη την τεχνικη http://www.poisonivy-rat.com/
_Anonymous_ Δημοσ. 30 Μαρτίου 2010 Δημοσ. 30 Μαρτίου 2010 Καλημερα φιλε και συγνωμη για τη καθυστερηση, σβηνε τα παρακατω.... O1 - Hosts: ::1 localhost (Με αυτο σου κανει redirect απο τη πορτα 80 μεσω browser) O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file) O4 - HKCU\..\Run: [eleos] C:\Users\TURBO_X\AppData\Roaming\win32srv.exe (με αυτο μαλλον μπαινει δημιουργωντας ευκολα ενα trojan κλειδι στη registry, στη list του authorized..... καλος ειναι ο τυπος) O2 - BHO: babelfishnetwork - {7cf47af8-d1f3-f4c9-aa20-38bd95540325} - C:\Windows\system32\H-Ca-0Mp.dll (file missing) (εδω ειναι απο πορνογραφικο site ενα πιωμα που εχεις πιει) O4 - HKCU\..\Run: [eleos] C:\Users\TURBO_X\AppData\Roaming\win32srv.exe (αυτο προφανως ειναι για να τρεχει το αρχειο απο την εναρξη του προφιλ στο logon) O23 - Service: SW Distributed TS Coordinator Service (CoordinatorServiceHost) - Dassault Systemes SolidWorks Corp. - C:\Program Files\SolidWorks\swScheduler\DTSCoordinatorService.exe O23 - Service: Remote Solver for Flow Simulation 2009 - Unknown owner - C:\Program Files\SolidWorks\COSMOS\binCFW\StandAloneSlv.exe (αυτο ειναι το cosmos απο τη Flowworks, χρησιμοποιειται για remote calculations, αν δε ξερεις τι ειναι το σβηνεις) Και μιας και ειδα οτι εχεις spybot και malwarebytes κανε ενα update και full scan και θα εισαι μαλλον ενταξει Παρακαλω φιλε, δε κανει τιποτα
George1987 Δημοσ. 30 Μαρτίου 2010 Μέλος Δημοσ. 30 Μαρτίου 2010 Τα αρχεία αυτά τα είχα σβήσει αλλά δεν σταμάτησαν την ανπαραγωγή του ιού,ο ιός επανεμφανίζοταν,έτσι έκανα format. Κάποιο rootkit θα ήτανε. Έκανα πάντως αρκετά scan με προγράμματα anti rootkit.
ntaryl Δημοσ. 1 Απριλίου 2010 Δημοσ. 1 Απριλίου 2010 Φιλε μου Αλλαξε τα password που εχεις . κατα 99% οποιος πηρε προσβαση πηρε και κωδικους καλο απογευμα
Προτεινόμενες αναρτήσεις
Αρχειοθετημένο
Αυτό το θέμα έχει αρχειοθετηθεί και είναι κλειστό για περαιτέρω απαντήσεις.