Hacking and more...
HaCkinG CulT
|
Lista Forumurilor Pe Tematici
|
Hacking and more... | Reguli | Inregistrare | Login
POZE HACKING AND MORE...
Nu sunteti logat.
|
Nou pe simpatie:
Profil sexyindianca
 | Femeie
24 ani
Ilfov
cauta Barbat
24 - 53 ani |
|
|
Y2K`
Elite Member
Din: 666
Inregistrat: acum 18 ani
Postari: 970
|
|
aicea o sa bag nishte titluri de trojanuri si modul lor de actionare :D
|
|
| pus acum 18 ani |
|
|
Y2K`
Elite Member
Din: 666
Inregistrat: acum 18 ani
Postari: 970
|
|
TR/Dldr.Delf.awg.2
Nume: TR/Dldr.Delf.awg.2
Descoperit pe data de: 07/09/2006
Tip: Troian
Subtip: Downloader
ITW: Nu
Numar infectii raportate: Scazut
Potential de raspandire: Scazut
Potential de distrugere: Scazut spre mediu
Fisier static: Da
Marime: 11.113 Bytes
MD5: 883f52002d622251041633c891a2f4ea
Versiune VDF: 6.35.01.191
Versiune IVDF: 6.35.01.195
General Metoda de raspandire:
• Nu are rutina proprie de raspandire
Alias:
• Mcafee: Downloader-AWA
• Kaspersky: Trojan-Downloader.Win32.Delf.awg
• TrendMicro: TROJ_DLOADER.DVA
• F-Secure: Trojan-Downloader.Win32.Delf.awg
• Sophos: Troj/Dloadr-AMP
• Eset: Win32/TrojanDownloader.Delf.AJD
Sistem de operare:
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Efecte secundare:
• Descarca fisiere malware
Fisiere Incearca sa descarce cateva fisiere:
– Adresa este urmatoarea:
•
Fisierul este stocat pe hard disc la: %TEMPDIR%csrss.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/PSW.LdPinch.AWP
– Adresa este urmatoarea:
•
Fisierul este stocat pe hard disc la: %TEMPDIR%smss.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Worm/Scano.av.4.A
– Adresa este urmatoarea:
•
Fisierul este stocat pe hard disc la: %TEMPDIR%lsass.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Proxy.Xorpi.AM.1
Injectarea codului malware in alte procese – Se injecteaza intr-un proces.
Numele procesului:
• svchost.exe
Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: Delphi.
Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.
|
|
| pus acum 18 ani |
|
|
Y2K`
Elite Member
Din: 666
Inregistrat: acum 18 ani
Postari: 970
|
|
nu is sigur daca ati auzit de acest trojan dar va zic eu ca e fff bun (propie experientza  )
TR/PSW.Small.B.1
Nume: TR/PSW.Small.B.1
Descoperit pe data de: 19/09/2006
Tip: Troian
ITW: Nu
Numar infectii raportate: Scazut
Potential de raspandire: Scazut
Potential de distrugere: Mediu
Fisier static: Da
Marime: 24.576 Bytes
MD5: cd0E69598067607640fc8fe4aa6c5615
Versiune VDF: 6.36.00.28
Versiune IVDF: 6.36.00.38
General Metoda de raspandire:
• Nu are rutina proprie de raspandire
Alias:
• Kaspersky: Trojan-PSW.Win32.Small.bs
• TrendMicro: TSPY_DLOADER.EFZ
• F-Secure: Trojan-PSW.Win32.Small.bs
• Sophos: Troj/PWS-ABD
• Eset: Win32/Small.NBX
Sistem de operare:
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Efecte secundare:
• Creeaza un fisier malware
• Reduce setarile de securitate
• Modificari in registri
• Sustrage informatii
• Posibilitatea accesului neautorizat la computer
Fisiere Se copiaza in urmatoarea locatie:
• %WINDIR%9129837.exe
Sterge copia initiala a virusului.
Sunt create fisierele:
– %WINDIR%hide_evr2.sys Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/PSW.Small.BS.3
– %directorul de activare malware%a.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.
Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:
– HKCUSoftwareMicrosoftWindowsCurrentVersionRun
• "ttool"="%WINDIR%9129837.exe"
Urmatoarele chei sunt adaugate in registri pentru a incarca serviciile la repornirea sistemului:
– HKLMSYSTEMCurrentControlSetServiceshide_evr2
• "Type"=dword:00000001
• "Start"=dword:00000003
• "ErrorControl"=dword:00000000
• "ImagePath"="??%WINDIR%hide_evr2.sys"
• "DisplayName"="!!!!"
– HKLMSYSTEMCurrentControlSetServiceshide_evr2Enum
• "0"="RootLEGACY_HIDE_EVR2�000"
• "Count"=dword:00000001
• "NextInstance"=dword:00000001
– HKLMSYSTEMCurrentControlSetServiceshide_evr2Security
• "Security"=%valori hex%
Se adauga in registrii sistemului:
– HKCUSoftwareMicrosoftInetData
• "k1"=%numar hexazecimal%
• "k2"=%numar hexazecimal%
Urmatoarea cheie din registri este modificata:
Dezactiveaza Windows XP Firewall:
– HKLMSYSTEMCurrentControlSetServicesSharedAccess
Vechea valoare:
• %setarile utilizatorului%
Noua valoare:
• "Start"=dword:00000004
Terminarea proceselor Urmatorul serviciu este dezactivat:
• wscsvc
Backdoor Servere contactate:
Urmatoarele:
•
•
•
•
•
Astfel se pot transmite informatii si se poate obtine control la distanta.
Trimte informatii despre:
• Parole retinute
• Statusul actual al malware-ului
Posibilitati de control la distanta:
• descarcare fisier
• executarea unui fisier
Furt de informatii Incearca sa obtina urmatoarele informatii:
– Parole tastate in campuri de logare
– Parole stocate, folosite de functia AutoComplete
Alte informatii Mutex:
Creeaza urmatorul mutex:
• ___RHaiuy72Mjtex
Tehnologie Rootkit Este o tehnologie specifica malware. Acesta se ascunde de programele sistemului, de aplicatiile de securitate si in cele din urma, de utilizator.
Ascunde urmatoarele:
– Propriile fisiere
– Propriul proces
– Propria cheie de registru
– Urmatoarele fisiere:
• 9129837.exe
• hide_evr2.sys
– Urmatorul proces:
• 9129837.exe
– Urmatoarea cheie de registru:
• ttool
Metoda folosita:
• Ascuns de Windows API
Se ataseaza la urmatoarele functii API:
• NtEnumerateValueKey
• NtQueryDirectoryFile
• NtQuerySystemInformation
Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.
|
|
| pus acum 18 ani |
|
TE4L
Super Buruian
 Inregistrat: acum 18 ani
Postari: 356
|
|
Oh shit,not again. 
_______________________________________
Beware of the buruian( he is ... super )
|
|
| pus acum 18 ani |
|
Shocker
Super Moderator
 Din: localhost
Inregistrat: acum 18 ani
Postari: 2084
|
|
|
| pus acum 18 ani |
|
