Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| |
Похоже оно и есть. Thanks!
08.12.03 09:03 Число просмотров: 2641
Автор: Anatoly Статус: Незарегистрированный пользователь
|
> Google("xmdm.exe")
> http://www.sophos.com/virusinfo/analyses/trojxdoora.html
> Может какая-нибудь новая модификация (раз антивирь молчит).
Похоже оно и есть. Thanks!
Вот и странно что NAV молчит, троян еще летом появился. Ну а Sophos понятное дело себя рекламирует...
IRC-троян значит... а я решил что просто ресурсы компа отгрызает. То, что он процессы создает - это видать пролезть в инет пытается (на брандмауэре кое-какие изменения произошли, видать его и затронули). В общем надо еще поковыряться (мысль, например, о создании компа с тем адресом, что он ищет, мне понравилась). Только вот выложить-то его некуда - нет у меня своего FTP-сервера. А может тута есть где доступ? :-)
|
|
<hacking>
|
забавная штука... 07.12.03 16:05
Автор: Anatoly Статус: Незарегистрированный пользователь
|
Привет всем!
Нашел тут на компе сервис. Пока не знаю к какому классу его отнести...
При загрузке компа шлет SYN_SENT пакеты на IP-адрес 130.205.88.42, порт 8426 (видимо ищет "хозяина"). Имя этому узлу: forthelongrun.com (теперь хоть понимаю почему эта тачка так медленно грузится ;-). По ходу дела плодоносит процессы "xmdm.exe" (файла с таким именем, однако, обычными средствами не находится) - обычно штук 10 таких висит, отжирая ресурсы компа. Ни антивирусом (NAV) ни прогами по удалению троянов и другого хлама он не опознается. Хотя ясно что "по делу" он не нужен.
Вопрос: кто в курсе - что за зверь? В инете толковой инфы я по нему не нашел - неужели никто о нем не в курсе... Несет ли какую функция троянов и т.п. (пока видимо только тормозит комп)? И чем можно аккуратно выковырить (боюсь он уже каким-то образом в систему пролез, если грубо ковырять - винду и уронить недолго). Понятно что самый простой выход- перестаить все к ч.м., только у меня к нему уже спортивный интерес... Можно, конечно, разрешить ему коннект и посмотреть как он общаться будет...
|
|
И мне, если не трудно. Адрес обычный - diver_zuc@mail.ru 09.12.03 22:20
Автор: Ilich Статус: Незарегистрированный пользователь
|
|
|
| |
Похоже оно и есть. Thanks!
08.12.03 09:03
Автор: Anatoly Статус: Незарегистрированный пользователь
|
> Google("xmdm.exe")
> http://www.sophos.com/virusinfo/analyses/trojxdoora.html
> Может какая-нибудь новая модификация (раз антивирь молчит).
Похоже оно и есть. Thanks!
Вот и странно что NAV молчит, троян еще летом появился. Ну а Sophos понятное дело себя рекламирует...
IRC-троян значит... а я решил что просто ресурсы компа отгрызает. То, что он процессы создает - это видать пролезть в инет пытается (на брандмауэре кое-какие изменения произошли, видать его и затронули). В общем надо еще поковыряться (мысль, например, о создании компа с тем адресом, что он ищет, мне понравилась). Только вот выложить-то его некуда - нет у меня своего FTP-сервера. А может тута есть где доступ? :-)
|
| | |
Замыль его мне если нетрудно, посмотрю... handlex(coбaчka)mail.ru 08.12.03 10:45
Автор: HandleX <Александр М.> Статус: The Elderman
|
|
|
|
Выложи его куда-нибудь на FTP, посмотрим, что за зверь. А пока вот что... 07.12.03 16:41
Автор: HandleX <Александр М.> Статус: The Elderman
|
> Привет всем!
Привет.
> Нашел тут на компе сервис. Пока не знаю к какому классу его
> отнести...
Троян? RootKit? ;-) Он как сервис в системе установлен? Ну так удали его. На какой файл ссылается сервис? Удали и этот файл, предварительно скопировав его на ftp, глянем что за гадость...
|
|
а может самопальный какой... 07.12.03 16:28
Автор: Killer{R} <Dmitry> Статус: Elderman
Отредактировано 07.12.03 16:33 Количество правок: 2
|
> - винду и уронить недолго). Понятно что самый простой
> выход- перестаить все к ч.м., только у меня к нему уже
> спортивный интерес... Можно, конечно, разрешить ему коннект
> и посмотреть как он общаться будет...
Можно конечно. А данные этого компа никому другому не хочется получить? А лучше с дизасмом разобраться что делает этот ехе. Или отключившись от инета установит себе виртуальную сетевую или использовать реальную поставить себе тот IP, открыть порт на прослушку который он хочет и посмотреть что будет он делать. Пор нестандартный -это троян. или еще лучше отослать его какому нить Касперскому на мыло. Как нового зверя Ж). Ксттаи не понятно что это за троян который пложит кучу процессов. А если это DoS то почему на такой нестандартный порт?.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
