Замыль его мне если нетрудно, посмотрю... handlex(coбaчka)mail.ru08.12.03 10:45 Число просмотров: 2346 Автор: HandleX <Александр М.> Статус: The Elderman
Привет всем!
Нашел тут на компе сервис. Пока не знаю к какому классу его отнести...
При загрузке компа шлет SYN_SENT пакеты на IP-адрес 130.205.88.42, порт 8426 (видимо ищет "хозяина"). Имя этому узлу: forthelongrun.com (теперь хоть понимаю почему эта тачка так медленно грузится ;-). По ходу дела плодоносит процессы "xmdm.exe" (файла с таким именем, однако, обычными средствами не находится) - обычно штук 10 таких висит, отжирая ресурсы компа. Ни антивирусом (NAV) ни прогами по удалению троянов и другого хлама он не опознается. Хотя ясно что "по делу" он не нужен.
Вопрос: кто в курсе - что за зверь? В инете толковой инфы я по нему не нашел - неужели никто о нем не в курсе... Несет ли какую функция троянов и т.п. (пока видимо только тормозит комп)? И чем можно аккуратно выковырить (боюсь он уже каким-то образом в систему пролез, если грубо ковырять - винду и уронить недолго). Понятно что самый простой выход- перестаить все к ч.м., только у меня к нему уже спортивный интерес... Можно, конечно, разрешить ему коннект и посмотреть как он общаться будет...
И мне, если не трудно. Адрес обычный - diver_zuc@mail.ru09.12.03 22:20 Автор: Ilich Статус: Незарегистрированный пользователь
> Google("xmdm.exe") > http://www.sophos.com/virusinfo/analyses/trojxdoora.html > Может какая-нибудь новая модификация (раз антивирь молчит). Похоже оно и есть. Thanks!
Вот и странно что NAV молчит, троян еще летом появился. Ну а Sophos понятное дело себя рекламирует...
IRC-троян значит... а я решил что просто ресурсы компа отгрызает. То, что он процессы создает - это видать пролезть в инет пытается (на брандмауэре кое-какие изменения произошли, видать его и затронули). В общем надо еще поковыряться (мысль, например, о создании компа с тем адресом, что он ищет, мне понравилась). Только вот выложить-то его некуда - нет у меня своего FTP-сервера. А может тута есть где доступ? :-)
Замыль его мне если нетрудно, посмотрю... handlex(coбaчka)mail.ru08.12.03 10:45 Автор: HandleX <Александр М.> Статус: The Elderman
> Привет всем! Привет.
> Нашел тут на компе сервис. Пока не знаю к какому классу его > отнести... Троян? RootKit? ;-) Он как сервис в системе установлен? Ну так удали его. На какой файл ссылается сервис? Удали и этот файл, предварительно скопировав его на ftp, глянем что за гадость...
а может самопальный какой...07.12.03 16:28 Автор: Killer{R} <Dmitry> Статус: Elderman Отредактировано 07.12.03 16:33 Количество правок: 2
> - винду и уронить недолго). Понятно что самый простой > выход- перестаить все к ч.м., только у меня к нему уже > спортивный интерес... Можно, конечно, разрешить ему коннект > и посмотреть как он общаться будет... Можно конечно. А данные этого компа никому другому не хочется получить? А лучше с дизасмом разобраться что делает этот ехе. Или отключившись от инета установит себе виртуальную сетевую или использовать реальную поставить себе тот IP, открыть порт на прослушку который он хочет и посмотреть что будет он делать. Пор нестандартный -это троян. или еще лучше отослать его какому нить Касперскому на мыло. Как нового зверя Ж). Ксттаи не понятно что это за троян который пложит кучу процессов. А если это DoS то почему на такой нестандартный порт?.
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
