[es] - Šta je ovo ? nowfind.net

tiranin
Dorćol

Član broj: 37185
Poruke: 245
*.nat-pool.bgd.sbb.co.yu.

Profil

^{19.01.2005. u 10:12 - pre 234 meseci}

Već danima kuburim sa nečim što mi napada IE. Promeni mi start stranicu na nowfind.net i u registriju ubaci tu putanju na petnaestak ključeva koji se odnose na Internet Explorer.
U Windows/system32
postavi desetak dll i nekoliko trf00.exe trf01.exe ...
a na desktop ubaci par fajlova koji kad se gledaju npr. UltraEditom sadrže javasctip kod.

Imam tri antivirus programa i nijedan ništa ne otkriva, a ne otkriva ništa ni AdAware.
Samo HijackThis pronađe šta se nalazi u registriju i to preko njega otklonim. Ostale stvari pobrišem ručno, očistim temp, restartujem mašinu i sve je OK. Ako odem na mrežu preko Firefoxa sve radi dobro. Ako počnem da surfujem sa IE za par minuta ponovo zakačim ovu napast.
Zadnji put sam ga zakačio posle dva mirna dana dok sam pregledavao neke svoje html fajlove na disku, a mreža je bila otvorena.
Šta je ovo ?

Odgovor na temu

Sundance

Član broj: 7510
Poruke: 2559
*.sava.sczg.hr.

Profil

Re: Šta je ovo ? nowfind.net

^{19.01.2005. u 10:45 - pre 234 meseci}

Instaliraj Microsoft AntiSpyware, restartaj u Safe Mode skeniraj, podesi opcije za Browser Hijack Restore i pokušaj onda napasti gamad, uključi realtime zaštitu. nowfind.net stavi u Restricted zone ako je sam sajt izvor zaraze, ili ga najbonje blokiraj sa HOSTS fajlom.

Pročitaj FAQ, tamo imaš linkove za navedene programe/upute.

Odgovor na temu

tiranin
Dorćol

Član broj: 37185
Poruke: 245
*.nat-pool.bgd.sbb.co.yu.

Profil

Re: Šta je ovo ? nowfind.net

^{20.01.2005. u 14:39 - pre 234 meseci}

Otkrio sam šta sve ova napast radi( možda nije sve ali je u svakom slučaju mnogo)
1. na windows/system32 postavi desetak .dll fajlova od kojih je verovatno važan samo jedan, a ostali su tu valjda da naprave pometnju
2. na isti folder postavi i tmpf000.exe, tmpf001.exe ... i tako nekoliko sve valjda dok ga ne primetim pa počnem sa čišćenjem. Postavi nekakve cmd.dat i još jedan .dat(zaboravio sam mu ime). Neki od ovih tmpf00n.exe se mogu videit i kao aktivni procesi i moraju se tamo stopirati da bi se ovi fajlovi iz windows/system32 obrisali.
Svi ti fajlovi se lako mogu prepoznati po datumu i vremenu kada su modifikovani.

3. U Favourites Internet Explorera postavi 4 shortcuta na nekakve porno sajtova, a jedan je obavezno www.nowfind.net/n004(ili 5,6 ...)
3. U registry bazi se promeni petnaestak ključeva koji se odnose na InternetExplorer. To su oni ključevi koji ukazuju na default start stranicu, search stranice ...
4. Takođe promene se i neki ključevi koji se odnose na InternetExplorer a u sebi kriju www, home, mosaic (na znam šta to znači, ali pretpostavljam da je to nekakav assistant koji IE govori kako da dopuni adrese kada se ne otkuca ceo URL).
5. Ova napast mi promeni i HOSTS fajl. Ukloni mi stari i napravi samo jedan koji u sebi ima samo liniju

msdn.auto.... (ili auto.msdn...) 127.0.0.1

6. Na desktop mi ubaci nekoliko fajlova koji se zovu t2, 4you(bez tipa) i u njima je tekst koji liči na JavaScript). Ubaci i neki fajl a135.js koji u sebi ima dugačak javascript kod koji nemam živaca da dešifrujem.

I to je to.

Kada počistim sve što znam da treba, pomoću HijackThis, i ostalih anti virusnih i antispyware programa u safe modu i u normal modu računar je čist(bar ja tako mislim). Sve dok surfujem pomoću Firefoxa ne nailazim na probleme. Ali kako pokrenem IE, i to ne da bih surfovao već da bih pogledao neki html na disku u roku od manje od 10 minuta ulovim napast. Odmah vidim na desktopu fajl t2, nekad i još neki, odmah zatim i fajlove na system32 folderu, a HijackThis mi pokaže šta je zabrljano u registriju i vidim da je HOSTS fajl promenjen.
Znači, ako se odreknem IE mogu da budem miran, ali mene više kopka da li sam počistio sve što je trebalo, ili IE ima neku rupu koju pomoću nekakvog servicepacka treba da zapušim. Napominjem da nisam instalirao SP2, jer imam e-banking pa su mi u banci rekli da to ne radim jer njihov program ne radi sa SP2. Zato mi popravka XP pomoću SP2 ne paše, ali bi mi dgovarala nekakva zakrpa za IE.

Odgovor na temu

Sundance

Član broj: 7510
Poruke: 2559
*.sava.sczg.hr.

Profil

Re: Šta je ovo ? nowfind.net

^{20.01.2005. u 15:12 - pre 234 meseci}

Citat:

tiranin:Ali kako pokrenem IE, i to ne da bih surfovao već da bih pogledao neki html na disku u roku od manje od 10 minuta ulovim napast.

Još uvijek si zaražen!!!!

Odgovor na temu

tiranin
Dorćol

Član broj: 37185
Poruke: 245
*.nat-pool.bgd.sbb.co.yu.

Profil

Re: Šta je ovo ? nowfind.net

^{21.01.2005. u 12:25 - pre 234 meseci}

Pokušao sam da ti pošaljem sve što sam zadnji put zakačio, ali mi je pismo odbijeno zbog "Illegal attachment" . Ne znam da li je to odbio moj ili tvoj mail server. Da li je pametno da na ovom forumu zakačim fajl sa virusima ?
OK, kačim uz ovu poruku.
A pismo koje sam ti uz to napisao glasi:

Citat:

U postu na moj problem sa gamadi sto mi napada InternetExplorer trazio si da ti posaljem tmpf00.exe. Ja ti osim njega saljem sve ono sto mi istovremeno stize u system32 folder, saljem ti log iz HijackThis i to Before koji sadrzi ono sto HijackThis prijavi nakon moje sumnje da me je nesto napalo, a After koji sadrzi nakon sto ja ocistim ono sto je obelezeno sa R0, R1, O1 i O13(mislim da sam sve nabrojao). Jos sam i dodao host fajl koji mi ova napast kreira.
Sto se tice onih dll-ova cini mi se da je glavni mtwirl.dll. On se jedini ne moze obrisati kada mi se u listi aktivnih proces nalazi tmpf00.
Napominjem, ne dogodi se uvek da tmpf00 ili 01... bude medju aktivnim procesima.
Takdodje, sada mi nikakav javascript fajl nije prikacen na Desktop

Hvala na trudu.

Prikačeni fajlovi

Error.zip - 25.67k

Odgovor na temu

Sundance

Član broj: 7510
Poruke: 2559
*.sava.sczg.hr.

Profil

Re: Šta je ovo ? nowfind.net

^{21.01.2005. u 18:46 - pre 234 meseci}

Code:

Virus Total
_______________________________________________

Scan results
File: js.zip
Date: 01/21/2005 19:23:27
----
AntiVir 6.29.0.8/20050121       found nothing
AVG     718/20050121    found nothing
BitDefender     7.0/20050121    found nothing
ClamAV  devel-20041205/20050121 found [Trojan.Downloader.JS.IstBar.A-2]
DrWeb   4.32b/20050121  found nothing
eTrust-Iris     7.1.194.0/20050120      found nothing
eTrust-Vet      11.7.0.0/20050121       found nothing
F-Prot  3.16a/20050120  found nothing
Kaspersky       4.0.2.24/20050121       found [Trojan-Downloader.JS.Small.af]
NOD32v2 1.977/20050120  found nothing
Norman  5.70.10/20050121        found nothing
Panda   8.02.00/20050121        found [Adware/WUpd]
Sybari  7.5.1314/20050121       found [Trojan-Downloader.JS.Small.af]
Symantec        8.0/20050120    found nothing

Stavi http://install.xxxtoolbar.com i http://xxxtoolbar.com u Restricted zonu u IE.

Stvarno šarolik postotak detekcije. Jedini AV koji su uspjeli detektirati sav analiziran malware su ClamAV (ClamWin), Panda i Sybari. Sramota.

Iznenađuje me uspješnost open source đubreta ClamAV, čini se da ponekad ni ta duboka mreža suradnje razmjene virusnih definicija komercijalnog AV ne može nadići priču "kad se male ruke slože..." :)

Probaj sa evaluacijskim verzijama gore nabrijanih AV, clamAV je džabe.

Odgovor na temu

dum-dum

Član broj: 35073
Poruke: 93
*.vdial.verat.net.

Profil

Re: Šta je ovo ? nowfind.net

^{22.01.2005. u 11:20 - pre 234 meseci}

Citat:

tiranin: Instalirao sam MS AntiSpyware već prvi put kada si mi savetovao. Skeniranjem ništa nije našao, a realtime zaštita je blokirala samo neke promene u registriju.

Evo i nekih novosti vezanih za MS AntiSpyware:

The computer underground keeps a close eye on Microsoft. The AntiSpyware tool, despite being only a beta, has already inpsired new malware:

Trojan-Clicker.Win32.Agent.bm, for instance

or Trojan-Dropper.Win32.Agent.ed

We urge users to treat unsolicited files from the Internet with suspicion. These Trojans have been added to our databases and descriptions will be available soon.

Update: a description for Trojan-Clicker.Win32.Agent.bm is now available.
http://www.viruslist.com/en/viruses/encyclopedia?virusid=70306

Odgovor na temu

Sundance

Član broj: 7510
Poruke: 2559
*.sava.sczg.hr.

Profil

Re: Šta je ovo ? nowfind.net

^{22.01.2005. u 20:46 - pre 234 meseci}

Citat:

This is a primitive Win32 Trojan.

It is written in C, and packed using UPX. The packed file is approximately 14KB in size, and the unpacked file is approximately 54KB in size.

Once launched, the Trojan remains dormant for approximately 7 minutes. This is done on purpose, to attempt to hide its payload from the user.

The Trojan then causes a dialogue box headed 'Microsoft Windows - Security Alert'.

Slika ovdje: http://www.viruslist.com/en/imagesen/pictures/virus-16009486.bmp

Citat:

If the user clicks on the button "Process with select of protection software", the Trojan will launch Internet Explorer, directing it to an Internet resource containing Adware.

Odgovor na temu

Xpirit
Dejan Nikolic
Beograd

Član broj: 8504
Poruke: 159
*.mediaworksit.net.

ICQ: 3434902
Sajt: www.f-secure.co.yu

Profil

Re: Šta je ovo ? nowfind.net

^{22.01.2005. u 21:18 - pre 234 meseci}

Evo skenirah ga i ja sa mojim F-Secure Internet Security 2005

Malicious code found in file D:\VIRUSI\JS\A175AA.JS.
Infection: Trojan-Downloader.JS.Small.af
Action: The file was deleted.

to je dao pri samom raspakivanju .zip

a sken arhive je dao ovo:

Result: 1 viruses found

* D:\virusi\js\js.zip\a175aa.js Infection: Trojan-Downloader.JS.Small.af

Now you're runnin', a?

Odgovor na temu

Xpirit
Dejan Nikolic
Beograd

Član broj: 8504
Poruke: 159
*.mediaworksit.net.

ICQ: 3434902
Sajt: www.f-secure.co.yu

Profil

Re: Šta je ovo ? nowfind.net

^{22.01.2005. u 21:24 - pre 234 meseci}

A evo i za error.zip

pri raspakivanju...

Malicious code found in file D:\VIRUSI\ERROR\ERROR\SYSTEM32\MTWIRL.DLL.
Infection: Trojan.Win32.StartPage.mz
Action: The file was deleted.

sken arhive

D:\virusi\error\Error.zip\Error\system32\mtwirl.dll Infection: Trojan.Win32.StartPage.mz

Now you're runnin', a?

Odgovor na temu