|
TwojePC.pl © 2001 - 2024
|
 |
A R C H I W A L N A W I A D O M O Ś Ć |
 |
| |
|
Dostałem dziwnego maila - z dziwnym załącznikiem. , no13 8/02/04 16:18
Dzisiaj rano chcialem zainstalowac bratu karte dzwiekową (zintegrowaną na jego plycie glownej) niestety cd z driverami gdzies posialem, dzwiek to AC97 ale stery od innej plyty nie dzialaly wiec postanowilem ze napisze maila do osoby na allegro ktora sprzedaja taką samą plyte z zapytaniem czy moze mi podeslac te sterowniki. Po 3h dostalem odpowiedz o pustej tresci i zalacznikiem rc.exe (261KB) - a nazwa nadawny "CHWDP" :>. Wczesniej jednak zassalem te stery ze strony producenta... i zajmowaly 6MB. Rozpakowalem ten jego plik i okazalo sie ze są tam trzy pliki:
dnetc.exe -> ten plik ma ikonke jakiejs krowy :-)
dnetc.ini
dnetc.reg
wewnatrz pliku dnetc.ini jest taka tresc:
[parameters]
id
[ogr]
fetch-workunit-threshold=2
[rc5-72]
fetch-time-threshold=3
[networking]
keyserver=snickers.ek.univ.gda.pl
autofindkeyserver=no
[logging]
log-file=log.txt
log-file-type=restart
log-file-limit=512
[triggers]
restart-on-config-file-change=yes
pause-on-no-mains-power=no
pause-watch-plist=taskmgr.exe
[buffers]
frequent-threshold-checks=4
[misc]
project-priority=RC5-72,OGR=0
[display]
progress-indicator=auto-sense
detached=yes
-> to mail tego kolesia
Wiecie moze co to jest? Oczywiscie nie bede tego otwieral ale chcialbym mimo wszystko wiedziec co chcial mi wpakowac ten koles. Dzieki za odpowiedz.Iron Maiden - ja stawiam ze to trojan którego sam napisał i teraz chce przetestować , trol 8/02/04 16:45
123- bo znanych trojanów nie da sie przesłac pocztą - AV na serwerach je wykrywają , trol 8/02/04 16:48
(chyba ze sie je spakuje i założy hasło)
- mi to na jakiegoś keyloggera wygląda , Chrisu 8/02/04 16:56
ale moge sie mylić - nie znam się na tym ...
A co jest w pliku .reg?? /// GG# 1 110 10 10 11 100 10 \\\ - --> , no13 8/02/04 17:08
REGEDIT4
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Muu"="\"C:\\WINDOWS\\SYSTEM32\\RC\\DNETC.EXE\""Iron Maiden - to po tym mi wyglada że to jakiś , Chrisu 8/02/04 17:11
wariant wirusa udostępniającego HDD... /// GG# 1 110 10 10 11 100 10 \\\
- google, przyjacielu , Tummi 8/02/04 17:26
http://www.wiruspc.pl/archiwum/numer_2000_11.php
Worm.RC5.a
Jest to robak PE EXE(aplikacja Win32). Zaraża komputery z Win9x z otwartymi plikami dzielonymi. Robak rozmnaża się w komputerach o losowo wybranym adresie IP (metodą prób i błędów). Łączy się z dzielonymi plikami na tym komputerze. Po uzyskaniu takiego dostępu robak kopiuje na dysk, do katalogu "\WINDOWS\SYSTEM\" pliki:
WININIT.EXE ~22016 bajtów (ciało robaka)
DNETC.EXE 186188 bajtów (klient RC5)
DNETC.INI (plik INI z DNETC.EXE)
Czasami dodaje (w wyniku infekcji) do pliku \WINDOWS\WIN.INI wpis:
[windows]
load=C:\WINDOWS\SYSTEM\WININIT.EXE
Po restarcie komputera WININIT.EXE uruchamia DNETC.EXE w trybie ukrytym i kontynuuje zarażanie innych komputerów.
A to, co dostales, to jakas mutacja.
A w oryginale dnetc.exe to klient distributed.net. Wiecej tutaj:
http://www.dnetc.friko.pl/o-rc5-72.html
T.www.skocz.pl/uptime :D
|
|
|
|
 |
All rights reserved ® Copyright and Design 2001-2024, TwojePC.PL |
 |
|
|
|
