Iznīdējam guardpc.exe

Submitted by Jancis on Thu, 03/03/2005 - 02:33

Avots: http://ne.ko-ne.da.ru (29.11.2004 16:26 - Jancis)

Shodien teeloju iistu izmekleetāju: Saakshu no saakuma:
pagaashnedeelj nestartejaas kompji. pareizaak sakot starteejaas bet pirms desktopa paraadihanaas raada smilshu pulksteni un viss.. neko, atradu ka ir lieks taasks guardpc un nobeidzu. vinji tur taadi divi. vienu izdevaas nogalinaat un viss aizgaaja. taa tika atjaunoti kompji un domaaju viss ok. nekaa. shoriit bija taaads trafika paarslogojums. es uzreiz: aa , nu studenti salaboti, gan jau lektoru kompji kauko dara - saku skatiities - tur 4 no 5 kompjiem viirusaini. NJeemu tos saremntoeeju, domaaju viss kaartiibaa - nekaa - studentiem piegajau pie pirmajiem 7 no kuriem 5 bija inficeeti. ta atmetu ar roku un noleemu apskatiities ko iisti dara tas ljaunais keyloggeris un bekdoors. Taatad ideja taada, vinjam piesleedzas kaadas slimais kas uzmineejis vinja adresi peec random, tad ja mans dators ir caurumains (kaads protams nav windows) tas ieliek manaa datoraa savu kopiju un ieliek startupaa, servisos un visaas iepeejamajaas vietaas (skatiit zemaak). Tad mans kompis palaizj laimiigo programmu guardpc.exe un ieiet kaukaadaa irca serverii kur ir salinkoti vairaaki serveri, jo saslimusho datoru skaits bija pie 5 tuukstoshi. Taa nu vinjsh ir iegaajis ircaa un tajaa pashaa liakaa peec random priincipa skenee apakshtiikla daorus. Ja atrodas veel kads ievainojamais, tad tam nosuuta savu kopiju, uzstada to un nosuuta atskaiti par to uz irca serveri chanam #forscript . Tajaa kanaalaa taa arii netiku, jo tur lai iekljuutu vajag paroli, ko dators nosuuta sakumaa, a es to neiznu, jo es pakas skatiijos ar packetsnifferi. Ta vietaa iegaju chanaa #admin kuraa satiku shaa jaukuma veidotaajus vai liidzzinaataajus. Normaali parunajos, ko iisti var dariit, puishi pat piedaavaajaas izbanot manas adreses no vinju servera.. diemzjeel es atteicos: 1) viiruss mums buutu taa vai taa 2) mees taaapt vinju notiiriisim.
inchiigi bija arii tie serveri linkotie: irc(1-8).lamers.org kaut gan iisteniibaa taadi hosti neeksistee...

iepaziisimies: guardpc.exe
http://www.sophos.com/virusinfo/analyses/w32forbotcu.html- viirusa info

un tepat arii http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx - zaaliites