Bonjour,
Voila ces temps-ci sur irc, beaucoup de lien apparaissent du genre
(NE PAS CLIQUER avec IE merci)
[13:42] <ne]X-> 2Pac is alive!!!!! read ->
http://musicnews.funp_ic.de/news.php?id=324
(enlever le _ au milieu )
Avec un IE a jour ecrasement de notepad.exe avec
TrojanDownloader.JS.Small.d et installation direct dans le dossier
windows de divers bots (ça varie selon les jours et l'humeur du gars :
spybot sdbot agobot rbot )
curieux de nature je me suis interessé à ces troyens.
J'ai essayé de les executés sous controle avec un sniffer et firewall
ils se connecte a un serveur irc monté probablement sur une machine
infectée variant selon les jours (aujourdhui 213.112.25.119:6668), se
connecte a un chan avec les ordres dans le topic et leur maitre en op
scenario classique dans des zombies sur irc. Il a dans les quelques
centaines de bots connectés. JE me suis connecté a son serveur avec
mirc, aujourdhui il semblait scanner la faille port 135 DCOM-RPC (le
nombre de bots connecté au chan ne cessait d'augmenter). J'ai été un peu
trop curieux et je me suis fait repéré :)
En fait je ne demande pas d'aide moi ça va (merci mozilla) mais je pense
a tous ces gars, bien que jessaie de les avertir a chaque fois qu'ils
postent des liens il faudrait couper le mal a la source mais que peut on
faire? des abuse? enfin je pense que ca pourrait interesser des
specialistes, si ils savent que faire. Le serveur a l'air bien controlé
on ne peut pas faire de /whois sur le gars qui controle les bots.
En esperant que ca interessera quelqu'un
JY
c'est quand meme marrant les logs irc de ces bots :
[14:49] <[M][RX]32187> [TFTP]: File transfer started to IP: 83.97.128.78
(C:\WINDOWS\System32\SVCHSST.exe).
[14:49] <[RX]98823> [TFTP]: File transfer complete to IP: 10.4.1.53
(C:\WINDOWS\System32\SVCHSST.exe).
[14:49] <[RX]29440> [TFTP]: File transfer started to IP: 80.141.153.86
(C:\WINDOWS\System32\SVCHSST.exe).
[14:49] <[RX]98823> [Dcom135]: Exploiting IP: 10.4.1.53.
[14:49] <[M][RX]18033> [TFTP]: File transfer started to IP:
217.229.20.210 (C:\WINDOWS\System32\SVCHSST.exe).
[14:49] <[RX]54302> [TFTP]: File transfer complete to IP: 80.141.255.71
(C:\WINNT\system32\SVCHSST.exe).
[14:49] <[M][RX]18033> [TFTP]: File transfer started to IP:
217.229.20.210 (C:\WINDOWS\System32\SVCHSST.exe).
[14:49] <[M][RX]32372> [TFTP]: File transfer complete to IP:
192.168.48.50 (E:\WINDOWS\System32\SVCHSST.exe).
[14:49] <[M][RX]32372> [Dcom135]: Exploiting IP: 192.168.48.50.
[14:49] <[RX]10863> [TFTP]: File transfer started to IP: 172.16.4.241
(C:\WINDOWS\System32\SVCHSST.exe).
[14:49] <[RX]10863> [TFTP]: File transfer complete to IP: 172.16.4.241
(C:\WINDOWS\System32\SVCHSST.exe).
[14:49] <[RX]66795> [Dcom135]: Exploiting IP: 192.168.2.104.
[14:49] <[RX]29853> [TFTP]: File transfer started to IP: 83.25.229.27
(C:\WINDOWS\System32\SVCHSST.exe).
[14:49] <[RX]10863> [Dcom135]: Exploiting IP: 172.16.4.241.
[14:49] <[M][RX]18033> [TFTP]: File transfer started to IP:
217.229.20.210 (C:\WINDOWS\System32\SVCHSST.exe).
[14:49] <[M][RX]18033> [TFTP]: File transfer started to IP:
217.229.20.210 (C:\WINDOWS\System32\SVCHSST.exe).
[14:50] Closing Link: [RX]78413[vfvccl@84.97.178.80] by johnny.net (G-lined)
En fait je ne demande pas d'aide moi ça va (merci mozilla)
Fait gaffe quand même, il y a un picture.xpi spécialement prévu pour lui.
Oui, mais a moins d'avoir l'envie de cliquer avec un gros avertissement, (j'ai juste essayé sous le controle de kav et kerio, je suis trop curieux :) ) d'ailleurs je l'ai dl séparemment et rennomé en zip pour avoir l' .exe
mais je pense a tous ces gars, bien que jessaie de les avertir a chaque fois qu'ils postent des liens il faudrait couper le mal a la source mais que peut on faire? des abuse?
Pfff. Ce sont des comptes gratuits ouverts à travers les proxies que proposent les bots irc. Donc c'est intraçable.
dommage, je me souviens encore d'une histoire vue sur grc.com ou il racontait comment il a reussi a remonter jusqu'à la source d'un ddos avec des zombie de ce genre. Ce genre d'histoire me plaisent :) c'est passionnant de suivre cette demarche d'enquete.
merci
JY
joke0 wrote:
Salut,
jy:
En fait je ne demande pas d'aide moi ça va (merci mozilla)
Fait gaffe quand même, il y a un picture.xpi spécialement prévu
pour lui.
Oui, mais a moins d'avoir l'envie de cliquer avec un gros avertissement,
(j'ai juste essayé sous le controle de kav et kerio, je suis trop
curieux :) ) d'ailleurs je l'ai dl séparemment et rennomé en zip pour
avoir l' .exe
mais je pense a tous ces gars, bien que jessaie de les avertir
a chaque fois qu'ils postent des liens il faudrait couper le
mal a la source mais que peut on faire? des abuse?
Pfff. Ce sont des comptes gratuits ouverts à travers les proxies
que proposent les bots irc. Donc c'est intraçable.
dommage, je me souviens encore d'une histoire vue sur grc.com ou il
racontait comment il a reussi a remonter jusqu'à la source d'un ddos
avec des zombie de ce genre. Ce genre d'histoire me plaisent :) c'est
passionnant de suivre cette demarche d'enquete.
En fait je ne demande pas d'aide moi ça va (merci mozilla)
Fait gaffe quand même, il y a un picture.xpi spécialement prévu pour lui.
Oui, mais a moins d'avoir l'envie de cliquer avec un gros avertissement, (j'ai juste essayé sous le controle de kav et kerio, je suis trop curieux :) ) d'ailleurs je l'ai dl séparemment et rennomé en zip pour avoir l' .exe
mais je pense a tous ces gars, bien que jessaie de les avertir a chaque fois qu'ils postent des liens il faudrait couper le mal a la source mais que peut on faire? des abuse?
Pfff. Ce sont des comptes gratuits ouverts à travers les proxies que proposent les bots irc. Donc c'est intraçable.
dommage, je me souviens encore d'une histoire vue sur grc.com ou il racontait comment il a reussi a remonter jusqu'à la source d'un ddos avec des zombie de ce genre. Ce genre d'histoire me plaisent :) c'est passionnant de suivre cette demarche d'enquete.
merci
JY
Nicob
On Fri, 02 Jul 2004 17:12:10 +0200, jy wrote:
dommage, je me souviens encore d'une histoire vue sur grc.com ou il racontait comment il a reussi a remonter jusqu'à la source d'un ddos avec des zombie de ce genre. Ce genre d'histoire me plaisent :) c'est passionnant de suivre cette demarche d'enquete.
C'est clair que c'est "amusant" de faire ce type de recherches, mais les ressources nécessaires sont énormes, surtout si les machines sont réparties sur plusieurs pays (ie. tout le temps).
Nicob
On Fri, 02 Jul 2004 17:12:10 +0200, jy wrote:
dommage, je me souviens encore d'une histoire vue sur grc.com ou il
racontait comment il a reussi a remonter jusqu'à la source d'un ddos
avec des zombie de ce genre. Ce genre d'histoire me plaisent :) c'est
passionnant de suivre cette demarche d'enquete.
C'est clair que c'est "amusant" de faire ce type de recherches, mais les
ressources nécessaires sont énormes, surtout si les machines sont
réparties sur plusieurs pays (ie. tout le temps).
dommage, je me souviens encore d'une histoire vue sur grc.com ou il racontait comment il a reussi a remonter jusqu'à la source d'un ddos avec des zombie de ce genre. Ce genre d'histoire me plaisent :) c'est passionnant de suivre cette demarche d'enquete.
C'est clair que c'est "amusant" de faire ce type de recherches, mais les ressources nécessaires sont énormes, surtout si les machines sont réparties sur plusieurs pays (ie. tout le temps).
Nicob
NO_eikaewt_SPAM
jy wrote:
Oui, mais a moins d'avoir l'envie de cliquer avec un gros avertissement, (j'ai juste essayé sous le controle de kav et kerio, je suis trop curieux :) ) d'ailleurs je l'ai dl séparemment et rennomé en zip pour avoir l' .exe
La version dediee aux possesseurs d'IE est quand meme packee successivement avec (de la couche externe vers la couche interne) : UPX, Auto-executable Winrar, Ezip, UPX . Norman n'y voit que du feu (j'ai l'impression que c'est Ezip qui lui pose probleme). KAV voit Rbot.gen
Il semblerait qu'il n'y ait pas d'unpacker connu pour Ezip.
dommage, je me souviens encore d'une histoire vue sur grc.com ou il racontait comment il a reussi a remonter jusqu'à la source d'un ddos avec des zombie de ce genre. Ce genre d'histoire me plaisent :) c'est passionnant de suivre cette demarche d'enquete.
Oui, je me souviens aussi de cette histoire, c'etait amusant.
-- Tweakie
-- Posté via http://www.webatou.net/ Usenet dans votre navigateur ! Complaints-To:
jy wrote:
Oui, mais a moins d'avoir l'envie de cliquer avec un gros avertissement,
(j'ai juste essayé sous le controle de kav et kerio, je suis trop
curieux :) ) d'ailleurs je l'ai dl séparemment et rennomé en zip pour
avoir l' .exe
La version dediee aux possesseurs d'IE est quand meme packee
successivement avec (de la couche externe vers la couche interne) :
UPX, Auto-executable Winrar, Ezip, UPX . Norman n'y voit que du
feu (j'ai l'impression que c'est Ezip qui lui pose probleme). KAV voit
Rbot.gen
Il semblerait qu'il n'y ait pas d'unpacker connu pour Ezip.
dommage, je me souviens encore d'une histoire vue sur grc.com ou il
racontait comment il a reussi a remonter jusqu'à la source d'un ddos
avec des zombie de ce genre. Ce genre d'histoire me plaisent :) c'est
passionnant de suivre cette demarche d'enquete.
Oui, je me souviens aussi de cette histoire, c'etait amusant.
--
Tweakie
--
Posté via http://www.webatou.net/
Usenet dans votre navigateur !
Complaints-To: abuse@webatou.net
Oui, mais a moins d'avoir l'envie de cliquer avec un gros avertissement, (j'ai juste essayé sous le controle de kav et kerio, je suis trop curieux :) ) d'ailleurs je l'ai dl séparemment et rennomé en zip pour avoir l' .exe
La version dediee aux possesseurs d'IE est quand meme packee successivement avec (de la couche externe vers la couche interne) : UPX, Auto-executable Winrar, Ezip, UPX . Norman n'y voit que du feu (j'ai l'impression que c'est Ezip qui lui pose probleme). KAV voit Rbot.gen
Il semblerait qu'il n'y ait pas d'unpacker connu pour Ezip.
dommage, je me souviens encore d'une histoire vue sur grc.com ou il racontait comment il a reussi a remonter jusqu'à la source d'un ddos avec des zombie de ce genre. Ce genre d'histoire me plaisent :) c'est passionnant de suivre cette demarche d'enquete.
Oui, je me souviens aussi de cette histoire, c'etait amusant.
-- Tweakie
-- Posté via http://www.webatou.net/ Usenet dans votre navigateur ! Complaints-To:
jy
Tweakie wrote:
La version dediee aux possesseurs d'IE est quand meme packee successivement avec (de la couche externe vers la couche interne) : UPX, Auto-executable Winrar, Ezip, UPX . Norman n'y voit que du feu (j'ai l'impression que c'est Ezip qui lui pose probleme). KAV voit Rbot.gen
Oui EZIP m'a posé problème, mais j'ai reussi à avoir un resultat avec un unpacker generique qui lance le programme et essaie d'extraire un dump apres le depackage par le programme.
JY
Tweakie wrote:
La version dediee aux possesseurs d'IE est quand meme packee
successivement avec (de la couche externe vers la couche interne) : UPX,
Auto-executable Winrar, Ezip, UPX . Norman n'y voit que du feu (j'ai
l'impression que c'est Ezip qui lui pose probleme). KAV voit
Rbot.gen
Oui EZIP m'a posé problème, mais j'ai reussi à avoir un resultat avec un
unpacker generique qui lance le programme et essaie d'extraire un dump
apres le depackage par le programme.
La version dediee aux possesseurs d'IE est quand meme packee successivement avec (de la couche externe vers la couche interne) : UPX, Auto-executable Winrar, Ezip, UPX . Norman n'y voit que du feu (j'ai l'impression que c'est Ezip qui lui pose probleme). KAV voit Rbot.gen
Oui EZIP m'a posé problème, mais j'ai reussi à avoir un resultat avec un unpacker generique qui lance le programme et essaie d'extraire un dump apres le depackage par le programme.
JY
Nicob
On Fri, 02 Jul 2004 18:00:56 +0200, jy wrote:
Oui EZIP m'a posé problème, mais j'ai reussi à avoir un resultat avec un unpacker generique qui lance le programme et essaie d'extraire un dump apres le depackage par le programme.
Quel soft ?
Nicob
On Fri, 02 Jul 2004 18:00:56 +0200, jy wrote:
Oui EZIP m'a posé problème, mais j'ai reussi à avoir un resultat avec un
unpacker generique qui lance le programme et essaie d'extraire un dump
apres le depackage par le programme.
Oui EZIP m'a posé problème, mais j'ai reussi à avoir un resultat avec un unpacker generique qui lance le programme et essaie d'extraire un dump apres le depackage par le programme.
Quel soft ?
Nicob
djehuti
salut "jy" a écrit dans le message news: cc40qe$pt5$
Oui EZIP m'a posé problème, mais j'ai reussi à avoir un resultat avec un unpacker generique qui lance le programme et essaie d'extraire un dump apres le depackage par le programme.
idéal pour ce faire baiser, non ?
@tchao
salut
"jy" <jy_02_nospam@hotmail.com> a écrit dans le message news:
cc40qe$pt5$1@aphrodite.grec.isp.9tel.net
Oui EZIP m'a posé problème, mais j'ai reussi à avoir un resultat avec
un unpacker generique qui lance le programme et essaie d'extraire un
dump apres le depackage par le programme.
salut "jy" a écrit dans le message news: cc40qe$pt5$
Oui EZIP m'a posé problème, mais j'ai reussi à avoir un resultat avec un unpacker generique qui lance le programme et essaie d'extraire un dump apres le depackage par le programme.
Tout à fait une fois, mais toujours controlé avec kerio, kav, je regarde les possibilités du trojan avant pour savoir ce qu'il fait, et j'ai l'option debrancher le cable reseau. Qui ne tente rien n'a rien :) mais c'est sur que je prefererai avoir une machine de test pour ce genre de truc, ou un truc du genre sandbox serai l'ideal, j'en ai cherché mais pas trouvé de satisfaisant. Si tu en as je suis preneur :)
djehuti wrote:
idéal pour ce faire baiser, non ?
Tout à fait une fois, mais toujours controlé avec kerio, kav, je regarde
les possibilités du trojan avant pour savoir ce qu'il fait, et j'ai
l'option debrancher le cable reseau. Qui ne tente rien n'a rien :) mais
c'est sur que je prefererai avoir une machine de test pour ce genre de
truc, ou un truc du genre sandbox serai l'ideal, j'en ai cherché mais
pas trouvé de satisfaisant. Si tu en as je suis preneur :)
Tout à fait une fois, mais toujours controlé avec kerio, kav, je regarde les possibilités du trojan avant pour savoir ce qu'il fait, et j'ai l'option debrancher le cable reseau. Qui ne tente rien n'a rien :) mais c'est sur que je prefererai avoir une machine de test pour ce genre de truc, ou un truc du genre sandbox serai l'ideal, j'en ai cherché mais pas trouvé de satisfaisant. Si tu en as je suis preneur :)
joke0
Salut,
djehuti:
idéal pour ce faire baiser, non ?
Bof, la bestiole n'est pas dangereuse. Elle essaie probablement de flinguer le firewall et l'antivirus actif, mais il n'y a pas de dommages.
-- joke0
Salut,
djehuti:
idéal pour ce faire baiser, non ?
Bof, la bestiole n'est pas dangereuse. Elle essaie probablement
de flinguer le firewall et l'antivirus actif, mais il n'y a pas
de dommages.
Bof, la bestiole n'est pas dangereuse. Elle essaie probablement de flinguer le firewall et l'antivirus actif, mais il n'y a pas de dommages.
-- joke0
joke0
Salut,
jy:
mais c'est sur que je prefererai avoir une machine de test pour ce genre de truc, ou un truc du genre sandbox serai l'ideal, j'en ai cherché mais pas trouvé de satisfaisant. Si tu en as je suis preneur :)
VMWare :-) <http://www.vmware.com/>
-- joke0
Salut,
jy:
mais c'est sur que je prefererai avoir une machine de test
pour ce genre de truc, ou un truc du genre sandbox serai
l'ideal, j'en ai cherché mais pas trouvé de satisfaisant. Si
tu en as je suis preneur :)
mais c'est sur que je prefererai avoir une machine de test pour ce genre de truc, ou un truc du genre sandbox serai l'ideal, j'en ai cherché mais pas trouvé de satisfaisant. Si tu en as je suis preneur :)
