Bonjour,
Voila ces temps-ci sur irc, beaucoup de lien apparaissent du genre
(NE PAS CLIQUER avec IE merci)
[13:42] <ne]X-> 2Pac is alive!!!!! read ->
http://musicnews.funp_ic.de/news.php?id=324
(enlever le _ au milieu )
Avec un IE a jour ecrasement de notepad.exe avec
TrojanDownloader.JS.Small.d et installation direct dans le dossier
windows de divers bots (ça varie selon les jours et l'humeur du gars :
spybot sdbot agobot rbot )
curieux de nature je me suis interessé à ces troyens.
J'ai essayé de les executés sous controle avec un sniffer et firewall
ils se connecte a un serveur irc monté probablement sur une machine
infectée variant selon les jours (aujourdhui 213.112.25.119:6668), se
connecte a un chan avec les ordres dans le topic et leur maitre en op
scenario classique dans des zombies sur irc. Il a dans les quelques
centaines de bots connectés. JE me suis connecté a son serveur avec
mirc, aujourdhui il semblait scanner la faille port 135 DCOM-RPC (le
nombre de bots connecté au chan ne cessait d'augmenter). J'ai été un peu
trop curieux et je me suis fait repéré :)
En fait je ne demande pas d'aide moi ça va (merci mozilla) mais je pense
a tous ces gars, bien que jessaie de les avertir a chaque fois qu'ils
postent des liens il faudrait couper le mal a la source mais que peut on
faire? des abuse? enfin je pense que ca pourrait interesser des
specialistes, si ils savent que faire. Le serveur a l'air bien controlé
on ne peut pas faire de /whois sur le gars qui controle les bots.
En esperant que ca interessera quelqu'un
JY
c'est quand meme marrant les logs irc de ces bots :
[14:49] <[M][RX]32187> [TFTP]: File transfer started to IP: 83.97.128.78
(C:\WINDOWS\System32\SVCHSST.exe).
[14:49] <[RX]98823> [TFTP]: File transfer complete to IP: 10.4.1.53
(C:\WINDOWS\System32\SVCHSST.exe).
[14:49] <[RX]29440> [TFTP]: File transfer started to IP: 80.141.153.86
(C:\WINDOWS\System32\SVCHSST.exe).
[14:49] <[RX]98823> [Dcom135]: Exploiting IP: 10.4.1.53.
[14:49] <[M][RX]18033> [TFTP]: File transfer started to IP:
217.229.20.210 (C:\WINDOWS\System32\SVCHSST.exe).
[14:49] <[RX]54302> [TFTP]: File transfer complete to IP: 80.141.255.71
(C:\WINNT\system32\SVCHSST.exe).
[14:49] <[M][RX]18033> [TFTP]: File transfer started to IP:
217.229.20.210 (C:\WINDOWS\System32\SVCHSST.exe).
[14:49] <[M][RX]32372> [TFTP]: File transfer complete to IP:
192.168.48.50 (E:\WINDOWS\System32\SVCHSST.exe).
[14:49] <[M][RX]32372> [Dcom135]: Exploiting IP: 192.168.48.50.
[14:49] <[RX]10863> [TFTP]: File transfer started to IP: 172.16.4.241
(C:\WINDOWS\System32\SVCHSST.exe).
[14:49] <[RX]10863> [TFTP]: File transfer complete to IP: 172.16.4.241
(C:\WINDOWS\System32\SVCHSST.exe).
[14:49] <[RX]66795> [Dcom135]: Exploiting IP: 192.168.2.104.
[14:49] <[RX]29853> [TFTP]: File transfer started to IP: 83.25.229.27
(C:\WINDOWS\System32\SVCHSST.exe).
[14:49] <[RX]10863> [Dcom135]: Exploiting IP: 172.16.4.241.
[14:49] <[M][RX]18033> [TFTP]: File transfer started to IP:
217.229.20.210 (C:\WINDOWS\System32\SVCHSST.exe).
[14:49] <[M][RX]18033> [TFTP]: File transfer started to IP:
217.229.20.210 (C:\WINDOWS\System32\SVCHSST.exe).
[14:50] Closing Link: [RX]78413[vfvccl@84.97.178.80] by johnny.net (G-lined)
pour ce genre de truc, ou un truc du genre sandbox serai l'ideal, j'en ai cherché mais pas trouvé de satisfaisant. Si tu en as je suis preneur :)
pas trouvé non plus :-(
@tchao
jy
joke0 wrote:
VMWare :-) <http://www.vmware.com/>
Pas mal du tout! Par reflexe pour le libre je n'avais testé que bochs, mais ca a l'air totalement different, je sens que je vais faire joujou toute la nuit :)
JY
joke0 wrote:
VMWare :-)
<http://www.vmware.com/>
Pas mal du tout! Par reflexe pour le libre je n'avais testé que bochs,
mais ca a l'air totalement different, je sens que je vais faire joujou
toute la nuit :)
Pas mal du tout! Par reflexe pour le libre je n'avais testé que bochs, mais ca a l'air totalement different, je sens que je vais faire joujou toute la nuit :)
JY
Frederic Bonroy
jy wrote:
joke0 wrote:
VMWare :-) <http://www.vmware.com/>
Pas mal du tout! Par reflexe pour le libre je n'avais testé que bochs, mais ca a l'air totalement different, je sens que je vais faire joujou toute la nuit :)
Ce qui est très pratique, c'est qu'on peut demander à Vmware (et à Virtual PC) d'"oublier" les changements apportés au disque virtuel pendant une séance. Ainsi, vous pouvez infecter le système à volonté. Au prochain redémarrage virtuel il sera tout neuf.
jy wrote:
joke0 wrote:
VMWare :-)
<http://www.vmware.com/>
Pas mal du tout! Par reflexe pour le libre je n'avais testé que bochs,
mais ca a l'air totalement different, je sens que je vais faire joujou
toute la nuit :)
Ce qui est très pratique, c'est qu'on peut demander à Vmware (et à
Virtual PC) d'"oublier" les changements apportés au disque virtuel
pendant une séance. Ainsi, vous pouvez infecter le système à volonté. Au
prochain redémarrage virtuel il sera tout neuf.
Pas mal du tout! Par reflexe pour le libre je n'avais testé que bochs, mais ca a l'air totalement different, je sens que je vais faire joujou toute la nuit :)
Ce qui est très pratique, c'est qu'on peut demander à Vmware (et à Virtual PC) d'"oublier" les changements apportés au disque virtuel pendant une séance. Ainsi, vous pouvez infecter le système à volonté. Au prochain redémarrage virtuel il sera tout neuf.
djehuti
"joke0" a écrit dans le message news:
VMWare :-) <http://www.vmware.com/>
coûte une fortune ce truc, non ?
j'ai manquée une version gratuite pour le /home user/ ou quoi ?
@tchao
"joke0" <joke0@tiscali.fr> a écrit dans le message news:
XnF951AC63E5836Djoke0@127.0.0.1
VMWare :-)
<http://www.vmware.com/>
coûte une fortune ce truc, non ?
j'ai manquée une version gratuite pour le /home user/ ou quoi ?
j'ai manquée une version gratuite pour le /home user/ ou quoi ?
@tchao
Nicob
On Fri, 02 Jul 2004 23:48:00 +0200, Frederic Bonroy wrote:
Ce qui est très pratique, c'est qu'on peut demander à Vmware (et à Virtual PC) d'"oublier" les changements apportés au disque virtuel pendant une séance. Ainsi, vous pouvez infecter le système à volonté. Au prochain redémarrage virtuel il sera tout neuf.
Yep. Et en plus, la décision de garder ou pas les modifs est prise lors de l'arrêt de la VMware (ie. on peut changer d'avis en cours).
On peut aussi faire des fichiers UNDO par utilisateur, et obtenir ainsi une image en read-only sur un serveur, avec plusieurs utilisateurs ayant chacun apporté leurs propres modifs à l'OS, ces modifs étant stockés dans leur fichier personnel.
Excellent, ce truc ...
Nicob
On Fri, 02 Jul 2004 23:48:00 +0200, Frederic Bonroy wrote:
Ce qui est très pratique, c'est qu'on peut demander à Vmware (et à
Virtual PC) d'"oublier" les changements apportés au disque virtuel
pendant une séance. Ainsi, vous pouvez infecter le système à volonté. Au
prochain redémarrage virtuel il sera tout neuf.
Yep. Et en plus, la décision de garder ou pas les modifs est prise lors
de l'arrêt de la VMware (ie. on peut changer d'avis en cours).
On peut aussi faire des fichiers UNDO par utilisateur, et obtenir ainsi
une image en read-only sur un serveur, avec plusieurs utilisateurs ayant
chacun apporté leurs propres modifs à l'OS, ces modifs étant stockés
dans leur fichier personnel.
On Fri, 02 Jul 2004 23:48:00 +0200, Frederic Bonroy wrote:
Ce qui est très pratique, c'est qu'on peut demander à Vmware (et à Virtual PC) d'"oublier" les changements apportés au disque virtuel pendant une séance. Ainsi, vous pouvez infecter le système à volonté. Au prochain redémarrage virtuel il sera tout neuf.
Yep. Et en plus, la décision de garder ou pas les modifs est prise lors de l'arrêt de la VMware (ie. on peut changer d'avis en cours).
On peut aussi faire des fichiers UNDO par utilisateur, et obtenir ainsi une image en read-only sur un serveur, avec plusieurs utilisateurs ayant chacun apporté leurs propres modifs à l'OS, ces modifs étant stockés dans leur fichier personnel.
Excellent, ce truc ...
Nicob
joke0
Salut,
Frederic Bonroy:
Ce qui est très pratique, c'est qu'on peut demander à Vmware (et à Virtual PC) d'"oublier" les changements apportés au disque virtuel pendant une séance. Ainsi, vous pouvez infecter le système à volonté. Au prochain redémarrage virtuel il sera tout neuf.
Dans leur FAQ ils disent que ça peut tourner sur un P500/256Mo de RAM, mais j'ai comme un doute :o)
-- joke0
Salut,
Frederic Bonroy:
Ce qui est très pratique, c'est qu'on peut demander à Vmware
(et à Virtual PC) d'"oublier" les changements apportés au
disque virtuel pendant une séance. Ainsi, vous pouvez infecter
le système à volonté. Au prochain redémarrage virtuel il sera
tout neuf.
Dans leur FAQ ils disent que ça peut tourner sur un P500/256Mo
de RAM, mais j'ai comme un doute :o)
Ce qui est très pratique, c'est qu'on peut demander à Vmware (et à Virtual PC) d'"oublier" les changements apportés au disque virtuel pendant une séance. Ainsi, vous pouvez infecter le système à volonté. Au prochain redémarrage virtuel il sera tout neuf.
Dans leur FAQ ils disent que ça peut tourner sur un P500/256Mo de RAM, mais j'ai comme un doute :o)
-- joke0
joke0
Salut,
djehuti:
<http://www.vmware.com/> coûte une fortune ce truc, non ?
La version WorkStation coûte $199.
J'me la serais bien payée avec la prime à Eugene, mais j'ai tout claqué en fraises Tagada ;o)
j'ai manquée une version gratuite pour le /home user/ ou quoi?
Il y a une version d'évaluation apparemment.
-- joke0
Salut,
djehuti:
<http://www.vmware.com/>
coûte une fortune ce truc, non ?
La version WorkStation coûte $199.
J'me la serais bien payée avec la prime à Eugene, mais j'ai tout
claqué en fraises Tagada ;o)
j'ai manquée une version gratuite pour le /home user/ ou quoi?
<http://www.vmware.com/> coûte une fortune ce truc, non ?
La version WorkStation coûte $199.
J'me la serais bien payée avec la prime à Eugene, mais j'ai tout claqué en fraises Tagada ;o)
j'ai manquée une version gratuite pour le /home user/ ou quoi?
Il y a une version d'évaluation apparemment.
-- joke0
jy
Frederic Bonroy wrote:
Ce qui est très pratique, c'est qu'on peut demander à Vmware (et à Virtual PC) d'"oublier" les changements apportés au disque virtuel pendant une séance. Ainsi, vous pouvez infecter le système à volonté. Au prochain redémarrage virtuel il sera tout neuf.
merci du conseil, j'ai installé win98 en virtuel. Je vais essayer de tester le bot en me faisant passer pour le serveur irc avec une entrée dans le host mais demain,je devrai etre couché depuis longtemps :)
JY
Frederic Bonroy wrote:
Ce qui est très pratique, c'est qu'on peut demander à Vmware (et à
Virtual PC) d'"oublier" les changements apportés au disque virtuel
pendant une séance. Ainsi, vous pouvez infecter le système à volonté. Au
prochain redémarrage virtuel il sera tout neuf.
merci du conseil, j'ai installé win98 en virtuel. Je vais essayer de
tester le bot en me faisant passer pour le serveur irc avec une entrée
dans le host mais demain,je devrai etre couché depuis longtemps :)
Ce qui est très pratique, c'est qu'on peut demander à Vmware (et à Virtual PC) d'"oublier" les changements apportés au disque virtuel pendant une séance. Ainsi, vous pouvez infecter le système à volonté. Au prochain redémarrage virtuel il sera tout neuf.
merci du conseil, j'ai installé win98 en virtuel. Je vais essayer de tester le bot en me faisant passer pour le serveur irc avec une entrée dans le host mais demain,je devrai etre couché depuis longtemps :)
JY
NO_eikaewt_SPAM
jy wrote:
merci du conseil, j'ai installé win98 en virtuel. Je vais essayer de tester le bot en me faisant passer pour le serveur irc avec une entrée dans le host mais demain,je devrai etre couché depuis longtemps :)
J'ai pas vraiment la possibilite' d'installer vmware, mais j'ai deja essaye' le bot en installant un ircd en local et en faisant pointer musicnews.cjb.net vers 127.0.0.1, mais en fait, le bot ne fait que rejoindre le channel #rxbot avec un nom [RX]XXX (XXX etant un nombre aleatoire tire' d'une clef de registre) et attendre des "ordres". Il dumpe un log irc dans %windir%/system32/z
Je ne suis arrive' a rien avec w32demo, mais quand meme fait un dump de l'executable unpacke' (qui n'est pas fonctionnel tel quel) en utilisant Olly+LordPE. On y voit aussi l'adresse johnnynetwork.cjb.net et les noms de chans #rxbot.keylogger, #rxbot.scanner et #rxbot.sniffer.
On voit aussi des references a de nombreux exploits correspondant a diverses failles windows (webdav, netbios, ntpass, dcom135, dcom1025, dcom2, mssql, beagle1, beagle2, lsass, upnp) et backdoors (mydoom, optix, netdevil, dameware, kuang2, sub7), et a divers modes de communication de la bckdoor. On voit aussi qu'elle peut recuperer les serials de differents jeux.
-- Tweakie
-- Posté via http://www.webatou.net/ Usenet dans votre navigateur ! Complaints-To:
jy wrote:
merci du conseil, j'ai installé win98 en virtuel. Je vais essayer de
tester le bot en me faisant passer pour le serveur irc avec une entrée
dans le host mais demain,je devrai etre couché depuis longtemps :)
J'ai pas vraiment la possibilite' d'installer vmware, mais j'ai deja
essaye'
le bot en installant un ircd en local et en faisant pointer
musicnews.cjb.net
vers 127.0.0.1, mais en fait, le bot ne fait que rejoindre le channel
#rxbot avec un nom [RX]XXX (XXX etant un nombre aleatoire tire'
d'une clef de registre) et attendre des "ordres". Il dumpe un log irc
dans %windir%/system32/z
Je ne suis arrive' a rien avec w32demo, mais quand meme fait un dump
de l'executable unpacke' (qui n'est pas fonctionnel tel quel) en utilisant
Olly+LordPE. On y voit aussi l'adresse johnnynetwork.cjb.net et les noms
de chans #rxbot.keylogger, #rxbot.scanner et #rxbot.sniffer.
On voit aussi des references a de nombreux exploits correspondant a
diverses failles windows (webdav, netbios, ntpass, dcom135, dcom1025,
dcom2, mssql, beagle1, beagle2, lsass, upnp) et backdoors (mydoom, optix,
netdevil, dameware, kuang2, sub7), et a divers modes de communication de la
bckdoor. On voit aussi qu'elle peut recuperer les serials de differents
jeux.
--
Tweakie
--
Posté via http://www.webatou.net/
Usenet dans votre navigateur !
Complaints-To: abuse@webatou.net
merci du conseil, j'ai installé win98 en virtuel. Je vais essayer de tester le bot en me faisant passer pour le serveur irc avec une entrée dans le host mais demain,je devrai etre couché depuis longtemps :)
J'ai pas vraiment la possibilite' d'installer vmware, mais j'ai deja essaye' le bot en installant un ircd en local et en faisant pointer musicnews.cjb.net vers 127.0.0.1, mais en fait, le bot ne fait que rejoindre le channel #rxbot avec un nom [RX]XXX (XXX etant un nombre aleatoire tire' d'une clef de registre) et attendre des "ordres". Il dumpe un log irc dans %windir%/system32/z
Je ne suis arrive' a rien avec w32demo, mais quand meme fait un dump de l'executable unpacke' (qui n'est pas fonctionnel tel quel) en utilisant Olly+LordPE. On y voit aussi l'adresse johnnynetwork.cjb.net et les noms de chans #rxbot.keylogger, #rxbot.scanner et #rxbot.sniffer.
On voit aussi des references a de nombreux exploits correspondant a diverses failles windows (webdav, netbios, ntpass, dcom135, dcom1025, dcom2, mssql, beagle1, beagle2, lsass, upnp) et backdoors (mydoom, optix, netdevil, dameware, kuang2, sub7), et a divers modes de communication de la bckdoor. On voit aussi qu'elle peut recuperer les serials de differents jeux.
-- Tweakie
-- Posté via http://www.webatou.net/ Usenet dans votre navigateur ! Complaints-To:
