Bonjour,
Voila ces temps-ci sur irc, beaucoup de lien apparaissent du genre
(NE PAS CLIQUER avec IE merci)
[13:42] <ne]X-> 2Pac is alive!!!!! read ->
http://musicnews.funp_ic.de/news.php?id=324
(enlever le _ au milieu )
Avec un IE a jour ecrasement de notepad.exe avec
TrojanDownloader.JS.Small.d et installation direct dans le dossier
windows de divers bots (ça varie selon les jours et l'humeur du gars :
spybot sdbot agobot rbot )
curieux de nature je me suis interessé à ces troyens.
J'ai essayé de les executés sous controle avec un sniffer et firewall
ils se connecte a un serveur irc monté probablement sur une machine
infectée variant selon les jours (aujourdhui 213.112.25.119:6668), se
connecte a un chan avec les ordres dans le topic et leur maitre en op
scenario classique dans des zombies sur irc. Il a dans les quelques
centaines de bots connectés. JE me suis connecté a son serveur avec
mirc, aujourdhui il semblait scanner la faille port 135 DCOM-RPC (le
nombre de bots connecté au chan ne cessait d'augmenter). J'ai été un peu
trop curieux et je me suis fait repéré :)
En fait je ne demande pas d'aide moi ça va (merci mozilla) mais je pense
a tous ces gars, bien que jessaie de les avertir a chaque fois qu'ils
postent des liens il faudrait couper le mal a la source mais que peut on
faire? des abuse? enfin je pense que ca pourrait interesser des
specialistes, si ils savent que faire. Le serveur a l'air bien controlé
on ne peut pas faire de /whois sur le gars qui controle les bots.
En esperant que ca interessera quelqu'un
JY
c'est quand meme marrant les logs irc de ces bots :
[14:49] <[M][RX]32187> [TFTP]: File transfer started to IP: 83.97.128.78
(C:\WINDOWS\System32\SVCHSST.exe).
[14:49] <[RX]98823> [TFTP]: File transfer complete to IP: 10.4.1.53
(C:\WINDOWS\System32\SVCHSST.exe).
[14:49] <[RX]29440> [TFTP]: File transfer started to IP: 80.141.153.86
(C:\WINDOWS\System32\SVCHSST.exe).
[14:49] <[RX]98823> [Dcom135]: Exploiting IP: 10.4.1.53.
[14:49] <[M][RX]18033> [TFTP]: File transfer started to IP:
217.229.20.210 (C:\WINDOWS\System32\SVCHSST.exe).
[14:49] <[RX]54302> [TFTP]: File transfer complete to IP: 80.141.255.71
(C:\WINNT\system32\SVCHSST.exe).
[14:49] <[M][RX]18033> [TFTP]: File transfer started to IP:
217.229.20.210 (C:\WINDOWS\System32\SVCHSST.exe).
[14:49] <[M][RX]32372> [TFTP]: File transfer complete to IP:
192.168.48.50 (E:\WINDOWS\System32\SVCHSST.exe).
[14:49] <[M][RX]32372> [Dcom135]: Exploiting IP: 192.168.48.50.
[14:49] <[RX]10863> [TFTP]: File transfer started to IP: 172.16.4.241
(C:\WINDOWS\System32\SVCHSST.exe).
[14:49] <[RX]10863> [TFTP]: File transfer complete to IP: 172.16.4.241
(C:\WINDOWS\System32\SVCHSST.exe).
[14:49] <[RX]66795> [Dcom135]: Exploiting IP: 192.168.2.104.
[14:49] <[RX]29853> [TFTP]: File transfer started to IP: 83.25.229.27
(C:\WINDOWS\System32\SVCHSST.exe).
[14:49] <[RX]10863> [Dcom135]: Exploiting IP: 172.16.4.241.
[14:49] <[M][RX]18033> [TFTP]: File transfer started to IP:
217.229.20.210 (C:\WINDOWS\System32\SVCHSST.exe).
[14:49] <[M][RX]18033> [TFTP]: File transfer started to IP:
217.229.20.210 (C:\WINDOWS\System32\SVCHSST.exe).
[14:50] Closing Link: [RX]78413[vfvccl@84.97.178.80] by johnny.net (G-lined)
Dans leur FAQ ils disent que ça peut tourner sur un P500/256Mo de RAM, mais j'ai comme un doute :o)
XP Pro est très lent sur un Athlon XP 2000+ et 256 Mo ainsi qu'un disque dur récent. Quand je dis "très lent", ça veut dire que parfois il prend quelques secondes à réagir là ou un vrai XP réagit presque tout de suite, et le Windows 2000 hôte traîne aussi lorsque VMWare est inactif. C'est tout à fait utilisable (pour des petits tests de virus par exemple) mais ça ne fait vraiment pas plaisir. Par contre avec Windows 98 le problème est bien moindre.
J'avais fait tourner Virtual PC de Connectix (avant le rachat par Microsoft) sur un Pentium III 500 et 256 Mo et je crois que j'y avais installé Windows 98 aussi. C'était loin d'être un plaisir mais là aussi c'était utilisable.
Tout dépend du système d'exploitation que tu veux installer.
joke0 wrote:
Dans leur FAQ ils disent que ça peut tourner sur un P500/256Mo
de RAM, mais j'ai comme un doute :o)
XP Pro est très lent sur un Athlon XP 2000+ et 256 Mo ainsi qu'un disque
dur récent. Quand je dis "très lent", ça veut dire que parfois il prend
quelques secondes à réagir là ou un vrai XP réagit presque tout de
suite, et le Windows 2000 hôte traîne aussi lorsque VMWare est inactif.
C'est tout à fait utilisable (pour des petits tests de virus par
exemple) mais ça ne fait vraiment pas plaisir. Par contre avec Windows
98 le problème est bien moindre.
J'avais fait tourner Virtual PC de Connectix (avant le rachat par
Microsoft) sur un Pentium III 500 et 256 Mo et je crois que j'y avais
installé Windows 98 aussi. C'était loin d'être un plaisir mais là aussi
c'était utilisable.
Tout dépend du système d'exploitation que tu veux installer.
Dans leur FAQ ils disent que ça peut tourner sur un P500/256Mo de RAM, mais j'ai comme un doute :o)
XP Pro est très lent sur un Athlon XP 2000+ et 256 Mo ainsi qu'un disque dur récent. Quand je dis "très lent", ça veut dire que parfois il prend quelques secondes à réagir là ou un vrai XP réagit presque tout de suite, et le Windows 2000 hôte traîne aussi lorsque VMWare est inactif. C'est tout à fait utilisable (pour des petits tests de virus par exemple) mais ça ne fait vraiment pas plaisir. Par contre avec Windows 98 le problème est bien moindre.
J'avais fait tourner Virtual PC de Connectix (avant le rachat par Microsoft) sur un Pentium III 500 et 256 Mo et je crois que j'y avais installé Windows 98 aussi. C'était loin d'être un plaisir mais là aussi c'était utilisable.
Tout dépend du système d'exploitation que tu veux installer.
Frederic Bonroy
jy wrote:
merci du conseil, j'ai installé win98 en virtuel. Je vais essayer de tester le bot en me faisant passer pour le serveur irc avec une entrée dans le host mais demain,je devrai etre couché depuis longtemps :)
Je n'ai pas suivi ce fil donc je ne sais pas de quoi il est question (je suis simplement tombé sur un message qui mentionne VMWare). Mais sachez que vous ne pouvez pas faire tourner un serveur dans VMWare. Enfin, vous pouvez, mais il ne sera jamais contacté. :-) C'est peut-être possible avec des trucs et astuces mais je ne vois pas trop comment.
jy wrote:
merci du conseil, j'ai installé win98 en virtuel. Je vais essayer de
tester le bot en me faisant passer pour le serveur irc avec une entrée
dans le host mais demain,je devrai etre couché depuis longtemps :)
Je n'ai pas suivi ce fil donc je ne sais pas de quoi il est question (je
suis simplement tombé sur un message qui mentionne VMWare). Mais sachez
que vous ne pouvez pas faire tourner un serveur dans VMWare. Enfin, vous
pouvez, mais il ne sera jamais contacté. :-) C'est peut-être possible
avec des trucs et astuces mais je ne vois pas trop comment.
merci du conseil, j'ai installé win98 en virtuel. Je vais essayer de tester le bot en me faisant passer pour le serveur irc avec une entrée dans le host mais demain,je devrai etre couché depuis longtemps :)
Je n'ai pas suivi ce fil donc je ne sais pas de quoi il est question (je suis simplement tombé sur un message qui mentionne VMWare). Mais sachez que vous ne pouvez pas faire tourner un serveur dans VMWare. Enfin, vous pouvez, mais il ne sera jamais contacté. :-) C'est peut-être possible avec des trucs et astuces mais je ne vois pas trop comment.
Frederic Bonroy
djehuti wrote:
VMWare :-) <http://www.vmware.com/>
coûte une fortune ce truc, non ?
Oui. :-(
j'ai manquée une version gratuite pour le /home user/ ou quoi ?
Il y a une version d'évaluation gratuite. Quant à moi, j'ai la possibilité d'obtenir Virtual PC 2004 gratuitement (et légalement) via l'université, ce qui me convient très bien. Il paraît que Virtual PC est un brin plus lent que VMWare et que certaines distributions Linux ne fonctionnent pas comme elles devraient - surprise ;-) - mais bon.
djehuti wrote:
VMWare :-)
<http://www.vmware.com/>
coûte une fortune ce truc, non ?
Oui. :-(
j'ai manquée une version gratuite pour le /home user/ ou quoi ?
Il y a une version d'évaluation gratuite. Quant à moi, j'ai la
possibilité d'obtenir Virtual PC 2004 gratuitement (et légalement) via
l'université, ce qui me convient très bien. Il paraît que Virtual PC est
un brin plus lent que VMWare et que certaines distributions Linux ne
fonctionnent pas comme elles devraient - surprise ;-) - mais bon.
j'ai manquée une version gratuite pour le /home user/ ou quoi ?
Il y a une version d'évaluation gratuite. Quant à moi, j'ai la possibilité d'obtenir Virtual PC 2004 gratuitement (et légalement) via l'université, ce qui me convient très bien. Il paraît que Virtual PC est un brin plus lent que VMWare et que certaines distributions Linux ne fonctionnent pas comme elles devraient - surprise ;-) - mais bon.
Nicob
On Sat, 03 Jul 2004 11:53:16 +0200, Frederic Bonroy wrote:
Mais sachez que vous ne pouvez pas faire tourner un serveur dans VMWare. Enfin, vous pouvez, mais il ne sera jamais contacté. :-) C'est peut-être possible avec des trucs et astuces mais je ne vois pas trop comment.
J'avoue ne pas comprendre ... Pourquoi ton serveur ne pourrait pas être contacté ?
Sur ma config, j'ai 3 modes possibles pour le réseau :
- "Bridged" : hub virtuel entre la carte physique, la carte virtuelle et le cable réseau - "NAT" : utilise l'IP de la carte physique (pas de serveur possible) - "Host-only" : réseau privé virtuel entre une carte virtuelle sur l'hôte et la carte virtuelle de l'OS émulé
Nicob
On Sat, 03 Jul 2004 11:53:16 +0200, Frederic Bonroy wrote:
Mais sachez que vous ne pouvez pas faire tourner un serveur dans VMWare.
Enfin, vous pouvez, mais il ne sera jamais contacté. :-) C'est
peut-être possible avec des trucs et astuces mais je ne vois pas trop
comment.
J'avoue ne pas comprendre ... Pourquoi ton serveur ne pourrait pas être
contacté ?
Sur ma config, j'ai 3 modes possibles pour le réseau :
- "Bridged" : hub virtuel entre la carte physique, la carte virtuelle
et le cable réseau
- "NAT" : utilise l'IP de la carte physique (pas de serveur possible)
- "Host-only" : réseau privé virtuel entre une carte virtuelle sur
l'hôte et la carte virtuelle de l'OS émulé
On Sat, 03 Jul 2004 11:53:16 +0200, Frederic Bonroy wrote:
Mais sachez que vous ne pouvez pas faire tourner un serveur dans VMWare. Enfin, vous pouvez, mais il ne sera jamais contacté. :-) C'est peut-être possible avec des trucs et astuces mais je ne vois pas trop comment.
J'avoue ne pas comprendre ... Pourquoi ton serveur ne pourrait pas être contacté ?
Sur ma config, j'ai 3 modes possibles pour le réseau :
- "Bridged" : hub virtuel entre la carte physique, la carte virtuelle et le cable réseau - "NAT" : utilise l'IP de la carte physique (pas de serveur possible) - "Host-only" : réseau privé virtuel entre une carte virtuelle sur l'hôte et la carte virtuelle de l'OS émulé
Nicob
Frederic Bonroy
Nicob wrote:
J'avoue ne pas comprendre ... Pourquoi ton serveur ne pourrait pas être contacté ?
Sur ma config, j'ai 3 modes possibles pour le réseau :
- "Bridged" : hub virtuel entre la carte physique, la carte virtuelle et le cable réseau
- "NAT" : utilise l'IP de la carte physique (pas de serveur possible)
Personnellement j'utilise ce mode, donc pas de serveur possible. Je ne pensais plus aux autres deux modes.
Nicob wrote:
J'avoue ne pas comprendre ... Pourquoi ton serveur ne pourrait pas être
contacté ?
Sur ma config, j'ai 3 modes possibles pour le réseau :
- "Bridged" : hub virtuel entre la carte physique, la carte virtuelle
et le cable réseau
- "NAT" : utilise l'IP de la carte physique (pas de serveur possible)
Personnellement j'utilise ce mode, donc pas de serveur possible. Je ne
pensais plus aux autres deux modes.
J'avoue ne pas comprendre ... Pourquoi ton serveur ne pourrait pas être contacté ?
Sur ma config, j'ai 3 modes possibles pour le réseau :
- "Bridged" : hub virtuel entre la carte physique, la carte virtuelle et le cable réseau
- "NAT" : utilise l'IP de la carte physique (pas de serveur possible)
Personnellement j'utilise ce mode, donc pas de serveur possible. Je ne pensais plus aux autres deux modes.
NO_eikaewt_SPAM
J'ai ecrit:
Je ne suis arrive' a rien avec w32demo, mais quand meme fait un dump de l'executable unpacke' (qui n'est pas fonctionnel tel quel) en utilisant Olly+LordPE.
Une fois le travail termine' et un executable fonctionnel obtenu, voila ce que donne la sandbox de Norman :
SVCHSST_unpacked.exe : [SANDBOX] contains a security risk - W32/Malware
[ General information ] * **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**. * **Locates window "NULL [class mIRC]" on desktop. * File length: 585728 bytes.
[ Changes to registry ] * Creates value "Microsoft IT Update"="SVCHSST.exe" in key "HKLMSoftwareMicrosoftWindowsCurrentVersionRun". * Creates value "Microsoft IT Update"="SVCHSST.exe" in key "HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices". * Creates value "Microsoft IT Update"="SVCHSST.exe" in key "HKCUSoftwareMicrosoftWindowsCurrentVersionRun".
[ Network services ] * Checks wheter computer is connected to Internet. * Attempts to resolve name "musicnews.cjb.net". * Connect port 6668 [TCP], IP 193.XX.XX.XXX. * Connects to IRC Server. * Connect port 113 [IP], IP 0.0.0.0.
[ Process/window information ] * Creates a mutex xy.
-- Tweakie
-- Posté via http://www.webatou.net/ Usenet dans votre navigateur ! Complaints-To:
J'ai ecrit:
Je ne suis arrive' a rien avec w32demo, mais quand meme fait un dump
de l'executable unpacke' (qui n'est pas fonctionnel tel quel) en utilisant
Olly+LordPE.
Une fois le travail termine' et un executable fonctionnel obtenu, voila ce
que donne la sandbox de Norman :
SVCHSST_unpacked.exe : [SANDBOX] contains a security risk - W32/Malware
[ General information ]
* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO -
REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.
* **Locates window "NULL [class mIRC]" on desktop.
* File length: 585728 bytes.
[ Changes to registry ]
* Creates value "Microsoft IT Update"="SVCHSST.exe" in key
"HKLMSoftwareMicrosoftWindowsCurrentVersionRun".
* Creates value "Microsoft IT Update"="SVCHSST.exe" in key
"HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices".
* Creates value "Microsoft IT Update"="SVCHSST.exe" in key
"HKCUSoftwareMicrosoftWindowsCurrentVersionRun".
[ Network services ]
* Checks wheter computer is connected to Internet.
* Attempts to resolve name "musicnews.cjb.net".
* Connect port 6668 [TCP], IP 193.XX.XX.XXX.
* Connects to IRC Server.
* Connect port 113 [IP], IP 0.0.0.0.
[ Process/window information ]
* Creates a mutex xy.
--
Tweakie
--
Posté via http://www.webatou.net/
Usenet dans votre navigateur !
Complaints-To: abuse@webatou.net
Je ne suis arrive' a rien avec w32demo, mais quand meme fait un dump de l'executable unpacke' (qui n'est pas fonctionnel tel quel) en utilisant Olly+LordPE.
Une fois le travail termine' et un executable fonctionnel obtenu, voila ce que donne la sandbox de Norman :
SVCHSST_unpacked.exe : [SANDBOX] contains a security risk - W32/Malware
[ General information ] * **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**. * **Locates window "NULL [class mIRC]" on desktop. * File length: 585728 bytes.
[ Changes to registry ] * Creates value "Microsoft IT Update"="SVCHSST.exe" in key "HKLMSoftwareMicrosoftWindowsCurrentVersionRun". * Creates value "Microsoft IT Update"="SVCHSST.exe" in key "HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices". * Creates value "Microsoft IT Update"="SVCHSST.exe" in key "HKCUSoftwareMicrosoftWindowsCurrentVersionRun".
[ Network services ] * Checks wheter computer is connected to Internet. * Attempts to resolve name "musicnews.cjb.net". * Connect port 6668 [TCP], IP 193.XX.XX.XXX. * Connects to IRC Server. * Connect port 113 [IP], IP 0.0.0.0.
[ Process/window information ] * Creates a mutex xy.
-- Tweakie
-- Posté via http://www.webatou.net/ Usenet dans votre navigateur ! Complaints-To:
Nicob
On Sun, 04 Jul 2004 14:51:32 +0200, Frederic Bonroy wrote:
Personnellement j'utilise ce mode, donc pas de serveur possible. Je ne pensais plus aux autres deux modes.
En "Bridged", tu changes ton adresse MAC pour ne pas claironner que tu utilises une VMware et zou, une machine de plus sur le LAN ...
Nicob
On Sun, 04 Jul 2004 14:51:32 +0200, Frederic Bonroy wrote:
Personnellement j'utilise ce mode, donc pas de serveur possible. Je ne
pensais plus aux autres deux modes.
En "Bridged", tu changes ton adresse MAC pour ne pas claironner que tu
utilises une VMware et zou, une machine de plus sur le LAN ...
