Armenian Knowledge Base  

Go Back   Armenian Knowledge Base > Technical sections > Software
Register

Reply
 
LinkBack Thread Tools
Old 19.03.2004, 08:24   #1
Ребе - коп!
 
Speedy Gonzales's Avatar
 
Join Date: 03 2003
Location: sfba
Age: 40
Posts: 4,188
Downloads: 0
Uploads: 0
Reputation: 29 | 3
Default Anti Lamer Light 2.0 trojan

Здрасти.
Такой вопрос: кинули маил-троян. Хочу узнать куда он намеревался посылать дату. В сервере не видать емаила открытым текстом(хотя при создании своего сервера и прописывания емаила мной я его видел). При попытке редактирования сервера его тулом просит пассворд. Пассворд также не открытым текстом записываеца. Дело ето написано на дельфи.
Короче кто может помочь прочесть сервер??

P.s. а да, есть длл в поставке. Токо я его не смотрел. Ща посмотрю.
Reply With Quote
Old 19.03.2004, 08:38   #2
cares?..
 
who's Avatar
 
Join Date: 01 2004
Location: RA Army
Age: 47
Posts: 149
Downloads: 0
Uploads: 0
Reputation: 0 | 0
Lightbulb

Quote:
Originally Posted by Speedy Gonzales
Здрасти.
Такой вопрос: кинули маил-троян. Хочу узнать куда он намеревался посылать дату. В сервере не видать емаила открытым текстом(хотя при создании своего сервера и прописывания емаила мной я его видел). При попытке редактирования сервера его тулом просит пассворд. Пассворд также не открытым текстом записываеца. Дело ето написано на дельфи.
Короче кто может помочь прочесть сервер??

P.s. а да, есть длл в поставке. Токо я его не смотрел. Ща посмотрю.
если не хочешь заниматься дизассемблированием, можно использовать сниффер, чтобы установить куда собирается отправить письмо троян.
Но делать это надо с умом, чтобы он на самом деле не отправил твои пароли. Например, можно запустить его на "пустой" свежесинсталиной системе и спокойно проследить SMTP сессию. Но не думаю, что стоит так извращаться, т.к. мыло навернякя специально зарегино именно для этого дела где-нить на yahoo/rambler/mail.ru .
Reply With Quote
Old 19.03.2004, 08:46   #3
Ребе - коп!
 
Speedy Gonzales's Avatar
 
Join Date: 03 2003
Location: sfba
Age: 40
Posts: 4,188
Downloads: 0
Uploads: 0
Reputation: 29 | 3
Default

В том -то и дело что клиент, по всей вероятноасти лопух. Дурачок пару раз диалуп -ал ворованным пассвордом. С веба телефон засветился - я позвонил и т.д.
просто хотелось бы убедицца что это не другой козлик

А как работают такие трояны? Периодически посылают с прописанным интервалом? Или надо к нему сконнектица и запросить?

Я такими делами давно не занимался. Посоветуй какой-нить сниффер?
Reply With Quote
Old 19.03.2004, 08:52   #4
cares?..
 
who's Avatar
 
Join Date: 01 2004
Location: RA Army
Age: 47
Posts: 149
Downloads: 0
Uploads: 0
Reputation: 0 | 0
Lightbulb

Quote:
Originally Posted by Speedy Gonzales
....

А как работают такие трояны? Периодически посылают с прописанным интервалом? Или надо к нему сконнектица и запросить?
Схема довольно стандартна. При первом же запуске троян:

1) Пытается записать себя одним или несколькими способами в автозагрузку.
2) Собирает данные и пытается отослать их.
3) Если связь установить не удается, то он либо потом переодически пытается послать, либо ждет от системы оповещения об установки диалуп соединения (аналогично работает нет-агент тети аси).
Reply With Quote
Old 19.03.2004, 08:55   #5
cares?..
 
who's Avatar
 
Join Date: 01 2004
Location: RA Army
Age: 47
Posts: 149
Downloads: 0
Uploads: 0
Reputation: 0 | 0
Arrow

Quote:
Originally Posted by Speedy Gonzales
Я такими делами давно не занимался. Посоветуй какой-нить сниффер?
http://www.ethereal.com/
Reply With Quote
Old 19.03.2004, 10:40   #6
Ребе - коп!
 
Speedy Gonzales's Avatar
 
Join Date: 03 2003
Location: sfba
Age: 40
Posts: 4,188
Downloads: 0
Uploads: 0
Reputation: 29 | 3
Default

Хм. а как тут пакеты -то склеивать? чего -то не найду...
помн- в децтве в армии у меня был X-ray вроде назывался. Так он склеивал пакеты. а так хрен чо разберешь.
Reply With Quote
Old 19.03.2004, 10:52   #7
cares?..
 
who's Avatar
 
Join Date: 01 2004
Location: RA Army
Age: 47
Posts: 149
Downloads: 0
Uploads: 0
Reputation: 0 | 0
Lightbulb

Quote:
Originally Posted by Speedy Gonzales
Хм. а как тут пакеты -то склеивать? чего -то не найду...
помн- в децтве в армии у меня был X-ray вроде назывался. Так он склеивал пакеты. а так хрен чо разберешь.
поищи "Follow TCP Stream" в контекстном меню.
Reply With Quote
Old 19.03.2004, 11:29   #8
Ребе - коп!
 
Speedy Gonzales's Avatar
 
Join Date: 03 2003
Location: sfba
Age: 40
Posts: 4,188
Downloads: 0
Uploads: 0
Reputation: 29 | 3
Default

aha, spasibo bol`shoe!
Reply With Quote
Sponsored Links
Reply

Thread Tools


На правах рекламы:
реклама

All times are GMT. The time now is 22:33.


Powered by vBulletin® Copyright ©2000 - 2017, Jelsoft Enterprises Ltd.