alkisg Δημοσ. 5 Μαρτίου 2005 Μέλος Δημοσ. 5 Μαρτίου 2005 Λοιπόν εντόπισα και πώς μπήκε ο trojan στο σύστημά μου. Είχα κατεβάσει αρκετά προγράμματα για έλεγχο ταχύτητας του σκληρού, και μαζί με αυτά και το htach313.exe, 677.325 bytes, 3/8/2004 Μου φαίνεται ότι το συγκεκριμένο το κατέβασα μέσω bittorrent, αν και δεν είμαι 100% σίγουρος. Υπάρχει και μια μικρή πιθανότητα να ΚΟΛΛΗΣΕ από άλλο αρχείο (η διαφορά δηλαδή θα είναι στο αν θα λέγεται trojan ή ιός - ελπίζω να μην αρχίσει κανένας τα φιλολογικά). Ο trojan έχει μπει στο αρχείο με την μέθοδο της επικάλυψης, δηλαδή αν και ο trojan είναι γύρω στα 300 Kb, το συνολικό μέγεθος του htach313.exe είναι 670Kb (χαλασμένο .exe header). Για να μην παρεξηγήσει κανείς, κανονικά το πρόγραμμα hd-tach δεν είναι trojan, το συγκεκριμένο αντίγραφο ήταν μολυσμένο. Πήγα να το εγκαταστήσω (διπλό κλικ) αλλά δεν φάνηκε να κάνει τίποτα κι εγώ μέσα στην φούρια που είχα τότε υπέθεσα απλά ότι δεν κατέβηκε σωστά και πήγα στο επόμενο πρόγραμμα. Ε, το αρχείο αυτό περιέχει τον trojan και όταν το τρέχουμε εγκαθιστά (χωρίς μηνύματα) τα 5 αρχεία του ιού στο C:\Windows\System και κανονίζει να εκτελείται κάθε φορά που ξεκινάνε τα Windows. Δεν ξέρω αν κάνει και τίποτα άλλο, π.χ. αν αντιγράφει τον εαυτό του σε άλλο .exe. Έτρεξα και το svchost.exe (dnetc.exe) όπως είπε η paschalia, με -config δείχνει τις επιλογές που είναι ρυθμισμένο. Ο trojan λοιπόν το είχε ρυθμίσει να μην δουλεύει όταν εκτελείται παράλληλα ο task manager (alt-control-delete). Του άλλαξα τις ρυθμίσεις ώστε να μην κρύβεται από τον task manager και τον έτρεξα, είχε 98-99% CPU usage. Όμως δεν ήταν και υπερβολικά κακοί, το είχαν ρυθμισμένο να μην δουλεύει όταν είναι σε φορητό Η/Υ που δουλεύει με μπαταρία Έχω και μια ΥΠΟΘΕΣΗ στο πού χρησιμεύει αυτός ο trojan (όχι γενικά, σ' αυτούς που τον έφτιαξαν): μερικές εταιρίες κρυπτογράφησης ανακοινώνουν περιοδικά διαγωνισμούς με χρηματικά βραβεία, τα οποία δίνουν σε όποιο group "σπάσει" την πρόκλησή τους. Το σπάσιμο αυτό απαιτεί τεράστια επεξεργαστική ισχύ (παίρνει μήνες), αλλά το καλό (ή το κακό) είναι ότι μπορεί να εκτελείται παράλληλα σε πολλούς Η/Υ. Κάποιοι έξυπνοι λοιπόν σκεφτήκαν να κερδίσουν το βραβείο φτιάχνοντας αυτόν τον trojan (και δεν ξέρω αν κυκλοφορούν και καμιά 100στή παραλλαγές του) και χρησιμοποιώντας την επεξεργαστική ισχύ όσων τον κολλάνε. Εν τέλει, αν κάποιος από τους μολυσμένους Η/Υ υπολόγιζε μερικά πιθανά κλειδιά αποκρυπτογράφησης, θα τα έστελνε ο trojan στο x-cows.kicks-ass.net:2065. Ξαναλέω αυτά είναι ΥΠΟΘΕΣΗ με βάση διάφορα πράγματα που κοίταξα, δεν έχω χρόνο να καθήσω να διαβάσω τον κώδικα... Τα συμπεράσματα δικά σας... Εγώ το πολύ πολύ να στείλω ένα email με τον trojan στους διοργανωτές του διαγωνισμού, προτείνοντας να εξετάσουν το ζήτημα και να αποκλείσουν ενδεχομένως το συγκεκριμένο group...
Mafia_Omerta Δημοσ. 5 Μαρτίου 2005 Δημοσ. 5 Μαρτίου 2005 Θα ήταν ευκολότερο για εμάς να σε βοηθήσουμε αν έγραφες λιγότερα. Για έναν ιό μας λες στον τίτλο και μετο που μπαίνουμε μέσα βλέπουμε έναν τόμο ολόκληρο.
alkisg Δημοσ. 5 Μαρτίου 2005 Μέλος Δημοσ. 5 Μαρτίου 2005 @Mafia_Omerta: το ΠΟΥ θα βρείτε τον ιό για εξέταση το γράφω στο αρχικό post... Το "μεγάλο" παραπάνω είναι η τελική εξήγηση, γι' αυτό και είναι και μεγάλη...
Προτεινόμενες αναρτήσεις
Αρχειοθετημένο
Αυτό το θέμα έχει αρχειοθετηθεί και είναι κλειστό για περαιτέρω απαντήσεις.