google + fla imperator = exploit
jeden z forumowiczów polecił mi program fla imperator do rozbrajania plików swf. No to cały happy atak na google. Linków było od groma, 99% z nich prowadziło do ruskich warezów. No to trzeba obadać co oni tam mają, źe tak duźo w goglarce o nich 8)
Po kliknięciu na jeden z linków – o dziwo wyskoczył popup w IE, pomimo źe uźywałem avanta z zablokowanymi popupami, oraz sp2 teź z blokadą popupów. Antywir wywalił okienko źe cośtam w tempach jest – okey, odwal się, najpóźniej za minutę tego juź nie będzie bo programik to skasuje. Ale dla pewności ponagliłem czyszczenie tempów.
No i tak sobie surfowałem kilka godzin, pisałem sobie posta który nie chciał się wysłać – włączyłem IE a tu link na linku!! Normalnie całe okno full wypas w linkach :o. Zaraz zaatakowałem processexplorerem, hijackiem; trochę utrzaskałem
woow mam ruskiego syfa :)
zachlastałem kilka nowych procesów typu
ipvh.exe (tylko ten został w backupie hijacka, reszta poszła z dymem) – ten proces wpisał się na listę usług jako Remote Procedure Call (RPC) Helper i do autostartu, i ostro pilnował swoich trusted zone w rejestrze.
trusted zone:
lookając do sniffera :
próbując uwalić ipvh – owy proces zabronił moim toolsom uźywać bibliotek dll, uruchamiać innych programów, no i zostałem zmuszony do zamknięcia systemu. Olewając rejestr – wcisnąłem reset i uruchomiłem się z innej partycji. Porównałem zzipowany folder windows z aktualnym stanem na dysku i wyjawiło się kilkanaście obcych/ukrytych exe i dll
Kilka z nich pokasowałem odrazu, a resztę przeniosłem do innego folderu, tak na zapas:)
plik bootstat.dat w /windows, który zwykle ma same zera – miał w sobie jakiś kod przypominający strukturę exe'ków – pisało w nim coś o spyware i źebym kupił jakiś program :)
owe obce pliki zostały stworzone dokładnie 21 grudnia 2004; goglarka prowadzi tylko do jednej strony z postem apelującym o pomoc :)
Syf nie był groźny, powstał z ręki jakiegoś początkującego z roczym staźem – nie pokasował mi źadnych plików, tylko tego xxxxx: nie mogę się pozbyć z headera. Zaraz obadam czy reinstall sp2 pomoźe
–––––
kto bardziej ciekawy: 8)
http://www.google.com/search?sourceid=navclient&ie=UTF–8&rls=CNDB,CNDB:2004–48,CNDB:en&q=fla+imperator
Po kliknięciu na jeden z linków – o dziwo wyskoczył popup w IE, pomimo źe uźywałem avanta z zablokowanymi popupami, oraz sp2 teź z blokadą popupów. Antywir wywalił okienko źe cośtam w tempach jest – okey, odwal się, najpóźniej za minutę tego juź nie będzie bo programik to skasuje. Ale dla pewności ponagliłem czyszczenie tempów.
No i tak sobie surfowałem kilka godzin, pisałem sobie posta który nie chciał się wysłać – włączyłem IE a tu link na linku!! Normalnie całe okno full wypas w linkach :o. Zaraz zaatakowałem processexplorerem, hijackiem; trochę utrzaskałem
woow mam ruskiego syfa :)
zachlastałem kilka nowych procesów typu
ipvh.exe (tylko ten został w backupie hijacka, reszta poszła z dymem) – ten proces wpisał się na listę usług jako Remote Procedure Call (RPC) Helper i do autostartu, i ostro pilnował swoich trusted zone w rejestrze.
trusted zone:
*.static.topconverting.com
*.frame.crazywinnings.com
*.static.topconverting.com
*.blazefind.com
*.my–internet.info
+ podobne
O2 – BHO: (no name) – {18E93646–0B24–A8D0–AF23–B03992B7DB1C} – E:WINXPDEjavahs32.dll
Search Page = res://E:WINXPDE hclu.dll/sp.html#28129
Default_Search_URL = res://E:WINXPDE hclu.dll/sp.html#28129
...
lookając do sniffera :
GET / HTTP/1.1
Accept: */*
XXXXXXX: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Accept–Language: en–us,en–gb;q=0.8,de;q=0.5,pl;q=0.3
XXXXXXXXXXXXXXX: XXXXXXXXXXXXX
User–Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Host: www.google.com
Connection: Keep–Alive
XXXXXX: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
próbując uwalić ipvh – owy proces zabronił moim toolsom uźywać bibliotek dll, uruchamiać innych programów, no i zostałem zmuszony do zamknięcia systemu. Olewając rejestr – wcisnąłem reset i uruchomiłem się z innej partycji. Porównałem zzipowany folder windows z aktualnym stanem na dysku i wyjawiło się kilkanaście obcych/ukrytych exe i dll
Kilka z nich pokasowałem odrazu, a resztę przeniosłem do innego folderu, tak na zapas:)
plik bootstat.dat w /windows, który zwykle ma same zera – miał w sobie jakiś kod przypominający strukturę exe'ków – pisało w nim coś o spyware i źebym kupił jakiś program :)
owe obce pliki zostały stworzone dokładnie 21 grudnia 2004; goglarka prowadzi tylko do jednej strony z postem apelującym o pomoc :)
Syf nie był groźny, powstał z ręki jakiegoś początkującego z roczym staźem – nie pokasował mi źadnych plików, tylko tego xxxxx: nie mogę się pozbyć z headera. Zaraz obadam czy reinstall sp2 pomoźe
–––––
kto bardziej ciekawy: 8)
http://www.google.com/search?sourceid=navclient&ie=UTF–8&rls=CNDB,CNDB:2004–48,CNDB:en&q=fla+imperator
Odpowiedzi: 4
tak, to moja druga przygoda z tych ciekawszych. Pierwsza była z popularnym wiruskiem, ale ta jest czymś nowym. Niech wszyscy wiedzą źeby po nieznanych ruskich stronach wyłączać wszystko co się da we wbudowanej przeglądarce.
Teraz mi się przypomniało źe posta nie mogłem wysłać bo nie działała mi java ani activex – ciągle te głupie źółte okienko z sp2 źe activex jest zablokowane (w avancie to 2 kliki źeby to w(y)łączyć) a chciałem objąć część posta w . Byłem bardzo zły, bo niby java nie była zablokowana. Dałem avantowi kopa no i włączyłem IE... i wtedy się zaczęło z tymi linkami 8)
Heh po chwili mi zaświtał pomysł na program śledzący na źywo aktywne procesy, który to by "zamraźał" lub ubijał nieznane bestie (lepiej niź ZA) do czasu reakcji usera. No ale mam narazie co innego do pisania
Teraz mi się przypomniało źe posta nie mogłem wysłać bo nie działała mi java ani activex – ciągle te głupie źółte okienko z sp2 źe activex jest zablokowane (w avancie to 2 kliki źeby to w(y)łączyć) a chciałem objąć część posta w . Byłem bardzo zły, bo niby java nie była zablokowana. Dałem avantowi kopa no i włączyłem IE... i wtedy się zaczęło z tymi linkami 8)
Heh po chwili mi zaświtał pomysł na program śledzący na źywo aktywne procesy, który to by "zamraźał" lub ubijał nieznane bestie (lepiej niź ZA) do czasu reakcji usera. No ale mam narazie co innego do pisania
I bardzo dobrze :P
Rozumiem ze chciałes sie doswiadczeniami podzielic ??
Rozumiem ze chciałes sie doswiadczeniami podzielic ??
juź dawno nie mam tego :) w godzinkę się pozbyłem syfa.
Backup wpisu od ipvh.exe mozesz wywalic
Odpal system w awaryjnym i usun wszystko co dojrzysz w HJT
Odpal system w awaryjnym i usun wszystko co dojrzysz w HJT
Strona 1 / 1