Система удалённого администрирования SHARK v. 2.3.2 (сервер и билдер под строгим надзором) [Интро]Вообщем многие наверно не раз слышали про неё, да и тут выкладывали ссылки на скачку, правда частенько на билдер склеенный со сгенерированным этим же билдером сервером, ну это так сказать обычная практика распространения прог-генераторов троянов..;-) Я не встречался с этой штукой и мне захотелось разобраться, что с чем едят в этом Shark`e. [Подготовка]инструменты: - сам бэкдор Где вы возьмёте данный трой это Ваше дело, я со своей стороны воспользовался двумя ссылками: http://static.irsoft.de/sniper/sharK_2.3_hGhZtUjhhW.rar - кто то выкладывал на ачате. (кстати с склеенный билдер с троем) http://static.irsoft.de/sniper/sharK_2.3.2.zip - другая ссылка, тут вроде всё чисто на первый взгляд... - Гостевая ОС под Virtual-PC (я использовал MS Virtual -PC 2007 с гостевой ОС - чистой WIN-XP-SP2) - Антивирус со свежими базами с проактивной защитой и файрвол (Я использовал KIS 6.0 с последними базами и включенной проактивной защитой, фаер в режиме обучения). - Process explorer. - Отладчик (для продвинутых, я не пользовался, в этом случае, можно затестить обнаружение отладчика этим троем и его самоликвидацию из процессов) Итак, ставим гостевую ОС, ставим туда Каспера, Process explorer, теперь можно скачать и распаковать нашего билдера троянца в отдельную папку: например C:\shark [Настройка и генерация сервера Shark]Билдер является по совместительству и клиентом для серверов shark. Мы будем тестировать всё на локалхосте, т. е. заражать самих себя (запускать сервер и клиента на одном компе) После распаковки у нас три папки и несколько файлов: Code: c:\SHARK\Bin\ c:\SHARK\Download\ c:\SHARK\Stubs\ c:\SHARK\zlib.dll c:\SHARK\sharK.exe c:\SHARK\richtx32.ocx c:\SHARK\mswinsck.ocx c:\SHARK\MSCOMCTL.OCX c:\SHARK\menu.cfg c:\SHARK\history.db c:\SHARK\Comdlg32.ocx c:\SHARK\COMCTL32.OCX c:\SHARK\changelog.log c:\SHARK\cdkeys.db И так запускаем билдер sharK.exe. Каспер молчит, билдер сам никуда в Нэт не пытается ломиться, в Procced Explorer тоже ничего подозрительного не появилось из дополнительных процессов, посмотрим там его свойства, в частности вкладку TCP/IP, видим, что клиент ждёт подключений на 555 порту (сервер shark`а использует реверс-коннект, ну а как же иначе, ведь он бэкдор), но ведь никто не мешает постучать в этот порт, кому-то другому, поэтому для внешней сети мы прикроем этот порт файрволом на всякий пожарный... скрин1 Топаем в меню Shark-> Create server (создать сервер) и топаем по левому меню вниз: скрин2 - Основные установки: задаём Имя сервера, Имя файла сервера, Директория, куда будет установлен сервер, Имя группы, пароль сервера, интервал соединения (для теста я всё оставил по-умолчанию) SIN-DNS Addresses - тут вы прописывайте IP или DNS-name, куда будут стучаться сервера Shark'a, я пока прописал localhost (или внутренний свой IP), тут же можно указать порт (я оставил по-умолчанию 555) и затестить соединение: скрин3 - ога файрвол ловит исходящее соединение с билдера на хост (в данном случае локалхост) смело разрешаем, тест пройден, о чём свидетельствует надпись Working! скрин4 - АвтоЗапуск: тут предложено два варианта: через ActiveX (ключ компонента можно сгенерировать случайный) и Reg-HKCU (Рекомендованный для Висты - я галку снял, так как у мну XP) скрин5 - Сообщения после установки: хотите выдать что-то, можете поставить нужные галки и/или выполнить файл, открыть страницу web (я всё оставил пустым). скрин6 - Альтернативная установка: ещё два варианта, через реестр, если ActiveX компоненты блокируются и в альтернативную директорию (пользовательскую) если заблокирована системная (нет прав на запись). скрин7 - Прикрепить файлы: тут можно склеить нашего троя ещё с чем-то и прикрепить необходимые файлы и задать параметры их запуска и папки назначения. Я ничего пока не стал прикреплять. скрин8 - Чёрный список: очень интересная вкладка, тут можно добавить обнаружение противостоящих процессов и сервисов: антивирей, файрволов и др. и поведение сервера shark`a при их обнаружении. Остановлюсь подробно на ней: задаёте имя процесса (без расширения) и реакцию на него: - тихо убить процесс - убить процесс и информировать всех подключенных к нему клиентов - Опросить всех подключенных клиентов, что сделать теперь и три режима паники ;-)) закрыть сервер, удалить сервер и разорвать соединение, пока процесс работает. Так как у меня Каспер и Process Explorer из установленного софта, то я решил добавить их сюда так: скрин9 - т. е сервис аантивиря мы будем пытаться остановить, а процессэксплорер постараемся убить по-тихому ;-)) - Стелс (невидимость) [Мелкие манипуляции:] 1) сделать дату файла сервера такой же как дата инсталяция винды. 2) поставить атрибуты на файл сервера скрытый и системный. 3) таящий сервер (что имелось под этим, если честно то я не совсем понял...) [Тип сервера:] 1) Видимый сервер (удобен для локального тестирования) 2) Скрытый сервер (запущен на заднем плане) 3) Агрессивный сервер (запущен на заднем плане и сам себя перезапускает каждые несколько секунд) Ну я выбрал конечно агрессивный режим, так как мне интересно затестить бэкдор на всей его мощи... [Фишки:] 1)Открывать порты только когда в онлайн 2)Спать до следующей перезагрузки (Рекомендовано при первом запуске) я пока не ставил эти галки. скрин10 ] - Антиотладка 1)Уничтожить сервер, когда отладчик обнаружен 2)Уничтожить сервер, когда обнаружена ВМ-варя (То есть трой в виртуалке под WM-Ware) и вывести сообщение об отказе работать под виртуалкой: скрин11 Я все галки оставил, у меня не ВМ-Варя, а виртуал PC 2007 от мелкомягких, понадеюсь, что она не будет обнаружена. - Резюме, тут всё понятно, наши настройки (параметры троя) в виде списка. - Компиляция, тут я ставлю галку упаковать UPX-ом, чем меньше размер, тем лучше.. Всё готово! Можно жать кнопку Compile! Жмяк! - сервер готов! Code: "server.exe" has successfully been built. Size: 113,83 KB Header: 336 Byte Pointer to Data: 1C600 он в той же папке, где и билдер-вьювер. Антивирь молчит, фаер тоже, всё вроде тихо и спокойно, похоже, что в этот раз нам попался чистый билдер ;-)) [Тестирование сервера Shark`a]Ну перед запуском троя, я решил всё-таки сделать слепок состояния системы штатным средством, на случай, если помимо нашего троя в системе заведётся ещё какая-либо сторонняя живность или винда рухнет в противоборстве трояна и антивиря. Хоть и виртуалка, мне лень будет брать чистый образ системы, да и тестить надо близко к реальным условиям. И так, запускаем троя у себя на локалхосте! Проактивка тут как тут: перехватывает доступ к реестру: - разрешаем... - разрешаем... - тоже разрешаем... И наконец наш сервер стучится в наш билдер-вьювер: - разрешаем... А вот он и у нас во вьювере: скрин16 Процесс эксплорер действительно убился, при повторном вызове даже не запускается (тихо мрёт). Смотрим штатным менеджером процессов: скрин17 - сервер видно, оба процесса антивируса живы. Кликаем на сервер во вьювере и наслаждаемся всеми прелестями удалённого администрирования: скрин18 Но не тут то было, каспер всё орёт и орёт (это наверно из-за переодических перезапусков сервера - Агрессивный режим, который мы выбрали) и бац: - Процесс завершён (наверно такое поведение Каспер сочёл слишком наглым - частые перезапуски самого себя) Предлагает сделать откат изменений в системе, но обламывается, откат завершился неудачно! - значит у нашего троянчика есть шансы ожить вновь после перезагрузки! вот лог проактивки: PHP: Проактивная защита ------------------ Обнаружено ---------- Статус Объект ------ ------ обнаружено: потенциально опасное ПО Trojan.generic Процесс: C:\shark\server.exe обнаружено: потенциально опасное ПО Invader (loader) Процесс: D:\WINDOWS\System32\My_Server.exe 01.08.2007 20:10:11 C:\shark\server.exe Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ. 01.08.2007 20:10:11 C:\shark\server.exe Попытка завершения процесса 01.08.2007 20:25:35 C:\shark\server.exe Попытка завершения процесса: успешно 01.08.2007 20:25:36 D:\WINDOWS\system32\My_Server.exe Откат изменений 01.08.2007 20:25:36 \REGISTRY\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996}\Version Откат изменений 01.08.2007 20:25:36 \REGISTRY\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996}\Locale Откат изменений 01.08.2007 20:25:36 \REGISTRY\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996}\ComponentID Откат изменений 01.08.2007 20:25:36 \REGISTRY\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996}\StubPath Откат изменений 01.08.2007 20:25:36 \REGISTRY\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996} Откат изменений 01.08.2007 20:25:36 \REGISTRY\USER\S-1-5-21-507921405-1604221776-725345543-1003\Software\VB and VBA Program Settings\Windows Update\Windows Update\b Откат изменений 01.08.2007 20:25:36 \REGISTRY\USER\S-1-5-21-507921405-1604221776-725345543-1003\Software\VB and VBA Program Settings\Windows Update\Windows Update\s Откат изменений 01.08.2007 20:25:36 \REGISTRY\USER\S-1-5-21-507921405-1604221776-725345543-1003\Software\VB and VBA Program Settings\Windows Update\Windows Update\g Откат изменений 01.08.2007 20:25:36 \REGISTRY\USER\S-1-5-21-507921405-1604221776-725345543-1003\Software\VB and VBA Program Settings\Windows Update\Windows Update\i Откат изменений 01.08.2007 20:25:36 \REGISTRY\USER\S-1-5-21-507921405-1604221776-725345543-1003\Software\VB and VBA Program Settings\Windows Update\Windows Update Откат изменений 01.08.2007 20:25:36 \REGISTRY\USER\S-1-5-21-507921405-1604221776-725345543-1003\Software\VB and VBA Program Settings\Windows Update Откат изменений 01.08.2007 20:25:36 \REGISTRY\USER\S-1-5-21-507921405-1604221776-725345543-1003\Software\VB and VBA Program Settings Откат изменений 01.08.2007 20:25:36 \REGISTRY\MACHINE\SOFTWARE\X Откат изменений: Объект не найден 01.08.2007 20:25:36 D:\Documents and Settings\Admin\Application Data\tXmpX Откат изменений: Объект не найден 01.08.2007 20:25:36 C:\shark\server.exe Откат изменений 01.08.2007 20:10:11 C:\shark\server.exe Откат завершен с ошибками 01.08.2007 20:28:09 C:\shark\server.exe Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ. 01.08.2007 20:28:09 C:\shark\server.exe Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ. Действие разрешено. 01.08.2007 20:28:11 C:\shark\server.exe Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ. 01.08.2007 20:28:11 C:\shark\server.exe Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ. Действие разрешено. 01.08.2007 20:28:15 D:\WINDOWS\System32\My_Server.exe Процесс пытается внедрить модуль D:\WINDOWS\system32\My_Server.exe во все процессы. 01.08.2007 20:28:15 D:\WINDOWS\System32\My_Server.exe Процесс пытается внедрить модуль D:\WINDOWS\system32\My_Server.exe во все процессы. Действие разрешено. 01.08.2007 20:32:38 D:\WINDOWS\System32\My_Server.exe Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ. 01.08.2007 20:32:38 D:\WINDOWS\System32\My_Server.exe Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ. Действие разрешено. 01.08.2007 20:33:53 D:\WINDOWS\System32\My_Server.exe Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ. 01.08.2007 20:33:53 D:\WINDOWS\System32\My_Server.exe Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ. Действие разрешено. 01.08.2007 20:37:35 D:\WINDOWS\System32\My_Server.exe Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ. 01.08.2007 20:37:35 D:\WINDOWS\System32\My_Server.exe Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ. Действие разрешено. 01.08.2007 20:37:48 D:\WINDOWS\System32\My_Server.exe Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ. 01.08.2007 20:37:48 D:\WINDOWS\System32\My_Server.exe Попытка завершения процесса 01.08.2007 20:37:50 D:\WINDOWS\System32\My_Server.exe Попытка завершения процесса: успешно 01.08.2007 20:42:05 \REGISTRY\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996}\Version Откат изменений 01.08.2007 20:42:05 \REGISTRY\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996}\Locale Откат изменений 01.08.2007 20:42:05 \REGISTRY\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996}\ComponentID Откат изменений 01.08.2007 20:42:05 \REGISTRY\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996} Откат изменений 01.08.2007 20:42:05 \REGISTRY\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996}\StubPath Откат изменений 01.08.2007 20:42:05 \REGISTRY\USER\S-1-5-21-507921405-1604221776-725345543-1003\Software\VB and VBA Program Settings\m\k\l Откат изменений 01.08.2007 20:42:05 \REGISTRY\USER\S-1-5-21-507921405-1604221776-725345543-1003\Software\VB and VBA Program Settings\m\k Откат изменений 01.08.2007 20:42:05 \REGISTRY\USER\S-1-5-21-507921405-1604221776-725345543-1003\Software\VB and VBA Program Settings\m Откат изменений 01.08.2007 20:42:05 D:\WINDOWS\system32\mswinsck.ocx Откат изменений 01.08.2007 20:42:05 \REGISTRY\MACHINE\SOFTWARE\X Откат изменений: Объект не найден 01.08.2007 20:42:05 D:\Documents and Settings\Admin\Application Data\tXmpX Откат изменений: Объект не найден 01.08.2007 20:42:05 D:\WINDOWS\system32\My_Server.exe Откат изменений 01.08.2007 20:37:48 D:\WINDOWS\System32\My_Server.exe Откат завершен с ошибками Макросы ------- Время Имя Статус ----- --- ------ Реестр ------ Время Приложение Ключ Значение Данные Тип данных Тип операции Статус ----- ---------- ---- -------- ------ ---------- ------------ ------ 28.07.2007 11:23:32 D:\Program Files\Util\procexp.exe HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PROCEXP90 ImagePath \??\D:\WINDOWS\system32\Drivers\PROCEXP90.SYS Строка Unicode, заканчивающаяся нулем Создание обнаружено 28.07.2007 11:23:32 D:\Program Files\Util\procexp.exe HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PROCEXP90 ImagePath \??\D:\WINDOWS\system32\Drivers\PROCEXP90.SYS Строка Unicode, заканчивающаяся нулем Создание разрешен 01.08.2007 20:08:13 C:\shark\server.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996} StubPath D:\WINDOWS\system32\My_Server.exe Строка Unicode, заканчивающаяся нулем Создание обнаружено 01.08.2007 20:08:13 C:\shark\server.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996} StubPath D:\WINDOWS\system32\My_Server.exe Строка Unicode, заканчивающаяся нулем Создание разрешен 01.08.2007 20:28:06 C:\shark\server.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996} StubPath D:\WINDOWS\system32\My_Server.exe Строка Unicode, заканчивающаяся нулем Создание обнаружено 01.08.2007 20:28:06 C:\shark\server.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996} StubPath D:\WINDOWS\system32\My_Server.exe Строка Unicode, заканчивающаяся нулем Создание разрешен [После перезагрузки]Перезагружаемся и пробуем запустить procced explorer - не запускается, наш троян значит работает! Посмотрим штатным менеджером процессов: видим что процесс My-server.exe к нашему сожалению присутствует в списке, коннектимся к серверу, проверяем - всё работает, глянем Каспером установленные соединения: Code: MY_SERVER.EXE 1 TCP Исходящее 127.0.0.1 3576 127.0.0.1 555 00:17:28 6.5 КБ 17.4 КБ SHARK.EXE TCP Входящее 127.0.0.1 555 127.0.0.1 3576 00:17:35 17.5 КБ 6.6 КБ [Заключение]Как видим, ни о какой скрытности сервера Шарка речи идти не может, видно в процессах, видно соединения, сервис Антивируса Касперского отрубить ему так же не удалось и при попытке трояна установления соединения с вьювером (билдером) файрвол запалит исходящее соединение, а значит и Ваш IP, так что думайте сами юзать или не юзать, на проверку он оказался бессилен против KIS 6, хотя сервер трояна и не палится как троян (после перезагрузки) и благополучно работает, но его палит проактивная защита при запуске по подозрительным действиям так же он заметен в процессах и его активность тоже, стоит отметить несомненный плюс убивать по тихому прописанные заранее процессы и останавливать некоторые сервисы. То что он работает не на реальной системе, а в MS Virtual PC 2007 он так же не обнаружил (ну вроде как заложено обнаружение только WM-Ware). Резюме: Бэкдор можно использовать, там где нежелательно применение Радмина... может делать скриншоты экрана, имеет встроенный кейллогер, может перехватывать изображение с подключенной к жертве Веб-камеры, можно запустить проксю, посмотреть запущенные процессы, инсталированные сервисы и т. д. на компьютере- жертве.
ИМХО poison ivy получше будет -poison весит всего 8кб -в отличии от шарка работает невидимость в системе
help по тулзе это один только пункт, а тут тестирование... На статью не претендует, поэтому и не в статьях... ЗЫ Шарк хвалили, вот и захотел проверить, а на самом деле оказался далеко не очень хороший трой...
Подробнее напиши Каким антивирусом и палятся как кто? По второй ссылке билдер чистый был (на момент когда я его качал, щас - не знаю). В Понедельник выложу зеркальную ссылку на скачку (того что я скачал и протестил).
Результаты проверки на virustotal.com архива по второй ссылке: Code: Antivirus Version Last Update Result AhnLab-V3 2007.8.3.0 2007.08.03 - AntiVir 7.4.0.57 2007.08.03 BDS/VB.bax.115 Authentium 4.93.8 2007.08.03 - Avast 4.7.1029.0 2007.08.03 Win32:VB-EIN AVG 7.5.0.476 2007.08.04 VB.QP BitDefender 7.2 2007.08.04 Backdoor.VB.BJP CAT-QuickHeal 9.00 2007.08.04 - ClamAV 0.91 2007.08.04 Trojan.Karsh-1 DrWeb 4.33 2007.08.04 BACKDOOR.Trojan packed by BINARYRES eSafe 7.0.15.0 2007.07.31 suspicious Trojan/Worm eTrust-Vet 31.1.5032 2007.08.04 - Ewido 4.0 2007.08.03 - FileAdvisor 1 2007.08.04 - Fortinet 2.91.0.0 2007.08.04 W32/Agent.BLV!tr F-Prot 4.3.2.48 2007.08.03 - F-Secure 6.70.13030.0 2007.08.03 Backdoor.Win32.VB.bax Ikarus T3.1.1.8 2007.08.04 Backdoor.Win32.VB.bax Kaspersky 4.0.2.24 2007.08.04 Backdoor.Win32.VB.bax McAfee 5090 2007.08.03 New Malware.d Microsoft 1.2704 2007.08.04 - NOD32v2 2437 2007.08.03 probably a variant of Win32/VB.BCO Norman 5.80.02 2007.08.03 W32/VBDoor.DIX Panda 9.0.0.4 2007.08.04 Suspicious file Rising 19.34.40.00 2007.08.03 - Sophos 4.19.0 2007.08.01 - Sunbelt 2.2.907.0 2007.08.04 VIPRE.Suspicious Symantec 10 2007.08.04 - TheHacker 6.1.7.162 2007.08.04 Backdoor/VB.bax VBA32 3.12.2.2 2007.08.04 Backdoor.Win32.VB.bax VirusBuster 4.3.26:9 2007.08.04 - Webwasher-Gateway 6.0.1 2007.08.03 Win32.Malware.gen (suspicious) Additional information File size: 4004559 bytes MD5: 4958720504526d84b0d21c8840441894 SHA1: 0c21960c80a3a3f0e74475cd58861daee0d42980 packers: UPX packers: UPX, BINARYRES packers: UPX, ARJ, UPX_LZMA
Отдельно результаты проверки билдера: Code: File sharK.exe received on 08.04.2007 18:01:17 (CET) Current status: finished Result: 2/31 (6.46%) Compact Print results Antivirus Version Last Update Result AhnLab-V3 2007.8.3.0 2007.08.03 - AntiVir 7.4.0.57 2007.08.03 TR/Sniffer.VB.C.2 Authentium 4.93.8 2007.08.03 - Avast 4.7.1029.0 2007.08.03 - AVG 7.5.0.476 2007.08.04 - BitDefender 7.2 2007.08.04 - CAT-QuickHeal 9.00 2007.08.04 - ClamAV 0.91 2007.08.04 - DrWeb 4.33 2007.08.04 - eSafe 7.0.15.0 2007.07.31 - eTrust-Vet 31.1.5032 2007.08.04 - Ewido 4.0 2007.08.03 - FileAdvisor 1 2007.08.04 - Fortinet 2.91.0.0 2007.08.04 - F-Prot 4.3.2.48 2007.08.03 - F-Secure 6.70.13030.0 2007.08.03 - Ikarus T3.1.1.8 2007.08.04 - Kaspersky 4.0.2.24 2007.08.04 - McAfee 5090 2007.08.03 - Microsoft 1.2704 2007.08.04 - NOD32v2 2437 2007.08.03 - Norman 5.80.02 2007.08.03 - Panda 9.0.0.4 2007.08.04 - Rising 19.34.40.00 2007.08.03 - Sophos 4.19.0 2007.08.01 - Sunbelt 2.2.907.0 2007.08.04 - Symantec 10 2007.08.04 - TheHacker 6.1.7.162 2007.08.04 - VBA32 3.12.2.2 2007.08.04 - VirusBuster 4.3.26:9 2007.08.04 - Webwasher-Gateway 6.0.1 2007.08.03 Trojan.Sniffer.VB.C.2 Additional information File size: 3854336 bytes MD5: c308b3c90dd9d771163e6470ae298a9b SHA1: b02e4f75b55f66a7c8cedbbb41d43c23b9190466
Билдер он же ещё и клиент, открывает порт на прослушку и ждёт подключения серверов шарка, поэтому и сниффер в некотором роде... (нюхач своих троянов...) ЗЫ ВЫ ЧИТАЛИ ОПИСАЛОВО ХОТЬ? Другое дело что троянец, сгенерированный билдером, имхо может постучать через некоторое время не только в Ваш билдер-вьювер, а ещё куда-нибудь, (вот так и создаются наверно ботнеты и делаются халявные прокси ;-) (у мну стучал только ко мне, но имхо это реализовать не сложно, т.е. через некоторое время с момента активации, трой становится не Вашим). Я дал информацию к размышлению и ответственности за использование и возможный нанесённый вред данным ПО не несу, всё на совести разработчиков...
Проверяйте чистоту билдера сами перед использованием, потому как то, что там лежало раньше (я имею ввиду вторую ссылку) уже может и поменяться. На момент написания статьи билдер (по второй ссылке) был вроде как чистый - сам проверял (результаты проверки - выше). PS По первой ссылке был склеенный (не качать! или расклеивайте сами ;-)
У меня проблема почему-то с функцией снятия скриншотов. Пишет JPG plugin пропал. Снимал нормально, я всё видел, что происходит на компе, почти как радмин), но потом непонятно почему эт функция больше не работает. Клиент пытается выгрузить на зараженную машину фаил jpg.shark и кажется у него не получается. Комп свой ребутал, Шарк перезагружал, всё равно такая проблема. Прдется по новой зараженный фаил кидать?
Shark скаченный по второй ссылке(вроде бы как не зараженный) при открытии билдера,ломится на 194.67.23.60 и хочет заделаться сервером=(( Это нормально? Или по второй ссылке тоже сджойненный билдер?
На момент написания статьи был чистый, щас не знаю уже, надо проверять. Закачай на Вирус тотал билдер и сравни хэш, если не такой как: MD5: c308b3c90dd9d771163e6470ae298a9b SHA1: b02e4f75b55f66a7c8cedbbb41d43c23b9190466 - значит поменяли уже (а может и склеили с чем-то).
Проверил щас, код тот же, хэши совпадают, однако: Т.е. мои предположения оправдались в билдер встроен бэкдор (изначально).
Привет я хотел скачать этот трой но вот ссылки нет битая не можете ли вы пере залить трой!!! Заранее благодарен
