Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 25.

Я крут -- BackDoor написал.

  1. #1
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Палыч
    Регистрация
    19.01.2005
    Сообщений
    696
    Вес репутации
    226

    Talking Я крут -- BackDoor написал.

    В последние дни я потихоньку занимаюсь вопросом автоматической настройки компов для работы в сети. Накропал батник для настройки локалки. С помощью утилиток из Windows Server 2003 создал exe для настройки VPN. Дошла очередь до скрипта для настройки Outlook Express.

    Для решения этой задачи я решил использовать AutoIt. Написал простенький скриптик:
    Код:
    WinMinimizeAll ( )
    Run( @ProgramFilesDir & '\Internet Explorer\Connection Wizard\inetwiz.exe' )
    WinWaitActive ( 'Мастер подключения к Интернету', 'Установка подключения к Интернету', '1' )
    Send ( '{DOWN}{ENTER}' )
    WinWaitActive ( 'Мастер подключения к Интернету', 'Параметры Интернета для локальной сети', '1' )
    Send ( '{ENTER}' )
    WinWaitActive ( 'Мастер подключения к Интернету', 'Настройте учётную запись почты Интернета', '1' )
    Send ( '{ENTER}' )
    WinWaitActive ( 'Мастер подключения к Интернету', 'Учётная запись почты Интернета', '1' )
    Send ( '{UP}{ENTER}' )
    WinWaitActive ( 'Мастер подключения к Интернету', 'Введите имя', '5' )
    Send ( 'Василий Пупкин' & '{ENTER}' )
    WinWaitActive ( 'Мастер подключения к Интернету', 'Адресс электронной почты Интернета', '1' )
    Send ( 'vasilij_pupkin@itkm.ru' & '{ENTER}' )
    WinWaitActive ( 'Мастер подключения к Интернету', 'Серверы электронной почты', '1' )
    Send ( 'pop3.itkm.ru' & '{TAB}' & 'smtp.itkm.ru' & '{Enter}' )
    WinWaitActive ( 'Мастер подключения к Интернету', 'Вход в почту интернета' , '1' )
    Send ( '{Enter}' )
    WinWaitActive ( 'Мастер подключения к Интернету', 'Завершение настройки', '1' )
    Send ( '{Enter}' )
    Exit
    Как видите -- всё просто и ясно.
    Погонял я этот скрипт на своих компах -- всё нормально. Забегая вперёд, скажу, что KAV на этот скрипт и не подумал ругаться.
    Откомпилировал скрипт в экзешник -- тоже всё в порядке: екзешник работает, KAV молчит.

    Вечером я отослал этот экзешник коллеге. Что бы посмотрел и заценил. И тут он мне по аске пишет, что его DrWEB орёт на этот экзешник. Дескать -- BackDoor.IRC.FFbot
    Ну, я сразу закинул этот файлик на Virustotal. И вот результат:

    Antivirus Version Last Update Result
    AhnLab-V3 2007.7.14.0 2007.07.16 no virus found
    AntiVir 7.4.0.42 2007.07.16 no virus found
    Authentium 4.93.8 2007.07.13 no virus found
    Avast 4.7.997.0 2007.07.16 no virus found
    AVG 7.5.0.476 2007.07.16 no virus found
    BitDefender 7.2 2007.07.16 no virus found
    CAT-QuickHeal 9.00 2007.07.16 no virus found
    ClamAV devel-20070416 2007.07.16 no virus found
    DrWeb 4.33 2007.07.16 BackDoor.IRC.FFbot
    eSafe 7.0.15.0 2007.07.16 suspicious Trojan/Worm
    eTrust-Vet 30.8.3787 2007.07.16 no virus found
    Ewido 4.0 2007.07.14 no virus found
    FileAdvisor 1 2007.07.16 no virus found
    Fortinet 2.91.0.0 2007.07.16 no virus found
    F-Prot 4.3.2.48 2007.07.13 no virus found
    Ikarus T3.1.1.8 2007.07.16 no virus found
    Kaspersky 4.0.2.24 2007.07.16 no virus found
    McAfee 5075 2007.07.16 no virus found
    Microsoft 1.2704 2007.07.16 no virus found
    NOD32v2 2400 2007.07.16 no virus found
    Norman 5.80.02 2007.07.16 no virus found
    Panda 9.0.0.4 2007.07.16 no virus found
    Sophos 4.19.0 2007.07.16 no virus found
    Sunbelt 2.2.907.0 2007.07.14 no virus found
    Symantec 10 2007.07.16 no virus found
    TheHacker 6.1.6.147 2007.07.16 no virus found
    VBA32 3.12.0.2 2007.07.16 Trojan.Win32.Autoit.ao
    VirusBuster 4.3.23:9 2007.07.16 no virus found
    Webwasher-Gateway 6.0.1 2007.07.16 Worm.Win32.ModifiedUPX.gen!90 (suspicious)
    Aditional information
    File size: 207795 bytes
    MD5: 08e99d0d059aa8fc31d8b21c5453a103
    SHA1: 1d3c34f90c0c36d53b3ac60e406075c62174a442
    packers: UPX


    VBA32 особенно порадовал. Так прям и пишет -- троян, дескать, из тех что AutoIt.

    И что теперь делать? Пока что я решил письмо намылить в DrWEB. Ведь по сути это ложняк. Программка моя ничего вредоносного не делает. Она штатными виндовыми средствами создаёт учётную запись в ОЕ. Причём характер её работы таков, что она просто за юзера по клавишам клавиатуры долбит. И имеет видимые окна.

    У кого какие комментарии?

    P. S. Если кому-нибудь нужен этот exe, то говорите -- вышлю.
    Наше дело правое--победа будет за нами!!!

  2. Реклама
     

  3. #2
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Советую забить и всё. Ты же не будешь выкладывать этот батник в сеть для общего пользования?

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Палыч
    Регистрация
    19.01.2005
    Сообщений
    696
    Вес репутации
    226
    Цитата Сообщение от Maxim Посмотреть сообщение
    Советую забить и всё. Ты же не будешь выкладывать этот батник в сеть для общего пользования?
    Это не батник, это экзешник.
    Вот именно, что буду! У меня вообще был замысел, чтобы, значит, при подключения нового юзера к нашей сети, ему вместе с распечаткой давали и CD с автораном и с этими файликами автоматической настройки компа. В смысле -- чтобы не ходить и не настраивать ему комп ручками. Такое, понимаешь, рационализаторское предложение хотел внедрить.
    Теперь, как я понимаю, пока с DrWEB ситация не исправиться про это можно забыть. А то по городу сразу слух пойдёт, что провайдер бэкдоры впаривает.
    И смех, и грех...
    Наше дело правое--победа будет за нами!!!

  5. #4
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Цитата Сообщение от Палыч Посмотреть сообщение
    Вот именно, что буду!
    Я думал это для личного пользования. Я если просто сделать *.bat без компиляции в *.exe?

  6. #5
    Junior Member Репутация
    Регистрация
    17.07.2007
    Сообщений
    6
    Вес репутации
    35

    Протектор\упаковщик?

    Раз это exe, то почему бы не попробовать запаковать или запротектить его? К примеру, тот же OriEn Dr. Web'jм не определяется. Хлопот это много не доставит.

    Добавлено через 33 секунды
    Orien - это протектор такой
    Последний раз редактировалось Add-Aware; 17.07.2007 в 07:17. Причина: Добавлено сообщение

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Нет, это не выход. Сегодня не определяется, завтра всё, что под этим пртектором, начнёт детектироваться как Trojan.Generic. И так по кругу.

  8. #7
    Junior Member Репутация
    Регистрация
    17.07.2007
    Сообщений
    6
    Вес репутации
    35
    Нет, это не выход. Сегодня не определяется, завтра всё, что под этим пртектором, начнёт детектироваться как Trojan.Generic. И так по кругу.
    Предложения? Это единственный возможный удобный (на мой взгляд ) вариант. У Orien очень сильная шифровка, так что Dr.Web врядли будет определять сжатую им программу как malware.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Pig прав Будут детектить просто как generic и даже не вникая в суть, пока не научиться распаковывать.
    Может аналогом каким,вместо AutoIt,попробовать? А почему нельзя батником оставить?

  10. #9
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1811
    Мне более интересно, почему нельзя написать в лаб и попросить исправить сигнатуру. Детект-то не эвристический.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Палыч
    Регистрация
    19.01.2005
    Сообщений
    696
    Вес репутации
    226
    Цитата Сообщение от drongo Посмотреть сообщение
    А почему нельзя батником оставить?
    Потому что тогда юзеру надо будет AutoIt устанавливать. Это же не традиционный bat-файл. Это файл в формате этой самой программы AutoIt, у него расширение .au3. Тоесть, у AutoIt свой оригинальный скриптовый язык, как, например, у AVZ.

    Устанавливать программу только для того чтобы прописать в системе сетвые настройки?... Как-то это не рационально...

    Да и потом, юзер, который может установить программу, сможет и вручную настройки прописать. И тогда зачем ему AutoIt и эти скрипты?

    Кстати, компиляция из скрипта в *.exe осуществляется компилятором, который входит в состав программного пакета AutoIt. То есть компилятор свой, набортный.
    Наше дело правое--победа будет за нами!!!

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2147
    Палыч, можно ли то же самое сделать на Visual Basic?

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Палыч
    Регистрация
    19.01.2005
    Сообщений
    696
    Вес репутации
    226
    Цитата Сообщение от DVi Посмотреть сообщение
    Палыч, можно ли то же самое сделать на Visual Basic?
    Не знаю. Ещё не смотрел в эту сторону.
    Я сначала подожду ответа из DrWEB. А там видно будет.
    Наше дело правое--победа будет за нами!!!

  14. #13
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2147
    Мне этот код очень напомнил скрипт на VB. Думаю, переделать его нетрудно.

  15. #14
    Junior Member Репутация
    Регистрация
    17.07.2007
    Сообщений
    6
    Вес репутации
    35
    Палыч, а можно мне эту .exe на почту? Уж больно хотца посмотреть Заранее благодарен!

    Добавлено через 2 минуты
    Прошу прощения, e-mail: add-minпсинкаmailпиксельru
    Последний раз редактировалось Палыч; 17.07.2007 в 14:12. Причина: Добавлено сообщение

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Палыч
    Регистрация
    19.01.2005
    Сообщений
    696
    Вес репутации
    226
    Цитата Сообщение от Add-Aware Посмотреть сообщение
    Палыч, а можно мне эту .exe на почту?
    Отправил. Смотри от integral85
    Наше дело правое--победа будет за нами!!!

  17. #16
    Junior Member Репутация
    Регистрация
    17.07.2007
    Сообщений
    6
    Вес репутации
    35
    Ну не знаю, как там Trojan.Other, но после упаковки с помощью Orien
    проверка Dr. Web'ом с последними базами (на сайте) показала, что всё
    чисто Притом, что Orien уже определяется Dr. Web как упаковщик. Использовался Orien'овский загрузчик.
    Последний раз редактировалось ALEX(XX); 17.07.2007 в 15:00.

  18. #17
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    А как другие вендоры?

  19. #18
    Junior Member Репутация
    Регистрация
    17.07.2007
    Сообщений
    6
    Вес репутации
    35
    Сейчас посмотрим...

    Заволновались:
    Ikarus - Trojan-Downloader.Win32.Banload.ase
    CAT-QuickHeal - (Suspicious) - DNAScan
    eSafe - suspicious Trojan/Worm
    Неугомонный VBA32 - suspected of Backdoor.Hupigon.8 (paranoid heuristics)
    Webwasher-Gateway - Win32.Malware.gen (suspicious)
    Sunbelt - VIPRE.Suspicious

    Но, ввиду их нераспространённости в России, я думаю, на них можно закрыть глаза В конце концов, несколько вендоров ругались даже на мою совершенно безобидную программу на KOL (которая вообще была простым окошечком ).

  20. #19

  21. #20
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2147
    Цитата Сообщение от Xen Посмотреть сообщение
    На месте авторов AutoIt я бы попробовал подать в суд =)
    Бесполезно, т.к. детектируется не сам AutoIt, а его производные, к которым авторы AutoIt не имеют никакого отношения.

Страница 1 из 2 12 Последняя

Похожие темы

  1. Dr.Web написал svchost.exe Program.RemoteAdmin.75
    От MorG в разделе Помогите!
    Ответов: 13
    Последнее сообщение: 21.02.2012, 18:40
  2. Ответов: 0
    Последнее сообщение: 01.05.2010, 13:47
  3. Девятилетний мальчик написал софт для iPhone
    От ALEX(XX) в разделе Другие новости
    Ответов: 4
    Последнее сообщение: 06.02.2009, 12:57
  4. UDP 7788 - backdoor.mnets,backdoor.singu, blackhole 2000
    От dimonavia в разделе Общая сетевая безопасность
    Ответов: 1
    Последнее сообщение: 11.02.2008, 12:55
  5. Ответов: 4
    Последнее сообщение: 15.06.2007, 08:28

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01489 seconds with 25 queries