Для умного хакера, который юзает чужие логины новлайновцев

мдяяяя нагнули такова прошаренного перца да ешо и трояном мдяя раскажеш как енто было

Trojan.Spy.KBMan
Что за зверь ?
Не лечиться ещё...
Хорошо только в двух дллках нашёл левых ( в одной из затычек к UO. uopatch.dll всем смотреть, т.к я это с фтп сливал. )

P.s: Хех :)

"Антивирусная компания Sophos сообщает об обнаружении ею троянского коня Troj/Kbman. Он перехватывает все нажатия клавиш, записывает их в лог-файл и отсылает этот файл на FTP."
Может на фтп лежит база паролей со всего новлайна ? :lol:
[Редактировано ze6ra число: 03-04-2003 время: 19:13]

Ты чё "ха ха" то ?
AVP запусти, может настроение измениться ?
А может это ты пустил ? Ты это дело любишь :)

Весь Новлайн пойдет кого-то пинать, когда найдет? :)

Ага, до последней секретарши, до последней уборщицы, все пойдут, это война ! :lol:
Потом и США подключидся, со своей антитерористической операцией :lol:

Яб с удовольствием пнул чела...причем гне кисло...за хбу я всех порежу

Ага епт помогу его отмудохать ты тока позвони домой когда ознаешь кто сидел... ок
Илья
Тока что плохо что у Новлайна логи не очень не видна какое приложение и где и в какое время сьело трафф..... это хренова
Вот какой лог мне присылали в том году
Вот пришел лог :
2002.09.03 20:01:39 137.189.4.14 192.168.125.151 44151 1251 222
2002.09.03 20:01:43 137.189.4.14 192.168.125.151 21 1250 48
2002.09.03 20:01:51 137.189.4.14 192.168.125.151 44151 1251 48
2002.09.03 20:01:53 137.189.4.14 192.168.125.151 26116 1252 48
2002.09.03 20:01:54 137.189.4.14 192.168.125.151 21 1250 2400
2002.09.03 20:04:45 137.189.4.14 192.168.125.151 21 1256 48
2002.09.03 20:04:51 137.189.4.14 192.168.125.151 21 1256 1799
2002.09.03 20:04:51 137.189.4.14 192.168.125.151 7674 1257 48
2002.09.03 20:07:31 137.189.4.14 192.168.125.151 21 1250 165
2002.09.03 20:07:43 137.189.4.14 192.168.125.151 26116 1252 6482740
2002.09.03 20:07:43 137.189.4.14 192.168.125.151 21 1274 48
2002.09.03 20:07:47 137.189.4.14 192.168.125.151 49796 1275 48
2002.09.03 20:07:48 137.189.4.14 192.168.125.151 21 1274 1800
2002.09.03 20:09:13 137.189.4.14 192.168.125.151 7674 1257 5126512
2002.09.03 20:09:18 137.189.4.14 192.168.125.151 49796 1275 1681484
2002.09.03 20:16:03 137.189.4.14 192.168.125.151 7674 1257 1492
2002.09.03 20:16:03 137.189.4.14 192.168.125.151 21 1256 88
2002.09.03 20:16:09 137.189.4.14 192.168.125.151 49796 1275 1492
2002.09.03 20:16:09 137.189.4.14 192.168.125.151 21 1274 88
Я потом посканил, а ай пи с хоста
freedom.itsc.cuhk.edu.hk
Делайте выводы что можна увидеть по этому логу

я уже отрубил
обращался он к IP 10.5.7.1 вроде....если это то - я знаю то что это d2sg.exe и d2svgv.exe - эти файлы....

дак если он обращался к этим IP то этот дроль где-то в ебенях, а из ебеней он не мог юзать новлайн, может только прокся - и то врятле. так что imho это не то, кароче в НЛе сказали разберутся....
спасибо Бух

я тоже так подумал - кто-то увел базу паролей -)

Все у кого были проблемы отзовитесь все на него и повесим
да и лицо ему поровняем посатижами выправлять будет и не один хирург не поможет да и кто ентого дроля назвал хацкером да ешо и умным .спорный вопрос кидалово на 100 мб
трудно не заметить так что не очень то он и умен
так что разменай те кулаки и коекто рожу а яйца может сам себе отрезать будет не так мучится
я хоть и не клиент новлайна но за друзей порву любую суку :))
Das ist alles !!!!!!!!!!!!1

Neon, я тебе логи давал - смотри дни только 28-31ые числа
смотри что там куда обращалось
я в те дни заметил подзрительное 10.5.7.1 - это был d2fs.exe и тд - кароче якобы "сервер по диабле 2" , но почему-то у других его не было
p/s хитрожопая сволочь этот троян -))))

ъ
а чем ты вообще его нашел? -)

Я не мойму одного тока одного откуды чудак достал ентот троян я весь инет обыскал нет нигде не сам жен его писал провильно ведь помойму все граздоо прощн но пока не знаю как

Почему же не сам?
Умный человек так бы и поступил.
Готовые трояны любая антивирь находит на раз.
И кстати, про Trojan Remover что - никто не слышал?
Я бы на вашем месте запускал бы разик в день. На всякий случай.

не слышал, работает для всех троянов? -) я его в автозагрузку поставлю -)))))

эта сука опять наюзать успела ещё 80 мегобайт - ****ец ему точно, у меня уже 100, а ещё месяц не кончался......****ец парню

Троян был Lamers Death 2.6 в файле %systemdir%\mmtask.exe

Парень, понимаешь я то не буду платить, платить будешь ты !

[Редактировано ILIA2000 число: 04-04-2003 время: 14:04]

Я же говорил что новый троян тут не причем потомучто он не так умен раз наюзал стока мб
теперь картина вырисовывается я теперь прошарил как его вычислить !!!!

позвони мне до 22.00, потом меня не будет

--- Time: 2003-03-30 22:28:39
port -------myip---- --- -------ip2connect--- port --- выходтраф---- входтраф

TCP 192.168.125.210 client 192.168.125.161 23346 184 88

что это?

--- Time: 2003-03-30 17:53:50
TCP 192.168.125.210 client 213.148.162.46 4396 48 0

а это?

ух ты, а это что?
TCP 192.168.125.205 client 213.148.169.47 29759 232 136
TCP 192.168.125.205 client 10.20.3.47 29759 96 0




--- Time: 2003-03-29 23:10:18
TCP 192.168.125.149 client 192.168.125.168 27054 184 88


--- Time: 2003-04-01 16:23:04
TCP 192.168.125.111 client 212.158.173.76 2802 0 144

--- Time: 2003-04-01 17:24:34
TCP 192.168.125.111 client 192.168.125.113 18016 370 410
- !!!!почему-то мне кажется что это то, что я ищу...
[Редактировано ILIA2000 число: 04-04-2003 время: 16:47]

TCP 192.168.125.111 client 192.168.125.113 18016 595 568 - очень странно, какраз в этот момент у меня был отрублен winroute


--- Time: 2003-04-01 23:02:16
TCP 192.168.125.111 client 192.168.125.2 22368 80 80

--- Time: 2003-04-01 23:00:46

TCP 192.168.125.111 client 192.168.125.2 22368 887 771
.....
[Редактировано ILIA2000 число: 04-04-2003 время: 16:54]

арорт у трояна сам генирится да не енто муть енто не тот сервис какой нам нужет

я говорю енто не профи потомучто у же есть у него серьёзные ошобки так как он наюзал слишком много так не делпется сам наверно прикрасно знаеш
не думаю чно у нас в городе е сть реальные перцы которые способны реально написать троян что б антивирь не видел если естьто они давно работают и получают хорошие лавэ
зачем ему так дерзко кидать когото и так беолаберно

1. Умный человек не стал бы писать троян, ибо это удел прыщавых подростков, которые сперва научились "ХУ*" писать в подъезде, а потом увидели компьютер.

2. Нормальный пользователь не обязан тратить свое время на постоянные поиски новых антитроянов.

3. Хакеров - мочить не выходя из-за компьютера. И не надо говорить, что хакеры - это правильные парни, а еще есть кракеры. Все равно хакеров мочить. BlackHacker может не волноваться - я его давно знаю, никакой он не хакер :)

4. На месте Илья2000 и прочих жертв я бы обратился в Новлайн (надеюсь, так и сделали) и в отдел "Р" УВД Великого Новгорода. Хакер - вор. Вор должен сидеть в тюрьме.

Хакер- это человек который занимается иследовательской деятельностью в сфере компьютеров и настоящий хакер любого уровня не будет заниматся ничем дурным
а его доброе имя запятнано такими людми как ты и проклятыми репортеришками почитай дело митника как его там расписывали
т типа что он там сделал а на самом то деле половина враньё и гонка за синсацией
вот так то вот !!!!11

2KOT
- Вы молодец, - сказал я. - Вы его так отбрили, что он даже осунулся.
Видите, он даже фаршированные помидоры стал жрать от бессилия...
(C) Стругацкие.

Для дела-то не стал бы? Ради денег (пусть и виртуальном эквиваленте)? Для того чтобы трояна нормального написать мозгов-то порядочно надо. Поболе, чем для ХУ* в подъезде.

Хм... Я думаю, людей 100% защищенных от троянов и прочей лабуды немного найдется. Если только те, у кого компа нету :). Безопасность своих счетов и своих данных, имхо, подходящий повод позаботиться о своевременном обновлении соответствующего софта.

Говорить не буду. А последнее утверждение основано на том, что ты меня постоянно у себя в логах находишь при попытке спереть твой конфиг от CS? :) :) :lol:

так и сделал
а отдела Р уже не существует, он нынче "К" -)

Time: 2003-03-30 22:28:39
port -------myip---- --- -------ip2connect--- port --- выходтраф---- входтраф

TCP 192.168.125.210 client 192.168.125.161 23346 184 88

что это?

--- Time: 2003-03-30 17:53:50
TCP 192.168.125.210 client 213.148.162.46 4396 48 0

а это?

ух ты, а это что?
TCP 192.168.125.205 client 213.148.169.47 29759 232 136
TCP 192.168.125.205 client 10.20.3.47 29759 96 0
Явна чел юзал Дейтаком ....... суки упырь мелкий.....
Что в НЛ не грамотно это то по логину можна зайти с любого ай пи динамич. есть у тя динама, в У Даты что нормальна для ай пи определенный логин:)
[Редактировано Бухгалтер число: 04-04-2003 время: 18:54]

Что такое CS? А-а-а, это тот дурной процесс, который все еще крутится на сервере :moderator:, и про который я давно забыл? ;-) Ну не обессудьте, голубчик, какой же Вы хакер, если ничем кроме подбрасывания троянов и прослушивания сетки не занимаетесь? :type:

Блин хоть бы подсеть проверяли чтоли это ведь реально сделать

Блин хоть бы подсеть проверяли чтоли это ведь реально сделать

а как ты представляешь себе взлом ? зашёл ввёл логи root pass: administrator и всё ?

| Protocol | Local Address Port | Remote Address Port | Status
TCP 192.168.125.162:3148 81.25.2.85 :6856 ESTABLISHED
что это?

Так он и сознался!!!!!!!!

Ну не называть же прослушивание незашифрованного трафика взломом? ;-) Это проще, чем конфетку отобрать у ребенка :)

Но даже если будет использоваться супер-метод для взлома системы, это все равно останется воровством. Медвежатник, использующий лом - вор. Профессиональный взломщик, использующий высокотехнологичные отмычки, пусть он даже гений и доктор наук - все равно вор.

быр смотрит на кучу местных "хакеров" и ржжжот...
зы: а вообще нах такое делать?...
2илья: смешно вещаешь...морду бить обещаешь...что за чушь? малыш, тебе надо идти в новлин, в "Р", а не разглогольствовать тут...

Написать троян намного проще чем ты даже можешь себе пристасвить !!!

С нуля конечно сложновато будет и сколько-то времени уйдёт а вот подправить чужой троян иили воспользоваться частичной болвакой + в инете куча инфы как уйти от известных антивирусных програм !

А вообще если нашил троян не удаляйте его !! скопируйте его куданить и запихните в архив, потом киньте мне, я вытащу из сервера кто это, если троян будет LD или BD или BO

Да и зря вы думаете что в отделе Р работают умные парни....

да но говорилось то про Kbman ....енто у ж точно не тот перец на писал ...а средненький троян я знаю не сложно написать да и с крытся от Avp и подобных впоне реально
на тот троян каторый описал зебра ведется точно не ентого мистора x работа ...

а что делать если троян нашли я и так знаю токо ентот перец 2к удалил его раньше того когда я узнал что он его нашел
Лично моё мнение по поводу того кто юзает чужой трафик следующеее >>>>
скорей всего ентим mr.x окажется каконить карапуз неокончивщий даже и 9 классов которого и бить то жалко будет научися инет юзать и всё а троян для него как табуретка к конфетке ...
[Редактировано BlackNeon число: 05-04-2003 время: 18:22]

Во-первых: за траф мне пришёл счёт не на 5к, а на 1643 ру***. Но для меня это - офигенно до фига. Я, как правило, стараюсь за пределы абонплаты вообще не вылезать. И найти этого весёлого человека мне о-о-очень хочется.
Во-вторых: на Новлайн я обратился. Там копаются. Сказали, что, мол, "пока мы тут не разберёмся, платить ты, товарищ ничего не будешь. Сиди спокойно." Разбираются.
В-третьих: если кому-то надо, то поражённые файлы (runexec.dll и winsock.exe) я заархивировал и сохранил, перед тем, как убивать. Могу выслать. Даже хочу.
Пока всё.