Mam problem
Przy starcie mojego komputera (WIN98) uruchamia sie program:
C:\WINDOWS\NOTEPAD.EXE / qazwsx.hsq
Myśle - dziwne przeczesałem dysk w poszukiwaniu tego ciągu i w norepad.exe
znalazłem coś takiego: (po wywaleniu znaków typu "^&%&^&^*&*^")
Czy nie uważacie ze to dziwne:
Jakis adres IP, jakis mail
qazwsx.hsq SOFTWARE\Microsoft\Windows\CurrentVersion\Run
;startIE�NULL0;202.106.185.107�mail from:nongmin_cn
na moje oko mogles zlapac tego samego konia trojanskiego ktorym przeczesamo
Microsoft. Jesli masz jeszcze program note.exe to jeszcze bardziej
prawdopodobne. Nawet w www.onet.pl gdzies byl opisany mechanizm wlamu.
Jedno jest niejasne. Mircosoft - rozumiem ale Ty? Hi.
Mam problem
Przy starcie mojego komputera (WIN98) uruchamia sie program:
C:\WINDOWS\NOTEPAD.EXE / qazwsx.hsq
Myśle - dziwne przeczesałem dysk w poszukiwaniu tego ciągu i w
norepad.exe
znalazłem coś takiego: (po wywaleniu znaków typu "^&%&^&^*&*^")
Czy nie uważacie ze to dziwne:
Jakis adres IP, jakis mail
qazwsx.hsq SOFTWARE\Microsoft\Windows\CurrentVersion\Run
;startIE�NULL0;202.106.185.107�mail from:nongmin_cn
C:\WINDOWS\NOTEPAD.EXE / qazwsx.hsq
Jakis adres IP, jakis mail
qazwsx.hsq SOFTWARE\Microsoft\Windows\CurrentVersion\Run
;startIE�NULL0;202.106.185.107�mail from:nongmin_cn
z pewnoscia jakis trojan, sprawdz rozmiar pliku
oryginalny notepad.exe zajmuje 56kb (57 344 uzywanych:)
uruchom go i zobacz jakie porty masz otwarte (netstat -na)
a potem porznij sie i zainstaluj windowsa od nowa :|
Mam problem
Przy starcie mojego komputera (WIN98) uruchamia sie program:
C:\WINDOWS\NOTEPAD.EXE / qazwsx.hsq
Myśle - dziwne przeczesałem dysk w poszukiwaniu tego ciągu i w
norepad.exe
znalazłem coś takiego: (po wywaleniu znaków typu "^&%&^&^*&*^")
Czy nie uważacie ze to dziwne:
Jakis adres IP, jakis mail
qazwsx.hsq SOFTWARE\Microsoft\Windows\CurrentVersion\Run
;startIE�NULL0;202.106.185.107�mail from:nongmin_cn
Worm.Qaz
Jest to robak rozprzestrzeniający się poprzez sieć w systemach Win32,
posiada właściwości charakterystyczne dla backdoor'ów. Został odkryty na
wolności na przełomie lipca i sierpnia 2000. Wirus jest uruchamialnym
zainfekowany plik zostanie uruchomiony, robak umieszcza się w sekcji
auto-start rejestru Windows:
HRLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run startIE = "nazwa_pliku
qazwsx.hsq"
gdzie "nazwa_pliku" jest nazwą pliku robaka (zazwyczaj - "Notepad.exe",
zobacz poniżej). W rezultacie, robak będzie uruchamiał się wraz z każdym
startem systemu.
Następnie, szkodnik pozostaje rezydentny jako aplikacja w pamięci
systemowej (jest widoczny na liście zadań) i uruchamia dwa procesy:
rozprzestrzeniający oraz procedurę backdoor. Proces rozprzestrzeniający
powiela wirusa w sieci lokalnej, umieszczając go na dyskach udostępnionych w
trybie do odczytu i zapisu. Robak określa zasoby sieciowe i szuka w ich
nazwach ciągu "WIN". Jeśli taki tekst zostanie znaleziony (czyli
prawdopodobnie na zdalnym komputerze zainstalowany jest system Windows),
bakcyl szuka pliku NOTEPAD.EXE, zmienia jego nazwę na NOTE.COM i zapisuje
swoja kopię z nazwą NOTEPAD.EXE.
W rezultacie, oryginalny NOTEPAD.EXE ma nazwę NOTE.COM (plik ten jest
wykorzystywany przez wirusa do uruchomienia oryginalnego Notatnika),
natomiast kod robaka zawarty jest w pliku NOTEPAD.EXE. Bakcyl aktywuje się w
momencie uruchomienia Notatnika na zainfekowanym komputerze.
Procedura backdoor jest całkiem prosta. Obsługuje tylko kilka komend: Run
(uruchamia określony plik), Upload (tworzy plik na zaatakowanej maszynie)
oraz Quit (kończy działanie procedur robaka). Są to tylko trzy komendy,
jednak w zupełności wystarczają do zainstalowania na zdalnym komputerze
jakiegokolwiek innego, potężniejszego backdoor'a lub konia trojańskiego.
Robak wysyła informację do swojego "hosta". Jest to wiadomość e-mail,
wysyłana pod chiński adres. Korespondencja zawiera adres IP zainfekowanego
komputera.