Tomsk Sysadmins Forum

Windows => Программирование => Topic started by: mx5 on January 30, 2007, 16:04:26

Title: Шифрование данных и алгоритм md5
Post by: mx5 on January 30, 2007, 16:04:26

Как-то раз заметил что при старте компутера поднимается соединение с внешним IP 194.*.*.* который не пингуется не трасеруется и на nslookup хост не видится.
Взял снифер, машину ребутнул смотрю опять повторяется! Со снифил следующее:

GET /тут ссылка HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; InfoPath.1; .NET CLR 2.0.50727)
Host: ***************
Connection: Keep-Alive


HTTP/1.1 200 OK
Date: Wed, 24 Jan 2007 05:28:54 GMT
Server: Apache/1.3.37 (Unix) PHP/5.2.0 with Suhosin-Patch
X-Powered-By: PHP/5.2.0
Set-Cookie: drl=1169616413
Keep-Alive: timeout=1, max=100
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: text/html

5c
<data>ODY0MDAKX25vdGhpbmcKTDMyMS44NjQwMAo=</data><md5>9abba1635f4e840b76d4b010fa246d9e</md5>
0
=========================================================

Понятно что по ссылке что-то загрузил.
Меня интересует <data>ODY0MDAKX25vdGhpbmcKTDMyMS44NjQwMAo=</data><md5>9abba1635f4e840b76d4b010fa246d9e</md5>

Что это может быть?
В чем зашифровано <data>ODY0MDAKX25vdGhpbmcKTDMyMS44NjQwMAo=</data> ???
И хеш ли <md5>9abba1635f4e840b76d4b010fa246d9e</md5>??? Какая м\у ними взаимосвязь может быть?

помогите разобратся!!!
Это был вирус! который не ловился ни одним антивирусом, но это в прошлом, т.к. я его убил собтвенными руками!

Title: Шифрование данных и алгоритм md5
Post by: never hood on January 30, 2007, 17:22:19

Quote from: mx5

Как-то раз заметил что при старте компутера поднимается соединение с внешним IP 194.*.*.* который не пингуется не трасеруется и на nslookup хост не видится.
Взял снифер, машину ребутнул смотрю опять повторяется! Со снифил следующее:

Что это может быть?
В чем зашифровано <data>ODY0MDAKX25vdGhpbmcKTDMyMS44NjQwMAo=</data> ???
И хеш ли <md5>9abba1635f4e840b76d4b010fa246d9e</md5>??? Какая м\у ними взаимосвязь может быть?

помогите разобратся!!!
Это был вирус! который не ловился ни одним антивирусом, но это в прошлом, т.к. я его убил собтвенными руками!

Вполне нормальная работа трояна. Да, приведенный хеш, действительно соответствует данным.
Наблюдал, точнее "препарировал", трояна, который обращался (это были шифрованные функции) на внешние хосты и скачивал оттуда файл с расширением txt, который, увы, не был текстовым, сохранялся на диске уже с расширением exe и прописывался в ветки автозапуска.
Перед скачиванием файла троян проверял его размер и скачивал только при выполнении определенного условия. Ясно, что скачиваемая программа могла быть любым свежим вирусякой, с необходимым автору функционалом.
Приведенный код, скорее всего либо некий признак, либо, что еще более вероятно, следующий адрес для опроса.
Кстати, для нормальной работы удаленного сайта ему не обязательно пинговаться и трассироваться, так  как пингование и трассировка есть удел протокола icmp, а обращение к сайту - http.
Относительно "левой" активности может быть, кроме всего прочего, полезна команда whois. Она дает неплохую информацию, в том числе на ip-адрес.
Кстати, www.ru - 194.87.0.50.
Адрес обращения меняется?
Забекапь машину и разверни ее на виртуалке, если хочешь любопытствовать дальше. И все равно будь осторожен - не экспериментируй в рабочей сети.

Title: Шифрование данных и алгоритм md5
Post by: mx5 on January 30, 2007, 17:36:18

IP Адрес на который обращения шли один и тот же!
менялась только ссылка "GET........."

Причем в самом пути присутствовало название папки в которой был вирус или операционная часть вируса.
Были так же еще файлы которые не понятным образом восстанавливались при ребуте маашины.
Хотя и в реестре и сами файлы удалял! Запускался файл с ключом по которому собственно говоря и нашел в реестре что сам файл прописался как параметр в системе. Это означает что он имеет полные права на выполнение под любым пользователем в системе чего угодно!
Сначала зарубил все коннекты на шлюзе на IP и стал исследовать как он работает. Как уже писал ранее когда вирус в системе в браузере можно ввести ссылку по которой он забирал файл и получить логинилку с надписью "Скажи мне кто ты?" на английском языке. Только вот что не понятно мне это эти функции которые в конце самом, как бы узнать что в них зашифровано???

Title: Шифрование данных и алгоритм md5
Post by: never hood on January 30, 2007, 18:08:45

Сам процесс определил? Нашел файл, который его запускает?
Проще пойти оттуда чем "ломать" шифры. Может там просто поксорено что-нить, а мож еще чего...

Title: Шифрование данных и алгоритм md5
Post by: mx5 on January 30, 2007, 18:28:25

я его удалил! теперь у меня нет его на машине!
но интерес остался что же он там передавал?

Title: Шифрование данных и алгоритм md5
Post by: biGGer on February 07, 2007, 21:47:15

Это же просто  троян посылает запрос на некий сервак, получает хеши некого фаила (проверить целый ли он ) если целый ничего не делать, если не целый скачать его заново и запустить .
скорей всего это бекдор.

Title: Шифрование данных и алгоритм md5
Post by: mx5 on February 13, 2007, 10:32:04

Quote

Это же просто  троян посылает запрос на некий сервак, получает хеши некого фаила (проверить целый ли он ) если целый ничего не делать, если не целый скачать его заново и запустить .
скорей всего это бекдор.

По этому хешу можно обратится к файлу на сервере?
Какой примерно запрос нужно выполнить?