Neverovatni NOD32!

kUdtiHaEX · 06.08.2004

Juce sam uzeo da se igram sa jednim virusom koji sluzi za kontrolu tudjih masina... zanimljiva igracka

Elem, posle mukotrpnog konfigurisanja i kompajliranja dobio sam izvrsni exe fajl. I pokrenuo ga. Ali ne moze, NOD32 je primetio "infiltraciju" i sprecio upis u reg. bazu, pokretanje servisa i obrisao fajl. Iskljucio sam NOD32, ali je ostao nod32krn.exe upaljen, pa je rezultat pokretanja bio potpuno isti. E onda sam iskljucio i pomenuti exe fajl, ugasio servis... jednom recju onemogucio pokretanje NOD32 sa sistemom - sistem se pokrene i NOD nije aktivan uopste. Sve je to lepo ali opet mi pravi probleme

ubija mi virus. Ajde neka mi neko objasni kako je moguce da AV koji uopste nije aktivan sprecava sirenje virusa? Mislim, u ovom slucaju mi smeta, ali to je za svaku pohvalu. Ne znam kako mu uspeva, ali zaista me je iznenadio...

I da, da dodam za Nortonovce...kada se doticni virus upakuje nekim packerom, kao sto je UPX, norton ga ne prepoznaje. NOD32 ga pronalazi bez problema. Bas cu da vidim sta najnoviji KAV kaze...

Marti Misterija · 06.08.2004

hmm.. ovaj... mis'im... interesantno... interesantno! I sta kazes Kutijo... koji ono AV ga ne vidi... sitna cu mi slova pa ne mogu da procitam... :d

kUdtiHaEX · 06.08.2004

I to ne bilo koji Norton, vec sveze updateovani Norton 2004. Nije za*ebancija, ovaj virus je vrlo opasna stvar i moze se iskoristiti u vrlo nelegalnim radnjama... Cisto da se zna.

Marti Misterija · 06.08.2004

KAV 5.0.142 sveze apdejtovan ga odma' vido' i tras u celo! :d

kUdtiHaEX · 06.08.2004

McAfee ga prepoznaje iz prve ;-) FPROT, kako smo ustanovili, ne reaguje uopste.
Inace, u pitanju je RBOT.

ZoNi · 06.08.2004

kutijo, hajde mi baci taj virus na zoni 011 at gmail com, da isprobam kako Avast reaguje!

kUdtiHaEX · 06.08.2004

Poslato

Stator · 06.08.2004

kUdtiHaEX je napisao(la):
FPROT, kako smo ustanovili, ne reaguje uopste.

a boze a skoro sam menjao av program..

AD · 06.08.2004

ZoNi je napisao(la):
kutijo, hajde mi baci taj virus na zoni 011 at gmail com, da isprobam kako Avast reaguje!

Ako Zonija ne vidite skorije na forumu,
slobodno otpisite i Avast :d :banana: :-devil-:

ps kutijo, koju verziju nod-a koristis?

ZoNi · 06.08.2004

evo mene... nista mi jos nije stiglo - mozda je Google to sam zbrisao???

hm... Kutijo, ako ti nije "cim", hajde okaci to negde, pa da ga sam skinem...

Marti Misterija · 06.08.2004

jeste, google sam brise takve stvari....

kUdtiHaEX · 06.08.2004

Sistem mi je u totalnom rasulu....*@&$+@)$&@$&@($}($^)$^!(#(!#^T(_&!$^_(@^$_(@^($^@($@$
Cim dodjem k sebi, okacicu negde....

Love Hunter · 07.08.2004

gde ima da se nadje taj NOD32 AV? Svi ga vidim hvale nesto.. pa da probam

sivan · 07.08.2004

Love Hunter je napisao(la):
gde ima da se nadje taj NOD32 AV? Svi ga vidim hvale nesto.. pa da probam

da probas: www.nod32.com ?

Aponen · 08.08.2004

AD je napisao(la):
Ako Zonija ne vidite skorije na forumu,
slobodno otpisite i Avast :d :banana: :-devil-:

ps kutijo, koju verziju nod-a koristis?

Marti Misterija je napisao(la):
hmm.. ovaj... mis'im... interesantno... interesantno! I sta kazes Kutijo... koji ono AV ga ne vidi... sitna cu mi slova pa ne mogu da procitam...

Ako Martija ne vidite skorije na forumu, znajte da ga je Silver otpisao!

driver · 08.08.2004

Javljam se sa komshijinog kompa, @#%$@#$@#$mater onom ko je okachio ovaj virus

cyberdude · 08.08.2004

kao što znate kada nešto skidate sa IE on prvo taj fajl skine u svoj temp folder (Temporary Internet Files) pa ga tek onda kopira na ono mesto koje ste vi odredili. E pa, kav ga je uhvatio pre kopiranja

zeleni_zub · 08.08.2004

kUdtiHaEX je napisao(la):
McAfee ga prepoznaje iz prve ;-) FPROT, kako smo ustanovili, ne reaguje uopste.
Inace, u pitanju je RBOT.

Da... F-Prot 3.14e ga nije prepoznao. Skinuo sam najnoviji (3.15) - ni on ga ne prepoznaje. Nisam puštao fajl, ali sam mu promenio extenziju u .exe i realtime scaner nije reagovao. Pokušao sam i ručno da ga skeniram, ali ga jednostavno ne prepoznaje... Naravno u oba slučaja sam koristio najnovije definicije.

Ništa... Sada sam se vratio na F-Secure (5.52). ,) Malo je sporiji of F-Prota ali je bar ovog trojanca detektovao odmah.

Laza · 08.08.2004

Praistorijska verzija KAV 3.5.133.0 ga je prepoznala (monitor). Naravno, definicije su sveže.

BeastMaster · 08.08.2004

Tren Micro (PC Cilin) ga ne prepoznaje.

Stator · 08.08.2004

Panda isto nista ne prijavljuje (sveze updeajtovan)

zeleni_zub · 08.08.2004

Mene čudi kako ga toliko AV programa ne detektuje. Ipak je to trojanac koji je klasifikovan (dali su mu ime

), postoji tačan opis kako izgleda, šta radi...

Zok1 · 08.08.2004

Bit defender ga prepoznaje (rxbot.bla is infected with Backdoor.SDBot.Gen)

zmanic · 08.08.2004

Zbogom AVG 6 !
Samo što je ažurirana baza virusa.

kUdtiHaEX · 08.08.2004

Neko je obrisao link do okacenog virusa i necu da ulazim u to ko je i zasto obrisao. Naravno da ja nisam imao nameru da izvrsim masovnu zarazu ovde i da reklamiram svoj sajt, vec da ljudima ukazem na opasnost koja ih vreba.

E sada, moram priznati da nisam ocekivao ovoliki pokolj poznatih i priznatih antivirusnih programa, ali sta je tu je.
Pokusacu da vam objasnim ukratko kako virus radi i koje su posledice zaraze.
Kao prvo, virus nije destruktivnog karaktera, ali onaj ko je zarazio vas racunar moze da bude. Virus je prevashodno dizajniran za sirenje preko IRC mreza iz prostog razloga sto ljudi prihvataju sve i svasta i lako podlezu zarazi. Kada se zrtva A zarazi, virus se upisuje u sledece kljuceve unutar reg. baze:
char regkey1[]="Software\\Microsoft\\Windows\\CurrentVersion\\Run";
char regkey2[]="Software\\Microsoft\\Windows\\CurrentVersion\\RunServices";
char regkey3[]="Software\\Microsoft\\OLE";
char regkey4[]="SYSTEM\\CurrentControlSet\\Control\\Lsa";
Ovaj koji sam ja okacio je trebao da se zove systemdll32.exe i bio bi vidljiv u Task Mangeru. Kada zrtva A uspostavi konekciju sa internetom, virus se automatski konektuje na IRC server koji je napadac vec odredio pre kompajliranja u posebnom config fajlu i dolazi na odredjeni kanal. Tako napadac zna koliko je zarazenih online - 5 zarazenih, 5 botova je online. Svi botovi imaju sifru i citav spisak komandi za njihovu kontrolu. Preko bota se mogu pristupati podacima na disku zarazenog i raditi sa njima sta se pozeli. Medjutim, glavna namena ovog virusa je zaraza sto vise masina radi njihove kontrole u sluzbi DDOS napada. Licno sam nekoliko puta video kako jedan IRC server u roku od 2 minuta pada pod udarom nekoliko hiljada masina koje su zarazene RBOT-om (sto doduse zavisi od propusne moci zarazenih). Ruke napadaca su ciste jer ne ostavlja trag za sobom...

ZoNi · 09.08.2004

e, hebiga... daj mi link na PM! Bas bih hteo da ga isprobam!!!

xSeptimus · 09.08.2004

Pa kutijo, shta si ochekivao od NOD32...

kUdtiHaEX · 10.08.2004

Zoni se ne javlja ;-) *ebga

Nema sta - NOID32 je cudo

ZoNi · 10.08.2004

izvinjavam se, nisam im'o vremena ranije! Dakle, naravno da ga je Avast nasao

kUdtiHaEX · 10.08.2004

Dobro Zoni, nemoj odmah da likujes

Puka slucajnost...

Btw, to nije SDBOT vec RBOT ;-)

Neverovatni NOD32!

Super ridža

Čuven

Super ridža

Čuven

Super ridža

Banned

Super ridža

Čuven

Čuven

Banned

Čuven

Super ridža

Slavan

Slavan

Čuven

Znamenit

Čuven

Prilozi

Super Operater

Čuven

Čuven

Čuven

Super Operater

Slavan

Čuven

Super ridža

Banned

Znamenit

Super ridža

Banned

Super ridža