Автор: Gold-Music.Ru
Внимание всем, кто пользуется Webmoney. В Сети появился хитрый троян, который ворует деньги ( переводит деньги на другой кипер). Сам троян - это файл inetmib1.dll
Данный файл есть в Windows по пути C:/windows/system32 и C:/windows/system32/dllcache. (Это системный нормальный файл) Но троян создает файл с таким же именем по другому любому пути.
Как лечим: Удаляем любой файл - inetmib1.dll находящейся вне директории C:/windows/system32 и dllcache, и делаем reboot компьютера. На данный момент он ловится Касперским и Авирой. Доктор Web - его не видит.. NOD32 - протестить не было возможности...
файл inetmib1.dll - это нормальный модуль винды, используется много где для работы с сетью, это вообще часть SNMP функции этого виндо-модуля используется разработчиками для работы с сетью, а вот из-за несовершенство мелкомягких, ситуация когда софт пытается подгрузить библиотеку, винда выдает ему первый найденный вариант, какраз для этого ЛОЖНЫЙ файлик с этим именем кладется прямо в папочку программы, т.к. это первое место поиска для библиотек а тот что в system32 - 99,9% - нормальный, нужный файл, не трожте его, не будьте нубами.
На данный момент он не ловится Каспером, если он имеется. Версия каспера последняя. Кто то подцепил вирус и зацепило эту dll, теперь ботинок заявляет что крадет деньги с иго кошелька, ну извини, если ты дурак и ламер у тебя так и будут деньги красть.
Пару слов о - inetmib1.dll. В документации Microsoft сказано, что это расширение для SNMP агента. Если правильно обращаться к этой DLL-ке, то мы сможем получить всю, необходимую нам информацию, а так же многое многое другое. Всё, что нам нужно сделать - это съэмулировать расширяемого агента Windows и вызвать DLL с правами OID.
Как общаться с inetmib1.dll
Чтобы приступить к использованию DLL-ки, для начала необходимо вызвать функцию SnmpExtensionInit(). Эта функция имеет 3 параметра - ссылка на нулевое время, обработчик ловушки и идентификатор объекта для получения поддерживаемого представления. Для более полного понимания этой функции и её старшего брата SnmpExtensionInitEx() необходимо более детальное исследование snmp расширения DLL. Здесь мы не будем угляться в это исследование, а ограничимся тем, что в MibII эти значения можно принять по умолчанию.
Затем мы делаем вызов Query через запрос GetNext, и повоторяем вызов до тех пор, пока функция не перестанет возвращать нам ip адреса. Но для этого передадим в функцию VarBind, содержащую: iso.org.dod.internet.mgmt.mib-2.ip.ipAdd rTable.ipAddrEntry.ipAddress (т.е. 1,3,6,1,2,1,4,20,1,1) в каждом вызове.
Если мы имеем 3 IP адреса 205.5.3.1, 205.5.3.3 и 205.5.3.6, то первый раз мы получим обратно 1,3,6,1,2,1,4,20,1,1,205.5.3.1. Второй - 1,3,6,1,2,1,4,20,1,1,205.5.3.3 и третий - 1,3,6,1,2,1,4,20,1,1,205.5.3.6. И, наконец, четвёртый раз возвращаемое значение будет выглядеть как 1,3,6,1,2,1,4,20,1,2 либо как 1,3,6,1,2,1,4,20,1,3. что будет сигнализировать о том, что функция больше не может получить ip адресов.
P.S. Если это троян, то он находится именно в папке Webmoney!!! Источник: IsraStyle.Ru
|