Главная страницаРегистрацияВход БИЙСК 2009 Понедельник, 2024-10-14, 9:50 PM
 
Приветствую Вас Гость | RSS

 
 Главная » 2009 » Август » 16 » Паутина Троян ворует WebMoney
Паутина Троян ворует WebMoney
7:31 PM
Автор: Gold-Music.Ru
                          

Внимание всем, кто пользуется Webmoney. В Сети появился хитрый троян, который ворует деньги ( переводит деньги на другой кипер).
Сам троян - это файл inetmib1.dll
Данный файл есть в Windows по пути C:/windows/system32 и C:/windows/system32/dllcache. (Это системный нормальный файл)
Но троян создает файл с таким же именем по другому любому пути.
Как лечим:
Удаляем любой файл - inetmib1.dll находящейся вне директории C:/windows/system32 и dllcache, и делаем reboot компьютера.
На данный момент он ловится Касперским и Авирой. Доктор Web - его не видит.. NOD32 - протестить не было возможности...
файл inetmib1.dll - это нормальный модуль винды, используется много где для работы с сетью, это вообще часть SNMP
функции этого виндо-модуля используется разработчиками для работы с сетью, а вот из-за несовершенство мелкомягких, ситуация когда софт пытается подгрузить библиотеку, винда выдает ему первый найденный вариант, какраз для этого ЛОЖНЫЙ файлик с этим именем кладется прямо в папочку программы, т.к. это первое место поиска для библиотек
а тот что в system32 - 99,9% - нормальный, нужный файл, не трожте его, не будьте нубами.
На данный момент он не ловится Каспером, если он имеется. Версия каспера последняя. Кто то подцепил вирус и зацепило эту dll, теперь ботинок заявляет что крадет деньги с иго кошелька, ну извини, если ты дурак и ламер у тебя так и будут деньги красть.
Пару слов о - inetmib1.dll. В документации Microsoft сказано, что это расширение для SNMP агента. Если правильно обращаться к этой DLL-ке, то мы сможем получить всю, необходимую нам информацию, а так же многое многое другое. Всё, что нам нужно сделать - это съэмулировать расширяемого агента Windows и вызвать DLL с правами OID.
Как общаться с inetmib1.dll
Чтобы приступить к использованию DLL-ки, для начала необходимо вызвать функцию SnmpExtensionInit(). Эта функция имеет 3 параметра - ссылка на нулевое время, обработчик ловушки и идентификатор объекта для получения поддерживаемого представления. Для более полного понимания этой функции и её старшего брата SnmpExtensionInitEx() необходимо более детальное исследование snmp расширения DLL. Здесь мы не будем угляться в это исследование, а ограничимся тем, что в MibII эти значения можно принять по умолчанию.
Затем мы делаем вызов Query через запрос GetNext, и повоторяем вызов до тех пор, пока функция не перестанет возвращать нам ip адреса. Но для этого передадим в функцию VarBind, содержащую: iso.org.dod.internet.mgmt.mib-2.ip.ipAdd
rTable.ipAddrEntry.ipAddress (т.е. 1,3,6,1,2,1,4,20,1,1) в каждом вызове.
Если мы имеем 3 IP адреса 205.5.3.1, 205.5.3.3 и 205.5.3.6, то первый раз мы получим обратно 1,3,6,1,2,1,4,20,1,1,205.5.3.1. Второй - 1,3,6,1,2,1,4,20,1,1,205.5.3.3 и третий - 1,3,6,1,2,1,4,20,1,1,205.5.3.6. И, наконец, четвёртый раз возвращаемое значение будет выглядеть как 1,3,6,1,2,1,4,20,1,2 либо как 1,3,6,1,2,1,4,20,1,3. что будет сигнализировать о том, что функция больше не может получить ip адресов.

P.S. Если это троян, то он находится именно в папке Webmoney!!!
Источник: IsraStyle.Ru 
Просмотров: 221 | Добавил: biysk | Рейтинг: 0.0/0 |
Всего комментариев: 0

Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
 
 
Форма входа

Календарь новостей
«  Август 2009  »
ПнВтСрЧтПтСбВс
     12
3456789
10111213141516
17181920212223
24252627282930
31

Поиск

Друзья сайта

Статистика
 

Copyright MyCorp © 2006
Сделать бесплатный сайт с uCoz