|
|
Регистрация Восстановить пароль |
Регистрация | Задать вопрос |
Заплачу за решение |
Новые сообщения |
Сообщения за день |
Расширенный поиск |
Правила |
Всё прочитано |
|
|
Опции темы | Поиск в этой теме |
17.10.2015, 22:27 | #1 |
Регистрация: 17.10.2015
Сообщений: 4
|
Удалить Keyloger, Backdoor и другую нечисть
Доброго времени суток друзья...
Помогите пожалуйста советом, как вытащить из программы дрянь, типа кейлогер и др? У меня есть одна программа, которая нужна для тестов и работы. Программа запускается на виртуалке, так как вирустотал показал наличие в ней кучу различной дряни! Пропустив через buster sandbox analyzer, мне выдало вот такой лог: Код:
К сожалению я не программист, поэтому не знаю куда копать дальше... Помогите пожалуйста советом, что скачать, чем посмотреть, удалить и тд. Буду очень признателен любой помощи!!! |
18.10.2015, 07:52 | #2 |
Старожил
Регистрация: 15.02.2010
Сообщений: 15,759
|
Взять с официального сайта без кейлогера и прочей дряни.
|
18.10.2015, 08:02 | #3 | |
Белик Виталий :)
Старожил
Регистрация: 23.07.2007
Сообщений: 57,097
|
Цитата:
I'm learning to live...
|
|
18.10.2015, 16:16 | #4 |
Регистрация: 17.10.2015
Сообщений: 4
|
К сожалению такой возможности нет, так как автор пропал(((
Эта программа используется для рассылки писем подписчикам. Для того, чтоб вести статистику, как ведут себя письма, в базе есть несколько свежих контрольных ящиков, которые нигде не светились. После использования программы, на контрольные ящики начал сыпаться спам, исходя из этого можно сделать вывод, что база каким-то образом сливается, либо кейлогер, либо бэкдор. Плюс вирустотал показывает - Может кто-нибудь что-нибудь посоветовать? |
18.10.2015, 16:31 | #5 | |||
Белик Виталий :)
Старожил
Регистрация: 23.07.2007
Сообщений: 57,097
|
Цитата:
Например: 10 компов - 1 север. На сервер ставится ченить типа Lotus или Microsoft Exchange Server, через который уже ведется рассылка с клиентов. Цитата:
Цитата:
I'm learning to live...
|
|||
18.10.2015, 18:11 | #6 |
Регистрация: 17.10.2015
Сообщений: 4
|
Эту программу я только неделю обратно начал юзать, и ящики были зареганы аналогично, неделю обратно...
Сейчас ещё раз прогнал программу через песочницу и в логе были вот такие строки и Прошу не пинать, так как не силён в этом, но разве подчёркнутые строки ни о чём не говорят? Ну вот логически, я не могу понять, как она может светить? Письма отправляет она без копий (т.е. на одно письмо не идёт по несколько адресатов, чтоб получатель мог спалить кучу других адресатов) Поэтому каким образом она ещё может их засветить? Последний раз редактировалось maslou; 18.10.2015 в 18:21. |
18.10.2015, 18:52 | #7 | ||
Белик Виталий :)
Старожил
Регистрация: 23.07.2007
Сообщений: 57,097
|
Цитата:
Это вопрос к тому, кто ее написал. Цитата:
Хотя если по чесноку: я бы такую прогу просто бы выкинул.
I'm learning to live...
|
||
19.10.2015, 10:38 | #8 |
Старожил
Регистрация: 30.12.2009
Сообщений: 11,430
|
Кто-нибудь, скройте программу. Она же на .NET.
ТС, массовая истерия антивирусов говорит лишь о том, что .NET Framework стал слишком доступным, даже для школьников, которые пишут на нем свои поделки и пытаются кого-то взломать и т.д. и т.п. Методы перехвата нужны чтобы компоненты приложения получали ввод с клавиатуры. Если ПО для тестов, то это должно быть и для вас очевидно, вдруг тест предусматривать контроль ввода с клавы и сравнивает желаемое (что вводит юзер) с действительным (что реально получает компонент ввода). Удаленный адрес - непонятно что это. Кароче показывайте что у вас там за тест. система, как она работает и что и как тестируете. P.S. Н один зравомыслящий человек не станет на .NET вирусы писать. .NET-приложение очень легко открыть и посмотреть исходный код. А с NET Reflector'ом можно вообще исходники присвоить. |
19.10.2015, 13:21 | #9 | |
Регистрация: 17.10.2015
Сообщений: 4
|
Цитата:
Сейчас всплыло ещё несколько интересных моментов и нужна помощь знающих... Что означают эти строки? Queried DNS: blocklist.addons.mozilla.org Queried DNS: cs9.wac.phicdn.net Queried DNS: datainternetdownloadmanager.com Queried DNS: e8218.ce.akamaiedge.net Queried DNS: likvid.in.ua Queried DNS: ocsp.comodoca.com Queried DNS: ocsp.netsolssl.com Queried DNS: secureinternetdownloadmanager.com Queried DNS: services.addons.mozilla.org Queried DNS: tj.symcd.com Queried DNS: versioncheck.addons.mozilla.org Queried DNS: versioncheck-bg.addons.mozilla.org Пока мне не понятны действия этих строчек, что они делают с мозиллой и другими сайтами, но подчёркнутая строка, как мне кажется, связана со сливом всей инфы. Ребят, что можете сказать? |
|
19.10.2015, 13:41 | #10 |
Старожил
Регистрация: 12.01.2011
Сообщений: 19,500
|
Чем это ПО так уникально? Рассылки много чем делать можно.
Зачем для слива адреса сайтов запрашивать? Больше похоже на открытие браузера и загрузку рекламного банера этого likvid.in.ua. Если оно на .NET, как вроде бы видно из 1 сообщения, то скиньте лучше ссылку, может быть кто-нибудь посмотрел бы, если оно не обфусцировано.
Ушел с форума, https://www.programmersforum.rocks, alex.pantec@gmail.com, https://github.com/AlexP11223
ЛС отключены Аларом. |
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Скопировать id с одной таблицы на другую таблицу другую форму | Staziah2 | БД в Delphi | 1 | 08.09.2015 09:14 |
UNICODE_STRING и прочая нечисть | Fedor666 | Assembler - Ассемблер (FASM, MASM, WASM, NASM, GoASM, Gas, RosAsm, HLA) и не рекомендуем TASM | 6 | 22.11.2011 05:57 |
BackDoor administration | doniyor | Работа с сетью в Delphi | 5 | 04.04.2010 11:59 |
BackDoor для windows | Iater | Общие вопросы C/C++ | 1 | 14.12.2009 01:39 |
BackDoor для windows | Iater | Помощь студентам | 1 | 13.12.2009 16:58 |