[bjand]

fail ise on siin http://www.hot.ee/bjand/KS_TEL.RVF.exe

Tuli ühe mailiga, et pidin vaatama, et mingit viirust ei ole. Blä, esimese hooga lasin antivirusega üle, ei leidnud ja kogemata panin käima.
Ta küll otseselt midagi ei teinud, aga mulle tundub, et asi võib olla mingi backdoori vidinaga ....

Kas mõni vend viitsib vaadata, et mis failiga on tegu ja mida ta täpselt teeb/tegi ?

P.S. KES EI OLE KINDEL ASJAS - ÄRGE NIISAMA TÕMMAKE JA NIISAMA KÄIVITAGE !!

Thanx abi eest ...

[MC Riot]

Viska mõni tulemüür peale ja vaata, mis see räägib sulle...
Ad-aware ega f-prot selle peale häält ei teind- samas winsock'i kasutab...
Abiks ka registry's vaadata Run ja Run Services üle, kuigi ega kõik ka sealt käivitu...
Ctrl-Alt-Del ja task managerist võiks ka veel vaadata, et kas on miskit võõrast tekkinud sinna ja selle alusel easi otsida,
kahjuks pole endal risustatavat masinat käepärast, et järgi proovida

[@cer]

Kahtlustan, et mingi spywarega on tegu. Tõmba ad-awarega süsteem üle.

[bjand]

Vaatasin üle , oli jah tekkinud uus mingi jura proccessidesse BYII.EXE ... ja pannud startupi All users ka selle BYII.EXE ... koodi tsipa vähem aga sama sisuga ...
No vist ikka mingi backdoor oli, mis ta muud on ... blä ....

Mail kust tuli oli ise selline ... arvatavasti aadress on mingi fake.
Message sourcest pole ka mingit abi ...
Kusjuures on lingilt näha, et tundub mingi eesti tüüpide jura ... (eesti keelt oskavad - selle pärast oletan
-------------------------------------------------------------------------------------------

Subject: FW: Rahapesu
Date: Thu, 5 Jun 2003 17:11:07 +0300 (EEST)
From: Reet Koit <reet.koit@autoclub.ee>
To: undisclosed-recipients: ;


Tere,

Eesti Panga t=F6=F6taja saatis mulle selle t=F6=F6vahendi.

Head pesemist!

http://perses.da.ru/offf/rahapesu/


9

[bjand]

piixus tähendab p e r s e s .... ma ise ei taha siin selliseid sõnu kasutada Sorry, aga link oli selline ...

[bjand]

LEIDSIN VEEL:

Asi tegi juurde failid:

c:\windows\hpffsb.dat
c:\windows\system32\hpffsb.dll

c:\windows\yhcclx.dat
c:\windows\system32\yhcclx.dll

c:\windows\system32\zkmmcll.dll

Tõprad

[bjand]

Shi*, see on keyloger ...

c:\windows\system32\zkmmcll.dll sisu on selline ühes kohas ... selline ... binary data võtsin siin maha ... umbes selline on sisu lõpu poole ...

Keylogdll.dll fgd fkf fko fkp {scrl} {nlck} {del} {prscr} {dwn} {up} {rght} {lft} {pgd} {end} {hom} {in} {pgu} {al} {paus} {clck} {esc} {ctr} {bs} {tab} {clr}
{shi} CallNextHookEx :ToAscii GetKeyboardState HUnhookWindowsHookEx SetWindowsHookExA USER32.dll ’memcpy strlen strcpy memmove MSVCRT.dll Yfree initterm malloc adjust_fdiv
------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Kummaline , et antivirus sellist asja ei kontrolli, kui failis sõna on loetavalt kirjutatud "keylog" .... ?

[bjand]

Leidsin ka IP kuhu konnekt tehti ... ma oletan et see on see aadress ...

194.126.101.78

AGA MIDA PEAKS TEGEMA ... ? OK, oma arvutist ma saan selle lahti ... aga see omastarust asjalik progemeister ... mis temaga teha ... ?

[bjand]

2003-06-05 18:12:31 OPEN-INBOUND TCP 194.126.101.78 minu-ip 20 5001 - - - - - - - -

jne ... mis see tähendab ? OPEN-INBOUND ?

[bjand]

A, ja miks ma arvan et see aadress ... no kogemata käivitamisest kuni taski killimiseni oli see ainuke eesti aadress ... kuhu mingeid päringuid tehti ...
Otseselt ei tõesta see ju midagi aga no ...

Mehed ! tehke nüüd midagi !

[kussu]

IP-st niipalju minupoolt:
inetnum: 194.126.101.0 - 194.126.101.255
netname: EE-ESTPAK
descr: backbone and servers
descr: Sole 14
descr: Tallinn
descr: Estpak Data/Estonian Telephone Co
country: EE
admin-c: ET332-RIPE
tech-c: ET332-RIPE
rev-srv: dns.estpak.ee
rev-srv: dns2.estpak.ee
status: ASSIGNED PA
notify: ripe@estpak.ee
mnt-by: ESTPAK-MNT
changed: klem@estpak.ee 20010104
changed: klem@estpak.ee 20010928
source: RIPE

route: 194.126.96.0/19
descr: EE-ESTPAK-194-126-96-19
origin: AS3249
mnt-by: ESTPAK-MNT
changed: urmo@estpak.ee 19960626
source: RIPE

role: ESTPAK NOC
address: Estonian Telephone Co/Estpak Data Ltd.
address: Hostmasters and NOC helpdesk
address: Sole str 14, Tallinn
address: Estonia
fax-no: +372 639 1180
e-mail: abuse@estpak.ee
e-mail: ripe@estpak.ee
trouble: 24/7 phone +372 639 1082
trouble: abuse@estpak.ee
remarks: ----------------------------------------
remarks: Abuse notifications to: abuse@estpak.ee
remarks: Network problems to: noc@estpak.ee
remarks: Peering requests to: peering@estpak.ee
remarks: IPv6 peering requests to: ipv6@estpak.ee
remarks: ----------------------------------------
admin-c: KK3254-RIPE
tech-c: RIX2-RIPE
tech-c: JT82-RIPE
tech-c: AK546-RIPE
nic-hdl: ET332-RIPE
notify: ripe@estpak.ee
mnt-by: ESTPAK-MNT
changed: klem@estpak.ee 20010726
changed: klem@estpak.ee 20010904
changed: klem@estpak.ee 20020110
changed: klem@estpak.ee 20030210
source: RIPE

[bjand]

Seda küll, thnx 2 kussu, selle ma leidsin ka ise, kuid edasi ?

Võib olla tuleb sellest kontopettus nr.2 , nagu siin pool aastat tagasi oli ? Mam õtlen tüüpe, kes saatsid emailiga liba paroolimuutmise asja ühe panga nimel ....

Võiks öelda, mida mind kotib, nagu eestlasele kohane, aga ma arvan, et tuleks hakata ikkagi enda eest seisma ... ma mõtlen ikkagi nagu ala naabrivalve ...

HinnaVaatluse-naabrivalve