"Секретні програми"
Де: КнААВО. Дуже Секретна програма. ) :) :) :) :) :) :):
. назва не відомо
виявлення:
наявність в папці% temp% бібліотек зі звучними назвами shook.dll і s. dll. Після в C: \ Windows \ winSxS \.
Почитати більше можна тута
"Ватяна" робота комп'ютера. Наприклад, з 3 - ьего рази, працювала смуга прокрутки. :) :)
Від сполохів на екрані, стали боліти очі.
Запуск - autoruns.exe (з пакета sysinternals).
Переривчастий мережевий трафік.
Технічні подробиці:
Програма s. dll завантажувалася використовуючи Winlogon. Гілка в реєстрі HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify.
Знаходження завантажувального модуля залежало від шляху в реєстрі.
То - є, образно кажучи, це був звичайний руткіт або вірусняк, або програма стеження (кому, як подобатися).
Відстежувалися всі натискання на клавіатуру, що запускаються процеси, і робилися знімки з екрану.
Взагалі, дана виріб набагато гірше за свого конкурента - LanAgent. хоча використовує з нею, один і той же механізм для поширення - Winlogon.
Цікаво як програма в реєстрі записує свої настройки
1-розкидає по всьому реєстру
2-назви;)
Pavlich.reg HKEY_LOCAL_MACHINE \ SOFTWARE \ Pavlich
Cherish.reg HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Cherish
IntelliAdmin
виявлення:
безперервно горить значок Мережевого Підключення (а не миготливий як зазвичай) - змусило мене думати що на комп'ютері запущена програма віддаленого адміністрування (на зразок DameWare, Remotely AnyWare, RAdmin.). Видно адміністратор вирішив випендритися.
Технічні подробиці:
"C: \ WINNT \ IntelliAdmin \ iadmin.exe" -service
VideoHook.dll
наявність в реєстрі ключа
[HKEY_LOCAL_MACHINE \ SOFTWARE \ IntelliAdmin]
[HKEY_LOCAL_MACHINE \ SOFTWARE \ IntelliAdmin \ Server]
"DisableLocalInputs" = dword: 00000000
.
"NeverShared" = dword: 00000001
"PortNumber" = dword: 00000ae6
"SecurityTypes" = "VncAuth"
"UseCaptureBlt" = dword: 00000000
"UseHooks" = dword: 00000001
"Password" = hex: bb, 4d, a7,50, c1,8a, 60, ee
"IntelliAdmin_Version" = dword: 0132290f
Де: КнААВО
Корпоративна накладена захищена мережа "(КНЗС) = СПО" АРМ АБІ "+ СПО" Аккорд-АМДЗ "
Виробник.
ЗАТ "ОКБ САПР"
виявлення:
Документація і файли лежали у відкритому доступі.
Технічні подробиці.
Документація. Accord.rar