OMG, że też dotrwałem do końca tego tematu :D. Oto kilka odpowiedzi na wasze pytania
Cytuj:
Umieszczenie virusa w pliku nie egzekwowalnym to wyzsza szkola jazdy, ale da sie zrobic (do niedawna mialem na dyskietce przyklad .jpg ktory zawieszal komputer jesli sie tylko otwarlo folder z nim, tak wystarczylo otwozyc folder nawet nie sam plik).
|
Ostatnio widzialem przykład podobnego virusa, który infokował pliki .ico na dysku, btw: jest też luka w IE wykorzystująca pliki ikon.
Cytuj:
ja wam moge powiedziec ze jak chcecie niemiec na dysku keylogera ani niczego podobnego, to zainstalujcie se linuxa.
dobra rzecz poniewaz w linuxie niema plikow ******** ^^
|
taaak? a to fajnie, a wiesz może co to są pliki .bin? - ano odpowiedniki windowskich ***** | łatwiej jest napisać keyloggera do Linuxa niż do Windy. (można to zrobić nawet na samych skryptach i procesach w tle - sam takiego napisałem).
Cytuj:
jezeli chodzi o przechwytywanie pakietow tibii to nic prostrzego. wystarczy znac ipka serwera glownego i port na ktory sie laczy... napisanie sniffera ktory by lapal pakiety jest proste a jeszcze prostrze jest napisanie go tak zeby lapal tylko pierwsze pakiety...
|
Jeśli chodzi Ci o IP serwera tibijskiego to możesz go poznać podczas gry na serwerze - uzywając standardowego narzędzia "netstat" w konsoli dosowej (netstat -n -a)
Cytuj:
Co do wysylania maili przez tego vira pojawia sie pytanie jak niepostrzezenie wyslac maila spod windowsa, w najprostrzym przypadku przy zainstalowanym nortonie pojawi nam sie pasek skanownia - co kazdy zauwazy, chyba ze program ma jakiegos prostego klienta pocztowego
|
To się nazywa "własny silnik SMTP"
Cytuj:
Aby zobaczyć różnice miedzy plikiem zdrowym a zainfekowanym, wystarczy tylko uruchomić go przez notatnik. Zobaczymy wyraźną różnicę, między plikiem zdrowym ***.rec (czyli kwadraty i różne znaczki, nie mające na pierwszy żut oka ze soba powiązania) a zainfekowanym ma jakieś wyraźne polecenie, by przesłać coś na konkretny (nie istniejący ) mail
|
Jeśli znajdziesz zainfekowany plik, otworzysz go przez notatnik i znajdziesz w nim taką lijkę zawierającą "wyraźne polecenie ...blah... mail" to ja zastanowię się nad podróżą do seminarium :D
Cytuj:
2) keylogera można umieścić wszędzie... ale będzie on tylko plikiem nie infekującym naszego systemu. A programy antywirusowe będą go wykrywać ponieważ wiekszość tych programów poszukuje fragmentu kodu odpowiadającemu danemu virusowi.
|
Jeśli ktoś napisze swojego własnego keyloggera, zaszyfruje go procedurą polimorficzną i odpowiednio ukryje w ciele ofiary to nie ma wała żeby najdoskonalsza huerytystyka i emulatory antyvirusowe wykryły go bez sygnatury.
Cytuj:
A gdybym ogląda zainfekowane filmy z wyłączonym kabelkiem od internetu, następnie filmy bym usuną, co by się stało?
|
Brak połączenia = niemożność wysłania; co więcej jeśli keylogger nie instaluje się w systemie to nic Ci się stać nie powinno... ale ciągle zapominasz o tym, że TibiaCam nie wykorzystuje twojego hasła ani loginu
Cytuj:
jesli chodzi o mks i inne antywirusy
wykryty wirus ktory nie moze byc usuniety to jest najprawdopodobniej dzialajacy w tym momencie w twoim systemie plik *.dll jedynym znanym mi rozwiazaniem jest usuniecie "reczne" odrazu po uruchomieniu komputera, przed tym gdy ten modul zostanie odpalony...
|
Działające w pamięci Dll'e można usunąć nawet bez restartu systemu.. chyba że keylogger pracuje jako VxD ale mało kto wpadłby na taki pomysł(chociaż jest to możliwe)
Cytuj:
jezeli mks_swir nie daje rady usunac pliku, zmiencie nazwe. plik bedzie mial wtedy nazwe plik.VIR. po przeskanowaniu uruchomcie ponownie komputer
|
Jeśli plik działa aktualnie w pamięci, to możesz zapomnieć o zmianie jego nazwy.
Cytuj:
Niestety niemam pomysłu na twój problem ale ja mam farta 0 zainfekowanych ale niedawno mialem pare trojanów ciekawe czy to przez to ?
|
Prawdopodobnie pzez brak firewalla oraz antyvirusa lub ich złe skonfigurowanie.
Cytuj:
Wiem jak zrobic keyloggera w ****** i zeby dzialal ale w filmiku zrobic zeby dzialal to chyba nie mozliwe.
|
Ja też wiem - PKL v1.6.x :]
Cytuj:
Najlepiej zebys wiedzial jak sie nazywa pliczek z keylogerem jezeli nie wiesz to albo ctrl+alt+del i zorientowac sie ktory ci tam nie pasi
|
Zapomnij... pierwsze co zrobił twórca zarażonego pliku, to upewnił się, że nie będzie go tam widać.
Cytuj:
dobrze ze przykleil , nawet jesli keylog niedzialal prawidlowo to byl zbindowany , a to juz 1 krok do umieszczenia dzialajacego keyloga , wiec lepiej o tym ostrzec ...
|
Bind można wykonać nawet przy pomocy WinRara, ale procedury emulujące stos w keyloggerach wykrywają takie przekręty bez żadnego problemu.
Konkludując, keyloggerem można zarazić KAŻDY plik, lecz od tego jakiego keyloggera użyjemy i jak misternie ukryjemy go w ciele ofiary zależy czy zostanie on wykryty czy nie... BTW:
Cytuj:
Co prawda mam pewien pomysł jak moznaby uaktywnić kod ukryty w pliku rec, ale nie wiem czy jednak to zadziała, a poza tym na 100% zostałoby to działanie wykryte przez skanery. O ile plik .rec dałoby się otworzyć po takiej modyfikacji. Ale spróbujemy..
|
Nawet tak egzotyczne typy plików jak .rec są podatne na tego typu działania. Za kilka dni zamieszczę w tym temacie takowy plik, który po uruchomieniu z TibiaCam wyświetli komunikat. Cierpliwości... dajcie mi popracowac :)
EoT (nareszcie :D)
