--> Archiwum Forum
draczeek [ Konsul ]
UWAGA!!! e-mail: "Fwd: Multimedialny Kurs... :)" <-- TROJAN ???
Kategoria: Uwagi i propozycje - bo czerwony rzuca się w oczy..
Dostałem dziś e-maila o takim właśnie temacie
W treści listu był link do pliku "mkrsk.exe".
Ściągnąłem i zacząłem się zastanawiać kliknąć, czy nie ?
Kliknąłem prawym - chciałem przeskanować MKS'em
Najechałem na -> WinRAR i -> dostępna opcja ??? Otwórz przy pomocy WinRAR'a - no to otwieram :)
Okazało się, że jest to SFX RAR z automatycznie wykonującym się batch'em, który oprócz uruchamiania znanego prawie wszystkim Multimedialnego Kursu Rozpoznawania Szalonych Krów, ładuje do katalogu Windowsa jakieś pliki (mscow.com;mscow.exe; mscow.ini) znanego bardziej jako "distributed.net client" - taki opis można sobie przeczytać we właściwościach EXE'ka; oryginalna nazwa pliku: "dnetc.exe")
Wie może ktoś co to za badziewie i co mogłoby mi zrobić z systemem, gdybym toto uruchomił. W pliku mscow.ini były takie oto wpisy:
----------------------------------------- początek mscow.ini -----------------------------------------
[parameters]
[email protected]
[misc]
project-priority=RC5-72,OGR=0
[networking]
dialup-watcher=passive
interfaces-to-watch=*
firewall-type=http
keyserver=*:80;
[triggers]
restart-on-config-file-change=yes
pause-watch-plist=taskmgr|sysmon|taskinfo
[processor-usage]
priority=0
[buffers]
checkpoint-filename=check.dat
frequent-threshold-checks=3
[logging]
mail-log-via=smtp.o2.pl:25
mail-log-max=2512
[email protected]
[email protected]
----------------------------------------- koniec mscow.ini -----------------------------------------
Eliash [ Generaďż˝ ]
draczeek -> Dzięki za info, do mnie też przyszedł ten plik, rozsyła go chyba jakiś GOL'as bo email z którym jestem na GOLu zarejestrowany jest stosunkowo świerzy. Dobrze że pliku nie otwierałem :)
Kyahn [ Kibic ]
Dostałem to ścierwo, ale bez zastanawiania od razu wykasowałem.
Nie znam łebka od którego to dostałem - takie maile od razu kasuje.
Poza tym plik *.exe w załączniku zawsze podejrzanie wygląda.
Pozdr.
Soulcatcher [ Prefekt ]
to ja wam powiem NIGDY nie uruchamiajcie żadnego pliku z załącznika do emaila
Vein [ Sannin ]
to nawet nie bylo w zalaczniku, tlyko link do www.... geez typek poslal jakies 50 maili dla mnie na skrzynke, pokasowalem wszystko..
draczeek [ Konsul ]
Soul ---> Amen!
Pik [ No Bass No Fun ]
Tez to dostalem od niejakiego [email protected] :( i wywalilem od razu.
Pik [ No Bass No Fun ]
Tez to dostalem od niejakiego [email protected] :( i wywalilem od razu.
Kapitan KloSs [ Ramzes VII MiĆki ]
to samo umnie :)
SULIK [ olewam zasady ]
hmmm... dostalem 2 kopie
jeden na [email protected], a drugi na [email protected]
oba zarejestrowane na GoLu, oprucz tych adresow mailowych mam jeszcze 2 inne nie zarejestrowane na GoL'u i na nie nie dostalem - ciekawa sprawa
co do otwierania - nigdy nie otwieram zalacznikow z niewiafomego pochodzenia
jedynie otwieram od znajomych, ale oni najczesciej mnie powiadamiaja na GG ze cos mi wyslali
acha jeszcze jedno: ja nie dostalem zalacznika, ja dostalem adres https://www.nfse.risp.pl/extras/mkrsk.exe
[TYLKO NIE KLIKAC TO PRAWDOPODOBNIE TROJAN]
cwaniak wyslal maila za pomoca programu: "Bat" i nie ma tam ip :/ ale i tak dowiem sie jakie to ip :]
redruM< [ Konsul ]
Też to dostałem . Ale i tak nigdy nie otwieram maili od nieznajomych :>
SULIK [ olewam zasady ]
Pik --> powiem Ci jedno to przyszło stąd: [email protected] i jestem tego pewien: kszysztof_orlowski - sciema, tym bardziej ze podpisal Sie jako: Leszek (ale top mogla byc osoba ktora mu to przyslala)
Arab - czyzbys suberowal, ze Soul maczal w tym paluszki i chcial sprawdzic co zrobia Golasy i czy wlacza ?
Big Money [ Senator ]
Dostałem - nawet podwojnie... i nie podoba mi się to :/ zwłaszcza ze.... mój mail nie jest udostepniony w serwisie, jest tylko wpisany w tym formularzu... Czyzby zatem ktoś sprytny włamał sie do bazy danych g-o i przywłaszczył sobie adresy mailowe uzytkownikow ??
SULIK [ olewam zasady ]
Big Money - o masz Juniora ?
dobra nie wazne ...
ja oba adresy ma normalnie udostepnione, ale jeden nick jest dawno zbanowany :/
Quicky [ Senator ]
Tez dostalem ten shit. Od razu wykasowalem - i okazuje sie, ze dobrze zrobilem. :)
Soulcatcher [ Prefekt ]
nie ma żadnego powodu abyście udostępnali swoje emaile na GOLu, dla nas jest potrzebne aby były prawdziwe ale jeżeli je wyłaczycie (ustawicie w aktualizacji danych aby nikt ich nie widział) to zapewniam was że nikt się o nich nie dowie, gdyż baza w któej przechowywane są te dane nie jest podpięta do internetu
QrKo [ Enslaved One ]
mi tesh przyszedł ten pliczek wywalilem ale cenie ludzi którzy ostrzegaja innych wiec trzymaj sie
Sagi [ ]
Tez to dostalem x2. Nawet nie zamierzalem tego dotykac. Od razu kosz.
Przewodnik Syriusza [ Magazyn Grafik ]
SULIK -> uściślijmy: Pierwszym nadawcą był [email protected] [Leszek] któy to wysłał do nijakiego krzysztofa orlowskiego ([email protected]) ktory to wyslal do nas.
Na www.nfse.risp.pl NIE MA nic o tym aby taki plik był wirusem. A przeciez by pisali o tym gdyby rzeczywiscie byl. Jednakze trza obadac sprawe :)
Big Money [ Senator ]
SULIK, Soulcatcher << właśnie... mam juniora, a nie prosiłem o niego :) Da sie z tym cos zrobic ?? :>
Jedyne co zrobiłem to własnie zmineniłem swoj mail w danych, po czym stopien sie sam zmienił :/
EMILL [ II w SS-NG / Techniczny ]
MS Cow, potocznie nazywany krowka, to nie trojan, a system podobny do Set@Home, byl o tym nawet kiedys watek na GOL-u, po prostu koles ktory rozsyla takie pliki chce uzyc waszych kompow jak tzw. pastwisk, czyli chce skorzystac z waszej mocy obliczeniowej, a punktu beda leciec na jego konto... wiecej info ponizej:
elfik [ mesmerized by the sirens ]
co za debil z pajaca, dobrze ze nie uruchomilem tego pliku
EMILL [ II w SS-NG / Techniczny ]
elfik --> w sumie, to nic by sie nie stalo, plik nie jest szkodliwy, a kto wie, moze nawet moglbys goscia podac do sadu (jakby mu sie udalo zgarnac glowna nagrode - 2000 zielonych :P)
Przewodnik Syriusza [ Magazyn Grafik ]
GWOLI WYJAŚNIENIA
[parameters]
[email protected] <----------- ten mail jest prywatnym mailem szefa forum, niejakiego MERLINA
[misc]
project-priority=RC5-72,OGR=0
[networking]
dialup-watcher=passive
interfaces-to-watch=*
firewall-type=http
keyserver=*:80;
[triggers]
restart-on-config-file-change=yes
pause-watch-plist=taskmgr|sysmon|taskinfo
[processor-usage]
priority=0
[buffers]
checkpoint-filename=check.dat
frequent-threshold-checks=3
[logging]
mail-log-via=smtp.o2.pl:25
mail-log-max=2512
[email protected] <------ten mail NIE nalezy do nikogo z forum nfse.risp.pl
[email protected] <------ten mail NIE nalezy do nikogo z forum nfse.risp.pl
W każdym razie po uruchomieniu tego pliku komputer wysyła jakieś wiadomosci na adres [email protected]. Podejrzewam ze jest to drugi mail tego merlina ale nie chce nikogo posądzać
EMILL [ II w SS-NG / Techniczny ]
te wiadomosci wysylane na [email protected] to zapewne przetworzone przez komp ofiary pakiety, ktore potem "pasterz" (jak juz jestesmy przy "krowiej" terminologii :P - pasterz = ten kto wyslal plik) wysyla do glownego serwa programu i zbiera punkty na konto
TeadyBeeR [ Legend ]
Ja tez dostalem tego maila od Krzysia Orlowskiego :))
No ale delete i po sprawie.
SULIK [ olewam zasady ]
EMILL - zarabiscie pomyslane, ale gosc jednego nie przewidzial - wybral zle forum i zlych userow :P co iinego jak by wziol forumnap. www.Bravo.pl czy cos kolo tego :]
elfik [ mesmerized by the sirens ]
mam gdzies od kogo to jest mail i czemu on sluzy, nic mnie to nie obchodzi, ze nie jest szkodliwy
nie bedzie mi jakis pacan spamowal dla wlasnych korzysci :)
EMILL [ II w SS-NG / Techniczny ]
elfik --> tysiac dolarow piechota nie chadza :P :D
[dRaXer] [ Pretorianin ]
Ja też dzisiaj dostałem maila z virem...
Adres: [email protected]
Temat: Re: Movie
Załącznik: your_details.zip
Na szczęście mój skaner poczty zintegrowany z outlookiem (Panda Antivirus rządzi! :D) natychmiast to i owo wykrył i naprawił :)
Hakerss [ Beeznon's Attack! ]
tez dostalem... lezy w koszu na poczcie ;)
Danley [ NiEuMaRłY SłUgA ZłA ]
Tez to dostalem...
Danley [ NiEuMaRłY SłUgA ZłA ]
zapomnialem obrazka :/
Maxwell [ ]
[draxer] - to jest co innego, tez takie rzeczy dostaje co jakis czas, a listy te powiazane sa ze soba nieodlacznym tematowym "Re:" na poczatku. dalsza czesc topicu maila jest zmienna.
mi przechwytuje to nawet antywirus na wp.
Paul12 [ Buja ]
Otrzymałem dwa maile od [email protected] :) Oczywiście wiedziałem co z nimi zrobić - kosz natychmiastowo :)
Gandalf-biały [ Mithrandir ]
tez to dostalem ale delete i jest git :)
Drackula [ Bloody Rider ]
Tez ten syf dostalem i dopisalem milymi slowkami ;) Znajdzcie tego kolesia i zaladujcie mu prawdziwego trojanka, nie ma zabawe chlopaczek.
mikmac [ Senator ]
mail [email protected] zostal juz podany do wszystkich firm spamerskich jakie mam na liscie. Ponadto z sieci akademickich poszlo do niego kilkanascie tysiecy maili ze smieciem...
Soulcatcher [ Prefekt ]
mikmac --> LOL
Dagger [ Legend ]
Dzięki za ostrzeżenie - też dostałem - oczywiscie mail z profilu
M-Hunter [ The Jester Race ]
Ja mam bardzo poważną sprawę o wirusach. Na sztabie w federacji gola jest chyba wirus !!! Jak odpalam "sztab weterwnów" to wyskakuje mi VBS.REDLOF.A. Soul czy wiesz co to za syf ?
SOBIG.E to wirus który przychodzi na nowo z kont : [email protected] i [email protected]
fifalk [ fifalkowiec ]
tez dostalem...
Grzybiarz [ Badacz Ściółek ]
ja też go dostałem ---> uruchoniłoem i nic się nie stało
ale za to mam NIS (norton internet security) może dlatego w każdym bądź razie mi nic się nie stało
Soulcatcher [ Prefekt ]
M-Hunter --> nie przypuszczam, ale napisz do [email protected] on zajmuje się fedeacją i opisz problem, ja nic takiego nie mam
beeria [ Konsul ]
grzybiarz --> to sprawdz czy przypadkiem w katalogu z windowsami nie masz plikow mscow.*
Shadowman [ Pretorianin ]
o ja tez to dzisiaj dostalem od [email protected] ale link w mailu juz nie dzialal - na szczscie, bo by sie moglo narobic jakby mi antywir nie wykryl...
KarpxS [ Pretorianin ]
JA juz nie pierwszy raz dostalem maila od tego pana Krzysia...
EMILL [ II w SS-NG / Techniczny ]
beeria --> ile razy mam powtarzac, ze to nie wirus...? znalezienie tego ustrojstwa to nie powod do paniki, wystarczy recznie wywalic i juz
Hacker X [ Pretorianin ]
Jakiś typek bawi sie jakimś trojanem !!! .... (jak sie dowiem kto to... to... tez sie z nim trojanem zabawie:D)
minius [ Generaďż˝ ]
Przewodnik Syriusza wyciągnął adres na który gostek ustawił trojana ( [email protected]. Więc nic nie stoi na przeszkodzie zrobić mu wredny dowcip.
Wystarczy wejść na kilkanaście stron porno i zarejestrować się na jego maila. Spam załatwią gościowi stronki porno ;o)
Jeśliby każdy z Was założył na niego login na 2 strokach, to dziennie dostanie kilkaset reklam.
donzoolo [ Senator ]
a tez to dostalem, ale wywalilem to, dzis dostalem tez maila
o temacie Re:Movie
to tez jest jakies lewe, antywir adrazu wykryl!
donzoolo [ Senator ]
odrazu znaczy sie
iNkogNitO [ Pretorianin ]
a ja nic nie dostałam ... ale dobrze wiedziec:-)))
o^scar^^ [ GRWD ]
Ja to dostalem otworzylem ale nigdy nie klikam w zalacznik lub w linki ze sciaghnieciem bio tio jest bardzo podejrzane. Wont z takimi mailami...
Regis [ ]
Mnie generalnie takie gowna omijaly, ale tego tez dostalem :\
Narmo [ Youkai ]
Ja dostałem nawet 2 razy :)
Oczywiście od razu do kosza :)
beeria [ Konsul ]
emill --> po co te nerwy, przeciez nie powiedzialem, ze to wirus? btw. po uruchomieniu windowsowego (98se) msconfig pojawia sie distributed.net.client z linkiem do mscow.exe - to tez powinno sie "odptaszkowac"
draczeek [ Konsul ]
To jednak jakiś robal - trojan!
Skonfigurowałem go tak, żeby wysyłał na jakiegoś mojego e-maila (dwie ostatnie linijki pliku mscow.ini) uruchomiłem (na własne ryzyko, a co) no i wysyła. Prawdopodobnie to co przechwyci z klawiatury oraz adres kompa z którego został wysłany.
Aha.. jeszcze.
W wyszukiwarce na stronie MKS'a wpisałem "dnetc.exe" (czyli pierwotna nazwa pliku "mscow.exe") i w rezultacie otrzymałem...Poczytajcie sami (link):
zmudix [ palnik ]
też to dostałem :/
oto, co widnieje we właściwościach w zakładce "szczegóły"
Return-Path: <[email protected]>
Received: from mx2.go2.pl (mx2.go2.pl [212.126.20.6])
by outbound SERVER; Mon, 30 Jun 2003 13:51:49 +0200
X-mf: first3.pl v0.4
Received: by mx2.go2.pl (Postfix)
id 2B191F3E0A; Mon, 30 Jun 2003 13:51:49 +0200 (CEST)
Delivered-To: [email protected]
Received: from risp.pl (risp-gw.man.poznan.pl [212.126.28.17])
by mx2.go2.pl (Postfix) with ESMTP id 5BD81F3D3E
for <[email protected]>; Mon, 30 Jun 2003 13:51:48 +0200 (CEST)
Received: from localhost (localhost [127.0.0.1])
by risp.pl (Postfix) with ESMTP id 76B3C48405
for <[email protected]>; Mon, 30 Jun 2003 13:51:48 +0200 (CEST)
Received: by risp.pl (Postfix, from userid 5842)
id 545B448407; Mon, 30 Jun 2003 13:51:48 +0200 (CEST)
To: [email protected]
Subject: Fwd: Multimedialny Kurs... :)
From: [email protected]
Reply-To:
X-Mailer: The Bat! (v1.62r)
Message-Id: <[email protected]>
Date: Mon, 30 Jun 2003 13:51:48 +0200 (CEST)
X-Virus-Scanned: AMaViS + mks_vir
_______________________________________________________________________________
A to widnieje po naciśnięciu na "Źródło wiadomości"
Return-Path: <[email protected]>
Received: from mx2.go2.pl (mx2.go2.pl [212.126.20.6])
by outbound SERVER; Mon, 30 Jun 2003 13:51:49 +0200
X-mf: first3.pl v0.4
Received: by mx2.go2.pl (Postfix)
id 2B191F3E0A; Mon, 30 Jun 2003 13:51:49 +0200 (CEST)
Delivered-To: [email protected]
Received: from risp.pl (risp-gw.man.poznan.pl [212.126.28.17])
by mx2.go2.pl (Postfix) with ESMTP id 5BD81F3D3E
for <[email protected]>; Mon, 30 Jun 2003 13:51:48 +0200 (CEST)
Received: from localhost (localhost [127.0.0.1])
by risp.pl (Postfix) with ESMTP id 76B3C48405
for <[email protected]>; Mon, 30 Jun 2003 13:51:48 +0200 (CEST)
Received: by risp.pl (Postfix, from userid 5842)
id 545B448407; Mon, 30 Jun 2003 13:51:48 +0200 (CEST)
To: [email protected]
Subject: Fwd: Multimedialny Kurs... :)
From: [email protected]
Reply-To:
X-Mailer: The Bat! (v1.62r)
Message-Id: <[email protected]>
Date: Mon, 30 Jun 2003 13:51:48 +0200 (CEST)
X-Virus-Scanned: AMaViS + mks_vir
> --
>
> https://www.nfse.risp.pl/extras/mkrsk.exe - wlacz glosniki!
>
>
> --
> Pozdrawiam,
> Leszek
> :: mlodziezowo.glt.pl - przerwij milczenie, wypowiedz sie!
>
>
Heh, ale sie przy tym usmialem...
Pozdrawiam,
Krzysztof Orlowski
może sie do czegoś przyda :-)
Bro-war [ Centurion ]
Już wysłałem maila do firmy do której należy adres www.risp.pl. Mam nadzieję, że administratorzy przykrócą działania tego kretyna, bo nie lubię dostawać syfu na skrzynkę.
EMILL [ II w SS-NG / Techniczny ]
w ktoryms z moich postow jest link, przeczytajcie co tam pisze a potem gadajcie glupoty...
draczeek --> ten e-mail ktory sie wpisuje to sposob identyfikacju usera w tym systemie, gdybys wpisal tam swoj e-mail, to na jutro rano juz bylbys w statystykach... powtarzam - to nie jest trojan, nie wirus... po prostu koles ktory to rozysla nie potrafi bawic sie uczciwie, tylko robi sobie glupie zarty myslac ze nikt sie nie pokapuje o co biega
SULIK [ olewam zasady ]
[email protected] - ten mail zaraz bedzie i przezemnie zaspamowany... kufa gdzie ten nuke... nigdy nie moge znalezc jak mi potrzeba :]
mikmac - ja dla niegop mam cos specjalnego : programy partnerskie do zarabiania w necie :P - chcial na nas zarobic to juz ja zarobie na nim :P
oooo mam pomysla - wysle mu moje wlasne mp3. nagrywane po pijaku :] - zapcham mu skrzyneke :]
tylko gdzie ja to mialem ten sysyem do wysylania anonim maili ?? a tam zalozne nowe konto :]
[email protected] :] - zaraz zakladam
OSZKI [ VL ] [ Sniper ]
hmmm
ja wam powiem ze sa takie wirusy ze gdy dostaniecie go i bedzie w skrzynce to podobno sam sie rozsyl do tych osob co macie w kontaktach i pisze ze to od was lecz temat sie nie zmenia
CHAMSTWO :P
Hebron [ _)V(_CaRboN ]
Własnie przeglądnąłem poczte. Jak sie okazało tez otrzymałem cos takigo.....Od razu usuwam...
Avarang [ Pretorianin ]
Ja codziennie dostaje "Re: Movie" i "Mulimedialny kurs"
jak kiedyś posłałem gosciowi parę faków :) to mnie przeprosił i nie przysłał więcej.
Tak samo odpisałem do :krzysztof_orlowsk: .i
junx [ Pretorianin ]
No to widzę, że nie jestem osamotniony... Szanowny pan Krzysztof także do mnie wysłał takowego maila, lecz ja go od razu skasowałem...
Mogę być z siebie dumny?=)