Backdoor & Subseven Tojan horse

gaiaido · 28/2/03

Backdoor & Subseven Tojan horse

אני מקבל התראות כאלו בקצב די גבוה. האם זה נורמלי? האם יש דרך לבדוק ולהסיר דלת אחורית באם קיימת במחשב שלי? תודה מראש

לינק · 28/2/03

דבר ראשון תתקין The cleaner

או תוכנה כזו נגד טרואיינים. דבר שני איזה מין התראות ? מה מתריע ?

gaiaido · 28/2/03

מי שמתריע כל הזמן הוא הפיירוול של

נורטון. תודה

Sandro · 28/2/03

אני אעזור לך..

סביר להניח שקיימת דלת אחורית במחשב שלך, שהיא נפוצה מאוד (סאבסבן), חשוב להוריד אותה כמה שיותר מהר אם אכן היא קיימת.. קצת מידע:

From: http://www.simovits.com/trojans/tr_data/y3206.html Name: SubSeven Aliases: Sub 7, BackDoor.G, Pinkworm, SubStealth, BackDoor-G2, Backdoor.SubSeven, .LOG, Ports: 1243, 1999, 2772, 2773, 2774, 6667, 6711, 6712, 6713, 6776, 7000, 7215, 16959, 27374, 27573, 54283 (various ports are used for different versions) Files: Subseven.exe - 308,224 bytes Subseven.exe - 312,320 bytes Subseven.exe - 381,440 bytes Subseven.exe - 388,096 bytes Subseven.exe - 428,469 bytes Subseven.exe - 623,104 bytes Subseven.exe - 624,128 bytes Sub7.exe - 468,992 bytes Sub7.exe - 479,232 bytes Sub7.exe - 491,520 bytes Sub7.exe - 493,056 bytes Sub7.exe - 519,680 bytes Server.exe - 250,368 bytes Server.exe - 251,904 bytes Server.exe - 333,547 bytes Server.exe - 335,237 bytes Server.exe - 335,799 bytes Server.exe - 336,867 bytes Server.exe - 336,934 bytes Server.exe - 342,042 bytes Server.exe - 352,287 bytes Server.exe - 380,835 bytes Server.exe - 381,347 bytes Server.exe - 382,371 bytes Server.exe - 385,858 bytes Server.exe - 867,840 bytes Editserver.exe - 186,368 bytes Editserver.exe - 195,584 bytes Editserver.exe - 221,184 bytes Editserver.exe - 303,802 bytes Editserver.exe - 404,992 bytes Editserver.exe - 484,352 bytes Systrayicon.exe - 768 bytes Systray.exe - 33,280 bytes Icqmapi.dll - 58,368 bytes Icqmapi.dll - 58,880 bytes Kerne1.exe - Kernel16.dl - Kernel32.dl - Explore.exe - Msrexe.exe - 399,267 bytes Mueexe.exe - Fueovs.exe - Uabmruua.exe - Windos.exe - Win32.exe - Nodll.exe - 32,768 bytes Nodll.exe - 33,230 bytes Subseven.ini - Skin.ini - 454 bytes Skin.ini - 464 bytes Skin.ini - 468 bytes Skin.ini - 481 bytes Rundll1.exe - Rundll16.exe - S7undetec.exe - 321,476 bytes Subpas1.cab - 1,312,768 bytes Subpas2.cab - 145,273 bytes Setup.exe - 140,800 bytes Ssetup.exe - 140,800 bytes Setup.lst - 3,656 bytes Ssetup.lst - 3,656 bytes Task_bar.exe - Mvokh_32.dll - Favpnmcfee.dll - Watching.dll - Run.exe - 11,371 bytes Sub7bonus.exe - Wandows.com - Created: Feb 1999 Requires: Actions: Remote Access / Network trojan / ICQ trojan / IRC trojan Registers: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\ HKEY_LOCAL_MACHINE\SOFTWARE\exefile\shell\open\command\ HKEY_CLASSES_ROOT\exefile\shell\open\command Notes: Works on Windows 95, 98 and NT. From version 2.2 beta 2 also on NT, before only on 95 and 98. Version 2.1 can also be controlled via messages over IRC and ICQ. From 2.13 all file names are default names and can be changed. ? Source code is decompiled and available. Master Passwords lower version: PREDATOX, v1.9 : predatox and v2.1 - 2.2b : 14438136782715101980 Country: written in the Netherlands Program: Written in Delphi.

הסבר מצויין לטיפול בטרויאני ע"י האתר: http://www.commodon.com/threat/threat-subseven.htm

gaiaido · 28/2/03

תודה סנדרו. האם אתה יכול להסביר

לי מה אני אני צריך להסיר. האם את השורות המצויינות בריגסטר? האם עוד קבצים? לא כלכך הסתדרתי עם ההסבר תודה

gaiaido · 28/2/03

עכשיו גם קיבלתי התראה על

NetSphere Trojan horse.

Sandro · 28/2/03

הטרויאנים שאתה מדבר עליהם..

קטלניים ביותר, אני מציע לבדוק בעזרת סורק פורטים אם אכן המידע אמין ואם יש עוד טרויאנים שנמצאים על המחשב שלך.. (הנה אחד שיצרתי בעצמי בתמונה) למטה) בינתיים, לא ממליץ להפעיל אייסיקיו שים לב לאותיות המודגשות במידע:

From: Name: NetSphere Aliases: NSSX, Backdoor.NSSX, Backdoor.NetSphere, Ports: 30100, 30101, 30102, 30103 (UDP), 30103, 30133 (can be changed) Files: Netsphere.zip - 743,990 bytes Netsphere1.27a.zip - Netsphere1.28.zip - Netsphere129.zip - Netsphere1.30.zip - Netsphere131337.zip - Netsphere132.zip - Netspherefinal.zip - Ns1.31.337final.zip - Netsphereclient.exe - 1,068,032 bytes Netsphereclient.exe - Netsphereclient.exe - Netsphereserver.exe - 636,416 bytes Netsphereserver.exe - Netsphereserver.exe - Netsphere129.exe - Netsphere_v130.exe - 721,535 bytes Netsphere132.exe - 727,862 bytes Nets131337.exe - 759,297 bytes Khd2.dll - [41 kb]Icqmapi.dll - [57 kb]Nssx.exe - Epp32.exe -Iosubnet.sys - Created: April 1999 Requires: Actions: Remote Access / Keylogger / ICQ trojan Registers: KEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ HKEY_USERS\ [All individual users on the PC]\Software\Microsoft\Windows\CurrentVersion\Run\ Notes: Works on Windows 95, 98 and NT, together with ICQ. Version 1.33137 is to be the final release of this trojan. Added to the most common features are Kill CPU, add to ICQ , see the open ports on target, IP scan, view all hidden windows processes, etc. Country: written in Canada Program: Written in Delphi 4.

תנסה למחוק ולנטרל עם הנורטון, כמו שאמרו התוכנה The Clenar יכולה לעשות לך את העבודה ללא סיכונים מיותרים, אבל אם ממש דחוף עם הסאבסבן, אתה יכול לגבות את הראגיסטירי ולאחר מכן לפעול.. מומלץ מאוד סורק פורטים..

gaiaido · 28/2/03

מע' הפעלה win2000

gaiaido · 28/2/03

ועוד נסיון והתראה על

Keylogger Trojan horse מה קורה פה??? מי יכול לעזור תודה

uzi2 · 1/3/03

הפיירוול של נורטון מטעה אנשים

כל הזמן, המחשב שלנו נסרק ע"י גורמים חיצוניים, לבדוק האם המחשב נגוע בעכברושים (סוסים טרויאנים שפותחים דלת אחורית) שיאפשרו לפרוץ למחשב שלנו. זה המצב. עצם העובדה שהמחשב שלנו נסרק לאיתור של עכברושים כאלו, אינו מעיד על כך שאכן המחשב שלנו גם נגוע באותם סוסים טרויאנים. לכן עצם ההודעות של הפיירוול על כך שבוצע נסיון להתחבר לפורט שבד"כ איזה סוס טרויאני פותח, אינו מעיד על כך שיש בעיית אבטחה, ולכן אין להתראות הללו שום משמעות אבטחתית. הפיירוול של נורטון מטעה אנשים, משום שהוא נותן להם את התחושה שהוא חסם איזה נסיון פריצה חמור, בעוד שבמרבית המקרים, מדובר בנסיון פריצה שגם ללא פיירוול היה נחסם (כיוון שהמחשב אינו נגוע באותו עכברוש). זו אחת הסיבות מדוע אני לא אוהב את הפיירוול של נורטון. הוא מנסה לתת את התחושה שהוא יותר חשוב ממה שהוא באמת. מה שכדאי לעשות, זה להגדיר לפיירוול שלא יודיע על נסיונות התחברות לפורטים שממילא סגורים, אבל מכיוון שאין לי את הפיירוול הזה, אז גם אין לי אפשרות להנחות כיצד להגדיר את הפיירוול כך.

gaiaido · 1/3/03

תודה עוזי. אכן לאחר מספר סריקות של

המחשב שלי עם מספר תוכנות שאמורות לזהות עכברושים שכאךו - לא התגלה דבר. אני יותר רגוע. אודה לני שיסביר לי איך להורות לנורטון לא להתריע על כל נסיון שכזה. תודה ושבת שלום

Backdoor & Subseven Tojan horse

gaiaido

New member

לינק

New member

gaiaido

New member

Sandro

New member

gaiaido

New member

gaiaido

New member

Sandro

New member

gaiaido

New member

gaiaido

New member

uzi2

Active member

gaiaido

New member