Witam.


Nieoczekiwanie dla samego siebie znalazłem na swoim dysku
dwumiesięczne wyniki pracy keyloggera sprzed prawie dwóch lat! Szok
tym większy, że restrykcyjnie przestrzegam dawno wypracowanego BHP
- nie szlajam się po podejrzanych stronach, instalki pobieram wyłącznie
ze stron autorskich, itd.


Z konieczności rozpocząłem śledztwo, przy jakiej okazji mogłem
złapać takiego syfa.


Przeanalizowałem pliki modyfikowane na dysku w tym samym czasie,
jednak najskuteczniejsze okazało się zbadanie samego keylogu, bo
zaczyna się od wielkiej puli wpisów związanych z uruchomieniem świeżo
zainstalowanej nowej wersji PatchTool z BabelColor, sprawdzania jego
możliwości oraz przeglądania stron dot. kalibracji, np.:



***************************C:\Program
Files\BabelColor\PatchTool\sample_files (21:52:28-23:May:2010)
***************************
[ENT][UP][ENT][UP][ENT][UP][ENT][DWN][DWN][DWN]~~~~[
RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RG
T][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT]
[RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][R
GT][RGT][RGT][RGT][RGT][RGT]ZOLTAWY
[LFT])[LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT]([ENT]
[UP][UP][UP]

*************************** (21:53:38-23:May:2010)
***************************
gp

***************************C:\Program
Files\BabelColor\PatchTool\sample_files (21:54:05-23:May:2010)
***************************
[DWN][DWN][DWN][LFT][LFT][LFT][LFT][LFT][LFT][LFT][L
FT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][RGT][LFT][LFT
][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT]
[ESC][UP][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LF
T][LFT][LFT][LFT][LFT][LFT]
(ZOLTAWY)
[ENT][UP][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LF
T][LFT][LFT][LFT][LFT][LFT]
(ZOLTAWY)
[ENT][UP][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LF
T][LFT][LFT][LFT][LFT][LFT]
(ZOLTAWY) [ENT][ENT][DWN][ENT]

***************************C:\Program
Files\BabelColor\PatchTool\sample_files (21:55:57-23:May:2010)
***************************
[UP][ENT]

*************************** (21:56:02-23:May:2010)
***************************
5

***************************C:\Program
Files\BabelColor\PatchTool\sample_files (21:57:11-23:May:2010)
***************************
[DWN][ENT]

*************************** (22:00:33-23:May:2010)
***************************
x

***************************C:\Program
Files\BabelColor\PatchTool\sample_files (22:03:24-23:May:2010)
***************************
[LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][L
FT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT
][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][
LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LF
T][LFT]RGB
to same, spekr[BK]trum
inne[DEL][DEL][DEL][DEL][DEL][DEL][DEL][DEL][DEL][DE
L][DEL][DEL][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT]
[LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][L
FT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][RGT
]
[ENT][UP][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LF
T][LFT][LFT][LFT][LFT][LFT]
[ENT][DWN][DWN][DWN][DWN][DWN][UP][UP][UP][DWN][DWN]
[DWN][UP][UP][UP][UP][DWN][ENT][DWN][ENT][DWN][ENT][
DWN][ENT][ENT]~

*************************** (22:05:50-23:May:2010)
***************************



No i przypomniałem sobie, że kiedyś już pisałem na podobny temat
na grupie i... Bingo! Chyba dopadłem świnię... Dokładnie dzień później
zgłaszałem, że ClamWin wykrył w nowej wersji trojana! No to zaczyna
się już składać w ponurą dla BabelColor całość...

BTW: Jeszcze raz polecam ClamWin na takich skurwli.






Poniżej załączam moje posty z 24 V 2010:

(obecność dwumiesięcznego keyloga na dysku świadczy, że i Restore
Systemu nie pomógł - takie draństwo...)


====================================================
==================

Witam.


Piszę na wypadek, gdyby ktoś używał - ClamWin mi raportuje
w każdej świeżej instalacji PatchTool 2.8.0 z Babelcolor na Windows:
- PTool.exe: Trojan.Agent-147061
Usunąłem dziada, bo szpiegów nie potrzebuję.


pozdrawiam

Mariusz [mr.]



====================================================
==================

"Czornyj" <m...@c...pl> wrote:
>
>> Piszę na wypadek, gdyby ktoś używał - ClamWin mi raportuje
>> w każdej świeżej instalacji PatchTool 2.8.0 z Babelcolor na Windows:
>> - PTool.exe: Trojan.Agent-147061
>> Usunąłem dziada, bo szpiegów nie potrzebuję.
>
> Mi tam nic nie pokazuje

A mi raportuje zarówno w zainstalowanej wersji jak i w każdej nowej
instalacji po zrobieniu restoru systemu. Nowo ściągnięta instalka
identyczna ze starą, więc zakładam, że trojan jest w środku. Może po ich
stronie coś się przypałętało?


[...]


pozdrawiam

Mariusz [mr.]



====================================================
==================

<l...@l...localdomain> wrote:

[...]
>> Piszę na wypadek, gdyby ktoś używał - ClamWin mi raportuje
>> w każdej świeżej instalacji PatchTool 2.8.0 z Babelcolor na Windows:
>> - PTool.exe: Trojan.Agent-147061
>> Usunąłem dziada, bo szpiegów nie potrzebuję.
>
> A zgłosiłeś to sprzedawcy?

Teraz już tak. Wolałem najpierw skrobnąć tu na grupie, bo może firma
gdzieś oficjalnie ogłosiła, że od nowej wersji legalnie będą szpiegować
swoich klientów? Oczywiście mogło też i tak być, że kawałek kodu
przypadkiem zgodził się z "odciskiem palca" jakiegoś trojana, ale
ClamWin jest pod tym względem bardzo ostrożny - od dwóch lat miałem
może ze trzy alarmy.


pozdrawiam

Mariusz [mr.]



====================================================
==================

"altar" <a...@x...com> wrote:

[...]
>> Piszę na wypadek, gdyby ktoś używał - ClamWin mi raportuje
>> w każdej świeżej instalacji PatchTool 2.8.0 z Babelcolor na Windows:
>> - PTool.exe: Trojan.Agent-147061
>> Usunąłem dziada, bo szpiegów nie potrzebuję.
>
> http://www.virustotal.com/analisis/58e3c67f0d11b0253
84eba9aa1ffd2ec5a09545bb8d73e3640c544f6718180b2-1275
083981


Coś ciekawego? Bo strona mi nie wskakuje? (od jakichś trzech dni
miałem niewielkie problemy na łączach, postawiłem nawet hipotezę, że
powódź uszkodziła część serwerów/łączy i sygnał ma problemy
z trasowaniem).

A co do trojana - Babel odpowiedział, że oczywiście w środku
oficjalnie nie ma żadnego trojana, a program należy przytulić do serca i
najlepiej przeprosić specjalnie go wyłączając z dalszej kontroli
antywirusowej w przyszłości. ;-)

Stary już jestem, a nie przypominam sobie, żeby jakakolwiek centrala
zdradzała swoich agentów, a z agentów wpływu to już najlepiej powinniśmy
sobie stworzyć prawdziwą siatkę autorytetów, co nam podadzą gotowe
wszystkie prawdy do wierzenia. :)



A poważniej: zakładam, że nastąpiła przypadkowa zbieżność z
"odciskiem palca" jakiegoś trojana, ale mimo wszystko poczekam na nową
wersję. Dla zasady.


pozdrawiam

Mariusz [mr.]



====================================================
==================

"altar" <a...@x...com> wrote:
[...]
>>>> Piszę na wypadek, gdyby ktoś używał - ClamWin mi raportuje
>>>> w każdej świeżej instalacji PatchTool 2.8.0 z Babelcolor na
>>>> Windows:
>>>> - PTool.exe: Trojan.Agent-147061
>>>> Usunąłem dziada, bo szpiegów nie potrzebuję.
>>>
>>> http://www.virustotal.com/analisis/58e3c67f0d11b0253
84eba9aa1ffd2ec5a09545bb8d73e3640c544f6718180b2-1275
083981
>>
>>
>> Coś ciekawego? Bo strona mi nie wskakuje? (od jakichś trzech dni
>
>
> W sumie nic, chciałem pokazać wynik skanowania różnymi silnikami. Może
> tak? http://www.przeklej.pl/plik/nietwirusa-mht-00168f98t
1dc


Dzięki, teraz przyjąłem.

Nie wiem, czy któreś (wszystkie? żaden?) z ww. antywirów potrafią
wirtualnie "rozinstalować" paczkę, bo tak już tylko dla porządku
przypomnę, że sama instalka "PatchTool_setup.exe" w ClamWin jest
"czysta" - zatrojanowany wg niego jest plik programu PTool.exe po
zainstalowaniu.


pozdrawiam

Mariusz [mr.]



====================================================
==================