eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plGrupypl.rec.foto.cyfrowaNieoczekiwany dalszy ciąg sprawy - keylogger + trojan w BabelColor PatchTool 2.8.0 for Windows?
Ilość wypowiedzi w tym wątku: 1

  • 1. Data: 2012-03-12 23:54:17
    Temat: Nieoczekiwany dalszy ciąg sprawy - keylogger + trojan w BabelColor PatchTool 2.8.0 for Windows?
    Od: "Mariusz [mr.]" <l...@i...wp.pl>


    Witam.


    Nieoczekiwanie dla samego siebie znalazłem na swoim dysku
    dwumiesięczne wyniki pracy keyloggera sprzed prawie dwóch lat! Szok
    tym większy, że restrykcyjnie przestrzegam dawno wypracowanego BHP
    - nie szlajam się po podejrzanych stronach, instalki pobieram wyłącznie
    ze stron autorskich, itd.


    Z konieczności rozpocząłem śledztwo, przy jakiej okazji mogłem
    złapać takiego syfa.


    Przeanalizowałem pliki modyfikowane na dysku w tym samym czasie,
    jednak najskuteczniejsze okazało się zbadanie samego keylogu, bo
    zaczyna się od wielkiej puli wpisów związanych z uruchomieniem świeżo
    zainstalowanej nowej wersji PatchTool z BabelColor, sprawdzania jego
    możliwości oraz przeglądania stron dot. kalibracji, np.:



    ***************************C:\Program
    Files\BabelColor\PatchTool\sample_files (21:52:28-23:May:2010)
    ***************************
    [ENT][UP][ENT][UP][ENT][UP][ENT][DWN][DWN][DWN]~~~~[
    RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RG
    T][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT]
    [RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][R
    GT][RGT][RGT][RGT][RGT][RGT]ZOLTAWY
    [LFT])[LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT]([ENT]
    [UP][UP][UP]

    *************************** (21:53:38-23:May:2010)
    ***************************
    gp

    ***************************C:\Program
    Files\BabelColor\PatchTool\sample_files (21:54:05-23:May:2010)
    ***************************
    [DWN][DWN][DWN][LFT][LFT][LFT][LFT][LFT][LFT][LFT][L
    FT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][RGT][LFT][LFT
    ][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT]
    [ESC][UP][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LF
    T][LFT][LFT][LFT][LFT][LFT]
    (ZOLTAWY)
    [ENT][UP][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LF
    T][LFT][LFT][LFT][LFT][LFT]
    (ZOLTAWY)
    [ENT][UP][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LF
    T][LFT][LFT][LFT][LFT][LFT]
    (ZOLTAWY) [ENT][ENT][DWN][ENT]

    ***************************C:\Program
    Files\BabelColor\PatchTool\sample_files (21:55:57-23:May:2010)
    ***************************
    [UP][ENT]

    *************************** (21:56:02-23:May:2010)
    ***************************
    5

    ***************************C:\Program
    Files\BabelColor\PatchTool\sample_files (21:57:11-23:May:2010)
    ***************************
    [DWN][ENT]

    *************************** (22:00:33-23:May:2010)
    ***************************
    x

    ***************************C:\Program
    Files\BabelColor\PatchTool\sample_files (22:03:24-23:May:2010)
    ***************************
    [LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][L
    FT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT
    ][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][
    LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LF
    T][LFT]RGB
    to same, spekr[BK]trum
    inne[DEL][DEL][DEL][DEL][DEL][DEL][DEL][DEL][DEL][DE
    L][DEL][DEL][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT]
    [LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][L
    FT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][RGT
    ]
    [ENT][UP][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LF
    T][LFT][LFT][LFT][LFT][LFT]
    [ENT][DWN][DWN][DWN][DWN][DWN][UP][UP][UP][DWN][DWN]
    [DWN][UP][UP][UP][UP][DWN][ENT][DWN][ENT][DWN][ENT][
    DWN][ENT][ENT]~

    *************************** (22:05:50-23:May:2010)
    ***************************



    No i przypomniałem sobie, że kiedyś już pisałem na podobny temat
    na grupie i... Bingo! Chyba dopadłem świnię... Dokładnie dzień później
    zgłaszałem, że ClamWin wykrył w nowej wersji trojana! No to zaczyna
    się już składać w ponurą dla BabelColor całość...

    BTW: Jeszcze raz polecam ClamWin na takich skurwli.






    Poniżej załączam moje posty z 24 V 2010:

    (obecność dwumiesięcznego keyloga na dysku świadczy, że i Restore
    Systemu nie pomógł - takie draństwo...)


    ====================================================
    ==================

    Witam.


    Piszę na wypadek, gdyby ktoś używał - ClamWin mi raportuje
    w każdej świeżej instalacji PatchTool 2.8.0 z Babelcolor na Windows:
    - PTool.exe: Trojan.Agent-147061
    Usunąłem dziada, bo szpiegów nie potrzebuję.


    pozdrawiam

    Mariusz [mr.]



    ====================================================
    ==================

    "Czornyj" <m...@c...pl> wrote:
    >
    >> Piszę na wypadek, gdyby ktoś używał - ClamWin mi raportuje
    >> w każdej świeżej instalacji PatchTool 2.8.0 z Babelcolor na Windows:
    >> - PTool.exe: Trojan.Agent-147061
    >> Usunąłem dziada, bo szpiegów nie potrzebuję.
    >
    > Mi tam nic nie pokazuje

    A mi raportuje zarówno w zainstalowanej wersji jak i w każdej nowej
    instalacji po zrobieniu restoru systemu. Nowo ściągnięta instalka
    identyczna ze starą, więc zakładam, że trojan jest w środku. Może po ich
    stronie coś się przypałętało?


    [...]


    pozdrawiam

    Mariusz [mr.]



    ====================================================
    ==================

    <l...@l...localdomain> wrote:

    [...]
    >> Piszę na wypadek, gdyby ktoś używał - ClamWin mi raportuje
    >> w każdej świeżej instalacji PatchTool 2.8.0 z Babelcolor na Windows:
    >> - PTool.exe: Trojan.Agent-147061
    >> Usunąłem dziada, bo szpiegów nie potrzebuję.
    >
    > A zgłosiłeś to sprzedawcy?

    Teraz już tak. Wolałem najpierw skrobnąć tu na grupie, bo może firma
    gdzieś oficjalnie ogłosiła, że od nowej wersji legalnie będą szpiegować
    swoich klientów? Oczywiście mogło też i tak być, że kawałek kodu
    przypadkiem zgodził się z "odciskiem palca" jakiegoś trojana, ale
    ClamWin jest pod tym względem bardzo ostrożny - od dwóch lat miałem
    może ze trzy alarmy.


    pozdrawiam

    Mariusz [mr.]



    ====================================================
    ==================

    "altar" <a...@x...com> wrote:

    [...]
    >> Piszę na wypadek, gdyby ktoś używał - ClamWin mi raportuje
    >> w każdej świeżej instalacji PatchTool 2.8.0 z Babelcolor na Windows:
    >> - PTool.exe: Trojan.Agent-147061
    >> Usunąłem dziada, bo szpiegów nie potrzebuję.
    >
    > http://www.virustotal.com/analisis/58e3c67f0d11b0253
    84eba9aa1ffd2ec5a09545bb8d73e3640c544f6718180b2-1275
    083981


    Coś ciekawego? Bo strona mi nie wskakuje? (od jakichś trzech dni
    miałem niewielkie problemy na łączach, postawiłem nawet hipotezę, że
    powódź uszkodziła część serwerów/łączy i sygnał ma problemy
    z trasowaniem).

    A co do trojana - Babel odpowiedział, że oczywiście w środku
    oficjalnie nie ma żadnego trojana, a program należy przytulić do serca i
    najlepiej przeprosić specjalnie go wyłączając z dalszej kontroli
    antywirusowej w przyszłości. ;-)

    Stary już jestem, a nie przypominam sobie, żeby jakakolwiek centrala
    zdradzała swoich agentów, a z agentów wpływu to już najlepiej powinniśmy
    sobie stworzyć prawdziwą siatkę autorytetów, co nam podadzą gotowe
    wszystkie prawdy do wierzenia. :)



    A poważniej: zakładam, że nastąpiła przypadkowa zbieżność z
    "odciskiem palca" jakiegoś trojana, ale mimo wszystko poczekam na nową
    wersję. Dla zasady.


    pozdrawiam

    Mariusz [mr.]



    ====================================================
    ==================

    "altar" <a...@x...com> wrote:
    [...]
    >>>> Piszę na wypadek, gdyby ktoś używał - ClamWin mi raportuje
    >>>> w każdej świeżej instalacji PatchTool 2.8.0 z Babelcolor na
    >>>> Windows:
    >>>> - PTool.exe: Trojan.Agent-147061
    >>>> Usunąłem dziada, bo szpiegów nie potrzebuję.
    >>>
    >>> http://www.virustotal.com/analisis/58e3c67f0d11b0253
    84eba9aa1ffd2ec5a09545bb8d73e3640c544f6718180b2-1275
    083981
    >>
    >>
    >> Coś ciekawego? Bo strona mi nie wskakuje? (od jakichś trzech dni
    >
    >
    > W sumie nic, chciałem pokazać wynik skanowania różnymi silnikami. Może
    > tak? http://www.przeklej.pl/plik/nietwirusa-mht-00168f98t
    1dc


    Dzięki, teraz przyjąłem.

    Nie wiem, czy któreś (wszystkie? żaden?) z ww. antywirów potrafią
    wirtualnie "rozinstalować" paczkę, bo tak już tylko dla porządku
    przypomnę, że sama instalka "PatchTool_setup.exe" w ClamWin jest
    "czysta" - zatrojanowany wg niego jest plik programu PTool.exe po
    zainstalowaniu.


    pozdrawiam

    Mariusz [mr.]



    ====================================================
    ==================

strony : [ 1 ]


Szukaj w grupach

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: