Система удалённого администрирования SHARK v.3.0.0

Система удалённого администрирования SHARK v.3.0.0



Cкачать

 

А кто тестить будет? Опять я?! (/thread45828.html)

 

Eсли есть желание,можешь протестить и отписать ,что нового и тд...

 

Ща виртуалку запущу тока...

 

И снова билдер склеен с бэкдором или он сам бэкдор, так же как и в предыдущих версиях?

Code:

Поиск вирусов
-------------
Проверено:	16
Обнаружено:	4
Не обработано:	4
Запуск:	19.02.2008 14:13:29
Длительность:	00:00:34
Завершение:	19.02.2008 14:14:03


Обнаружено
----------
Статус	Объект
------	------
обнаружено: троянская программа Backdoor.Win32.Shark.if	Файл: C:\Distribut\Shark_3\sharK_3\sharK.exe
обнаружено: троянская программа Backdoor.Win32.Shark.if	Файл: C:\Distribut\Shark_3\sharK_3\upx.exe//PE_Patch.UPX//UPX
обнаружено: троянская программа Backdoor.Win32.Shark.if	Файл: C:\Distribut\Shark_3\sharK_3\Stubs\injector.shark
обнаружено: троянская программа Backdoor.Win32.Shark.tk	Файл: C:\Distribut\Shark_3\sharK_3\Stubs\stub.shark


События
-------
Время	Имя	Статус	Причина
-----	---	------	-------
19.02.2008 14:13:33	Файл: C:\Distribut\Shark_3\sharK_3\cdkeys.db	ok	проверен
19.02.2008 14:13:36	Файл: C:\Distribut\Shark_3\sharK_3\comdlg32.ocx	ok	проверен
19.02.2008 14:13:36	Файл: C:\Distribut\Shark_3\sharK_3\history.db	ok	проверен
19.02.2008 14:13:37	Файл: C:\Distribut\Shark_3\sharK_3\mscomctl.ocx	ok	проверен
19.02.2008 14:13:37	Файл: C:\Distribut\Shark_3\sharK_3\mswinsck.ocx	ok	проверен
19.02.2008 14:13:37	Файл: C:\Distribut\Shark_3\sharK_3\richtx32.ocx	ok	проверен
19.02.2008 14:13:37	Файл: C:\Distribut\Shark_3\sharK_3\sharK.exe	обнаружено: троянская программа 'Backdoor.Win32.Shark.if'	
19.02.2008 14:13:40	Файл: C:\Distribut\Shark_3\sharK_3\sharK.exe	не вылечен	обработка отложена пользователем
19.02.2008 14:13:41	Файл: C:\Distribut\Shark_3\sharK_3\shdocvw.dll	ok	проверен
19.02.2008 14:13:41	Файл: C:\Distribut\Shark_3\sharK_3\startups.db	ok	проверен
19.02.2008 14:13:41	Файл: C:\Distribut\Shark_3\sharK_3\upx.exe	упакованный файл PE_Patch.UPX	
19.02.2008 14:13:42	Файл: C:\Distribut\Shark_3\sharK_3\upx.exe//PE_Patch.UPX	упакованный файл UPX	
19.02.2008 14:13:42	Файл: C:\Distribut\Shark_3\sharK_3\upx.exe//PE_Patch.UPX//UPX	обнаружено: троянская программа 'Backdoor.Win32.Shark.if'	
19.02.2008 14:13:42	Файл: C:\Distribut\Shark_3\sharK_3\upx.exe//PE_Patch.UPX//UPX	не вылечен	обработка отложена пользователем
19.02.2008 14:13:43	Файл: C:\Distribut\Shark_3\sharK_3\zlib.dll	ok	проверен
19.02.2008 14:13:43	Файл: C:\Distribut\Shark_3\sharK_3\Stubs\injector.shark	обнаружено: троянская программа 'Backdoor.Win32.Shark.if'	
19.02.2008 14:13:44	Файл: C:\Distribut\Shark_3\sharK_3\Stubs\injector.shark	не вылечен	обработка отложена пользователем
19.02.2008 14:13:44	Файл: C:\Distribut\Shark_3\sharK_3\Stubs\stub.shark	обнаружено: троянская программа 'Backdoor.Win32.Shark.tk'	
19.02.2008 14:13:44	Файл: C:\Distribut\Shark_3\sharK_3\Stubs\stub.shark	не вылечен	обработка отложена пользователем
19.02.2008 14:13:44	Файл: C:\Distribut\Shark_3\sharK_3\Cache\info.htm	ok	проверен
19.02.2008 14:13:44	Файл: c:\distribut\shark_3\shark_3\shark.exe	обнаружено: троянская программа 'Backdoor.Win32.Shark.if'	
19.02.2008 14:13:49	Файл: c:\distribut\shark_3\shark_3\shark.exe	не вылечен	выбрано действие "Пропустить"
19.02.2008 14:13:50	Файл: c:\distribut\shark_3\shark_3\upx.exe	упакованный файл PE_Patch.UPX	
19.02.2008 14:13:51	Файл: c:\distribut\shark_3\shark_3\upx.exe//PE_Patch.UPX	упакованный файл UPX	
19.02.2008 14:13:51	Файл: c:\distribut\shark_3\shark_3\upx.exe//PE_Patch.UPX//UPX	обнаружено: троянская программа 'Backdoor.Win32.Shark.if'	
19.02.2008 14:13:53	Файл: c:\distribut\shark_3\shark_3\upx.exe//PE_Patch.UPX//UPX	не вылечен	выбрано действие "Пропустить"
19.02.2008 14:13:53	Файл: c:\distribut\shark_3\shark_3\stubs\injector.shark	обнаружено: троянская программа 'Backdoor.Win32.Shark.if'	
19.02.2008 14:13:57	Файл: c:\distribut\shark_3\shark_3\stubs\injector.shark	не вылечен	выбрано действие "Пропустить"
19.02.2008 14:13:58	Файл: c:\distribut\shark_3\shark_3\stubs\stub.shark	обнаружено: троянская программа 'Backdoor.Win32.Shark.tk'	
19.02.2008 14:14:02	Файл: c:\distribut\shark_3\shark_3\stubs\stub.shark	не вылечен	выбрано действие "Пропустить"

 

ладно ковыряем дальше:
Отключаем файловый модуль Каспера, проактивку на максимум!

Code:

Перехвачена попытка удаления значения в ключе системного реестра, который входит в группу Kaspersky Settings.

Ключ: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F9043C85-F6F2-101A-A3C9-08002B2F49FB}

Значение: 

Данные(Не определен):

Гы! Билдер пытается отключить Каспера...

P.S. У кого есть официальный релиз, а не эта протрояненая лажа?

 

-=lebed=-
Этот проверь
http://rapidshare.com/files/92841628/sharK_3.zip.html

 

Далле троян пытается поставить плагин к Ослу

Code:

Перехвачена попытка создания значения в ключе системного реестра, который входит в группу Internet Explorer Plugins. Эти ключи контролируют настройки расширений (plug-ins) браузера Microsoft Internet Explorer.

Рекомендуется разрешить доступ к этим настройкам только в том случае, если вы действительно хотите их изменить. В остальных случаях рекомендуется запретить доступ.

Ключ: HKEY_USERS\S-1-5-21-2025429265-1606980848-1708537768-500\Software\Microsoft\Internet Explorer\Toolbar\Explorer

Затем меняет настройки безопасности:

Code:

Перехвачена попытка создания значения в ключе системного реестра, который входит в группу System Security. Эти ключи контролируют настройки безопасности компьютера.


Рекомендуется разрешить доступ к этим настройкам только в том случае, если вы действительно хотите их изменить. В остальных случаях рекомендуется запретить доступ.

Ключ: HKEY_USERS\S-1-5-21-2025429265-1606980848-1708537768-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

Значение: NoNetCrawling

Новые данные(Число 32 бит):
0x00000001 (1)

И эти три вещи он делает до усёра в цикле, так как потом проверяет что изменений не произведено, пытается вновь их произвести...

 

После долгой борьбы с проактивкой Каспера (разрешил всё что хотел...) троян пытается прописаться в автозагрузку:

Code:

Перехвачена попытка создания значения в ключе системного реестра, который входит в группу System Startup. Эти ключи контролируют состав модулей, загружаемых при запуске Microsoft Windows.
Рекомендуется разрешить доступ к этим настройкам только в том случае, если вы хотите, чтобы эта программа запускалась автоматически при включении компьютера. В остальных случаях рекомендуется запретить доступ.
Ключ: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSComDlg.CommonDialog.1\CLSID
Значение: 
Новые данные(Строка Unicode, заканчивающаяся нулем):
{F9043C85-F6F2-101A-A3C9-08002B2F49FB}

P.S. Мля, хотел потестить Шарк, а придётся снова трояна...

 

Проверял ?

 

Практически тоже самое, только в предыдущем архиве ещё и пакер заражён, а в этом чистый

 

Линк с офф сайта на скачку http://ratforge.net/forums/index.php?autocom=downloads&req=download&code=do_download&id=27

 

Всё это лажа, т.к. билдер не должен быть сам трояном...
P.S. TC (-3) за трату моего времени (cаму живность завтра попробую затестить...)

 

Poison Ivy получше будет. она постабильнее работает.
хотя в шарке 3.1 обещали пофиксить баги. выйдет - посмотрим