Crack-wifi.com FORUM

LE FORUM DU SITE

Wifi, Backtrack, crack WEP et WPA...

Vous n'êtes pas identifié(e).  

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#1 06-03-2011 02:43:27

Reverdy
Banni(e)
Inscription : 06-03-2011
Messages : 2

Désinfection

Bonjour à tous !
Voici un petit soft qui vous désinfecte des principaux BotNet qui se trouve sur le net .
Deux versions, une pour XP/Vista et l'autre pour Seven.

Voila : http://www.multiupload.com/EOHNTNN0HK

Avertissement modération : Ce fichier est manifestement infecté et nuisible, à n'exécuter que dans une machine virtuelle et à des fins éducatives seulement !

Dernière modification par antares145 (06-03-2011 12:35:18)

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#2 06-03-2011 10:29:48

raylook
Membre d'Or
Lieu : dans ton disque dur !!
Inscription : 13-01-2010
Messages : 449
Site Web

Re : Désinfection

Salut
J'ai essayé de télécharger ton fichier mais mon antivirus ne veux pas , dois je désactiver l'antivirus ? lol

Dernière modification par raylook (06-03-2011 10:30:08)


fete.gif

Hors Ligne

#3 06-03-2011 10:55:50

Reverdy
Banni(e)
Inscription : 06-03-2011
Messages : 2

Re : Désinfection

Oui smile

Hors Ligne

#4 06-03-2011 11:59:25

noireaude
Membre d'honneur
Lieu : Chez le docteur
Inscription : 12-03-2010
Messages : 2 362
Site Web

Re : Désinfection

Ca sent pas bon lol

Mais bon, de toute façon je tourne pas sous Windows hi hi ...


L’écureuil conserve les noisettes par instinct et non par représentation, sans cela il aurait déjà bâti des congélateurs à noisettes. Karl Marx : 1818 - 1883

Ma seule certitude est d'être dans le doute. Pierre Desproges : 1939 - 1988  @lavachelibre

Hors Ligne

#5 06-03-2011 12:01:52

raylook
Membre d'Or
Lieu : dans ton disque dur !!
Inscription : 13-01-2010
Messages : 449
Site Web

Re : Désinfection

Pourquoi des requette dns vers un site qui se cache derrière No-Ip lol

wtfls.jpg
plus grande ici


fete.gif

Hors Ligne

#6 06-03-2011 12:32:05

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : Désinfection

Vous noterez qu'il a eu la décence de poster ça dans "[...] Virus et autres malwares" smile

J'ai essayé de télécharger ton fichier mais mon antivirus ne veux pas , dois je désactiver l'antivirus ? big_smile

Il semble que tu ne sois pas le seul dans le cas, Virustotal déclenche avec 16 antivirus sur 43 smile
--> Version XP/Vista
--> Version Win7

Reverdy, ton truc aurait pu marcher sur un forum plus généraliste, mais le public ici est (je pense) trop expérimenté pour tomber dedans. Alors si en plus tu nous prends pour des c*ns en nous disant de désactiver les antivirus... Messieurs, je pense que nous avons un gagnant !
boulet

Bon, assez rigolé, Reverdy évidemment pour toi c'est kick & ban, et pour tous les autres... A vos VM, le premier qui trouve ce que fait vraiment ce logiciel parasite a gagné ! big_smile

Hors Ligne

#7 06-03-2011 12:35:53

noireaude
Membre d'honneur
Lieu : Chez le docteur
Inscription : 12-03-2010
Messages : 2 362
Site Web

Re : Désinfection

20 boulet

Noireaude : A voté !!!!

Ps: pour la recherche c'est mort je viens de voir que mon cd XP que j'ai déterré pour l'occase est complètement DCD sad ... Dommage va falloir que je m'en dégotte un autre (au cas ou) ...

Dernière modification par noireaude (06-03-2011 12:43:10)


L’écureuil conserve les noisettes par instinct et non par représentation, sans cela il aurait déjà bâti des congélateurs à noisettes. Karl Marx : 1818 - 1883

Ma seule certitude est d'être dans le doute. Pierre Desproges : 1939 - 1988  @lavachelibre

Hors Ligne

#8 06-03-2011 15:16:33

koala
Membre d'honneur
Lieu : In the sky
Inscription : 03-09-2010
Messages : 2 316

Re : Désinfection

Sa fait toujours plaisir un peu d'ambiance big_smile

Hors Ligne

#9 06-03-2011 15:37:47

Veidam
Membre Indispensable
Lieu : us
Inscription : 11-02-2010
Messages : 530

Re : Désinfection

[hors_sujet]

retour aux sources le rire avant tout

[small]on a gagné du crédit je crois...
on le vaut bien mon capitaine[/small]
[/hors_sujet]

Hors Ligne

#10 06-03-2011 16:08:09

raylook
Membre d'Or
Lieu : dans ton disque dur !!
Inscription : 13-01-2010
Messages : 449
Site Web

Re : Désinfection

Allez je vais essayer de voir ce qu'il fait ....

L'adresse ip cacher par no-ip est heberge en france ^^
whois ip
Voici les résultats du whois pour l'adresse IP 92.131.183.xxx

C'est le serveur whois.ripe.net qui possède l'information suivante :

% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '92.131.183.0 - 92.131.183.255'

inetnum: 92.131.183.0 - 92.131.183.255
netname: IP2000-ADSL-BAS
descr: BSLIL156 Lille Bloc 2
country: FR
admin-c: WITR1-RIPE
tech-c: WITR1-RIPE
status: ASSIGNED PA
remarks: for hacking, spamming or security problems send mail to
remarks: [email protected]
mnt-by: FT-BRX
source: RIPE # Filtered

role: Wanadoo France Technical Role
address: FRANCE TELECOM/SCR
address: 48 rue Camille Desmoulins
address: 92791 ISSY LES MOULINEAUX CEDEX 9
address: FR
phone: +33 1 58 88 50 00
e-mail: [email protected]
admin-c: WITR1-RIPE
tech-c: WITR1-RIPE
nic-hdl: WITR1-RIPE
mnt-by: FT-BRX
source: RIPE # Filtered

% Information related to '92.128.0.0/11AS3215'

route: 92.128.0.0/11
descr: France Telecom Orange
origin: AS3215
mnt-by: RAIN-TRANSPAC
mnt-by: FT-BRX
source: RIPE # Filtered

Une fois lancé le programme se lance a chaque démarrage [Modification de la base de registre]:
Le programme commence par télécharger cette page :

GET /cfg1.bin HTTP/1.1

Télécharge quelque "fichiers"
Crée un fichier sdra64.exe  dans le dossier system32
Une recherche rapide sur google indique que c'est un trojan/backdoor

Envoie différente informations a une page php "gate.php" , les informations échangé on l'air d'etre crypté ,il faudrait analyser le programme , faire un peu de reverse engineering pour voir pouvoir décoder les donnés
mais je n'ai pas le temps ni l'expérience tongue, j'ai mis le programme de coté quand j'aurais un peu de temps j'essayerai de faire un truc ^^


fete.gif

Hors Ligne

#11 06-03-2011 22:00:06

raylook
Membre d'Or
Lieu : dans ton disque dur !!
Inscription : 13-01-2010
Messages : 449
Site Web

Re : Désinfection

Conclusion du rapport :
L'exécutable analyser est un trojan (Trojan.Zbot)  généré par un outil disponible sur internet pour une [grosse] poigné de dollars selon les versions..

2010-011016-3514-99.7.jpg

En effet ca concorde avec les informations trouver :
Le nom généré est un des nom possible d'etre généré par le toolkit
# ntos.exe
# oembios.exe
# twext.exe
# sdra64.exe
# pdfupd.exe

Et la page php trouvé correspond :
url_server “http://[REMOVED].com/zeusbot/gate.php

Ainsi que les différentes requêtes :

  "  * The following GET request was made:
          o zsb/cfg1.bin "(Threat expert source)

Ca serait donc HTTP Zbot Malicious File Download

Sources et informations techniques

Dernière modification par raylook (06-03-2011 22:09:21)


fete.gif

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

Pied de page des forums


Le coin des bonnes affaires, achats informatiques:


|   Alfa 1000 mW AWUS036H   |    Linksys WRT54GL   |    Misco, informatique   |   
 |    Ebay   |    PC portables   |    PC Gamers & Tuning   |    Cles USB   |   
|   Disques durs externes 2 To   |   
|   Wifi-highpower.com   |   


Server Stats - [ Generated in 0.024 seconds ]   Forum Stat - [ Most users ever online on the forum was : 150 on 20-09-2009 17:06:59 ]