Gå til innhold

TROJ_DARPA.A.....heh

JKJK

Av JKJK
i IKT-drift og sikkerhet

Anbefalte innlegg

JKJK

JKJK

Skrevet
Skrevet (endret)

Gikk inn på siden:

 

http://won.attaq.net/lol.jpg

 

etterpå fikk jeg høre at denne loadet viruset TROJ_DARPA.A på pcn din. (via "windows media player ifølge HTML/SCRIPT koden på selve "virus" siden. Ved første øyekast på kildekoden (HTML koden), kunne det kanksje virke sånn, men etter å ha justert ølbrillene, ble jeg heller i tvil :)

 

søkte etter viruset på google, og fant bare 2-3 treff som IKKE hadde noe med denne siden å gjøre: http://it.trendmicro-europe.com/enterprise...me=TROJ_DARPA.A

 

(et whois-søk gav denne infoen:

[whois.corenic.net]

Whois Server Version 3.12

 

NOTICE: Access to the domains information is provided to assist in determining the contents of a domain name registration record in the CORE database. The data in this record is provided by CORE for informational purposes only, and CORE does not guarantee its accuracy. This service is intended only for query-based access. You agree that you will use this data only for lawful purposes and that, under no circumstances will you use this data to: (a) allow, enable, or otherwise support the transmission by e-mail, telephone, or facsimile of unsolicited, commercial advertising or solicitations; or (b) enable , automated, electronic processes that send queries or data to the systems of CORE, except as reasonably necessary to register domain names or modify existing registrations. All rights reserved. CORE reserves the right to modify these terms at any time. By submitting this query, you agree to abide by this policy.

 

Domain ID: D3216488-CNO

Domain Name: trendmicro-europe.com

Creation Date: 2001-11-23 12:13:18 UTC

Expiration Date: 2004-11-23 06:15:49 UTC

Last Modification Date: 2002-12-23 16:14:03 UTC

Sponsoring Registrar: CORE-39

Created by: CORE-96

Updated by: CORE-39

Last Updated By Registrar: CORE-39

Maintainer: 39

Registrant ID: COCO-1298661

Registrant Name: Reinhold Alsheimer

Registrant Organization: TREND MICRO Deutschland GmbH

Registrant Address: Lise-Meitner-Strasse 4

Registrant City: Unterschleissheim

Registrant State/Province: Unterschleissheim

Registrant Postal Code: D-85716

Registrant Country: DE

Registrant Phone Number: +49.8937479852

Registrant Fax Number: +49.8937479777

Registrant Email: [email protected]

Admin ID: COCO-1298662

Admin Name: Reinhold Alsheimer

Admin Organization: TREND MICRO Deutschland GmbH

Admin Address: Lise-Meitner-Strasse 4

Admin City: Unterschleissheim

Admin State/Province: Unterschleissheim

Admin Postal Code: D-85716

Admin Country: DE

Admin Phone Number: +49.8937479852

Admin Fax Number: +49.8937479777

Admin Email: [email protected]

Tech ID: COCO-1298663

Tech Name: Kirill Peskov

Tech Organization: TREND MICRO Deutschland GmbH

Tech Address: Lise-Meitner-Strasse 4

Tech City: Unterschleissheim

Tech State/Province: Unterschleissheim

Tech Postal Code: D-85716

Tech Country: DE

Tech Phone Number: +49.8937479861

Tech Fax Number: +49.8937479799

Tech Email: [email protected]

Zone ID: COCO-1298663

Zone Name: Kirill Peskov

Zone Organization: TREND MICRO Deutschland GmbH

Zone Address: Lise-Meitner-Strasse 4

Zone City: Unterschleissheim

Zone State/Province: Unterschleissheim

Zone Postal Code: D-85716

Zone Country: DE

Zone Phone Number: +49.8937479861

Zone Fax Number: +49.8937479799

Zone Email: [email protected]

Name Server: ns0.de.colt.net

Name Server: ns1.de.colt.net

 

Database last updated on  2004-01-09 22:40:30 UTC

 

CORE - [internet Council of Registrars] )

kildekoden på denne siden (og alle andre sider på it.trendmicro.europe.com)

inneholdt dette: <!-- ZoneLabs Privacy Insertion -->

<script language='javascript' src='http://127.0.0.1:1026/js.cgi?pcaw&r=6422'></script>

 

en n00b ville kanskje sagt: WÆÆÆÆ! Men faren av akurat dette avhenger jo av om du har js.cgi liggende i PATH mappa. Kunne ikke finne denne fila på min pc. (søk med total commander & file scavanger). Kunne heller ikke finne tskmng.exe på PC'n / processes lista.

 

 

 

 

leste en plass at viruset skulle legge inn et program som utgav seg for å beskytte alle P2P programmer mot RIAA, men at det egentlig la inn en annen torjaner som jobbet på port 1026. (viruset skal visstnok også bruke denne porten til å laste ned #stasj# via denne porten igjennom windows mediaplayer.)

 

i følge http://keir.net/portlist.html, skal port 1026 brukes av : TCP 1026 MSTASK / Remote Login Network Terminal.

 

Etter å ha kjørt NMAP mot min egen pc, fikk jeg også bekreftet dette.

 

Min søte NVC, spes Norman Sandbox har ikke gitt meg noen beskjed om at en "skummel" fil har entret min pc.

 

Sjekker oppdateringer på Firewall, NVC og Winupdate hver dag.

 

det som "overbeviste" meg, var at verken Norman eller Symantec (norton) hadde noe som helst info om dette "viruset"

 

Så, er viruset en hoax, eller er jeg godt beskyttet??

 

-John-

Endret av DJ-JK
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...