Lidskjalv Skrevet 31. mai 2006 Del Skrevet 31. mai 2006 En trojan jeg fanget hadde en konfigurasjonfil sammen med filen iosdt.exe i egen system32 mappe. Teksten i conf. filen var: [parameters] [email protected] [buffers] checkpoint-filename=check.dat frequent-threshold-checks=3 buffer-file-basename=indt output-file-basename=outdt [misc] project-priority=RC5-72,OGR=0 [triggers] restart-on-config-file-change=yes [display] progress-indicator=auto-sense detached=yes [ogr] fetch-workunit-threshold=0 [logging] mail-log-via=smtp.o2.pl mail-log-max=81920 [email protected] log-file-limit=200 log-file=iosdt.log log-file-type=fifo [email protected] [networking] firewall-type=http keyserver=*:80 nettimeout=300 [rc5-72] fetch-time-threshold=336 Hva gjør trojanen? Blokker http pg logger e-post? Lenke til kommentar
berxter Skrevet 1. juni 2006 Del Skrevet 1. juni 2006 Det jeg vet er at iosdt.exe har et nært forhold til/sprer "Distributed.net": http://www.distributed.net/trojans.php http://service1.symantec.com/SUPPORT/nav.n...000101607584306 Distributed.net er fullt legitimt, men spres gjerne illegitimt. En analyse av hva skriptet du legger ut gjør er ikke min forte. Bernt K Lenke til kommentar
Lidskjalv Skrevet 1. juni 2006 Forfatter Del Skrevet 1. juni 2006 Så den låner cpu-kraft av min maskin. Kanskje det er sånn mange av Folding at home teamene og überHäckrz skaffer seg hundrevis av foldende cpuer mens vi dødelige har en og to? Noen som vet hvilken klient denne trojanen kjører? Lenke til kommentar
berxter Skrevet 1. juni 2006 Del Skrevet 1. juni 2006 Noe mer kan du lese her: http://castlecops.com/o23list-180.html Jeg finner intet annet om iosdt.exe enn at de forskjellige sitene definerer den som en Trojaner, og at den normalt kjører som en service: HJT pleier å rapportere den slik: O23 - Service: distributed.net client (dnetc) - Unknown owner - C:\WINDOWS\System32\iosdt\iosdt.exe Alle sitene jeg har sett anbefaler å stoppe servicen og slette fila. Bernt K Lenke til kommentar
PerB Skrevet 1. juni 2006 Del Skrevet 1. juni 2006 En analyse av hva skriptet du legger ut gjør er ikke min forte. 6220381[/snapback] Nå er det ikke en skriptfil som trådstarter har lagt ved, men en paramterfil til programmet. Hva programmet benytter verdiene til kan vel egentlig bare programmereren svare på. Det vise imidlertid til et polsk domene "o2.pl" og en mailadresse i Polen "[email protected]". Dette kan tyde på at polen er innblandet - men verdiene kan også være falske (dvs ikke bli benyttet til noe). Søk på iosdt.exe er nok beste metdoe til å finne beskrivelser for hva trojaneren antas å gjøre. Det kan også finnes analyser hos antivirusprogramprodusentene (puh - langt ord). Lenke til kommentar
berxter Skrevet 1. juni 2006 Del Skrevet 1. juni 2006 En analyse av hva skriptet du legger ut gjør er ikke min forte. 6220381[/snapback] Nå er det ikke en skriptfil som trådstarter har lagt ved, men en paramterfil til programmet. 6221942[/snapback] Nei, akkurat; det er ikke min forte Bernt K Lenke til kommentar
Lidskjalv Skrevet 1. juni 2006 Forfatter Del Skrevet 1. juni 2006 Har skjekket opp litt angående denne trojanen. Den er brukt til å stjele resurrser fra cpu til distr.comp. formål. Spres gjennom p2p. Case closed. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå