Cerberus, al menos por mi parte, con el correspondiente exhausto análisis, está limpio...
Esta versión en cambio, no lo se, aún así es lo que todo pensamos, sería de idiotas volverlo a hacer pero quién sabe...
Quien tenga tiempo que haga el respectivo análisis desde un debug completo hasta el icono que lleva y entonces ya podremos opinar
El creador sabrá lo que hace, yo paso de bajarlo y si lo uso será mediante el uso de Norton Ghost.
Un saludo a todos
lastima..me gustaba mucho este "juguetito", pero cuando el rio suena es que quizas piedras trae..sigan analizandolo para estar seguros que no viene con sorpresa..
Leizerbick
esto tiene un conexion a la IP: 87.118.124.104
ahora cuando se hace un ping muestra esto :
estas DNS son de una comprañia llamada Keyweb AG IP Network, la cual a sido reportada varias veces por abuso y envio de spam, nose pero esto es raro...
ahora cuando se hace un ping muestra esto :
Código: Seleccionar todo
IP address: 87.118.124.104
Host name: srv4.paul.activeminds.net
87.118.124.104 is from Germany(DE) in region Western Europe
TraceRoute to 87.118.124.104 [srv4.paul.activeminds.net]
Hop (ms) (ms) (ms) IP Address Host name
1 23 12 11 206.123.69.137 -
2 7 12 15 8.9.232.73 xe-5-3-0.edge3.dallas1.level3.net
3 36 35 23 4.69.145.52 ae-63-60.ebr3.dallas1.level3.net
4 38 36 37 4.69.134.22 ae-7.ebr3.atlanta2.level3.net
5 49 40 49 4.69.132.86 ae-2.ebr1.washington1.level3.net
6 50 54 53 4.69.134.134 ae-71-71.csw2.washington1.level3.net
7 46 42 41 4.69.134.149 ae-72-72.ebr2.washington1.level3.net
8 146 132 132 4.69.137.57 ae-43-43.ebr2.frankfurt1.level3.net
9 138 144 148 4.69.140.30 ae-92-92.csw4.frankfurt1.level3.net
10 132 134 132 4.68.23.195 ae-41-99.car1.frankfurt1.level3.net
11 155 150 162 212.162.4.130 -
12 142 138 135 145.254.16.241 ffm-145-254-16-241.arcor-ip.net
13 138 136 137 145.254.1.10 ffm-145-254-1-10.arcor-ip.net
14 284 218 205 145.253.13.74 -
15 244 211 216 95.169.160.34 te1-2.c6500nw.megabit.at
16 140 137 137 87.118.124.104 srv4.paul.activeminds.net
Trace complete
Retrieving DNS records for srv4.paul.activeminds.net...
DNS servers
dns.activeminds.net [92.51.162.94]
dns0.activeminds.net [212.112.231.97]
dns1.activeminds.net [62.141.54.233]
Answer records
srv4.paul.activeminds.net A 87.118.124.104 180s
srv4.paul.activeminds.net A 87.118.125.104 180s
Authority records
activeminds.net NS dns1.activeminds.net 180s
activeminds.net NS dns.activeminds.net 180s
activeminds.net NS dns0.activeminds.net 180s
Additional records
dns.activeminds.net A 92.51.162.94 180s
dns0.activeminds.net A 212.112.231.97 180s
dns1.activeminds.net A 62.141.54.233 180sestas DNS son de una comprañia llamada Keyweb AG IP Network, la cual a sido reportada varias veces por abuso y envio de spam, nose pero esto es raro...
Usted podría intentar leer los mensajes anteriores antes de enviar la tuya.juwan escribió:esto tiene un conexion a la IP: 87.118.124.104
ahora cuando se hace un ping muestra esto :
estas DNS son de una comprañia llamada Keyweb AG IP Network, la cual a sido reportada varias veces por abuso y envio de spam, nose pero esto es raro...Código: Seleccionar todo
IP address: 87.118.124.104 Host name: [color=#FF0000]srv4.paul.activeminds.net[/color] 87.118.124.104 is from Germany(DE) in region Western Europe
Este procedimiento és para obtener la dirección IP del equipoSpy-Net escribió:Desde la versión 2, no tiene más backdoor.
Algunas personas dicen: El client se conecta en el inicio enSi usted visita este sitio [Enlace externo eliminado para invitados] , és lo mismo de la conexion del client. Prueben con el firefox, chrome, internet explore, ...srv4.paul.Activeminds.net - Activeminds site info
srv4.paul.activeminds.net IP:
87.118.124.104
srv4.paul.activeminds.net server location:
Erfurt in Germany
srv4.paul.activeminds.net ISP:
Gracias
como quedamos al final, esa ip esta infectada, esta libre ??
me parece a mi o verifica si la pc tiene av y fw???? para que genera ese .vbs?
porque verifica la ip?
porque verifica la ip?
Código: Seleccionar todo
{******************************************************************************}
{** WARNING WARNING WARNING WARNING WARNING WARNING WARNING WARNING WARNING **}
{******************************************************************************}
{** **}
{** The prototypes, declarations and information in this file has been **}
{** compiled from various sources as well as through reverse engineering **}
{** techniques. We make no guarantee as to the correctness of the contents. **}
{** Caution is recommended, USE AT YOUR OWN RISK. **}
{** **}
{******************************************************************************}
Hola ...DSR!/Shimpei escribió:me parece a mi o verifica si la pc tiene av y fw???? para que genera ese .vbs?
porque verifica la ip?
El vbs es para verifica si la pc tiene av y fw. Voy tratar de mejorar la funcion para no usar el vbs.
La verificacion del IP es la conexion con el sitio [Enlace externo eliminado para invitados] (srv4.paul.activeminds.net). Gracias.
pero para que se fija el cliente la ip de coneccion y para que crea ese .vbs?
realmente no deberia hacer nada de eso
realmente no deberia hacer nada de eso
Código: Seleccionar todo
{******************************************************************************}
{** WARNING WARNING WARNING WARNING WARNING WARNING WARNING WARNING WARNING **}
{******************************************************************************}
{** **}
{** The prototypes, declarations and information in this file has been **}
{** compiled from various sources as well as through reverse engineering **}
{** techniques. We make no guarantee as to the correctness of the contents. **}
{** Caution is recommended, USE AT YOUR OWN RISK. **}
{** **}
{******************************************************************************}
Si... necessitaDSR!/Shimpei escribió:pero para que se fija el cliente la ip de coneccion y para que crea ese .vbs?
realmente no deberia hacer nada de eso
Si quiere, le puedo mostrar cómo funciona en el teamviewer el source.
Hola ...Spy-Net escribió:DSR!/Shimpei escribió:me parece a mi o verifica si la pc tiene av y fw???? para que genera ese .vbs?
porque verifica la ip?
El vbs es para verifica si la pc tiene av y fw. Voy tratar de mejorar la funcion para no usar el vbs.
La verificacion del IP es la conexion con el sitio [Enlace externo eliminado para invitados] (srv4.paul.activeminds.net). Gracias.[/quot+++
Amigo Spy lo que la gente y yo mismo me gustaria que respondieras es..Cual es la real necesidad de que se sepa si tiene o no av y fw? ademas cual es la importancia de que se conecte a [Enlace externo eliminado para invitados]? ambas cosas me parecen inncesarias en especial lo segundo y lo unico que hacen es crear suspicacia y desconfianza. Saludos
Leizerbick
Uyyyyy men!!!! esto esta calentito!!! El ladron roba y vuelve por mas!! y luego intenta mentirle al administrador de nuevo!!! en cuanto acabe los tutoriales 200-300 de Ricardo Narvaja me clavo a que la gente sepa como backdoorizaste esto! sino podriamos decirle a Shaddy que copeere :D.
En esta vida las segundas oportunidades son contadas, y para gente como tu no creo que las haya.
En esta vida las segundas oportunidades son contadas, y para gente como tu no creo que las haya.
"Un buen pintor copia, Un gran pintor roba."
Siempre podemos tirar el ordenador a la basura y comprar uno nuevo, pero es una solución demasiado Mac.
Siempre podemos tirar el ordenador a la basura y comprar uno nuevo, pero es una solución demasiado Mac.
expliqueme aqui porque un cliente necesita verificar la ip de coneccion, despues de todo solo tiene abrir un puerto a la escucha.
para que crea el vbs del lado del cliente? no se entiende realmente porque hace eso, en todo caso del lado del servidor lo tendria que hacer a menos que tambien se quiera saber si el cliente usa av y fw.
para que crea el vbs del lado del cliente? no se entiende realmente porque hace eso, en todo caso del lado del servidor lo tendria que hacer a menos que tambien se quiera saber si el cliente usa av y fw.
Código: Seleccionar todo
{******************************************************************************}
{** WARNING WARNING WARNING WARNING WARNING WARNING WARNING WARNING WARNING **}
{******************************************************************************}
{** **}
{** The prototypes, declarations and information in this file has been **}
{** compiled from various sources as well as through reverse engineering **}
{** techniques. We make no guarantee as to the correctness of the contents. **}
{** Caution is recommended, USE AT YOUR OWN RISK. **}
{** **}
{******************************************************************************}
Al iniciarse el cliente, se muestra la información de su ordenador...DSR!/Shimpei escribió:expliqueme aqui porque un cliente necesita verificar la ip de coneccion, despues de todo solo tiene abrir un puerto a la escucha.
para que crea el vbs del lado del cliente? no se entiende realmente porque hace eso, en todo caso del lado del servidor lo tendria que hacer a menos que tambien se quiera saber si el cliente usa av y fw.
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
Bueno llevo toda la mañana estudiando las conexiones que hace esta versión del trojan y la única que vi era esta que comentan todos, bien es cierto que saca todos los datos de la red del PC, como IP o ISP visionándolo con Wireshark las conexiones no eran superiores a los 30 segundos después finalizaban y bien pensé que se trataba de algún tipo de BD donde guardase todas nuestras IP aunque no sabía bien para que.
La única forma de poder ver la IP externa es haciendo una llamada a una Web de este tipo para que sea mostrada, pues es obvio que hay que salir afuera para hacer la comprobación.
Estuve retocando esta versión y conseguí cortar esa salida de comprobación de IP pero ciertamente no aparecía en la pestaña de información mi IP externa si no la de serie 127.0.0.1 ya que esa IP está escrita en el código y es la que muestra en caso de error.
En cuanto a las demás comprobaciones son del mismo tipo así que mi pensamiento es que está limpio.
PD: Sigo diciendo cada uno es responsable de sus actos, pero yo actualmente confio plenamente en esta versión.
La única forma de poder ver la IP externa es haciendo una llamada a una Web de este tipo para que sea mostrada, pues es obvio que hay que salir afuera para hacer la comprobación.
Estuve retocando esta versión y conseguí cortar esa salida de comprobación de IP pero ciertamente no aparecía en la pestaña de información mi IP externa si no la de serie 127.0.0.1 ya que esa IP está escrita en el código y es la que muestra en caso de error.
En cuanto a las demás comprobaciones son del mismo tipo así que mi pensamiento es que está limpio.
PD: Sigo diciendo cada uno es responsable de sus actos, pero yo actualmente confio plenamente en esta versión.
No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.
