Re: Personal Firewall / Dziwny adres DNS

Autor: Marek Janaszewski \(USUN_TO. z adresu!\) <USUN_TO.j_marek_at_gazeta.pl>
Data: Tue 17 Aug 2004 - 00:51:58 MET DST
Message-ID: <cfrdhq$24s0$2@node1.news.atman.pl>
Content-Type: text/plain; charset="iso-8859-2"

W wiadomości: cfgulf$o6b$3@news.onet.pl,
Grzegorz Niemirowski <gnthexfiles@poczta.onet.pl> napisał(a):
[...]
>> Oto zawartość okienka ostrzeżenia Kerio:
>> TCP Connection to customer-reverse-entry.69.59.165.232
>> [69.59.165.232:80] was blocked by rule 'rundll32.exe - Blokada'
>> rundll32 C:\DOCUME~1\Marek\USTAWI~1\Temp\wmyisnt.dll,Start 1
>> TCP 1033 - 1075 -- 15
>> Teraz pytanie, co oznacza ten fikuśny adres DNS:
>> customer-reverse-entry.69.59.165.232, zamiast coś ludzkiego.
[...]
> A to na pewno jest plik jakiegoś Twojego programu? Wygląda na wirusa
> albo spyware.

Witam!

Co znaczy moje programu. Nie napisałem takie program :-) Wygląda
podejrzanie, ale różne skanowania niczego nie wykazują. Teraz skanuje za
pomocą Spybot.

Spybot nic specjalnego nic specjalnego nie znalazł. Jak zwykle trochę
ciasteczek. Natomiast narzędzie dołączone do tego programu wskazał dziwny
plik. Narzędzie nazywa się "Browser Helper Objects". Pewnie jakieś obiekty
COM uruchamiane przez IE.

Log z tego narzędzia:
{D17FFE57-AB86-69CC-E5BC-7B8C7315B3B4} (bootviv)
          BHO name:
        CLSID name: bootviv
              Path: C:\WINDOWS\System32\
         Long name: bootviv.dll
        Short name:
    Date (created): 2001-10-30 14:00:00
Date (last access): 2004-08-16 23:42:42
 Date (last write): 2001-10-30 14:00:00
          Filesize: 166400
        Attributes: archive
               MD5: B0CC391FCB5E5DE8C60213435E9582F6
             CRC32: 4EB9670C
           Version: 255.255.255.255

Brak informacji o wersji w tym pliku więc nikt się do niego nie przyznaje.
Czy tak masz taki plik na swoim komputerze?
Używam IE w wersji: 6.0.28... , Windows XP SP1 PL

Chyba to jest właśnie ten szpieg. Do tego ma plik o nazwie bootviv.dat w tym
samy katalogu, gdzie pewno gromadzi dane. Porównałem te pliki. To znaczy
bootviv.dll i rzeczony wmyisnt.dll są binarnie identyczne.

Z drugiej strony plik ten ma fajną datę utworzenia, taką równą. Zwykle
legalne oprogramowanie tak robi przy instalacji. Oznaczają chyba tak wersje
pliku. Przez datę upodabnia się do pliku obok w katalogu bootvid.dll. Ten
plik z kolei jest autorstwa Microsoftu: VGA Boot Driver.

Teraz pytanie gdzie coś takiego zgłośnić aby odpowiedni uzupełnili bazy tych
skanerów jeśli to nie jest fałszywy alarm. Może na początek do MkS-a?

Sprawdziłem Process Explorere co załadowało ten plik. Okazuje się, że jakieś
10 procesów. To wygląda na szpiega. 

-- 
Pozdrawiam,
Marek Janaszewski
[ j_marek(at)gazeta.pl ]
Received on Tue Aug 17 00:55:17 2004

To archiwum zostało wygenerowane przez hypermail 2.1.8 : Tue 17 Aug 2004 - 01:42:03 MET DST