Witam.


    Nieoczekiwanie dla samego siebie znalazłem na swoim dysku
dwumiesięczne wyniki pracy keyloggera sprzed prawie dwóch lat! Szok
tym większy, że restrykcyjnie przestrzegam dawno wypracowanego BHP
- nie szlajam się po podejrzanych stronach, instalki pobieram wyłącznie
ze stron autorskich, itd.


    Z konieczności rozpocząłem śledztwo, przy jakiej okazji mogłem
złapać takiego syfa.


    Przeanalizowałem pliki modyfikowane na dysku w tym samym czasie,
jednak najskuteczniejsze okazało się zbadanie samego keylogu, bo
zaczyna się od wielkiej puli wpisów związanych z uruchomieniem świeżo
zainstalowanej nowej wersji PatchTool z BabelColor, sprawdzania jego
możliwości oraz przeglądania stron dot. kalibracji, np.:



***************************C:\Program
Files\BabelColor\PatchTool\sample_files (21:52:28-23:May:2010)
***************************
[ENT][UP][ENT][UP][ENT][UP][ENT][DWN][DWN][DWN]~~~~[RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT][RGT]ZOLTAWY
[LFT])[LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT]([ENT][UP][UP][UP]

*************************** (21:53:38-23:May:2010)
***************************
gp

***************************C:\Program
Files\BabelColor\PatchTool\sample_files (21:54:05-23:May:2010)
***************************
[DWN][DWN][DWN][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][RGT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT]
[ESC][UP][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT]
(ZOLTAWY)
[ENT][UP][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT]
(ZOLTAWY)
[ENT][UP][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT]
(ZOLTAWY) [ENT][ENT][DWN][ENT]

***************************C:\Program
Files\BabelColor\PatchTool\sample_files (21:55:57-23:May:2010)
***************************
[UP][ENT]

*************************** (21:56:02-23:May:2010)
***************************
5

***************************C:\Program
Files\BabelColor\PatchTool\sample_files (21:57:11-23:May:2010)
***************************
[DWN][ENT]

*************************** (22:00:33-23:May:2010)
***************************
x

***************************C:\Program
Files\BabelColor\PatchTool\sample_files (22:03:24-23:May:2010)
***************************
[LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT]RGB
to same, spekr[BK]trum
inne[DEL][DEL][DEL][DEL][DEL][DEL][DEL][DEL][DEL][DEL][DEL][DEL][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][RGT]
[ENT][UP][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT][LFT]
[ENT][DWN][DWN][DWN][DWN][DWN][UP][UP][UP][DWN][DWN][DWN][UP][UP][UP][UP][DWN][ENT][DWN][ENT][DWN][ENT][DWN][ENT][ENT]~

*************************** (22:05:50-23:May:2010)
***************************



    No i przypomniałem sobie, że kiedyś już pisałem na podobny temat
na grupie i... Bingo! Chyba dopadłem świnię... Dokładnie dzień później
zgłaszałem, że ClamWin wykrył w nowej wersji trojana! No to zaczyna
się już składać w ponurą dla BabelColor całość...

    BTW: Jeszcze raz polecam ClamWin na takich skurwli.






    Poniżej załączam moje posty z 24 V 2010:

(obecność dwumiesięcznego keyloga na dysku świadczy, że i Restore
Systemu nie pomógł - takie draństwo...)


======================================================================

Witam.


    Piszę na wypadek, gdyby ktoś używał - ClamWin mi raportuje
w każdej świeżej instalacji PatchTool 2.8.0 z Babelcolor na Windows:
        - PTool.exe: Trojan.Agent-147061
    Usunąłem dziada, bo szpiegów nie potrzebuję.


pozdrawiam

Mariusz   [mr.]



======================================================================

"Czornyj"  wrote:

    Piszę na wypadek, gdyby ktoś używał - ClamWin mi raportuje
w każdej świeżej instalacji PatchTool 2.8.0 z Babelcolor na Windows:
       - PTool.exe: Trojan.Agent-147061
    Usunąłem dziada, bo szpiegów nie potrzebuję.

Mi tam nic nie pokazuje

    A mi raportuje zarówno w zainstalowanej wersji jak i w każdej nowej
instalacji po zrobieniu restoru systemu. Nowo ściągnięta instalka
identyczna ze starą, więc zakładam, że trojan jest w środku. Może po ich
stronie coś się przypałętało?


[...]


pozdrawiam

Mariusz   [mr.]



======================================================================

 wrote:

[...]

    Piszę na wypadek, gdyby ktoś używał - ClamWin mi raportuje
w każdej świeżej instalacji PatchTool 2.8.0 z Babelcolor na Windows:
        - PTool.exe: Trojan.Agent-147061
    Usunąłem dziada, bo szpiegów nie potrzebuję.

A zgłosiłeś to sprzedawcy?

    Teraz już tak. Wolałem najpierw skrobnąć tu na grupie, bo może firma
gdzieś oficjalnie ogłosiła, że od nowej wersji legalnie będą szpiegować
swoich klientów? Oczywiście mogło też i tak być, że kawałek kodu
przypadkiem zgodził się z "odciskiem palca" jakiegoś trojana, ale
ClamWin jest pod tym względem bardzo ostrożny - od dwóch lat miałem
może ze trzy alarmy.


pozdrawiam

Mariusz   [mr.]



======================================================================

"altar"  wrote:

[...]

   Piszę na wypadek, gdyby ktoś używał - ClamWin mi raportuje
w każdej świeżej instalacji PatchTool 2.8.0 z Babelcolor na Windows:
       - PTool.exe: Trojan.Agent-147061
   Usunąłem dziada, bo szpiegów nie potrzebuję.

http://www.virustotal.com/analisis/58e3c67f0d11b025384eba9aa1ffd2ec5a09545bb8d73e3640c544f6718180b2-1275083981

    Coś ciekawego? Bo strona mi nie wskakuje? (od jakichś trzech dni
miałem niewielkie problemy na łączach, postawiłem nawet hipotezę, że
powódź uszkodziła część serwerów/łączy i sygnał ma problemy
z trasowaniem).

    A co do trojana - Babel odpowiedział, że oczywiście w środku
oficjalnie nie ma żadnego trojana, a program należy przytulić do serca i
najlepiej przeprosić specjalnie go wyłączając z dalszej kontroli
antywirusowej w przyszłości.  ;-)

    Stary już jestem, a nie przypominam sobie, żeby jakakolwiek centrala
zdradzała swoich agentów, a z agentów wpływu to już najlepiej powinniśmy
sobie stworzyć prawdziwą siatkę autorytetów, co nam podadzą gotowe
wszystkie prawdy do wierzenia.  :)



    A poważniej: zakładam, że nastąpiła przypadkowa zbieżność z
"odciskiem palca" jakiegoś trojana, ale mimo wszystko poczekam na nową
wersję. Dla zasady.


pozdrawiam

Mariusz   [mr.]



======================================================================

"altar"  wrote:
[...]

   Piszę na wypadek, gdyby ktoś używał - ClamWin mi raportuje
w każdej świeżej instalacji PatchTool 2.8.0 z Babelcolor na
Windows:
       - PTool.exe: Trojan.Agent-147061
   Usunąłem dziada, bo szpiegów nie potrzebuję.

http://www.virustotal.com/analisis/58e3c67f0d11b025384eba9aa1ffd2ec5a09545bb8d73e3640c544f6718180b2-1275083981

   Coś ciekawego? Bo strona mi nie wskakuje? (od jakichś trzech dni

W sumie nic, chciałem pokazać wynik skanowania różnymi silnikami. Może
tak? http://www.przeklej.pl/plik/nietwirusa-mht-00168f98t1dc

    Dzięki, teraz przyjąłem.

    Nie wiem, czy któreś (wszystkie? żaden?) z ww. antywirów potrafią
wirtualnie "rozinstalować" paczkę, bo tak już tylko dla porządku
przypomnę, że sama instalka "PatchTool_setup.exe" w ClamWin jest
"czysta" - zatrojanowany wg niego jest plik programu PTool.exe po
zainstalowaniu.


pozdrawiam

Mariusz   [mr.]



======================================================================