RMS - полностью скрытая установка и управление.

Nedovirus · 07.11.2014

4ekkk сказал(а):
Никакой хитрости у него и в помине нет и быть не может вот ссыль на файл пас 1
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
это то, что он мне скинул даже иконку не поменял)

Сам файл из себя представляет 7z-sfx архив и детектируется на ВТ (я поискал там файл по MD5) 39 антивирусами.
Внутри него:
reg-файл для внесения в реестр настроек rms (особых подозрений у аверов не вызывает)
install.cmd - это не уникальный какой-то инсталлятор, а взятый готовый - впервые на ВТ 8 месяцев назад встречается, последний раз - два месяца назад. Уже тогда детектировался 9 антивирусами, а сейчас их стопудово в полтора-два раза больше стало.
rms.host5.6ru.msi - чуть модифицированный инсталлятор программы, внутри которого лежит ничуть не модифицированный rutserv.exe (оригинальная цп сохранена), который детектируется 22 на ВТ
winmm.dll - либа, которая призвана что-то там скрывать, а на деле все выдает - она заражена файловым вирусом ramnit - и имеет 49/53 детектов на ВТ.
А оригинальная эта либа (которая не заражена файловым вирусом) детектится всего-то 35 антивирусами. Вот:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Как у него только получилось рамнитом все позаражать ...

Такого дикого убожества я давненько не встречал. Спасибо за файл, поржал Dmeh-Smeh-Smeh!!!

4ekkk · 07.11.2014

Nedovirus сказал(а):
Сам файл из себя представляет 7z-sfx архив и детектируется на ВТ (я поискал там файл по MD5) 39 антивирусами.
Внутри него:
reg-файл для внесения в реестр настроек rms (особых подозрений у аверов не вызывает)
install.cmd - это не уникальный какой-то инсталлятор, а взятый готовый - впервые на ВТ 8 месяцев назад встречается, последний раз - два месяца назад. Уже тогда детектировался 9 антивирусами, а сейчас их стопудово в полтора-два раза больше стало.
rms.host5.6ru.msi - чуть модифицированный инсталлятор программы, внутри которого лежит ничуть не модифицированный rutserv.exe (оригинальная цп сохранена), который детектируется 22 на ВТ
winmm.dll - либа, которая призвана что-то там скрывать, а на деле все выдает - она заражена файловым вирусом ramnit - и имеет 49/53 детектов на ВТ.
А оригинальная эта либа (которая не заражена файловым вирусом) детектится всего-то 35 антивирусами. Вот:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Как у него только получилось рамнитом все позаражать ...

Такого дикого убожества я давненько не встречал. Спасибо за файл, поржал

А я тебе сразу сказал сборка просто верх примитива))

X-Shar · 07.11.2014

Nedovirus сказал(а):
Как у него только получилось рамнитом все позаражать ...

Там наёбщик что-ли был ? Dmeh-Smeh-Smeh!!!

А я-то думаю чегой-то он такой добрый и бесплатно делает билды ? Отдыхай!!!

4ekkk · 07.11.2014

Скорее всего он сам не в курсе 99% если кому интересно, что это за зверёк:
W32.Ramnit Характеристики
W32.Ramnit может заразить исполняемые файлы Windows и HTML-файлы. Вирус внедряет код по умолчанию Интернет-браузера процесс, чтобы скрыть свои вредоносные операции внутри скомпрометировано компьютера. С помощью этого метода вирус имеет возможность обходить брандмауэр и позволяет удаленному злоумышленнику для обеспечения безопасного доступа на зараженном компьютере через бэкдор порт. Он также получает инструкции от удаленной команды и сервер управления (C & C). С помощью проприетарным набором правил, вирус будет подключаться к удаленному серверу на порт 443.
А это тому кто хочет проверить есть ли у него такой трой на машине:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

X-Shar · 07.11.2014

4ekkk сказал(а):
W32.Ramnit может заразить исполняемые файлы Windows и HTML-файлы.

А каким образом он в длл тогда ?

Длл-же не исполняемый файл ! Не въехал!!!

4ekkk · 07.11.2014

Дллка запускается через exe файл RMS тем самым этого достаточно для его активации

X-Shar · 07.11.2014

4ekkk сказал(а):
Дллка запускается через exe файл RMS тем самым этого достаточно для его активации

Я это понимаю, я не понимаю как вирус оказался именно в этой длл, тут два варианта:

1)Автор сам его туда каким-то образом вогнал и решил через сборку его распространять;

2)Автор сам заражён этим вирусом и данный вирус тогда поражает не только исполняемые файлы виндовс, но ещё и библиотеки длл... Не въехал!!!

Nedovirus · 07.11.2014

X-Shar сказал(а):
2)Автор сам заражён этим вирусом и данный вирус тогда поражает не только исполняемые файлы виндовс, но ещё и библиотеки длл...

полагаю это.

4ekkk · 07.11.2014

Надеюсь это не проделки Бёрнса(хотя и не удивлюсь))

Nedovirus · 07.11.2014

а он каким боком сюда. чел же не его билдом барыжит.

Автор темы	Похожие темы	Форум	Ответы	Дата
Y	Вопрос Люди кто может дать простинький rms builder на Delphi 7 ?	Трояны и шпионские программы	2	07.05.2017
	[Исходник] RMS HIS	Трояны и шпионские программы	20	11.10.2016
D	Чищеные файлы RMS-host 6.3.0.1 (без ID и вебки)	Трояны и шпионские программы	26	07.11.2015

Обратная связь

(info@ru-sfera.pw)

Важная информация для всех!

RMS - полностью скрытая установка и управление.

Nedovirus

Уважаемый пользователь

4ekkk

Уважаемый пользователь

X-Shar

:)

4ekkk

Уважаемый пользователь

X-Shar

:)

4ekkk

Уважаемый пользователь

X-Shar

:)

Nedovirus

Уважаемый пользователь

4ekkk

Уважаемый пользователь

Nedovirus

Уважаемый пользователь