SubSeven Trojan horse-что это? - Безопасность

26.08.2003, 04:36

В последние несколько дней Нортон Файервол фиксирует попытки проникнуть на мой комп(XP Pro SP1),при этом выдает что-то типа:------A computer with the IP address
81.248.115.223 attempted to connect to your
computer using Default Block Backdoor/SubSeven Trojan horse------.Что это за троян и Бакдоор такой?
Помогите разобраться.

$pher@ · 26.08.2003, 05:09

gatsa

вот что пишут на сайте symantec.com

Backdoor.SubSeven is a Trojan Horse, similar to Netbus or Back Orifice. This Trojan enables unauthorized people to access your computer over the Internet without your knowledge.

When the server portion of the program runs on a computer, the individual who is remotely accessing the computer may be able to perform the following:

Set it up as an FTP server
Browse files on that system
Take screen shots
Capture real-time screen information
Open and close programs
Edit information in currently running programs
Show pop-up messages and dialog boxes
Hang up a dial-up connection
Remotely restart a computer
Open the CD-ROM
Edit the registry information

When BackDoor.Subseven is run, it makes the following changes to the system:
Drops (adds) a copy of itself and a randomly named executable file, such as Eutccec.exe, to the \Windows or \Windows\System folder.
Adds the dropped file to the load= and run= lines of the Win.ini file.
Adds the dropped filename to the shell=explorer.exe line of the System.ini file.
Creates the WinLoader value and sets it equal to the dropped filename in the registry keys below.
Modifies the (Default) value from "%1" %* to, for example, eutccec.exe "%1" %*, in the following registry keys:

HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

вот сатья целиком http://www.symantec.com/avcenter/ven....subseven.html

26.08.2003, 05:20

Дык я не пойму,этот троян,по идее,уже сидит на моем компе?
Но я проверял Нортоном Антивиром----всё чисто.
С реестром я еще не имел дела(чайник потому что).

$pher@ · 26.08.2003, 10:28

gatsa

нет, он домится

нортон его не пущает... не волнуйся это один из самых известных троянов его все хорошие файерволы ловят

*helldomain* · 27.08.2003, 07:19

Widimo chuwaki prosto skanyat kusok seti na nalichie troyana. Esli ya pokaju tebe swoi log firewalla i hoverstat, tebe ploho stanet ;-))).

26.08.2003, 04:36	# 1
gatsa Guest Сообщения: n/a	SubSeven Trojan horse-что это? В последние несколько дней Нортон Файервол фиксирует попытки проникнуть на мой комп(XP Pro SP1),при этом выдает что-то типа:------A computer with the IP address 81.248.115.223 attempted to connect to your computer using Default Block Backdoor/SubSeven Trojan horse------.Что это за троян и Бакдоор такой? Помогите разобраться.

27.08.2003, 07:19	# 5
helldomain Administrator Регистрация: 13.05.2002 Сообщения: 11 227	Widimo chuwaki prosto skanyat kusok seti na nalichie troyana. Esli ya pokaju tebe swoi log firewalla i hoverstat, tebe ploho stanet ;-))). __________________ Осколки прошлого, как снег, закрутит ураган времён, В ушедший день для нас навек, обрушив мост, Оставив в наших душах след, тьма уплывёт за горизонт, И в чистом небе вспыхнет свет, свет новых звёзд.

26.08.2003, 05:09	# 2
$pher@ ::VIP:: Регистрация: 27.12.2002 Адрес: Остров мысли в Океане разума Пол: Female Сообщения: 973	gatsa вот что пишут на сайте symantec.com Backdoor.SubSeven is a Trojan Horse, similar to Netbus or Back Orifice. This Trojan enables unauthorized people to access your computer over the Internet without your knowledge. When the server portion of the program runs on a computer, the individual who is remotely accessing the computer may be able to perform the following: Set it up as an FTP server Browse files on that system Take screen shots Capture real-time screen information Open and close programs Edit information in currently running programs Show pop-up messages and dialog boxes Hang up a dial-up connection Remotely restart a computer Open the CD-ROM Edit the registry information When BackDoor.Subseven is run, it makes the following changes to the system: Drops (adds) a copy of itself and a randomly named executable file, such as Eutccec.exe, to the \Windows or \Windows\System folder. Adds the dropped file to the load= and run= lines of the Win.ini file. Adds the dropped filename to the shell=explorer.exe line of the System.ini file. Creates the WinLoader value and sets it equal to the dropped filename in the registry keys below. Modifies the (Default) value from "%1" %* to, for example, eutccec.exe "%1" %, in the following registry keys: HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run вот сатья целиком http://www.symantec.com/avcenter/ven....subseven.html Последний раз редактировалось $pher@; 26.08.2003 в 05:15.*

26.08.2003, 05:20	# 3
gatsa Guest Сообщения: n/a	Дык я не пойму,этот троян,по идее,уже сидит на моем компе? Но я проверял Нортоном Антивиром----всё чисто. С реестром я еще не имел дела(чайник потому что).

26.08.2003, 10:28	# 4
$pher@ ::VIP:: Регистрация: 27.12.2002 Адрес: Остров мысли в Океане разума Пол: Female Сообщения: 973	gatsa нет, он домится нортон его не пущает... не волнуйся это один из самых известных троянов его все хорошие файерволы ловят

Опции темы
Версия для печати Отправить на email