Перейти к содержанию

Взломали удаленный рабочий стол!

The_Immortal

От The_Immortal
в Компьютерная помощь

 Share

Рекомендуемые сообщения

пользователь Ветеран

пользователь

Опубликовано
Опубликовано (изменено)
Дык а клиент-то куда будет подключаться? ;) По-моему у Radmin'а всегда была клиент-серверная архитектура. Как иначе?

Я не врубился, что вы подразумеваете под сервером? Radmin установленный на ноуте? Тьфу, я думал, что за те лет пять, что я radminom не пользуюсь, они что-то новое придумали. Но если вы сервером называете Radmin установленный на ноуте, то почему вы считаете, что к нему не могли подобрать пароль? :)

 

Вот вопрос: каким это образом? Какой-нибудь гадостью, которую Каспер на зафиксировал?

А чо? Каспер в какой-то момент стал панацеей и давит все-все-все вирусы? Неужели такое возможно? :hi:

 

Да и у меня к RDP при всем желании не подключишься. В политике запрещено подключение с пустым паролем. А пароля к виндовым учеткам у меня попросту нет

А что? Сложно создать учетку с паролем? :)

Создание скрытого пользователя через командную строку

 

Ну да, в автозагрузке. Иначе какой от них смысл?

Смысл в том, чтобы создать как можно больше уязвимостей, чтобы было веселее! ;)

Изменено пользователем пользователь
Ссылка на комментарий
Поделиться на другие сайты
The_Immortal Постоялец

The_Immortal

Опубликовано
  • Автор
Опубликовано (изменено)

пользователь,

 

Я не врубился, что вы подразумеваете под сервером? Radmin установленный на ноуте?

Да. Подробнее: http://www.radmin.ru/products/radmin/how_it_works.php

 

 

Но если вы сервером называете Radmin установленный на ноуте, то почему вы считаете, что к нему не могли подобрать пароль?

Да потому что нет у него никакого пароля. Я выше подробно об этом написал.

 

 

А что? Сложно создать учетку с паролем?

Неа, не сложно. Только у меня нету никаких левых учеток :hi:

Или постойте! Она автоматом удалилась, наверное? :) Ну вообще фантастика.

 

 

Смысл в том, чтобы создать как можно больше уязвимостей, чтобы было веселее!

Обычно если рабочий стол открывается, то он открывается не с 13 до 14 по четвергам.

 

В общем, так. Прошелся в безопаснике CureIt'ом и по окончанию он мне выдал:

 

Путь: C:\Windows\SysWOW64\RWLN.dll

Объект: RWLN.dll (Program.RemoteAdmin.404)

 

Очень интересно, почему Каспер никак не отреагировал ни до, ни после...

Изменено пользователем The_Immortal
Ссылка на комментарий
Поделиться на другие сайты
sergey888 Опытный

sergey888

Опубликовано
Опубликовано
Путь: C:\Windows\SysWOW64\RWLN.dll

Объект: RWLN.dll (Program.RemoteAdmin.404)

 

Очень интересно, почему Каспер никак не отреагировал ни до, ни после...

 

Ну тут всего два варианта:

1) Каспер этот файл не считает опасным и ошибается

2) файл действительно безопасный но ДрВеб ошибся

А вы просканируйте комп еще чем нибудь, например HitmanPro глядишь еще чего интересное найдете :)

Ссылка на комментарий
Поделиться на другие сайты
Urotsuki Ветеран

Urotsuki

Опубликовано
Опубликовано

Возможно детектит как потенциально опасное ПО, обнаружение которого по умолчанию выключено. В "Настройка" => "Защита" => "Угрозы и исключения" галка напротив "Другие" стоит?

Ссылка на комментарий
Поделиться на другие сайты
apq Корифей

apq

Опубликовано
Опубликовано
Ну тут всего два варианта:

1) Каспер этот файл не считает опасным и ошибается

2) файл действительно безопасный но ДрВеб ошибся

А вы просканируйте комп еще чем нибудь, например HitmanPro глядишь еще чего интересное найдете

интересно, а что по этому файлу считает virustotal?

Ссылка на комментарий
Поделиться на другие сайты
The_Immortal Постоялец

The_Immortal

Опубликовано
  • Автор
Опубликовано

Urotsuki,

Возможно детектит как потенциально опасное ПО, обнаружение которого по умолчанию выключено. В "Настройка" => "Защита" => "Угрозы и исключения" галка напротив "Другие" стоит?

Поставил галочку, но никакого детекта со стороны Каспера нету все равно.

 

 

apq,

интересно, а что по этому файлу считает virustotal?

А как это проверить? Я эту dll оставил у себя в запароленном виде :)

 

 

Roman_Five,

а нет ли у Вас в системе такой папки?

Неа, на этот раз хацкеры прикрылись программой "Microsoft Fteap". Папка соответствующая.

 

 

 

Более того, я нашел дистрибутив всей этой дряни у меня на компе :hi: Т.е. установщик модифицированного RMS, который после тихой установки, отсылает на определенный емейл (хацкера) данные, по которым можно подключиться к моей системе.

Вопрос: какого фига Каспер ничегошеньки не выводит после сканирования этого ацкого дистриба?

 

Вообще, его куда-нибудь можно выложить, чтобы знающие люди глянули и подтвердили, что там сидит дрянь?

Ссылка на комментарий
Поделиться на другие сайты
Urotsuki Ветеран

Urotsuki

Опубликовано
Опубликовано
А как это проверить? Я эту dll оставил у себя в запароленном виде :)

Распаковать и отправить на анализ на virustotal.com.

какого фига Каспер ничегошеньки не выводит после сканирования этого ацкого дистриба?

Детект от ЛК (not-a-virus) есть на оригинальный дистрибутив RMS, но на другую dll, поэтому я и спросил про ту галочку. Можно отправить в ВирЛаб на исследование через Личный кабинет.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Mason19
      Строка поиска на рабочем столе.
      От Mason19
      Приветствую, по клавиатуре ноутбука прошелся кот и появилось поле для ввода поискового запроса с надписью: "введите текст здесь", подобное окно еще удалось вызвать на стационарном ПК, но что нажимал уже не помню. Какая программа или служба его вызывает? Окно похожее как на скришоте, только там Windows 11, а у меня на обоих ПК стоит Windows 10.

    • Frert
      Появилась папка на рабочем столе, без названия и не удаляется.
      От Frert
      Здравствуйте. Мне нужна помощь с тем,что после удаления офиса и скачивании пиратского с сайта из-за очень сильной необходимости  у меня появился вирус trojan win32 и hacktool win32 и на рабочем столе появилась папка без названия, которая не удаляется. Я приложил все логи после проверки. Прошу помочь мне с решение этой проблемы. Спасибо за понимание.
      CollectionLog-2024.09.06-14.40.zip
    • ACZ
      Не активен совместный доступ к рабочему столу в Kaspersky Security Center 14.2
      От ACZ
      Доброго времени суток!
      Не нашел по поиску решения данной проблемы. При выборе устройства (пк) в mmc консоли управления, не активен совместный доступ к рабочему столу в Kaspersky Security Center 14.2, хотя через Web консоль подключиться к любому пк, с помощью утилиты klsctunnel я могу. RDP порт открыт. Не подскажите в чем может быть проблема? Может ли быть что текущая лицензия не подходит?
       
      Kaspersky Security Center  "Лаборатория Касперского"  Версия: 14.2.0.26967
       
       

    • Folclor
      Помощь в удалении вирусов
      От Folclor
      Добрый день, обнаружил у себя на пк вирус net:malware.url который сильно нагружает процессор, выполнил сканирование и попробовал его удалить, что не принесло результатов, прошу помощи у знатоков в решении данного вопроса. 

    • KL FC Bot
      Как сделать, чтобы компанию снова не взломали | Блог Касперского
      От KL FC Bot
      Серьезные ИБ-инциденты порой затрагивают многих участников, зачастую и тех, кто повседневно не занимается вопросами ИТ и ИБ. Понятно, что в первую очередь усилия сосредоточиваются на выявлении, сдерживании и восстановлении, но, когда пыль немного осядет, наступает время для еще одного важного этапа реагирования — извлечения уроков. Чему можно научиться по итогам инцидента? Как улучшить шансы на успешное отражение подобных атак в будущем? На эти вопросы очень полезно ответить, даже если инцидент не принес существенного ущерба из-за эффективного реагирования или просто удачного стечения обстоятельств.
      Немного о людях
      Разбор инцидента важен для всей организации, поэтому к нему обязательно привлекать не только команды ИТ и ИБ, но также высшее руководство, бизнес-владельцев ИТ-систем, а также подрядчиков, если они были затронуты инцидентом или привлекались к реагированию. На встречах этой рабочей группы нужно создать продуктивную атмосферу: важно донести, что это не поиск виноватых (хотя ошибки будут обсуждаться), поэтому перекладывание ответственности и манипулирование информацией исказят картину, повредят анализу и ухудшат позицию организации в долгосрочной перспективе.
      Еще один важный момент: многие компании скрывают детали инцидента в страхе за репутацию или опасаясь повторной кибератаки по тому же сценарию. И хотя это вполне объяснимо и некоторые подробности действительно конфиденциальны, нужно стремиться к максимальной прозрачности в реагировании и делиться подробностями атаки и реагирования если не с широкой публикой, то как минимум с узким кругом коллег из сферы ИБ, которые могут предотвратить похожие атаки на свои организации.
       
      View the full article
×
×
  • Создать...