NOD32 (все версии) 2 часть

[EvolVER]

Троя́нская программа (также — троя́н, троя́нец, троя́нский конь, тро́й) — программа, используемая злоумышленником для сбора информации, её разрушения или модификации, нарушения работоспособности компьютера или использования его ресурсов в неблаговидных целях. Действие троянской программы может и не быть в действительности вредоносным, но трояны заслужили свою дурную славу за их использование в инсталляции программ типа Backdoor. По принципу распространения и действия троян не является вирусом, так как не способен распространяться саморазмножением. (Wiki)
[hide=50]

Просто червя, ворующего пароли Win32.Autorun.worm.Z некоторые эксперты относят к классу троянов (и я с ними согласен)

Некоторые эксперты, это какие? А кто сказал, что эта прога ворует пароли?
Ладно, смотрите сами, привожу работу NodLogina, лог захвачен HTTPAnalyzer. Я же сделал вывод в пользу этой проги и не парюсь, не ищу пассы никуда их не вбиваю.

Запросы производимые NodLogin (произведено 50 запусков проги, все однотипно)

Спойлер

NO. Starred OffSet Timeline Duration(s) Method Result Received Type URL RedirectURL
- 00:00:12.250 nodlogin.exe[7464]
1 False +0.000 s 0,188 s GET 407 4,52 K text/html Для просмотра ссылки Войди или Зарегистрируйся
2 False +0.203 s 0,032 s GET 407 538 text/html Для просмотра ссылки Войди или Зарегистрируйся
3 False +0.235 s 0,109 s GET 200 1,02 K application/octet-stream Для просмотра ссылки Войди или Зарегистрируйся
4 False +0.391 s 0,203 s GET 407 4,52 K text/html Для просмотра ссылки Войди или Зарегистрируйся
5 False +0.594 s 0,032 s GET 407 538 text/html Для просмотра ссылки Войди или Зарегистрируйся
6 False +0.625 s 0,156 s GET 401 774 text/html Для просмотра ссылки Войди или Зарегистрируйся
7 False +1.344 s 0,422 s GET 200 528 text/html Для просмотра ссылки Войди или Зарегистрируйся
8 False +1.781 s 0,720 s GET 200 1,02 K application/octet-stream Для просмотра ссылки Войди или Зарегистрируйся
9 False +2.813 s 0,266 s GET 200 1,09 K text/html Для просмотра ссылки Войди или Зарегистрируйся
10 False +3.125 s 0,156 s GET 401 774 text/html Для просмотра ссылки Войди или Зарегистрируйся
11 False +3.297 s 0,204 s GET 200 1,02 K application/octet-stream Для просмотра ссылки Войди или Зарегистрируйся

То, что отсылается на eset, вычеркиваем и смотрим, что отсылается/принимается c сайта ulisessoft:

Спойлер

Запрос:
GET Для просмотра ссылки Войди или Зарегистрируйся HTTP/1.1
User-Agent: AutoIt v3
Host: ulisessoft.info
Pragma: no-cache
Ответ:
Connection: Keep-Alive
Proxy-Connection: Keep-Alive
Transfer-Encoding: chunked
Date: Fri, 13 Mar 2009 14:02:34 GMT
Content-Type: text/html
Server: Apache/1.3.41 (Unix) mod_deflate/1.0.21 PHP/5.2.6 mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.4 FrontPage/5.0.2.2634a mod_ssl/2.8.31 OpenSSL/0.9.7a
X-Powered-By: PHP/5.2.6
Keep-Alive: timeout=15, max=100

69
[INFO]
ver=9.9a
on=1
dw=0
server1=u42.eset.com
server2=u43.eset.com
autor=PERU
UlisesSoft - 2009 - PERU

0
Запрос:
GET Для просмотра ссылки Войди или Зарегистрируйся HTTP/1.1
User-Agent: AutoIt v3
Host: ulisessoft.info
Pragma: no-cache
Proxy-Connection: Keep-Alive
Ответ
Connection: Keep-Alive
Proxy-Connection: Keep-Alive
Transfer-Encoding: chunked
Date: Fri, 13 Mar 2009 14:02:35 GMT
Content-Type: text/html
Server: Apache/1.3.41 (Unix) mod_deflate/1.0.21 PHP/5.2.6 mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.4 FrontPage/5.0.2.2634a mod_ssl/2.8.31 OpenSSL/0.9.7a
X-Powered-By: PHP/5.2.6
Keep-Alive: timeout=15, max=99

29a
UlisesSoft 2009
<br><br>
UserName: EAV-11247660
<br>
Password: p7kn67dnxu1
<br><br>
UserName: EAV-11229979
<br>
Password: tx8bwet2xj2
<br><br>
UserName: EAV-11240271
<br>
Password: bdf3esmt7f3
<br><br>
UserName: EAV-12479126
<br>
Password: 7m5hvadwt84
<br><br>
UserName: EAV-12340362
<br>
Password: vffhsfdckh5
<br><br>
UserName: EAV-12403411
<br>
Password: 2j7bwhfft66
<br><br>
UserName: EAV-12441829
<br>
Password: b4hnve22xx7
<br><br>
UserName: EAV-11239772
<br>
Password: aamkcmadj58
<br><br>
UserName: EAV-12098496
<br>
Password: th85ee2dsf9
<br><br>
UserName: EAV-13068091
<br>
Password: 34cx83wpwu10
<br><br>
UserName: EAV-13225304
<br>
Password: p5cbwnkbdr11
0

Такс... продолжаем...
Прога упакована UPX 3.01. Распаковываем и отправляем на вирустотал. Для просмотра ссылки Войди или Зарегистрируйся. И он уже отличается!
Заходим в IDA. Смотрим содержимое, ага так это файл скомпилированный скрипт с помощью Для просмотра ссылки Войди или Зарегистрируйся. Вот такие дела. Но если предоставит кто-нить данные, что эта прога троян, буду признателен.
[/hide]

 

[Vicci]

Вопрос только в другом, где эта прога берет ключи!?
Если смотреть по логам то вроде на своём офсайте. А там они откуда?
Неужели добрые ребята из Перу покупают лицензии и раздают всем кто пользует их прогу.
Что-то не верится.
Скорее механизм работы программы по принципу "ты мне - я тебе", в инете можно найти
примеры, когда бывшие пользователи NodLogin получали наконец собственный официальный ключ, который
очень скоро забанивался. А другие, у которых NodLogin не был установлен спокойно работали
до окончания действия ключа. Чем бы это объяснить?
Короче это вопрос веры, но лучше перебдеть, чем не добдеть!
Это только моё мнение и я никому его не навязываю.

[hide=3]

Спойлер: Список действующих ключей на 13.03.09

ESS, EAV

EAV-09331510
m2a6urj67v

EAV-10175333
vhbv2mck8x

EAV-10175334
33j66k34wk

EAV-11190197
7h3mr56bjf

EAV-11202625
hbkj52eh6d

EAV-11257094
7k8v5tsfnr

EAV-11257109
f6vr48n834

EAV-11667837
2nwak5x5tk

EAV-11667839
7bw6dxatue

EAV-11667855
t4s6b66tw6

EAV-11667872
s2vc8522rd

EAV-11671600
p2fpj7ftm5

EAV-11698820
ahsvr6p8sf

EAV-11699490
rjrudrejux

EAV-11701868
dmt7fj2tna

EAV-11701869
rt3dfc22dp

EAV-11701884
2cp8erutr3

EAV-11701886
73p58k6hsv

EAV-11796699
checdmt36u

EAV-11796701
j7e87f5r7p

EAV-11796704
43na34emxx

EAV-11939069
d4vs4pdtpj

EAV-11939091
4h7vn5umau

EAV-11939664
nttn8bc37e

EAV-11959056
66t5m7tp4n

EAV-11981984
2bv66mnwwt

EAV-12010920
23vnesfpdj

EAV-12098496
fsd2ee58ht

TRIAL-12520663
bpp42bm43c

TRIAL-12601210
2mx6d8rck4

TRIAL-12601220
hnd3p6xj6b

TRIAL-12719085
ww5afdbjrb

TRIAL-12822383
r3av8tuwsa

TRIAL-12822480
rrr6sp243b

TRIAL-12918149
fhkr8wnft3

TRIAL-12930656
2av26mcnf8

TRIAL-13050995
83np5vtsr5

TRIAL-13069143
bb4xfnf74m

TRIAL-13100547
ftmtj7rjfe

TRIAL-13110095
nkp36kjbp3

TRIAL-13110105
6m5wfhshaa


только EAV

EAV-09523828
5dm6vttnbp

EAV-09523838
me446r3uvw

EAV-12683972
e2akjsekmd

EAV-12684036
uxrm8hvjxf

EAV-12685043
etnw754v8r

EAV-12687242
5had4kau4v

EAV-12704002
vxmdx653k8

EAV-12879149
xr7xkpcpwf

EAV-12879283
wem7mdve66

EAV-12890789
w43vhnu2tt

EAV-12895448
337chsrtcv

EAV-12920555
mcve5crb83

EAV-12920607
twh8kkxpk3

EAV-12940135
bfwddnk7hh

EAV-12973022
2rka26mb33

EAV-13068091
uwpw38xc43

EAV-13068137
hhb42x8mbh

EAV-13068157
hk6uktr3fw

EAV-13138566
ds8wfbwet3

EAV-13225304
rdbknwbc5p

[/hide]

 

[EvolVER]

Вот еще Для просмотра ссылки Войди или Зарегистрируйся для авто-проверки-вставки ключей. Ключи сосет с nod321.com. Прога на испанском.

 

[maxn73]

Ключики до 06.2009:

EAV-11981984
2bv66mnwwt

EAV-12010920
23vnesfpdj

EAV-12098496
fsd2ee58ht

 

[maxn73]

Почему прога NOD32view пишет что эти ключи не рабочие

Почему прога NOD32view пишет что эти ключи не рабочие?

Вопрос только в другом, где эта прога берет ключи!?
Если смотреть по логам то вроде на своём офсайте. А там они откуда?
Неужели добрые ребята из Перу покупают лицензии и раздают всем кто пользует их прогу.
Что-то не верится.
Скорее механизм работы программы по принципу "ты мне - я тебе", в инете можно найти
примеры, когда бывшие пользователи NodLogin получали наконец собственный официальный ключ, который
очень скоро забанивался. А другие, у которых NodLogin не был установлен спокойно работали
до окончания действия ключа. Чем бы это объяснить?
Короче это вопрос веры, но лучше перебдеть, чем не добдеть!
Это только моё мнение и я никому его не навязываю.

*** скрытый блок ***

 

[Vicci]

Почему прога NOD32view пишет что эти ключи не рабочие?

Не знаю, попробуй обновить версию.
Программой NOD32 Update Viewer v.4.0 проверил и всё работает (3 штуки только забанили).
Конечно только для версий Home, для Business тут ключей нет.

 

[Mr-X]

Ключи для ESS и EAV
exp: 14.06.2009
EAV-12090512
EAV-12090516

Прямая ссылка .txt

 

[Mr-X]

Ключи для ESS и EAV
exp: 08.06.2009
EAV-11780967
EAV-11782158

Прямая ссылка .txt

 

[maxn73]

Не знаю, попробуй обновить версию.
Программой NOD32 Update Viewer v.4.0 проверил и всё работает (3 штуки только забанили).
Конечно только для версий Home, для Business тут ключей нет.

У меня тоже таже версия NOD32 Update Viewer v.4.0 и пишет что рабочих нет, почему так не пойму?

 

[xairus]

Люди поскажите как настроить раздачу с сервака внтури сети обновления нода, чтоб только сервак тянул обновления с инета, а другие компы сетки тянули апдейты с сервака.

 

[Vicci]

Люди поскажите как настроить раздачу с сервака внтури сети обновления нода, чтоб только сервак тянул обновления с инета, а другие компы сетки тянули апдейты с сервака.

Надо сделать на сервере папку-зеркало с обновлениями, а на других компах указать в качестве сервера обновлений путь к папке зеркала на серваке. Странно что такие вопросы всё ещё возникают, казалось бы в этой теме такие вопросы уже обсуждались не раз и вроде всем всё уже понятно. Надо только прочитать все странички темы от начала и до конца.

 

[Krio_Xian]

Надо сделать на сервере папку-зеркало с обновлениями, а на других компах указать в качестве сервера обновлений путь к папке зеркала на серваке. Странно что такие вопросы всё ещё возникают, казалось бы в этой теме такие вопросы уже обсуждались не раз и вроде всем всё уже понятно. Надо только прочитать все странички темы от начала и до конца.

Эти вопросы возникают, потому-что люди не хотят смотреть 25 страничек, чтобы найти какую-нибудь важную информацию. А еще могут пропустить информацию, когда листают эти странички. Потому-что всё читать нет смысла.
ИМХО пора создавать тему нод32 все версии (3 продолжение) с описанием как что настраивать в общей первой теме. Тогда меньше вопросов будет.

А конкретно по этому случаю:
Чтобы все остальные компы в локальной сети обновлялись с одного компа в этой сети, а не через инет надо настроить зеркало обновлений. Чтобы его настроить для нода 3 и я так понимаю 4 нужен файл лицензии, который можно найти в этой теме. Ссылки были. Ноду показать этот файл лицензии и появится новая закладка, где можно будет указать параметры зеркала. А все остальные ноды в сети настроить на обновление с одного компа.
И от себя добавлю, что у меня обновление идёт только, если я укажу, что надо обрывать связь с сервером после обновления и пользователь - текущий пользователь. Ну и ещё мелочь, что путь к обновлению задаётся в формате UNC. Что это такое смотрите в википедии.

 

[Vicci]

У меня тоже таже версия NOD32 Update Viewer v.4.0 и пишет что рабочих нет, почему так не пойму?

Смотрите настройки программы, после проверки паролей должно появляться
вот такое окно. Оно появляется?
Для просмотра ссылки Войди или Зарегистрируйся

...
ИМХО пора создавать тему нод32 все версии (3 продолжение) с описанием как что настраивать в общей первой теме. Тогда меньше вопросов будет.

Однако хочу напомнить, что это раздел вареза, а обсуждение работы и настройки программ совершенно в другом разделе, а конкретно по NOD32 вот здесь, где упомянутый пользователь уже получил исчерпывающий ответ на свой вопрос
http://dumpz.ws/showthread.php?t=34997

 

[Mr-X]

Странно что такие вопросы всё ещё возникают, казалось бы в этой теме такие вопросы уже обсуждались не раз и вроде всем всё уже понятно. Надо только прочитать все странички темы от начала и до конца.

Правильно сказал Krio_Xian, люди не хотят смотреть предыдущие страницы. А нужно всего лишь закрепить первое сообщение темы, где создать FAQ и новые вопросы-ответы туда добавлять

Добавлено через 9 минут
Ключи для ESS и EAV

EAV-12462579
exp: 13.06.2009
EAV-12330719
exp: 20.06.2009

Ключи для EAV
EAV-13479795
exp: 22.09.2009
EAV-12779611
exp: 07.09.2009

Прямая ссылка .txt

 

[maxn73]

Смотрите настройки программы, после проверки паролей должно появляться
вот такое окно. Оно появляется?
Для просмотра ссылки Войди или Зарегистрируйся



Однако хочу напомнить, что это раздел вареза, а обсуждение работы и настройки программ совершенно в другом разделе, а конкретно по NOD32 вот здесь, где упомянутый пользователь уже получил исчерпывающий ответ на свой вопрос
http://dumpz.ws/showthread.php?t=34997

да это окно появляется и пишет например: найдено новых ключей 20 рабочих 0, незнаю почему так, много раз пробовал тоже самое пишет.