PDA

نسخه کامل مشاهده نسخه کامل : netcmd.exe چیه و به چه درد می خوره


satttanism
06-05-2007, 23:10
سلام دوستان
یه مدت این فایل از طریق اینترنت اکسپلورر به اینترنت وصل میشه و کسپر پیغام میده که این فایل قصد داره اطلاعات مجهولی رو به جایی بفرسته که من دنی میکنم
حالا میشه یه توضیحی در موردش بدید
piremard
06-05-2007, 23:22
Virus Name: Agobot.AQ

نوعا ورم که از نمونه نام مایکروسافت جهت گول زدن استفاده می کنه[Microsoft Network Command Service] netcmd.exe
حجم 259,424 byte
مسیر %System% directory as NETCMD.EXE
رجیستری HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Microsoft Network Command Service = "netcmd.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Microsoft Network Command Service = "netcmd.exe"

تاریخ تولید و نشر : 17-Nov-2005
piremard
06-05-2007, 23:40
netcmd بطور خودکار مسیر unc رو به پیغام درایو مپ می کنه
لینک دانلود ----[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
نمونه مسیر \\<servername>\<sharename>\<directory>
satttanism
06-05-2007, 23:43
اگه worm هست چرا کسپر نمیشناستش؟
piremard
07-05-2007, 00:34
دوتا داریم یکی کامند لاین ویندوز و یکی گول زننده و هم نام ولی ورم است
اینکه دوتا پست دادم بهمین خاطر بود
شما با این یک لاگ از سیستموتون بگذارید اینجا تا بهتر بشه راهنمایی کرد
----[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
satttanism
07-05-2007, 12:50
فقط این رو پیدا کرد حتی نشون نمیده که چجوری اجرا میشه


Running processes:
C:\WINDOWS\SYSTEM32\NETCMD.EXE
piremard
07-05-2007, 13:25
فقط خط اول رو کپی کردی ؟!
لاگ فایل سیستم شامل چندین چیزه : پروسه های جاری و O4 و چند تاچیز مهم دیگه هستR1---Rn
الان محتویات O4 تو لاگ شما چیه ؟ کل لاگ مهمه نه انتخابی های جک بهترین برنامه برای لاگ سیستمه
satttanism
07-05-2007, 14:38
فقط خط اول رو کپی کردی ؟!
لاگ فایل سیستم شامل چندین چیزه : پروسه های جاری و O4 و چند تاچیز مهم دیگه هستR1---Rn
الان محتویات O4 تو لاگ شما چیه ؟ کل لاگ مهمه نه انتخابی های جک بهترین برنامه برای لاگ سیستمه

دوست عزیز در لاگ تنها فقط همین مورد مربوط به این فایل هست و هیچ چیز دیگه ای نیست
piremard
07-05-2007, 16:33
راستی اونی که نوشتم "های جک " بود یکوقت جُک تلفظ نکنید !
کسپر می تونه این فایل رو آنالیز کنه پس کامندی رو که کسپر در موقع اخطار می ده بنویسید
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
روی detailes...
کلیک وببینید چی نوشته اگر کسپر ویروس نمی شناسه پس این فایل اصلی مربوط به کامند لاین ویندوزه
toadstool
07-05-2007, 22:21
يه نگاهي به كل اين صفحه بنداز

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
satttanism
07-05-2007, 22:29
دوست عزیز من که گفتم کسپر نمیشناستش فقط بعضی مواقع اخطار میده که این فایل می خواد یه یه سری اطلاعات مجهول رو به جایی سند کنه
piremard
08-05-2007, 21:21
یعنی فقط ie ران می شه این پیغام رو می بینید
پس احتمال داره یک addson داره از کامند هاش استفاده می کنه
addson ها رو disable کنید از منیوی تولز و بعد منیج ادز آن در خود اینترنت اکسپلورر
satttanism
08-05-2007, 22:35
یعنی فقط ie ران می شه این پیغام رو می بینید
پس احتمال داره یک addson داره از کامند هاش استفاده می کنه
addson ها رو disable کنید از منیوی تولز و بعد منیج ادز آن در خود اینترنت اکسپلورر

نه هروقت ویندوز میاد بالا این فایل هم در حال اجرا هست