Улетающие коды KI IMSI

[dali]

Hi All..!!
Вот здесь это вроде начало обсуждаться
http://www.mobile-files.ru/forum/sho...hreadid=19330, но до конца не развилось.
Суть в следующем: последнее время у нас участилось списывание денег за роуминг с определённых абонентов (суммы не маленькие). Все они пользоались Sim-emul 6.01. В роуминг (звонки в роуминге были с украинских номеров) они однозначно никуда не выезжали. Отсюда только один вывод, что эти самые коды улетают сами собой в астрал!
Это наверно может бытьтока по двум причинам, либо прога (ворон либо что то подобное) при чтении этих самых кодов отсылает их куда то в инет, либо этот сам сим эмуль какимто образом кому то отсылает!
Вопрос? Можно ли это как то обойти? и избежать?

[avers]

Неверишь Ворону, ставь фаервол.
Поставь первый пенёк с Симридером на борту и без модема - хрен кто взломает, и коняжки любые до фени

[piper]

Думаю, все банально проще: люди. которые сканировали сим-ки, оказались чрезмерно жадными и воспользовались чужими кодами в корыстных целях. Как всегда, в семье не без уродов. Вот такие и другим бизнес подрывают.

[prapor]

Пропадали дважды... даже трижды. Причем все будто-бы в роуминге на Украине... причем звонили с них... Номера зафиксены в распечатках...
Однако перед аналогичными случаями наблюдались странные глюки... При загрузке компа запускались какие-то процессы, которые если был досту в инет открыт, то просто просили доступ на обновление библиотек из /System 32... Если доступ запрещался, то происходил процесс формирования шифрованного письма, которое самостоятельно отсылалось на [email protected];
[email protected]; [email protected] .... и еще несколько адресов, что не удалось поймать... Текст писем начинался такими строками :
"Ver 109
Sess_ID: 31.10.2005 11:48:37
MailN: (1,2,3......ets...)"
Дальнейшее копание системы позволило выяснить следующие моменты:
1. В каталоге Dokument and Settig\%User%\Application Data\
появился странный каталог ....\Glue Nurb\ в котором было всего два файла \Safe Thunk Tools.exe и essefigos.exe
2. В Реестре в \LM\Softvare\Microsoft\Windows\Curent version\Run\
прописался первый из этих двух файлов. Он запускался и генерил еще один ехешник , который появлялся в каталоге \...\...\Temp, при чем при каждом включении с новым именем, после запуска стучался в порты 1037, 1038-1041 и после какой-то проделанной работы исчезал бесследно.
Если процессу доступ закрывался ...до следующей перезагрузки...
то он просто висел в \\\Temp\, а если запрет был на совсем, то открывался проводник... формировалось, а вернее всего бралось из кэша, то, что должно было отправиться, вставлялось в письмо и само отправлялось, причем даже если в The Bat стояла опция ...Подтверждать немедленную отправку... то окно подтверждения открывалось и все само себе разрешало, после чего письмо удалялось совсем... .
Письма кодированые, длина тела писем порядка 78 кб.
Подписаны одной и той-же сигнатурой.
FoZ4C1ZdR4JfPKJdOqhkKqhnQKdkQKhjKkcXA0xP5mMi7IV-60tP9G+d8WEa7L3PP4hoKmMh60ZPOoV-P5BlOqxlQ5-P0H+ZKlkeKkcj6-kb9mBlKlxl3msY7Fwa9WcL8W+d9GEO60tZ61AUG23gQr3dPL3jOpg950ce6-xPzmYY9G-P62V-P5BlPqtlQ4xP0lke8W+TKzwd70oUKlx6EKlnQL-nQKdfKkgQ8WcU5pjz8GEh63gOG23gQr3kQr3eOpg84VkZ7G+TKzkb7oV-P5FlOqhlP4pP0W+Z5pgh7-lP8WMO6YV-P5FlOqhlP5BP0W+Z9pga6b3P5r2L9WEZ5mMi8VQO5mEd7GMZNFwb7oV-P5FlOqhlP5BP0W+Z5pgh7-lP8WMO6YV-P5FlOqhlP5BP0W+Z9pga6b3P5r2L9WEZ5mMi8VQd70IY7FpZ5mQbG23eOqJgOqJdOqhkKqhoQKdnQKdfKkYk7JgQ8Zg89m+Q7mwXQJgTQFQi70IT7Wse3n+e60Yk7KddNG+n62V-P4ZlP4hlOqtP0lke8W+TKzwd70oUKm-6EKleQKZhQKlgKkgQ8WcU5pjz8GEh63gTG23gOb3kOr3dQpg950ce6-xPzmYY9G-P4YV-P4dlQ4hlOLBP0VcQ7GIU5pjw7mR6EKleQL-fQKZnKkgQ8WcU5pgL3kA40+-c+Efw0kLy2+tn3-QBzDw20-R6EKleQL-fQKZnKkgQ8WcU5pgL3kA40+-c+Efw0kLy2+tn3-Q86lkd6-zz7Vce3oV-3oV

[Chick]

Да блин ,дела !Так что получается -отсканировать симку и тут же данные надо переносить на другой носитель и стирать тут же все хвосты на компе ,или я чего то не догоняю !

[aspir]

все установочники на украинском сайте с троянами. прописывается в system.ini и при перезагрузке прописывает в систему обновления виндоз. поймать трудно, но я с горьким опытом вирусов проверяю все файлы. в воронскане с их форума 2 трояна. в симскане 1 троян 1 дебаггер.

[oleg2000]

Автор оригинала PROFFEE_central
все установочники на украинском сайте с троянами. прописывается в system.ini и при перезагрузке прописывает в систему обновления виндоз. поймать трудно, но я с горьким опытом вирусов проверяю все файлы. в воронскане с их форума 2 трояна. в симскане 1 троян 1 дебаггер.

А чем поверяешь? Касперский не берет

[dali]

Вот именно, чем проверять и как ловить? Касперский, нортон, панда, вэб, ничего не видят!

[ribbentrop]

Автор оригинала PROFFEE_central
все установочники на украинском сайте с троянами. прописывается в system.ini и при перезагрузке прописывает в систему обновления виндоз. поймать трудно, но я с горьким опытом вирусов проверяю все файлы. в воронскане с их форума 2 трояна. в симскане 1 троян 1 дебаггер.

Не надо только пи..деть !!! На сайте www.kievsat.com , где и был создан Ворон-скан , нет никаких троянов в прогах нет. Нехрен качать , откуда ни попадя .

[avers]

Соглашусь с Риббентропом, нет на киевсате троянов.
А ваши, или вылезли призакачке хренте от куда, или были потом подцеплены в других прогах...

[prapor]

Я соглавен, что в архиве WoronScan 1.07 при закачкес Kievstar действительно нет троянов. Но кто гарантирует, что в других, активно рекламируемых прогах, якобы читающих V2, этих троянов нет? И не факт, что они есть.
Но уже по крайней мере зафиксировано несколько случаев использования чужих ключей и все случаи именно при роуминге с Украины. Последний звонок, что был сделан с номера Билайн, ключи на который были украдены, был на Inmarsat, номер известен и абонент уже сказал, кто ему звонил, так что в самое ближайшее время скорее всего будет известно кто, как и через кого этим делом занимается.

[ribbentrop]

Вот ,млять, активно хочется материться .....
Специально для младшего коммандного состава :
На киевсате есть последний Ворон-скан - 1,09.
В2 - не ламается !!!! Эти проги , якобы читающие В2 - погремушка для лохов !!! А если человек лох -его будут казачить все , кому не попадя ( с помощью вирей , крадущих Ки и ИМСИ ; с помощью чудо прошивок для телов , позволяющих бесплатно звонить с телефона)
Фу-у-ух ... )))