GGT

4 lutego 2006

Według oficjalnej strony autora:

G@du-Ghost Trojan jest programem typu „backdoor”. Za jego pomocą można zdalnie sterować dowolny komputer z systemem Windows (zalecany WindowsXP autor nie daje żadnych gwarancji poprawnej pracy na systemach Windows 9x/ME i NT4).

Po rozmowie z kumplem postanowiłem przeprowadzić kontrolowane zarażenie systemu :P Oczywiście wyłaczyłem antyvira, a dokładniej ochornę w czasie rzeczywistym w moim Kasperskym. Chciałem zbadać jak to się potoczy wszystko… Oczywiście mój kochany firewall, również kochanych Ruskich – firmy Kaspersky, zablokował aplikacji jakąkolwiek aktywność sieciową :)
Kumpel doradził żebym reboot’nął laptopa, obadamy co  predzej zareaguje, server ggt czy kaspersky. Ten reset był zdradliwy, po zalogowaniu automatycznie wylogowywało z każdego konta w systemie, i w każdym możliwym trybie, w jakim można uruchmic XP’ka :/
W międzyczasie przed resetem kaspersky starał się usunąć pliki ggt z kompa, ale nie wszytsko sie mu udało, więc poblokował niektóre.
Trochę się nawku***ałem zanim doszedłem do problemu. Bład tkwił w pliku userinit.exe (Aplikacja USERINIT Logon) odpowiedzialny, prawdopodobnie, za uruchomienie powłoki expolera po zalogowaniu się.
Przy usuwaniu lub odinstalowaniu GGT na Xp przy włączonym logowaniu nie jest przywracana kopia userinit wykonana przed zarażeniem tego pliku, taki mały błąd w GGT, który może bardzo zaszkodzić…

Poradziłem sobie z tym, jak zawsze :P Odpaliłem Dosa korzystając z bootowalnego cdka Win98, podmontowałem, dzieki sterownikowi NTFS Pro partycje NTFS pod Dosa i znalazłem kopię pliku userinit.exe wykonaną przez system bodajże w katalogu dllcache. Skopiowałem na swoje miejsce i wszystko zaczeło odpowiednio działać i śmigać :)

Najgorsze w tym wszystkim jest to, że zmarnowałem trochę czasu i nerwów przez ten błąd w GGT. Biedni użytkownicy, którym lamusy pierd***ne wpakują GGT i wystąpi ten błąd podobny do mojego. Współczuję im :D Większość pewnie jako jedyne rozwiązanie będzie widzieć użycie magicznej komendy format c:. Taka jest prawda przeglądajać kilka for i tematów związanych z pozbyciem się nie tylko ggt, ale także innych świnstewek się o tym przekonałem :P Niektórzy wolą zrobic formata i marnować czas na reinstalkę systemu zamiast trochę pomysleć i/lub się dokształcić…

Notatka została zapisana w sobota, 4 lutego 2006 roku o godzinie 16:01 w kategorii /dev/null z etykietą , . Możesz przyłączyć się do dyskusji dodając komentarz, lub nawiązać do notatki przez trackback ze swojej strony.

Podobne notatki:

Może zainteresują Cię również następujące, pododbne notatki:

Nikt jeszcze nie skomentował tego wpisu.
Możesz być pierwszy.

Dodaj swój komentarz

Możesz użyć tych tagów XHTML-a: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Jeśli chcesz wstawić kilku linijkowy fragment kodu, użyj tagów <pre lang="x"></pre> (gdzie x język kodu np. cpp, perl, html). W ten sposób kod zostanie odpowiednio sformatowany i pokolorowany przez system.

Uwaga!

Na tym blogu działa system cache oraz filtr antyspamowy. Twój komentarz może być widoczny na stronie z pewnym opóźnieniem. Proszę o cierpliwość. Jeśli utraciłeś już wszystkie jej zasoby poinformuj mnie o tym, być może system uznał Cię za spamera ;)