GGT – trojan przez Gadu-Gadu

Trafiłem na interesujące info o małym programiku będącym w istocie trojanem, który do komunikacji wykorzystuje sieć komunikatora Gadu-Gadu. Według oficjalnej strony autora:

G@du-Ghost Trojan jest programem typu "backdoor". Za jego pomocą można zdalnie sterować dowolny komputer z systemem Windows (zalecany WindowsXP autor nie daje żadnych gwarancji poprawnej pracy na systemach Windows 9x/ME i NT4).

Po rozmowie z kumplem postanowiłem przeprowadzić kontrolowane zarażenie systemu, tak dla zabawy i eksperymentów. Oczywiście wyłączyłem antyvira, a dokładniej ochronę w czasie rzeczywistym w moim Kasperskym. Chciałem zbadać jak to się wszystko potoczy... Oczywiście mój kochany firewall, również naszych rosyjskich sąsiadów, zablokował aplikacji jakąkolwiek aktywność sieciową.

Kumpel doradził żebym zresetował maszynę, aby obadać co prędzej zareaguje - serwer ggt czy kaspersky. No i ten reset był zdradliwy. Po zalogowaniu się automatycznie wylogowywało z każdego konta w systemie, i w każdym możliwym trybie, w jakim można uruchomić Xp'ka :/ Trochę się nawku***ałem zanim doszedłem do problemu.

A problem tkwił w pliku userinit.exe (Aplikacja USERINIT Logon) odpowiedzialny, prawdopodobnie, za uruchomienie powłokiExpolera po zalogowaniu się do systemu. Przy usuwaniu lub odinstalowaniu GGT na XP przy włączonym logowaniu nie jest przywracana kopia userinit wykonana przed zarażeniem tego pliku. Ot, taki mały błąd w GGT, który może bardzo zaszkodzić... lub popsuć nerwy.

Gdy już poznałem przyczynę, szybko sobie z tym poradziłem :)

Odpaliłem poczciwego DOS-a korzystając z bootowalnego cdka Win98, podmontowałem, dzięki sterownikowi NTFS Pro partycje NTFS pod DOS-em i znalazłem kopię pliku userinit.exe wykonaną przez system bodajże w katalogu dllcache. Skopiowałem na swoje miejsce i wszystko zaczęło odpowiednio działać.

Najgorsze w tym wszystkim jest to, że trochę zmarnowałem czasu i nerwów przez ten błąd w GGT. No ale mogłem się spodziewać tego, że eksperymenty zawsze różnie mogą się potoczyć.

W sumie współczuję biednym użytkownikom, którym lamusy pierd***ne wpakują GGT i wystąpi u nich ten sam błąd co w czasie moich zabaw. Większość pewnie jako jedyne rozwiązanie będzie widzieć użycie magicznej komendy format c:. Taka jest prawda, można się o tym przekonać przeglądając kilka for i tematów związanych z pozbyciem się nie tylko ggt, ale także innych świństewek.

Niektórzy wolą zrobić formata i mieć spokój, a dla innych to zmarnowanie czasu, szczególnie, ze później trzeba jeszcze reinstalke systemu przeprowadzić...

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *