[scrgrd.exe: Νέος άγνωστος ιός]

ta definitions mou einai 25/05/2004 kai den mou ton brhke! :eek: :eek: :confused: :confused: pws ginetai ayto?

[scrgrd.exe: Νέος άγνωστος ιός]

Κατ'αρχας το κάνω post σε ξεχωριστό thread επειδή είναι επείγον και άγνωστο

προς το κοινό, παρακαλούνται οι mods να το επισημάνουν.

Συγνώμη για τα greeklish αλλα δεν εχω χρόνο να το γράψω κανονικά γιατί αύριο δίνω εξετάσεις. Θα το μετατρέψω με edit μου κάποια άλλη στιγμή.

 

Επισης το ξέρω πολύ καλά ότι κατα καιρούς βγαίνουν μούφες email για μαπα virii του τύπου "διαγράψτε τον ιο που λεγεται KERNEL32.DLL" αλλά αυτό δεν έχει καμία σχέση, σας διαβεβαιώ προσωπικά μιας και το βρήκα εγώ ο ίδιος.

Το παρακάτω είναι μεταφορά από το προσωπικό μου forum (warwickoverground.tk):

Loipon. Tis proalles brhka enan io sto systhma mou

pou einai agnwstos ston kosmo (to google shkwse ta

xeria psila). Ton anelysa ligo monos mou kai einai

poly sobaro ******, periexei aposteyta pragmata..

mazeyei passowrd, serial number apo paixnidia pou exete

egkatesthmena, anoigei backdoor sto systhma sas kai

epitrepei opoio malaka to egrapse na kanei oti 8elei,

sniffarei network traffic, psaxnei gia ena SQL vulnerability,

exei IRC extension apo to opoio pi8anotata pairnei

entoles otan xreiazetai, klp.

Tespa, einai apisteyto pragma, emeina me to stoma

anoixto. den 3erw pws legetai, alla to filename einai

SCRGRD.EXE

kai ama trexei sta processes sas [ctrl+alt+delete->processes]:

1] Kante epilogh tou process me image name SCRGRD.EXE

2] End process->yes

3] Start->Run->regedit.exe

4] epile3te to "My Computer" panw panw sth lista pou einai sto aristero

meros tou para8yrou

5] edit->find: "scrgrd.exe" [xwris ta "]

6] 8a anoi3ei ena para8yro "Searching the registry" pou 8a kanei ligh wra..

7] otan brei kati, ama leei "Microsoft Restore" kai apo dipla "scrgrd.exe"

pathste delete gia na to sbhsete.

8] pathste to plhktro F3 gia na synexisei na psaxnei, kante delete ola ta values pou 8a brei, mexri to F3 na bgazei "Finished searching through the registry"

 

Ayto..

Gia tou logou to alh8es, pio katw einai to report pou esteila stis megales etairies antivirus [norton-mcafee-fsecure]

 

Hello.

Recently I noticed that I had a process running

with which I was not familiar. scrgrd.exe

I searched my registry to find it's key and

It was listed as "Microsoft Restore".

I installed a firewall and it caught scrgrd.exe

trying to access the internet and that was

when I knew that something was wrong. The file was

under c:\windows\system32 and it had more than 1

registry initialization keys:

[software\Microsoft\Windows\CurrentVersion\Run]

[software\Microsoft\Windows\CurrentVersion\RunServices]

[...]

 

The file was upx packed. It was also hidden, system

and read-only. I upx-unpacked it, and viewed it with

a hex editor. It contained strings which indicate password-collecting functions and file-transfer functions. It also contained SQL functions like SQLDisconnect, SQLExecDirect, odbc32.dll etc.

 

Other functions it contains are DeleteService , StartServiceA, etc. e.g. Windows Services manipulation.

 

The program also seems to create msdos batch files for scanning IP's.

"@echo off

:repeat

del "%%1"

if exist "%%1" go to repeat

del "%s" %sdel.bat

"

 

One of the string is "\\192.168.1.210\IPC$"

 

It is written in Microsoft Visual C++.

 

References to "ARP cache", "DNSFlush", "PSNIFF" might indicate

ARP-poisoning and/or sniffing abilities.

 

A really alarming feature is some IRC commands along with the string "paypal.com". It is certain that

this [worm? trojan?] works as an IRC bot.

 

It also has screen-capturing and key logging abilities:

"[CAPTURE]:Screen capture saved to: %s"

"[KEYLOG]:Keylogger active"

 

"rlogin","rloginstop" and other references to rlogin

indicate that an rlogin server might be an option too.

 

It also contained critical registry values

like "Software\Activision\Soldier of fortune II" and

many other game registry values where the games store

their serial numbers. Obviously the program collects

them and sends them to it's creator.. [Over IRC?]

 

Finally some suspicious strings contained are

{beagle1

beagle2

mydoom

MyDoom

lsass

netdevil

sub7}

etc..

 

Another interesting part is:

"Connected to %s

3.72.0.0 131.131.131.131 netninjaz_place 12/12/04 13:13:13 netmaniac was here neTmaNiac""

Could this be a time trigger?

 

Other wierd strings include "MEOW" all over the place

and \\ \C$\123456111111111111111.doc"

 

The program also has the ability to set up and delete network shares.

There is also a small dictionary of something,

most likely names.

 

To sum it up - I think this is REALLY big.

It contains most of the tricks in the book

and nobody has nothing on it yet.

[i googled it for "scrgrd.exe" and nothing was found]

This requires urgent attention IMHO, unless it is already known.

 

Thank you for your attention,

Anastasios Bitsios

 

Για του λόγου το αληθές το ανεβάσα στον προσωπικό μου forum για όποιον θέλει να το μελετήσει. Για ευνόητους λόγους δεν το ανεβάζω εδώ. Το link gia to forum μου όπου υπάρχει ειναι αυτό.

ΠΡΕΠΕΙ ΝΑ ΥΠΟΓΡΑΜΜΙΣΤΕΙ ΠΟΛΛΕΣ ΦΟΡΕΣ ΟΤΙ ΔΕΝ ΤΟ ΚΑΝΩ ΓΙΑ ΛΟΓΟΥΣ ΔΙΑΦΗΜΙΣΗΣ, ΑΛΛΑ ΕΠΕΙΔΗ ΔΕΝ ΝΟΜΙΖΩ ΟΤΙ ΕΙΝΑΙ ΚΑΛΗ ΙΔΕΑ ΝΑ ΑΝΕΒΑΣΩ ΕΝΑΝ ΙΟ ΣΤΟ MYPHONE.GR ΓΙΑ ΤΗΝ ΠΕΡΙΠΤΩΣΗ ΠΟΥ ΚΑΠΟΙΟΣ ΘΕΛΕΙ ΝΑ ΤΟΝ ΜΕΛΕΤΗΣΕΙ. ΓΙΑ ΑΥΤΟ ΤΟΝ ΛΟΓΟ ΤΟ ΑΝΕΒΑΣΑ ΣΤΟ ΔΙΚΟ ΜΟΥ ΧΩΡΟ ΚΑΙ ΜΟΝΟ.

Αν οι moderators/admins συμφωνήσουν να το ανεβάσω εδώ τότε πολύ ευχαρίστως.

 

Update: Η fsecure απάντησε πως ανήκει στην κατηγορία http://www.f-secure.com/v-descs/sdbot_mb.shtml]SdBot, και οτι το αναγνώρισε generically. Το συγκεκριμμένο variant όμως είναι unknown.

[Soundtracks διαφημίσεων & εκπομπών ΙΙ]

Xairetai...

Psaxnw to tragoudi "sth diafhmish tou smirnoff ice pou einai se ena laundry panepistimiou kata pasa pi8anotita kati paidia ta opoia bazoun smirnoff ste plintiria kai kanei sapounades".

special request from my sister ;)

help me help her!

Eyxaristw!

[Soundtracks διαφημίσεων & εκπομπών ΙΙ]

Xairetai...

Psaxnw to tragoudi "sth diafhmish tou smirnoff ice pou einai se ena laundry panepistimiou kata pasa pi8anotita kati paidia ta opoia bazoun smirnoff ste plintiria kai kanei sapounades".

special request from my sister ;)

help me help her!

Eyxaristw!

[Neonode N1]

Αρχικό Μήνυμα από το μέλος Cambas (31 Μάι. 2004 , 12:47)

 

Telos poios th mpei sthn diadikasia na to paragghlei..?

 

ΕΕΕΓΩΩΩΩΩΩΩΩΩΩΩΩΩΩΩΩΩΩ

[Συγνώμη Συγνώμη και πάλι Συγνώμη αλλά δεν μπόρεσα να αντισταθώ]

[Neonode N1]

Ο ιούνιος ειναι σε 2 μερες...

Δεν θα έπρεπε να έχουμε ακούσει κάτι και απο άλλες πηγές?

[Neonode N1]

*sigh* ante pali.... it is alive.. meta pe8ainei.. meta 3ana it is alive... meta pe8ainei... meta 8 abgei ta xristougenna... meta to pasxa.. meta to kalokairi.. meta 3anape8ainei....

To 8elw trella to kinhtaki alla pia payw na sn8ousiazomai.. 8a arxisw tis kolotoumpes mono otan pathsw "submit" sthn paraggelia mou. :)

anyone else sharing those feelings?

 

to mobi-mania einai a3iopisto site h radio-arbylla?

[Mp3 Προτάσεις και Αναζητήσεις!]

Ψάχνω ένα αρχαίο τραγούδι για να κάνω έκπληξη σε μια φίλη μου για τα γενέθλιά της..

Το ψάχνει 7 χρόνια και είναι από Natasha's Brother το would you die for me...

 

Δεν το έχω βρεί πουθενά και έχω ψάξει όπου μπορώ να σκεφτώ..

Κυρίως DC++ και MIRC τα εχω κάνει άνω κάτω 5 ώρες τώρα.. Κουράστηκα και θα επανέλθω αύριο στο ψάξιμο και θα ήθελα να ρωτήσω αν το έχει η το βλέπει κανείς στο DC [angelos0?].. [δεν τα βλέπω όλα μιας και είμαι passive λόγω network πανεπιστημίου]

 

Please βοηθείστε.. είναι για καλό σκοπό..

 

Ευχαριστώ!

[MySQL Database LOST! :|]

Ναι μου το είπαν και άλλοι ότι έφτιαξε η SQL πριν βγεί ΓΚΟΛ και "Operation timed out when attempting to contact tasinet.dimhost.com"--> DoS! Τι Χαρά!

 

:worry: GURU MEDITATION :worry:

 

Το gzip comp θα το ενεργοποιήσω όποτε ξυπνήσει ο server ;)

[MySQL Database LOST! :|]

Α..

Ίσως να είναι απλά ο server λίγο busy ή κάτι..

στο backup panel:

 

Download a MySQL Database Backup

 

DBI connect('mysql:localhost','root',...) failed: Too many connections at /usr/local/cpanel/Cpanel/Mysql.pm line 42 ERROR 1040: Too many connections

 

Τώρα ίσως καταφέρω να κοιμηθώ επι τέλους.. [πήγε 7:27 :(]

[MySQL Database LOST! :|]

Σε ένα domain μου έχασα μια MySQL! Την χρησιμοποιούσα για ένα forum με phpbb και τώρα γ_ _ _ _ _ _ _ ο Δίας! Εξαφανίστηκε απο μόνη της! Το password μου δεν παίζει να το βρήκαν / sniffαραν / έμαθαν.. Από exploit μόνο άν.. :(

Δείτε μόνοι σας..

http://www.warwickoverground.tk

 

 

Στα stats μου δείχνει MySQL Databases: 0 / infinite

Αλλά επίσης SQL DISK USAGE: 0.85 MB.

Όσο ήταν δηλαδή..

:worry: :confused:

 

 

 

PS: Τι γράφει ο άνθρωπος στην ταραχή του..:

[θρλ]www.warwickoverground.tk[/θρλ]

[The «Ultimate» File Sharing thread]

Αρχικό Μήνυμα από το μέλος Bayern7 (20 Απρ. 2004 , 20:28)

 

Εγώ από dc++ αν είναι "καλός" ο άλλος πιάνω 38-40 σταθερο!

Σπάνια πάνω από 40. :mad:

 

me syndesi panepistimiou exw dei 11.98 MB/s me DC.. to hub omws einai sto intranet ;)

[Ανέκδοτα και αστεία!]

Αρχικό Μήνυμα από το μέλος waterprofen (20 Απρ. 2004 , 16:57)

[.........]

- Εχμμμμ.....μμμμμ.........να σου πω.......μμμμμμ....πρέπει να ξαναπάς στην Πετρούπολη να σου χώσει και το άλλο μισό ΓΙΑΤΙ ΜΟΥ ΒΓΑΙΝΕΙ ΔΕΚΑΔΙΚΟΣ:!: !!!!!! :D :D :D

 

Σε τι το περίμενε ο μάγκας το ριζόλτ?:confused: Σε binary μήπως? :worry:

"Η ποινή σου είναι 101001101 μέρες απομόνοση και 11001 προσευχές και μετάνοιες τη μέρα."

Δεκαψήφιος μήπως? :lol: :D

[Ανέκδοτα και αστεία!]

Guy meets girl in a bar..

Girl: My name's Karmen, cause I like cars and men.

Guy: Hi, i'm Charlie Beercunt

 

[bTW.. There and back again.. όχι here:)]

[Ανέκδοτα και αστεία!]

Όντως.. οπότε υποθέτω ότι σας χρωστάω ένα καλό.. πάρτε ένα αγγλικό για αρχή..

 

This guy walks into a bar and finds the finest chick he's ever seen. Surprisingly, she seems to take interest in him too, so they go to her apartment room. When they walk in, the guy sees all these photos of a man strewn all over the place. He begins to feel guilty. Was this her husband or her boyfriend. "Let's have sex." said the girl. The guy sheepishly follows her into her room, where there are more pictures of the man. The guy begins to have moral qualms, but the girl rips his clothes off and bangs him. Afterwards, he asks her, "Is that picture of your boyfriend or your husband?" She answers,"Neither, it was me before my surgery."

[iPAQ 6000 - Real Photos]

γράψε λάθος.. υπάρχει σε σχέδιο και δεν έχει βγεί ακόμα.. CF wifi + 128 mb υπάρχει.. sandisk.com -> wifi products

[iPAQ 6000 - Real Photos]

Αρχικό Μήνυμα από το μέλος Alexkass (10 Μάρ. 2004 , 12:13)

 

το sdio είναι καταδικασμένο αν δεν βγούνε διπλές κάρτες... και μνήμη και αξεσουάρ μαζί...

 

Έχω την εντύπωση πως είχα δεί κάπου μια ..SDIO wifi + 128 MB combo ... Δεν μπορώ να ψάξω τώρα όμως, έχει πάει 4 το πρωί.. αύριο άμα θυμάμαι το όνομά μου μπορεί να ψάξω :o :p :cool:

[Απαράδεκτη ανιτμετώπιση - mail.gr]

Ημμμ.. μήπως τα πήρε για spam και τα έκοψε? Μήπως έχεις ενεργοποιήσει καμία τέτοια ρύθμιση?

 

OverClocker Μην το λές ότι είναι ξεγραμμένα τα email, άμα φτάσει στα άκρα ο φίλος μας ο administrator μπορεί να κάνει κάτι..

 

Πίεσε τους.. Στο κάτω κάτω τους πλήρωσες :blink:

[Σχέσεις μεταξύ των δύο φύλων: Προβληματισμοί,εμπειρίες]

βγαλ'το μικρό σου φίλο μια φωτό και στείλτη με mms!

[Πωπω πόσο χυδαίος μπορώ να γίνω στις 5:45 το πρωί!]

 

Τώρα που το ξανασκέφτομαι...

Άκυρο.. Μην το στείλεις. Γράψε κανένα στιχάκι απο τραγούδι..

[ΟΧΙ gucci forema*, ΟΧΙ going through**, ΟΧΙ Παιδί θαύμα***]

 

Πέρα από την πλάκα τώρα, μία πολύ ωραία φάση που έχω ακούσει είναι..:

 

Στέλνει αυτός..

'If I.. could stay.."

Reply: "I would only be in your way..."

'So I'll go.. But I know..'

Reply: "I'll think of you, every step I take"......

 

Είναι πολύ γλύκό, άν και η επιλογή τραγουδιού ήταν λίγο ":blink: "...

 

Κάτι σε total eclipse of the heart ίσως?

________________

*Ότι σιχαίνομαι όλα τά'χεις εσύ

**Πόσο ςακάλαμ είσαι, αν όντως δε γουστάρεις, σου δείχνω τι να πάρεις

***Μαλάκω, σε είπα θεογκόμενα το πίστεψες μα εγώ αστειευόμουνα μαλάκω μαλάκω!

[Ανέκδοτα και αστεία!]

Αρχικό Μήνυμα από το μέλος georget (10 Απρ. 2004 , 22:08)

 

Αυτό μου άρεσε πολύ:

 

ΗΠΑ, New York (πολιτειακός νόμος):

Η ποινή για όποιον πηδάει από κάποιο κτίριο είναι θάνατος.

 

"Mα κύριε δήμιε μου πήδηξα από το ισόγειο για να σωθώ! Το κτίριο φλεγόταν!"

"Ο Νόμος είναι Νόμος." *Χράπ!*

[Ανέκδοτα και αστεία!]

Αρχικό Μήνυμα από το μέλος georget (10 Απρ. 2004 , 21:57)

 

ΠΡΑΓΜΑΤΙΚΟΙ ΝΟΜΟΙ ΠΟΥ ΙΣΧΥΟΥΝ ΣΗΜΕΡΑ

 

- ΗΠΑ, California, Downey (δημοτικός νόμος):

Είναι παράνομο το πλύσιμο αυτοκινήτου στο δρόμο (ψηφίστηκε το 1995).

 

- ΗΠΑ, Massachusetts (πολιτειακός νόμος):

Απαγορεύονται οι γορίλες στο πίσω κάθισμα των αυτοκινήτων.

 

Το πρώτο το βρίσκω απόλυτα λογικό, αφού τα νερά στο δρόμο μειώνουν την πρόσφυση και αυξάνουν τον κίνδυνο ατυχήματος. Λάθος?

--

Και όταν ο Bush πάει στη Μασαχουσέττη, θα κάτσει μπροστά ή θα φάει πρόστιμο? :alien:

[Online Ελληνικός Μεταφραστής από babelfish [altavista]]

hmmm... to link pou edwses 'deos' einai mallon to idio engine me to babel...

 

einai kai ta 2 powered by systran kai bgazoyn ta idia results ligo pou epai3a... mporei kai na kanw la8os bebaia, scuzi

[Online Ελληνικός Μεταφραστής από babelfish [altavista]]

to babel einai powered by systran.. den 3erw an einai to idio engine omws :o

[Online Ελληνικός Μεταφραστής από babelfish [altavista]]

Hmmm... translate "Is this good?"

-> "Είναι αυτό το αγαθό?"

 

Χμμμ.. :confused: :worry:

[Online Ελληνικός Μεταφραστής από babelfish [altavista]]

Χμμμ.... άν αναφέρεσαι στο SYSTRAN νομίζω ότι εκεί βασίζεται το babel... let's check....

 

aha!::>http://us.i1.yimg.com/us.yimg.com/i/us/av/i/bf/systran-big-logo.gif