Russian Trojans : Naebi Soseda 2.33

Naebi Soseda 2.33

Name: Naebi Soseda
Version: 2.33
Author: Dr.Null // RHF
Language: Visual C++ 5.0
Packed: Aspack 1.05b (server), not packed (editor)
Startup: SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\

Server Editor GUI Editor
Icon
Name ns233.exe confgui.exe conf.exe
Size 13312 (04.09.1999) 19456 (04.09.1999) 6656 (03.09.1999)
KAV detected Trojan.PSW.Coced.233 Trojan.PSW.Coced.233 Trojan.PSW.Coced.233
Known version of trojan trojanized with himself (server size 26841 bytes, editor gui size 32985 bytes).

	Server	Editor GUI	Editor
Icon
Name	ns233.exe	confgui.exe	conf.exe
Size	13312 (04.09.1999)	19456 (04.09.1999)	6656 (03.09.1999)
KAV detected	Trojan.PSW.Coced.233	Trojan.PSW.Coced.233	Trojan.PSW.Coced.233

Editor:

Warning:
1) Trojan send passwords also to author's email.
2) Editor add to registry:

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shell\Создать Троян\command]
@="\"C:\\TR\\CONFGUI.EXE\" "

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://naebi.tsx.org"

[HKEY_USERS\.Default\Software\Netscape\Netscape Navigator\Main]
"Autoload Home Page"="yes"
"Home Page"="http://naebi.tsx.org"

Features:

- пароли на диалап (co CkpunTaMu n Teлефонами)
- пароли из pwl-кеша     
- пароли программы СuteFtp/WinComander-FTP
- пароли ко всем уинам жертвы
- пароль порт итд установленного если есть
    * Трояна BackOrifice 1.2
    * Трояна NetBus 1.7
    * Трояна NetSpheare
    * Каких других троянов (выводится их список
    и делается попытка определить их порты и пароли)
- пароль из Edialer(в процессе ..в той версии которая
  у вас или еше нет ..или только edialre.ini или уже пароль)
- полный список асек 
- пароли к аськам
- кое-что интересное с рабочего стола ..
- само-апдейт(ура добавлен ..о глЮках пишите если что)              
- имя_машины@ интернетный_адрес_машины [внутренний_аддресс]
  (например   mashine@ the.firewall.gov.ru  [10.0.4.16])

что значат значки -                

  > - дальше  пароль на диалап с телефоном итд
  *#  -ftp passwords
  *Rna - пароли на диалапы или _ВНЕШНИЕ_ расшаренные ресурсы
  >? - Пароли на шары самой машины на которой выполнялся конь
  #! - номера асек [размер файла с message history]<пароль>
  >Reg  - содержимое интересных мест регистра.
      [размерфайла] описание : файл : полный -путь до
      ?:87ц45р5:port444:pass666:: - попытка определения
      настроек трояна если это "наверно_троян"

Принцип работы: пассивный.
программа не ждет какого либо соединения из вне
а сама еже 3-5 дневно присылает указаную информацию
с компьютера где она выполняется по протоколу SMTP на Ваш email.                
* время активного состояния (Run) ~ 1-2 минуты раз в три дня
(в остальное время она тихо ждет своего часа и соотвенно не видна в списке задач
по ProcessFirst/ProccessNext так как в это время не выполняется)