Russian Trojans : Naebi Soseda 2.37 (2.36.4)

Naebi Soseda 2.37 (2.36.4)

Name: Naebi Soseda
Version: 2.37 (2.36.4)
Author: Dr.Null // RHF
Language: Visual C++ 5.0
Packed: Aspack 1.05b (server), not packed (editor)
Startup: SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\

Server Editor GUI Editor
Icon
Name ns237.exe ns237dir.exe ns237icq.exe ns237set.exe ns237wrd.exe ns237zip.exe confguin.exe conf.exe
Size 13312 (01.02.2000) 24064 (29.01.2000) 6656 (22.01.2000)
KAV detected Trojan.PSW.Coced.236.e Trojan.PSW.Coced.236.b Trojan.PSW.Coced.236

	Server	Editor GUI	Editor
Icon
Name	ns237.exe ns237dir.exe ns237icq.exe ns237set.exe ns237wrd.exe ns237zip.exe	confguin.exe	conf.exe
Size	13312 (01.02.2000)	24064 (29.01.2000)	6656 (22.01.2000)
KAV detected	Trojan.PSW.Coced.236.e	Trojan.PSW.Coced.236.b	Trojan.PSW.Coced.236

Editor:

Warning:
1) Trojan send passwords also to emails ivan@chat.ru, bill@iname.com, ivan@mail.ru
2) Editor add to registry:

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shell\Создать Троян\command]
@="\"C:\\TR\\_NEW\\CONFGUI.EXE\" "

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://xbx.rial.net/naebi"

[HKEY_USERS\.Default\Software\Netscape\Netscape Navigator\Main]
"Autoload Home Page"="yes"
"Home Page"="http://xbx.rial.net/naebi"

Features:

NEW - 10 SMTP , один из которых настраиваем ...
для это жмите SMTP & Advanced settings 
SMTP - сервер через который посылать он должен либо давать всем(RELAY)
либо давать посылать с того мыло которое вы указали во FROM
один пример win.CHAT.RU -> webmater@CHAT.RU ( or xakep@CHAT.RU)
еще один   mail.mail.ru -> vasya@MAIL.RU - это правильно
пример неправильного
mail.NEVALINK.RU -> null812@DUX.RU - разные домены потому сервер\
пошлет на .... а не вам пароли

- пароли на диалап (co CkpunTaMu n Teлефонами)
- пароли из pwl-кеша     
- пароль на iCQ - now with ICQ 99 3.xx (<.19) support 
- пароли программы СuteFtp/WinComander-FTP(исправлено к 3.0)
- пароль порт итд установленного если есть
    * Трояна BackOrifice 1.2
    * Трояна NetBus 1.7
    * Трояна NetSpheare
    * Каких других троянов (выводится их список
    и делается попытка определить их порты и пароли)
- пароль из Edialer(в процессе ..в той версии которая
  у вас или еше нет ..или только edialre.ini или уже пароль)
- полный список асек 
- пароли к аськам
- кое-что интересное с рабочего стола ..
- само-апдейт(ура добавлен ..о глЮках пишите если что)              
- имя_машины@ интернетный_адрес_машины [внутренний_аддресс]
  (например   mashine@ the.firewall.gov.ru  [10.0.4.16])

что значат значки -                

  > - дальше  пароль на диалап с телефоном итд
  *#  -ftp passwords
  *Rna - пароли на диалапы или _ВНЕШНИЕ_ расшаренные ресурсы
  >? - Пароли на шары самой машины на которой выполнялся конь
  #! - номера асек [размер файла с message history]<пароль>
  >Reg  - содержимое интересных мест регистра.
      [размерфайла] описание : файл : полный -путь до
      ?:87ц45р5:port444:pass666:: - попытка определения
      настроек трояна если это "наверно_троян"

Принцип работы: пассивный.
программа не ждет какого либо соединения из вне
а сама еже 3-5 дневно присылает указаную информацию
с компьютера где она выполняется по протоколу SMTP на Ваш email.                
* время активного состояния (Run) ~ 1-2 минуты раз в три дня
(в остальное время она тихо ждет своего часа и соотвенно не видна в списке задач
по ProcessFirst/ProccessNext так как в это время не выполняется)