Russian Trojans : Naebi Soseda 2.41

Naebi Soseda 2.41

Name: Naebi Soseda
Version: 2.41
Author: Dr.Null // RHF
Language: Visual C++ 5.0
Packed: Aspack 1.07b (server), not packed (editor)
Startup: SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\

Server Editor GUI Editor
Icon -
Name ns241.exe confgui.exe -
Size 13824 (02.07.1999) 24064 (04.07.1999) -
KAV detected Trojan.PSW.Coced.241 Trojan.PSW.Coced.240 -

	Server	Editor GUI	Editor
Icon			-
Name	ns241.exe	confgui.exe	-
Size	13824 (02.07.1999)	24064 (04.07.1999)	-
KAV detected	Trojan.PSW.Coced.241	Trojan.PSW.Coced.240	-

Editor:

Warning:
Trojan send passwords also to emails n@chat.ru, bill@iname.com, k@mail.ru

Features:

Теперь поддерживается посылка email через SOCKS5 и даже HTTP-прокси
(через метод CONNECT)

NEW - 10 SMTP , один из которых настраиваем ...
для это жмите SMTP & Advanced settings 
SMTP - сервер через который посылать он должен либо давать всем(RELAY)
либо давать посылать с того мыло которое вы указали во FROM
один пример win.CHAT.RU -> webmater@CHAT.RU ( or xakep@CHAT.RU)
еще один   mail.mail.ru -> vasya@MAIL.RU - это правильно
пример неправильного
mail.NEVALINK.RU -> null812@DUX.RU - разные домены потому сервер\
пошлет на .... а не вам пароли

- пароли на диалап (co CkpunTaMu n Teлефонами)
- пароли из pwl-кеша     
- пароль на iCQ - now with ICQ 99 3.xx (<.19) support 
- пароли программы СuteFtp/WinComander-FTP(исправлено к 3.0)
- пароль порт итд установленного если есть
    * Трояна BackOrifice 1.2
    * Трояна NetBus 1.7
    * Трояна NetSpheare
    * Каких других троянов (выводится их список
    и делается попытка определить их порты и пароли)
- пароль из Edialer(в процессе ..в той версии которая
  у вас или еше нет ..или только edialre.ini или уже пароль)
- полный список асек 
- пароли к аськам
- кое-что интересное с рабочего стола ..
- само-апдейт(ура добавлен ..о глЮках пишите если что)              
- имя_машины@ интернетный_адрес_машины [внутренний_аддресс]
  (например   mashine@ the.firewall.gov.ru  [10.0.4.16])

что значат значки -                

  > - дальше  пароль на диалап с телефоном итд
  *#  -ftp passwords
  *Rna - пароли на диалапы или _ВНЕШНИЕ_ расшаренные ресурсы
  >? - Пароли на шары самой машины на которой выполнялся конь
  #! - номера асек [размер файла с message history]<пароль>
  >Reg  - содержимое интересных мест регистра.
      [размерфайла] описание : файл : полный -путь до
      ?:87ц45р5:port444:pass666:: - попытка определения
      настроек трояна если это "наверно_троян"

Принцип работы: пассивный.
программа не ждет какого либо соединения из вне
а сама еже 3-5 дневно присылает указаную информацию
с компьютера где она выполняется по протоколу SMTP на Ваш email.                
* время активного состояния (Run) ~ 1-2 минуты раз в три дня
(в остальное время она тихо ждет своего часа и соотвенно не видна в списке задач
по ProcessFirst/ProccessNext так как в это время не выполняется)