|
Тема |
Re: Антивирусна [re: walkman™] |
|
Автор |
ЛУД ПPЪЧ (еблив смърдел) |
|
Публикувано | 09.12.08 09:44 |
|
|
ето това представлява на флаша:
/autorun.inf
/recycler/S-1-5-21-1482476501-1644491937-682003330-1013/Desktop.ini
/recycler/S-1-5-21-1482476501-1644491937-682003330-1013/iqe32.exe
---
Desktop.ini:
-------------
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
iqe32.exe:
------------
MS-DOS executable PE for MS Windows (GUI) Intel 80386 32-bit
size: 13824 bytes
md5sum: 7347bebac9605ee38ac4f2ad704e9c5a
autorun.inf:
--------------
[autorun]
open=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\iqe32.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\iqe32.exe
shell\open\default=1
* качва се на флаша от заразен компютър. не знам има ли други методи за разпространение.
* на заразения компютър също има RECYCLER/... в системния дял
* после от флаша чрез любимия на всички autorun/autoplay се качва на компютър с windows.
* ръга се в регистрите за автоматично стартиране.
* смъква и разни други лайна от някъде из Интернет
* iqe32.exe и/или смъкнатите други лайна се свързват сегиз-тогиз с някакъв IRC сървър (може би и от там да смъква нещо - не знам)
* прави exe-та с полу-случайни имена - има като че някакъв набор от основни имена и при изтриване на exe-то, чийто процес е току-що утрепан, прави нов файл като към името има добавена в края по някоя и друга буква
*след убиване на процеса доста бързо пуска друг
въобще докато си поиграх малко, дори аз не бях достатъчно чевръст, за да мога да изтрия поредния файл. направих си един BAT, който трие и веднага след това прави директория със същото име, за да не може то да си направи ново exe :)
правеше и директории някакви, които пък трих и правех файл, за да не може да направи директория. майтап голям беше.
не помня много добре, но май пишеше тия работи в system32. и в Program files имаше нещо май.
накрая успях да му блокирам действията, де, но експериментите ги правих на един компютър, който трябваше да се трие целия и да заминава в пенсия. на другите пуснах 3 антивирусни и Avira го откри (TR/Recycled.A) и го махна както беше активен. намери и 3-4 други неща, от които едното беше някакъв jar-файл, а едно друго беше JPG в temporary-то на internet explorer. не се сетих да прехвърля JPG-a на линукса, за да видя дали наистина е картинка някаква. другите (clamav & f-prot) нищо не намериха. сега, последния clamav-0.94.2, намира autorun.inf като "BAT.Autorun-8", но самото iqe32.exe не го разпознава като вирус/троянец.
ще проверя дали файлчетата все още стоят в карантината на Avira и ще ги изброя тук ако са там.
hell storms, rush over the earth
bestial invasioooooooooooon
|
| |
|
|
|