32-bitni... Konj?

• 5Ovo se svidja korisnicima: FarscapeFan, Black Code, goran9888, WF_Jay, mcrule
  
  Registruj se da bi pohvalio/la poruku!

Crv Win32/Visal.B: [Link mogu videti samo ulogovani korisnici]

pomenut u ovih par poruka, nakon infekcije pravi kopije sebe:

2010-09-11 15:19:46 290816 ---h--w- C:\open.exe
2010-09-11 15:19:46 290816 ----a-w- c:\windows\system\updates.exe
2010-09-11 15:19:46 290816 ----a-w- c:\windows\system\Administrator CV 2010.exe
2010-09-11 15:19:46 290816 ----a-w- c:\windows\csrss.exe
2010-09-11 15:19:46 290816 ----a-w- C:\Administrator CV 2010.exe

+ autorun.inf:

2010-09-11 15:21:17 172 ----a-w- c:\windows\autorun.inf
2010-09-11 15:21:17 167 ----a-w- c:\windows\autorun2.inf
2010-09-11 15:21:17 167 ---h--w- C:\autorun.inf

+ pomoćna skripta:

2010-09-11 15:21:07 1728 ----a-w- c:\windows\vb.vbs


pokušava i da izvrši download dodatnih file-ova sa interneta:


2010-09-11 15:33:07 1016 ----a-w- c:\windows\tryme1.exe
2010-09-11 15:32:45 1016 ----a-w- c:\windows\system32\SendEmail.dll
2010-09-11 15:32:45 1016 ----a-w- c:\windows\rd.exe
2010-09-11 15:32:45 1016 ----a-w- c:\windows\pspv.exe
2010-09-11 15:32:45 1016 ----a-w- c:\windows\op.exe
2010-09-11 15:32:45 1016 ----a-w- c:\windows\im.exe
2010-09-11 15:32:45 1016 ----a-w- c:\windows\ie.exe
2010-09-11 15:32:45 1016 ----a-w- c:\windows\gc.exe
2010-09-11 15:32:45 1016 ----a-w- c:\windows\ff.exe
2010-09-11 15:20:55 1016 ----a-w- c:\windows\re.iq
2010-09-11 15:20:55 1016 ----a-w- c:\windows\re.exe
2010-09-11 15:20:55 1016 ----a-w- c:\windows\hst.iq

Malware više nije dostupan na tim linkovima tako da file-ovi sadrže samo ovo:







OK, to smo sve znali i do sada (bar donekle).

c:\windows\vb.vbs <--- razlog otvaranja ove teme.







[Link mogu videti samo ulogovani korisnici]



Pogledali VT link? Pažljivo pogledali?


Sigurno?











Ova skripta em nije Win32 tj. 32-bitni program (jer je skripta), em definitivno nije konj.



Mislim... Konj?!