Crv Win32/Visal.B: http://www.virustotal.com/file-scan/report.html?id.....1284224488
pomenut u ovih par poruka, nakon infekcije pravi kopije sebe:
2010-09-11 15:19:46 290816 ---h--w- C:\open.exe
2010-09-11 15:19:46 290816 ----a-w- c:\windows\system\updates.exe
2010-09-11 15:19:46 290816 ----a-w- c:\windows\system\Administrator CV 2010.exe
2010-09-11 15:19:46 290816 ----a-w- c:\windows\csrss.exe
2010-09-11 15:19:46 290816 ----a-w- C:\Administrator CV 2010.exe
+ autorun.inf:
2010-09-11 15:21:17 172 ----a-w- c:\windows\autorun.inf
2010-09-11 15:21:17 167 ----a-w- c:\windows\autorun2.inf
2010-09-11 15:21:17 167 ---h--w- C:\autorun.inf
+ pomoćna skripta:
2010-09-11 15:21:07 1728 ----a-w- c:\windows\vb.vbs
pokušava i da izvrši download dodatnih file-ova sa interneta:
2010-09-11 15:33:07 1016 ----a-w- c:\windows\tryme1.exe
2010-09-11 15:32:45 1016 ----a-w- c:\windows\system32\SendEmail.dll
2010-09-11 15:32:45 1016 ----a-w- c:\windows\rd.exe
2010-09-11 15:32:45 1016 ----a-w- c:\windows\pspv.exe
2010-09-11 15:32:45 1016 ----a-w- c:\windows\op.exe
2010-09-11 15:32:45 1016 ----a-w- c:\windows\im.exe
2010-09-11 15:32:45 1016 ----a-w- c:\windows\ie.exe
2010-09-11 15:32:45 1016 ----a-w- c:\windows\gc.exe
2010-09-11 15:32:45 1016 ----a-w- c:\windows\ff.exe
2010-09-11 15:20:55 1016 ----a-w- c:\windows\re.iq
2010-09-11 15:20:55 1016 ----a-w- c:\windows\re.exe
2010-09-11 15:20:55 1016 ----a-w- c:\windows\hst.iq
Malware više nije dostupan na tim linkovima tako da file-ovi sadrže samo ovo:
OK, to smo sve znali i do sada (bar donekle).
c:\windows\vb.vbs <--- razlog otvaranja ove teme.
http://www.virustotal.com/file-scan/report.html?id.....1284225052
Pogledali VT link? Pažljivo pogledali?
Sigurno?
Ova skripta em nije Win32 tj. 32-bitni program (jer je skripta), em definitivno nije konj.
Mislim... Konj?!
|