поковырял под виртуалью новый файл. (только что обновленными базами каспера он уже ловится, так что в скором будущем можно ожидать новую версию троя, если писателю не надоело еще)
создает файлы System32\Expllorer.exe; \%windir%\temp\xer.exe (бинарно равный Expllorer.exe), и временный файл C:\a.bat (словить его пока не удалось - быстро удаляет, гадина)
добавляет строки
[HKEY_CURRENT_USER\Software\Microsoft\OLE]
"Shel"="Expllorer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Shel"="Expllorer.exe"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Shel"="Expllorer.exe"
и самое главное: не только аську она тырит.
также зараза интересуется папками Бата, инишником Тотал Коммандера, в котором лежат пароли ФТП, WINDOWS\win.ini, SmartFTP, Оперой, Мозиллой, Microsoft\Network\Connections\Pbk\\rasphone.pbk; CuteFTP...
в общем, список некислый. логи ейных похожений по системе в атаче (для удобства рекомендую открыть их в экселе)
по первому файлу:
создает файлы System32\winloggon.exe; \%windir%\temp\xer.exe, и временный файл C:\a.bat
добавляет строки
[HKEY_CURRENT_USER\Software\Microsoft\OLE]
"Win Reg N"="winloggon.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Win Reg N"="winloggon.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServic es]
"Win Reg N"="winloggon.exe"
ну, а похожденья - теже..
__________________
все "спасибы" - в приват и в репутацию! не засоряйте форум!!!!
~~~~~~~~~~~~~~~~~~~~~~
The time has come it is quite clear, our antichrist is almost already here.M.M.
Последний раз редактировалось Plague; 24.07.2006 в 18:46.
|