19.04.2013, 21:56
BudbarareHell napisał(a):Nie sklasyfikowany ransom wykorzystany w atkach na spamhaus
Treść widoczna jedynie dla zarejestrowanych użytkowników
arcavir wykrywa :O
Szkodnik tworzy katalog
C:\Documents and Settings\User\Local Settings\Application Data\DTS Bootstrap
a w nim podfoldery
2 plik sa tworzone
C:\Documents and Settings\User\Local Settings\Application Data\DTS Bootstrap\SessEnv.exe
C:\Documents and Settings\User\Local Settings\Application Data\DTS Bootstrap\SessEnv.mui
po tym automatycznie kasuje sampla z którego został uruchomiony
tworzy proces:
C:\WINDOWS\system32\msiexec.exe
i wstrzykuje swój kod do niego
dodaje także wpis do autostartu w kluczu:
KHCU\Software\Microsoft\Windows\CurrentVersion\Run\SessEnv
tworzy także odwołanie do DNS i stron http:
Kod:
DNS Queries
DNS Query Text
www.google.com IN A +
• HTTP Queries
HTTP Query Text
www.google.com GET /webhp HTTP/1.1
Sorki za błedy jak coś nie znam się