SafeGroup
Wirus z facebooka - Wersja do druku

+- SafeGroup (https://safegroup.pl)
+-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html)
+--- Dział: Malware Lab (https://safegroup.pl/forum-20.html)
+--- Wątek: Wirus z facebooka (/thread-5000.html)

Wirus z facebooka - Waves - 23.06.2012

Mając chwilę czasu, zainteresowany kolejnym zamieszaniem wokół malware z serwisu Facebook postanowiłem go w swoim rodzaju rozłożyć. Mam nadzieję że jeżeli ktoś będzie miał chwilę czasu również się wypowie Wink
Log z OTL:

[Aby zobaczyć linki, zarejestruj się tutaj]

Będę poszukiwał zainfekowanych plików i postaram się utworzyć uniwersalny skrypt do OTL pomagający usunąć wirusa Smile
Co do tej pory znalazłem:
Kod:
C:\Documents and Settings\Administrator\Local Settings\Application Data\ovemgd.exe
https://www.virustotal.com/file/8cd14389bb78c96e20b147fd02728a1cc1d089e876ebbb535798670282ee6595/analysis/

Kod:
C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\mjuet.exe
https://www.virustotal.com/file/8cd14389bb78c96e20b147fd02728a1cc1d089e876ebbb535798670282ee6595/analysis/


To dwa identycznie pliki ze zmienionymi nazwami

W miarę poszukiwań będę edytował posta.

Re: Wirus z facebooka - Flash999 - 23.06.2012

Czyli profilaktycznie i dość ryzykowanie powinno wystarczyć:
Kod:
:Files
%USERPROFILE%\Local Settings\Application Data\*.exe
%USERPROFILE%\Start Menu\Programs\Startup\*.exe

Dlaczego ryzykownie? Bo usuwa wszystkie .exe w tej lokalizacji (nie powinno zaszkodzić).
Warto wspomnieć, że to Windows XP - na 7 będzie nieco inaczej.

Re: Wirus z facebooka - Waves - 23.06.2012

Tak mój drogi. Ryzykowanie bo przecież ktoś mógł sobie tam coś dodać Wink Mam na myśli drugą lokalizację. Jednak szanse na to są małe bo ludzie którzy sami dodają pliki do takich lokalizacji zapewne nie otworzą linku z malware

Re: Wirus z facebooka - PascalHP - 23.06.2012

Jakby ktoś sam coś tam dodał, to bym sam potrafił usunąć zagrożenie albo zapobiegł by mu całkowicie.

Re: Wirus z facebooka - tachion - 23.06.2012

łap<!-- sSmile2-->Smile2 <!-- sSmile2-->
[2012/06/23 19:07:33 | 000,115,204 | R-S- | C]() -- C:\Documents and Settings\Administrator\Local Settings\Application Data\ovemgd.exe

Re: Wirus z facebooka - Flash999 - 23.06.2012

Waves97 napisał(a):Mam na myśli drugą lokalizację.

Do autostartu wrzuca się raczej skróty - tych nie usuwa, tylko .exe Smile

@tachion
Nazwa pliku jest losowa, foldery te same.

Re: Wirus z facebooka - tachion - 23.06.2012

He teraz zauważyłem że Waves ścieżkę podał też,szkoda że chociażby md5 się nie zmienia tylko jest takie same w obydwóch przypadkach<!-- sSmile2-->Smile2 <!-- sSmile2-->