05.09.2012, 20:04
ANONIM napisał(a):KOCHANI MAM DO WAS PROŚBĘ, W TYM JEST PODOBNO WIRUS, JAK SIĘ ROZPAKUJE, BO ANTYWIR NIE ROZPOZNAJE WIRUSA LECZ TEGO NIE ROZPAKOWAŁEM BO SIĘ BOJĘ.
Treść widoczna jedynie dla zarejestrowanych użytkowników
PROSZĘ SZYBKO O ODPOWIEDZ CZY WAM ANTYWIRY WYKRYWAJĄ WIRUSA
PRZED ROZPAKOWANIU/ I PO.
p.S. Jak wy testujecie te wszystkie próbki?
Na gołym systemie, takim którego się na co dzień używa, czy tylko na maszynie wirtualnej?
ANONIMOWY USER
Hmmtworzy jakieś repozytoria BitBucketw rejestrze i wyłącza kosz w systemie nie wiem do czego to służy do jakiegoś hostingu?
Są też zapytania dns log niżej:
[ General information ]
* File name: c:\users\tachion\desktop\img26387.jpg\img26387-jpg.scr
[ Changes to filesystem ]
* Deletes file C:\Users\tachion\Desktop\IMG26387.JPG\IMG26387-JPG.scr
[ Changes to registry ]
* Creates value "NukeOnDelete=00000001" in key HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\BitBucket
* Creates value "UseGlobalSettings=00000001" in key HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\BitBucket
* Creates value "PendingFileRenameOperations=\??\C:\Users\tachion\Desktop\IMG26387.JPG\IMG26387-JPG.scr" in key HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager
* Modifies value "NukeOnDelete=00000001" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{cb5811f7-edcb-11e1-b462-002215171a62}
old value empty
* Modifies value "NukeOnDelete=00000001" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{cb5811fb-edcb-11e1-b462-002215171a62}
old value empty
* Modifies value "NukeOnDelete=00000001" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{d51c5037-e6de-11e1-8805-806e6f6e6963}
old value empty
* Modifies value "NukeOnDelete=00000001" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{d51c5038-e6de-11e1-8805-806e6f6e6963}
old value empty
* Modifies value "NukeOnDelete=00000001" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{d51c5039-e6de-11e1-8805-806e6f6e6963}
old value empty
* Modifies value "NukeOnDelete=00000001" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{d51c503a-e6de-11e1-8805-806e6f6e6963}
old value empty
* Creates value "cmd.exe=Procesor poleceD systemu Windows" in key HKEY_CURRENT_USER\software\classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\C:\Windows\System32
[ Network services ]
* Queries DNS
[ Process/window/string information ]
* Gets user name information.
* Gets volume information.
* Gets computer name.
* Checks for debuggers.
* Creates process "(null),"C:\Users\tachion\Desktop\IMG26387.JPG\IMG26387-JPG.scr" /S,(null)".
* Enumerates running processes.
* Creates process "C:\Windows\system32\cmd.exe,"C:\Windows\system32\cmd.exe" /c del C:\Users\tachion\Desktop\IMG26387.JPG\IMG26387-JPG.scr > nul,C:\Users\tachion\Desktop\IMG26387.JPG".
* Injects code into process "c:\windows\system32\cmd.exe".