12.04.2013, 23:06
zwykły przypadek dorkbota
ukrywa się i ładuje do C:\Users\TACHION\AppData\Roaming\Linkrfmnnuvioklv.exe
łączy się z adresem podświetlonym na czerwono
POST / HTTP/1.1
Authorization: Basic YmlnYm9iMDAwMDAwMUBnbWFpbC5jb206cGFzc3dvcmQ=
Content-Length: 43
X-Mining-Extensions: hostlist longpoll noncerange rollntime switchto
User-Agent: Ufasoft bitcoin-miner/0.28 (Windows NT 7 6.1.7601 Service Pack 1)
Host: xhuehs.cantvenlinea.ru:1942
Pragma: no-cache
ściąga sięi ładuje do C:\Users\TACHION\AppData\Local\Temp\qlglrzdsnhqdfvk.exejako bitcoin minerpozostając też w ukryciu i podtrzymując połączenie z adresem 173.0.54.88
po wykonaniu zmienia klucz
Defined registry AutoStart location created or modified: user\current\software\Microsoft\Windows\CurrentVersion\Run\WINSXS32 = C:\Users\tachion\Desktop\qlglrzdsnhqdfvk.exe
napisany w microsoft visual c++ 9.0
ukrywa się i ładuje do C:\Users\TACHION\AppData\Roaming\Linkrfmnnuvioklv.exe
łączy się z adresem podświetlonym na czerwono
POST / HTTP/1.1
Authorization: Basic YmlnYm9iMDAwMDAwMUBnbWFpbC5jb206cGFzc3dvcmQ=
Content-Length: 43
X-Mining-Extensions: hostlist longpoll noncerange rollntime switchto
User-Agent: Ufasoft bitcoin-miner/0.28 (Windows NT 7 6.1.7601 Service Pack 1)
Host: xhuehs.cantvenlinea.ru:1942
Pragma: no-cache
ściąga sięi ładuje do C:\Users\TACHION\AppData\Local\Temp\qlglrzdsnhqdfvk.exejako bitcoin minerpozostając też w ukryciu i podtrzymując połączenie z adresem 173.0.54.88
po wykonaniu zmienia klucz
Defined registry AutoStart location created or modified: user\current\software\Microsoft\Windows\CurrentVersion\Run\WINSXS32 = C:\Users\tachion\Desktop\qlglrzdsnhqdfvk.exe
napisany w microsoft visual c++ 9.0
[Aby zobaczyć linki, zarejestruj się tutaj]