13.04.2013, 11:40
tachion napisał(a):zwykły przypadek dorkbota
ukrywa się i ładuje do C:\Users\TACHION\AppData\Roaming\Linkrfmnnuvioklv.exe
łączy się z adresem podświetlonym na czerwono
POST / HTTP/1.1
Authorization: Basic YmlnYm9iMDAwMDAwMUBnbWFpbC5jb206cGFzc3dvcmQ=
Content-Length: 43
X-Mining-Extensions: hostlist longpoll noncerange rollntime switchto
User-Agent: Ufasoft bitcoin-miner/0.28 (Windows NT 7 6.1.7601 Service Pack 1)
Host: xhuehs.cantvenlinea.ru:1942
Pragma: no-cache
ściąga sięi ładuje do C:\Users\TACHION\AppData\Local\Temp\qlglrzdsnhqdfvk.exejako bitcoin minerpozostając też w ukryciu i podtrzymując połączenie z adresem 173.0.54.88
po wykonaniu zmienia klucz
Defined registry AutoStart location created or modified: user\current\software\Microsoft\Windows\CurrentVersion\Run\WINSXS32 = C:\Users\tachion\Desktop\qlglrzdsnhqdfvk.exe
napisany w microsoft visual c++ 9.0
[Aby zobaczyć linki, zarejestruj się tutaj]
tachion ty to dekompilujesz czy co ?
z logów z OTL idze tyle wywnioskować tyle że sa 2 pliki i 3 wpisy do rejestru
Przykład
PRC - [2013-04-12 16:13:52 | 000,506,368 | -H-- | M]() -- C:\Users\jbr\AppData\Local\Temp\trjritnskgkpdjk.exe
PRC - [2013-04-12 13:05:16 | 000,101,376 | RH-- | M]() -- C:\Users\jbr\AppData\Roaming\Pgvvpwwaqgocctdh.exe
O4 - HKLM..\Run: [Pgvvpwwaqgocctdh.exe]C:\Users\jbr\AppData\Roaming\Pgvvpwwaqgocctdh.exe ()
O4 - HKU\S-1-5-21-649295582-2107987914-6498272-10032..\Run: [Pgvvpwwaqgocctdh.exe]C:\Users\jbr\AppData\Roaming\Pgvvpwwaqgocctdh.exe ()
O4 - HKU\S-1-5-21-649295582-2107987914-6498272-10032..\Run: [WINSXS32]C:\Users\jbr\AppData\Local\Temp\trjritnskgkpdjk.exe ()