Groźny czy nie groźny wirus. -Dylemat :]


(lukaszb) #1

Otóż dzisiaj znalazłem na kumpla pendrivie dwa wirusy i chciałbym się zapytać kogoś z was czy te wirusy są groźne(były, bo szybko mi kaspersky usunał:slight_smile: )

trojan: "Trojan-Dropper.Win32.Small.apl"

wirus: "Email-Worm.Win32.Brontok.q"


(Polish Cj) #2

Email-Worm.Win32.Brontok.q - robak, dość uciążliwy, potrafi się kopiować do wielu miejsc:

%ProfilUżytkownika%\Local Settings\Application Data\br(losowa liczba)on.exe

%ProfilUżytkownika%\Local Settings\Application Data\csrss.exe

%ProfilUżytkownika%\Local Settings\Application Data\inetinfo.exe

%ProfilUżytkownika%\Local Settings\Application Data\lsass.exe

%ProfilUżytkownika%\Local Settings\Application Data\services.exe

%ProfilUżytkownika%\Local Settings\Application Data\smss.exe

%ProfilUżytkownika%\Local Settings\Application Data\svchost.exe

%ProfilUżytkownika%\Local Settings\Application Data\winlogon.exe


%WinDir%\sembako-(losowe symbole).exe


%WinDir%\ShellNew\bbm-(losowe symbole).exe


%System%\DXBLBO.exe

%System%\cmd-bro-(losowe symbole).exe

%System%\%UserName%'s Setting.scr


%ProfilUżytkownika%\%Autorun%\Empty.pif


%ProfilUżytkownika%\Templates\(losowy numer)-NendangBro.com


%MyPictures%\Mypictures.exe

, dodaje się do rejestru (autostart):

* [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

      "Bron-Spizaetus"=""

      "Bron-Spizaetus-(losowe symbole)"="%WinDir%\ShellNew\bbm-(losowy numer).exe"

    * [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]

      "Tok-Cirrhatus"=""

      "Tok-Cirrhatus-(losowy numer)"="%ProfilUżytkownika%\Local Settings\Application Data\br(losowy numer)on .exe"

    * [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

      "Shell"="Explorer.exe "%WinDir%\sembako-(losowe symbole).exe""

    * [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]

      "AlternateShell"="cmd-bro-(losowe symbole).exe"

, oraz blokuje m.in. Edytor Rejestru, Menedżer Zadań. Trojan-Dropper.Win32.Small.apl - dość typowy trojan, jego celem jest instalowanie i uruchamianie innych szkodliwych programów na zaatakowanej maszynie bez wiedzy czy zgody użytkownika. Po uruchomieniu tworzy pliki:

%System%\sysdb32.exe

%System%\tcpb32.exe

W obu przypadkach wystarczy przeskanowanie maszyny programem antywirusowym, ewentualnie w przypadku tego trojana można jeszcze ręcznie usunąć dwa utworzone pliki.

Pozdrawiam,

PolishCJ


(lukaszb) #3

hmm.... czyli nie powinienem mieć syfu na kompie :slight_smile: Pytałem się z ciekawości bo przed załączeniem pendrive zaczął mi się jakiś kingstonowy program do ochrony instalować, przegrywania danych itp ale gdyby w nim był trojan pewnie kasper by zareagował :slight_smile: Dopiero po skanowaniu pendrive odrazu wykrył te dwa odmiany wirusów. Dzięki PolishCJ za info