Wirus marioforever.exe


(Rafalszymacha) #1

Zaatakowało mnie takie coś: marioforever.exe. Antywir go wykrył i zneutralizował (Panda Antywirus + Firewall 2008). Ale jak to się stało że plik się zapisał na dysku? Jak można namierzyć komputer z którego rozsyłane jest to dziadostwo?


(slawex1983) #2

Grałeś ostatnio w mario? :smiley:


(Spectatorx) #3

Musiałeś sam go ściągnąć i marioforever (raczej) wirusem nie jest. W jakiejś wersji z 2004 roku napewno wira nie było, teraz nie wiem czy gra jest nadal rozwijana czy nie i nie wiem czy przypadkiem wirusów w niej nie ma, ale raczej jestem za tym, że panda błędnie wykryła ją jako wirusa.


(Rafalszymacha) #4

Napewno żadnej gry nie ściągałem! Komputer służy mi do pracy, a nie do gier!


(Spectatorx) #5

To ktoś za Ciebie ściągnął, widocznie nie tylko Ty korzystasz z tego kompa.


(Rafalszymacha) #6

Tylko ja kożystam z tego lapka. Bardzo pilnuję żeby nikt niepowołany przy nim nie zasiadł. Nawet żona w domu jak jestem nie ma dostępu.


(system) #7

może fałszywy alarm osobiście nie uważam pandy za ideał antywira, panda mogła się pomylić


(arapo) #8

To jego opis działania:

Szkodnik rozprzestrzenia się poprzez kopiowanie do zasobów udostępnionych sieciowo. Po uruchomieniu, upuszcza do domyślnego katalogu systemowego następujące pliki: bmf.cs, ccs.so, gh.l, mn.n, ntpl.bin, nvrsma.dll, yl.po. Tworzy także w tym samym katalogu pliki acl.exe oraz MarioForever.exe. ponadto na każdym dysku w jego katalogu głównym tworzy plik o nazwie MarioForever.exe. Następnie robak modyfikuje pliki %domyślny katalog systemowy%dllcacheuser32.dll, %domyślny katalog systemowy %user32.dll Kolejnym krokiem jest usuniecie wszystkich podkluczy w rejestrze zawierających ciągi znaków sugerujące, iż mogą one być związane z oprogramowaniem ochronnym. Robak rejestruje się w systemie jako usługa o nazwie SCNa. Później łączy się z siecią i stara pobrać swoje aktualizacje. Następnie próbuje dostać się do zasobów współdzielonych wykorzystując w tym celu posiadany zasób słabych haseł. Jeśli atak zostanie uwieńczony powodzeniem szkodnik skopiuje się na wszystkie udostępnione dyski jako plik o nazwie acl.exe. Robak w ramach zmian w rejestrze, może też uszkodzić zainstalowane wirtualne środowisko VMware (wersja dla Microsoft Windows).

źródło: http://www.infoprof.pl/


(system) #9

arapo dobry jesteś :smiley: ale wystarczą loga z combofix i hijack oraz Anti Malwarebytes http://www.idg.pl/ftp/pc_18702/Malwareb ... .1.27.html jeśli jeszcze nie pozbyłeś się tego


(Rafalszymacha) #10

Nie znalazłem żadnych plików jakie opisał:

.

Co do wypowiedzi:

nie wiem czy Panda jest zła czy dobra ale od czterech lat mnie nigdy nie zawiodła.