|
Napisano: 23 Apr 2013 15:22
Pokrenucu virtuelnu mashinu pa cu na njoj da aktiviram sadrzaj . rar fajla koji sam ranije uploadovao.
Uz Update.exe ide i jedan fajl koji se zove tipa 301254.exe i koji se javlja u Task Manageru. Update.exe se prevodi u Update.bat i vezuje se za Startup i u C:\Program Files kreira folder "Windows_Update".
Zapakovacu sve te fajlove u jedan rar, postavicu sifru 123456 i uploadovacu na neki file server
Ime ovog virusa je "west yorkshire police virus"
Dopuna: 24 Apr 2013 10:09
Evo kako stoje stvari:
1. Kada se otvori maliciozni .doc fajl "Ð˜Ð½Ñ„Ð¾Ñ€Ð¼Ð°Ñ†Ð¸Ñ Ð´Ð»Ñ.doc", u Temp folderu odradi raspakivanje inicijalnog virusa Updates.exe, koji se automatski pokrece
2. Nakon pokretanja izvrsnog fajla startuje se cmd prozor i virus ocigledno otvara prolaz do servera vps2795.megahoster.net (koji je verovatno aktivan samo 2-3 dana od stizanja maila)
3. Obzirom da trazeni server nije vise aktivan ne pojavljuje se servis 301254.exe vec se samo javlja servis ntvdm.exe i zauzima procesor 90-100%. Virus ne moze da se implementira zbog neaktivnosti servera.
4. Da je kojim slucajem server dostupan, nastavio bi se proces tako sto bi se pojavio Updates.bat u startup-u, u Prog. Files bi nastao folder Windows Update sa sadrzajem Updates.exe i 301254.exe, i u WINDOWS folderu bi se pojavila dva fajla pkzip.pif i pkunzip.pif.
Na ruskom sajtu sam nasao slicnu temu sa ovim virusom koji je masovno krenuo sa aktivacijom 18.04.13 kad je i mojoj sestri stigao. Evo foruma na kome se nudi Dr.Web dekriptor (te215decrypt.exe) sa njihovog linka, medjutim ja imam problem da ga pokrenem.
forum.drweb.com/index.php?showtopic=313550
Nasao sam jos jedan dekriptor "matsnu1decrypt.exe" koji je takodje Dr. Web proizvod, koji poredi kriptovan fajl i njegov prethodno backupovan original. Probacu pa se javljam sa rezultatom
Pozdrav,
|
