לנסות אנטיוירוס מסוים-זה בטוח?
-
@WWW אמר בלנסות אנטיוירוס מסוים-זה בטוח?:
@שעטנ-ז-ג-ץ עזוב, כתוב כאן את התסמינים של הוירוס, בעיקר את שם הוירוס*, וננסה לעזור לך.
*תגדיר הצגת קבצים מוסתרים וקבצי מערכת, באפשרויות תיקיה.
אם אתה לא יודע מה זה, תשאל.אם אתה לא מסתדר, תיגש לאחד מקבצי הקיצור דרך באונקי > לחיצה ימנית בעכבר > מאפיינים.
ותעתיק את מה שכתוב ב'יעד', ותכתוב את זה כאן.זה קיצור דרך שנמצא באונקי (זהירות הוא וירוס בעצם). הכנסתי אותו לתוך RAR ולא ה RAR בעצמו הוא וירוס
111.rar -
@שעטנ-ז-ג-ץ אמר בלנסות אנטיוירוס מסוים-זה בטוח?:
ו
טוב, אז ככה:
אתה על ווינדוס 10?
אם כן, כנס למנהל המשימות > אתחול, ותביא צילומסך ממה שיש שמה.
על הדרך אתה יכול לסיים את wscript, והוירוס באמת זה הקובץ: Manuel.doc (קובץ VB מוצפן).
אתה יכול לעשות חיפוש בכל המחשב ולמחוק את כל הקבצים עם השם Manuel.doc, כמובן רק לאחר שסיימת את התהליך של wscript. -
@WWW אמר בלנסות אנטיוירוס מסוים-זה בטוח?:
@שעטנ-ז-ג-ץ אמר בלנסות אנטיוירוס מסוים-זה בטוח?:
ו
טוב, אז ככה:
אתה על ווינדוס 10?
אם כן, כנס למנהל המשימות > אתחול, ותביא צילומסך ממה שיש שמה.
על הדרך אתה יכול לסיים את wscript, והוירוס באמת זה הקובץ: Manuel.doc (קובץ VB מוצפן).
אתה יכול לעשות חיפוש בכל המחשב ולמחוק את כל הקבצים עם השם Manuel.doc, כמובן רק לאחר שסיימת את התהליך של wscript.זה בעיה כי זה לא במחשב שלי אלא של חבר שמשתמש (לא תאמינו) ב XP. המחשב לא אצלי
דוגמית של כמה קבצים שמרתי לי בצד
וכן את קובץ ה DOCתוכל לבאר מה פי' קובץ VB מוצפן
אני מבין שבעצם הקיצורי דרך גורמים בידים להפעיל את הקובץ הוירוס שהקוד שלו מוטמע בקובץ ה DOC.
אבל באמת שהמחשב היה לפני עשיתי חיפוש עי EVERYTHNG ולא מצאתי שום קובץ DOC עם השם הזה אלא רק באונקי וכן בכל אונקי שההכנסתי מיד נהיו קיצורי דרך וכן נתוסף קובץ DOC
מה שאומר שהקובץ DOC לא מתחבא איפשהו במחשב ומועתק כל פעם לכל אונקי. אלא יש איזה וירוס שמייצר אותו באונקי אך לא נמצא במחשב. וצריכים להגיע למקור במחשב. -
@שעטנ-ז-ג-ץ כנראה זה מוכנס למחשב תחת שם אחר.
אנסה לנתח את הקובץ.מצאתי את כל מה שהקובץ עושה: https://www.symantec.com/security_response/earthlink_writeup.jsp?docid=2017-090807-0934-99
אמור להיות קבצים:%Temp%\SysinfY2X.db %Temp%\SysinfYhX.db
שצריך גם אותם למחוק.
תריץ חיפוש עם השמות הנ"ל (לאחר הסלש) ותמחק אותם.
או שתצליח לגלות מוסתרים, ותכנס לתיקיית %Temp%, ותמחק את שני הקבצים. -
@WWW למעשה (עריכה: נכון לעכשיו) הוירוס לא עושה כלום חוץ מלפרות ולרבות (עריכה: זה עדיין מסוכן, וחייבים לנקות את המחשב במידה ויש נגיעות, עיין בפוסטים הבאים)
כדי לפענח קובץ מסוג VBScript.Encode יש כאן סקריפט.
בתוכן הקובץ המפוענח רואים שהוירוס צריך להתקשר למכונה השולטת (Command and Control Center) בכתובתrealy.mooo.com
.
כרגע הכתובת מפנה ל-127.0.0.2. (מן הסתם הדומיין הוחרם בגלל תלונות)
(גם רואים שזה נכתב על ידי script kiddy וזה רק התאמה של משהו שאחרים יצרו. וירוסים אלו מסתובבים כבר הרבה זמן) -
@yossiz אמר בלנסות אנטיוירוס מסוים-זה בטוח?:
@WWW למעשה הוירוס לא עושה כלום חוץ מלפרות ולרבות
אתה בטוח?
לפני דקה פיענחתי את הסקריפט... עוד לא הספקתי לעבור על הכל.
פעם ניתחתי איזה וירוס קיצורי דרך סטנדרטי, והיה שמה הרבה דברים, כולל השתלטות על המחשב, כמובן שבנטפרי החשש נמוך יותר.
מצורף הוירוס מפוענח:
Manuel.וירוס -
@WWW אמר בלנסות אנטיוירוס מסוים-זה בטוח?:
אתה בטוח?
פעם ניתחתי איזה וירוס קיצורי דרך סטנדרטי, והיה שמה הרבה דברים, כולל השתלטות על המחשב
התכוונתי שכרגע זה לא עושה כלום מכיון שהדומיין שהוא מתקשר לו מפנה ל-localhost
אני ניחשתי שהדומיין הושבת בגלל תלונות שהתקבלו
ייתכן שזה עדיין תחת שליטת יוצר הוירוס והוא יחליט ביום מן הימים להפנות אותו ל-IP אמיתי. ואם כן, זה וירוס מסוכן מאוד מכיון שיש שם יכולות שליטה על המחשב.ברור שמי שמשתמש בנטפרי מוגן (בגדול)
-
@yossiz אם כו, אל תכתוב שזה לא מסוכן, כי אנשים שלא מבינים בזה, חושבים שבאמת זה לא מסוכן.
הסיבה שבדקתי בזמנו את הוירוס, זה בגלל שחברים שלי טענו שזה רק משכפל את עצמו ואני אמרתי לעצמי שזה לא ייתכן כי מה האינטרס, ואז בדקתי וראיתי באמת מה זה עושה.וד"א בד"כ הכתובת משתנה כל הזמן, ובמחשב שיש אינטרנט (פתוח), הוירוס אמור להתעדכן אוטומטית.
-
@yossiz אמר בלנסות אנטיוירוס מסוים-זה בטוח?:
נגיעות, עיין בפוסטים הבאים)
כדי לפענח קובץ מסוג VBScript.Encode יש כאן סקריפט.
בתוכן הקובץ המפוענח רואים שהוירוס צריך להתקשר למכונה השולטת (Command and Control Center) בכתובתאני לא לגמרי מבין את כל הדו שיח שלכם מה שבטוח שהוא עושה קיצורי דרך וזה היה על מחשב שמנותק לחלוטין מהרשת, וזה כלעצמו דבר מעצבן מאד ובפרט שגם אם עושים שיהיו קבצים מוסתרים גלוים, רגע אח"כ הוא משנה בחזרה שיהיו מוסתרים, כך שקשה (למי שלא מבין) לגשת לחומר.
-
אז יש לכם סקריפט שימחק את הוירוס הזה במקום רק להשבית WSCRIPT ?
-
@שעטנ-ז-ג-ץ אמר בלנסות אנטיוירוס מסוים-זה בטוח?:
אז יש לכם סקריפט שימחק את הוירוס הזה במקום רק להשבית WSCRIPT ?
אמרתי לך:
תשבית WSCRIPT, ותמחק את הקובץ הנ"ל:%Temp%\SysinfY2X.db %Temp%\SysinfYhX.db
ואת כל הקיצורי דרך וכל הוירוסים בכוננים.
אולי @yossiz יכין לך סקריפט... -
@WWW אמר בלנסות אנטיוירוס מסוים-זה בטוח?:
@שעטנ-ז-ג-ץ אמר בלנסות אנטיוירוס מסוים-זה בטוח?:
אז יש לכם סקריפט שימחק את הוירוס הזה במקום רק להשבית WSCRIPT ?
אמרתי לך:
תשבית WSCRIPT, ותמחק את הקובץ הנ"ל:%Temp%\SysinfY2X.db %Temp%\SysinfYhX.db
ואת כל הקיצורי דרך וכל הוירוסים בכוננים.
אולי @yossiz יכין לך סקריפט...א"כ אפשר בפשטות להוסיף את זה על הסקריפט דלעיל ככה. זה טוב?
taskkill /f /IM wscript.exe del %Temp%\SysinfY2X.db del %Temp%\SysinfYhX.db attrib -S -H -R d:\*.* /S /D del d:\*.lnk del /f /s /q/ Recycler\*.* rd /s /q recycler del /f /s /q/ $Recycle.bin\*.* rd /s /q $Recycle.bin attrib -S -H -R e:\*.* /S /D del e:\*.lnk attrib -S -H -R f:\*.* /S /D del f:\*.lnk attrib -S -H -R g:\*.* /S /D del g:\*.lnk attrib -S -H -R h:\*.* /S /D del *.lnk attrib -S -H -R i:\*.* /S /D del h:\*.lnk attrib -S -H -R j:\*.* /S /D del j:\*.lnk attrib -S -H -R k:\*.* /S /D del k:\*.lnk del D:\Manuel.doc del e:\Manuel.doc del f:\Manuel.doc del g:\Manuel.doc del h:\Manuel.doc del i:\Manuel.doc del j:\Manuel.doc del j:\Manuel.doc
-
@שעטנ-ז-ג-ץ אמר בלנסות אנטיוירוס מסוים-זה בטוח?:
@WWW אמר בלנסות אנטיוירוס מסוים-זה בטוח?:
@שעטנ-ז-ג-ץ אמר בלנסות אנטיוירוס מסוים-זה בטוח?:
אז יש לכם סקריפט שימחק את הוירוס הזה במקום רק להשבית WSCRIPT ?
אמרתי לך:
תשבית WSCRIPT, ותמחק את הקובץ הנ"ל:%Temp%\SysinfY2X.db %Temp%\SysinfYhX.db
ואת כל הקיצורי דרך וכל הוירוסים בכוננים.
אולי @yossiz יכין לך סקריפט...א"כ אפשר בפשטות להוסיף את זה על הסקריפט דלעיל ככה. זה טוב?
taskkill /f /IM wscript.exe del %Temp%\SysinfY2X.db del %Temp%\SysinfYhX.db attrib -S -H -R d:\*.* /S /D del d:\*.lnk del /f /s /q/ Recycler\*.* rd /s /q recycler del /f /s /q/ $Recycle.bin\*.* rd /s /q $Recycle.bin attrib -S -H -R e:\*.* /S /D del e:\*.lnk attrib -S -H -R f:\*.* /S /D del f:\*.lnk attrib -S -H -R g:\*.* /S /D del g:\*.lnk attrib -S -H -R h:\*.* /S /D del *.lnk attrib -S -H -R i:\*.* /S /D del h:\*.lnk attrib -S -H -R j:\*.* /S /D del j:\*.lnk attrib -S -H -R k:\*.* /S /D del k:\*.lnk del D:\Manuel.doc del e:\Manuel.doc del f:\Manuel.doc del g:\Manuel.doc del h:\Manuel.doc del i:\Manuel.doc del j:\Manuel.doc del j:\Manuel.doc
ומה יגן שהוירוס לא יחזור. יש פתרון שונה, במקום למחוק אותם, לנעול אותם! הם יהיו במחשב אבל כמו בהסגר של ESET ודומיו
להריץ את זה במקום המחיקה שלהםicacls "%Temp%\SysinfY2X.db" /deny Everyone:(OI)(CI)(DE,DC,WD,GR) icacls "%Temp%\SysinfYhX.db" /deny Everyone:(OI)(CI)(DE,DC,WD,GR)