לנסות אנטיוירוס מסוים-זה בטוח?
-
@שעטנ-ז-ג-ץ כנראה זה מוכנס למחשב תחת שם אחר.
אנסה לנתח את הקובץ.מצאתי את כל מה שהקובץ עושה: https://www.symantec.com/security_response/earthlink_writeup.jsp?docid=2017-090807-0934-99
אמור להיות קבצים:%Temp%\SysinfY2X.db %Temp%\SysinfYhX.dbשצריך גם אותם למחוק.
תריץ חיפוש עם השמות הנ"ל (לאחר הסלש) ותמחק אותם.
או שתצליח לגלות מוסתרים, ותכנס לתיקיית %Temp%, ותמחק את שני הקבצים. -
@WWW למעשה (עריכה: נכון לעכשיו) הוירוס לא עושה כלום חוץ מלפרות ולרבות (עריכה: זה עדיין מסוכן, וחייבים לנקות את המחשב במידה ויש נגיעות, עיין בפוסטים הבאים)
כדי לפענח קובץ מסוג VBScript.Encode יש כאן סקריפט.
בתוכן הקובץ המפוענח רואים שהוירוס צריך להתקשר למכונה השולטת (Command and Control Center) בכתובתrealy.mooo.com.
כרגע הכתובת מפנה ל-127.0.0.2. (מן הסתם הדומיין הוחרם בגלל תלונות)
(גם רואים שזה נכתב על ידי script kiddy וזה רק התאמה של משהו שאחרים יצרו. וירוסים אלו מסתובבים כבר הרבה זמן) -
@yossiz אמר בלנסות אנטיוירוס מסוים-זה בטוח?:
@WWW למעשה הוירוס לא עושה כלום חוץ מלפרות ולרבות
אתה בטוח?
לפני דקה פיענחתי את הסקריפט... עוד לא הספקתי לעבור על הכל.
פעם ניתחתי איזה וירוס קיצורי דרך סטנדרטי, והיה שמה הרבה דברים, כולל השתלטות על המחשב, כמובן שבנטפרי החשש נמוך יותר.
מצורף הוירוס מפוענח:
Manuel.וירוס -
@WWW אמר בלנסות אנטיוירוס מסוים-זה בטוח?:
אתה בטוח?
פעם ניתחתי איזה וירוס קיצורי דרך סטנדרטי, והיה שמה הרבה דברים, כולל השתלטות על המחשב
התכוונתי שכרגע זה לא עושה כלום מכיון שהדומיין שהוא מתקשר לו מפנה ל-localhost
אני ניחשתי שהדומיין הושבת בגלל תלונות שהתקבלו
ייתכן שזה עדיין תחת שליטת יוצר הוירוס והוא יחליט ביום מן הימים להפנות אותו ל-IP אמיתי. ואם כן, זה וירוס מסוכן מאוד מכיון שיש שם יכולות שליטה על המחשב.ברור שמי שמשתמש בנטפרי מוגן (בגדול)
-
@yossiz אם כו, אל תכתוב שזה לא מסוכן, כי אנשים שלא מבינים בזה, חושבים שבאמת זה לא מסוכן.
הסיבה שבדקתי בזמנו את הוירוס, זה בגלל שחברים שלי טענו שזה רק משכפל את עצמו ואני אמרתי לעצמי שזה לא ייתכן כי מה האינטרס, ואז בדקתי וראיתי באמת מה זה עושה.וד"א בד"כ הכתובת משתנה כל הזמן, ובמחשב שיש אינטרנט (פתוח), הוירוס אמור להתעדכן אוטומטית.
-
@yossiz אמר בלנסות אנטיוירוס מסוים-זה בטוח?:
נגיעות, עיין בפוסטים הבאים)
כדי לפענח קובץ מסוג VBScript.Encode יש כאן סקריפט.
בתוכן הקובץ המפוענח רואים שהוירוס צריך להתקשר למכונה השולטת (Command and Control Center) בכתובתאני לא לגמרי מבין את כל הדו שיח שלכם מה שבטוח שהוא עושה קיצורי דרך וזה היה על מחשב שמנותק לחלוטין מהרשת, וזה כלעצמו דבר מעצבן מאד ובפרט שגם אם עושים שיהיו קבצים מוסתרים גלוים, רגע אח"כ הוא משנה בחזרה שיהיו מוסתרים, כך שקשה (למי שלא מבין) לגשת לחומר.
-
אז יש לכם סקריפט שימחק את הוירוס הזה במקום רק להשבית WSCRIPT ?
-
@שעטנ-ז-ג-ץ אמר בלנסות אנטיוירוס מסוים-זה בטוח?:
אז יש לכם סקריפט שימחק את הוירוס הזה במקום רק להשבית WSCRIPT ?
אמרתי לך:
תשבית WSCRIPT, ותמחק את הקובץ הנ"ל:%Temp%\SysinfY2X.db %Temp%\SysinfYhX.dbואת כל הקיצורי דרך וכל הוירוסים בכוננים.
אולי @yossiz יכין לך סקריפט... -
@WWW אמר בלנסות אנטיוירוס מסוים-זה בטוח?:
@שעטנ-ז-ג-ץ אמר בלנסות אנטיוירוס מסוים-זה בטוח?:
אז יש לכם סקריפט שימחק את הוירוס הזה במקום רק להשבית WSCRIPT ?
אמרתי לך:
תשבית WSCRIPT, ותמחק את הקובץ הנ"ל:%Temp%\SysinfY2X.db %Temp%\SysinfYhX.dbואת כל הקיצורי דרך וכל הוירוסים בכוננים.
אולי @yossiz יכין לך סקריפט...א"כ אפשר בפשטות להוסיף את זה על הסקריפט דלעיל ככה. זה טוב?
taskkill /f /IM wscript.exe del %Temp%\SysinfY2X.db del %Temp%\SysinfYhX.db attrib -S -H -R d:\*.* /S /D del d:\*.lnk del /f /s /q/ Recycler\*.* rd /s /q recycler del /f /s /q/ $Recycle.bin\*.* rd /s /q $Recycle.bin attrib -S -H -R e:\*.* /S /D del e:\*.lnk attrib -S -H -R f:\*.* /S /D del f:\*.lnk attrib -S -H -R g:\*.* /S /D del g:\*.lnk attrib -S -H -R h:\*.* /S /D del *.lnk attrib -S -H -R i:\*.* /S /D del h:\*.lnk attrib -S -H -R j:\*.* /S /D del j:\*.lnk attrib -S -H -R k:\*.* /S /D del k:\*.lnk del D:\Manuel.doc del e:\Manuel.doc del f:\Manuel.doc del g:\Manuel.doc del h:\Manuel.doc del i:\Manuel.doc del j:\Manuel.doc del j:\Manuel.doc -
@שעטנ-ז-ג-ץ אמר בלנסות אנטיוירוס מסוים-זה בטוח?:
@WWW אמר בלנסות אנטיוירוס מסוים-זה בטוח?:
@שעטנ-ז-ג-ץ אמר בלנסות אנטיוירוס מסוים-זה בטוח?:
אז יש לכם סקריפט שימחק את הוירוס הזה במקום רק להשבית WSCRIPT ?
אמרתי לך:
תשבית WSCRIPT, ותמחק את הקובץ הנ"ל:%Temp%\SysinfY2X.db %Temp%\SysinfYhX.dbואת כל הקיצורי דרך וכל הוירוסים בכוננים.
אולי @yossiz יכין לך סקריפט...א"כ אפשר בפשטות להוסיף את זה על הסקריפט דלעיל ככה. זה טוב?
taskkill /f /IM wscript.exe del %Temp%\SysinfY2X.db del %Temp%\SysinfYhX.db attrib -S -H -R d:\*.* /S /D del d:\*.lnk del /f /s /q/ Recycler\*.* rd /s /q recycler del /f /s /q/ $Recycle.bin\*.* rd /s /q $Recycle.bin attrib -S -H -R e:\*.* /S /D del e:\*.lnk attrib -S -H -R f:\*.* /S /D del f:\*.lnk attrib -S -H -R g:\*.* /S /D del g:\*.lnk attrib -S -H -R h:\*.* /S /D del *.lnk attrib -S -H -R i:\*.* /S /D del h:\*.lnk attrib -S -H -R j:\*.* /S /D del j:\*.lnk attrib -S -H -R k:\*.* /S /D del k:\*.lnk del D:\Manuel.doc del e:\Manuel.doc del f:\Manuel.doc del g:\Manuel.doc del h:\Manuel.doc del i:\Manuel.doc del j:\Manuel.doc del j:\Manuel.docומה יגן שהוירוס לא יחזור. יש פתרון שונה, במקום למחוק אותם, לנעול אותם! הם יהיו במחשב אבל כמו בהסגר של ESET ודומיו
להריץ את זה במקום המחיקה שלהםicacls "%Temp%\SysinfY2X.db" /deny Everyone:(OI)(CI)(DE,DC,WD,GR) icacls "%Temp%\SysinfYhX.db" /deny Everyone:(OI)(CI)(DE,DC,WD,GR)
