[Symantec] Ostrzeżenie przed W32.Exploz

Informacje o najnowszych zagrożeniach i sposobach leczenia
Awatar użytkownika
cosik_ktosik

Administrator
Posty: 21399
Rejestracja: 13 lis 2008, 01:17
Lokalizacja: Szczecin
Kontaktowanie:

[Symantec] Ostrzeżenie przed W32.Exploz

Post20 lip 2013, 22:57

Symantec ostrzega przed wirusem W32.Exploz infekującym pliki DOC, PDF oraz XLS.

Zagrożenie ze strony W32.Exploz nadchodzi wraz z plikami

Kod: Zaznacz cały

    [FILE NAME].cod.scr
    [FILE NAME].fdp.scr
    [FILE NAME].slx.scr


Same pliki są widoczne jako

Kod: Zaznacz cały

    [FILE NAME].doc
    [FILE NAME].pdf
    [FILE NAME].xls


Szkodnik dzięki temu manewrowi ukrywa faktyczne rozszerzenie.

Następnie zrzuca na dysk pliki

Kod: Zaznacz cały

    %UserProfile%\Templates\wincex.dll (Backdoor.Trojan)
    svchost.bat
    service.bat
    iexplore.bat
    services.bat


Dodaje wpisy do rejestru

Kod: Zaznacz cały

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPMM\"Description" = "The service allows you to transfer pictures, music, and documents from your portable device to your PC using a usb cable and a drag and drop interface."
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPMM\"DisplayName" = "Portable Media Manage"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPMM\"ErrorControl" = "1"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPMM\"ImagePath" = "%SystemRoot%\System32\svchost.exe -k lssvcs"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPMM\"ObjectName" = "LocalSystem"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPMM\"Start" = "2"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPMM\"Type" = "32"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPMM\Parameters\"ServiceDll" = "%UserProfile%\Templates\wincex.dll"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPMM\Parameters\"ServiceMain" = "ESEntry"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPMM\Security\"Security" = "[BINARY DATA]"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMM\"NextInstance" = "1"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMM\0000\"Class" = "LegacyDriver"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMM\0000\"ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMM\0000\"ConfigFlags" = "0"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMM\0000\"DeviceDesc" = "Portable Media Manage"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMM\0000\"Legacy" = "1"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMM\0000\"Service" = "WmdmPMM"


A po wszystkim zaczyna infekować nasze plikidoc, pdf i xls
Hotfix
Pozdrawiam, cosik_ktosik :)

Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:

[Symantec] Ostrzeżenie przed W32.Exploz

Post21 lip 2013, 09:19

Tego typu wirusy nie robią zwykle "kariery". Tak i w tym przypadku raczej się wydarzy ;) .
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.



  • Reklama

Wróć do „Zagrożenia i leczenie”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 4 gości