หลังจากที่มีปัญหากันอยู่พักใหญ่เรื่องไวรัส msn ป่วนเมือง ...
ผมเลยอยากจะทดลองอะไรบางอย่าง โดยเอาไวรัส msn มาลองใน vm ดู
จากนั้นก็ตามการกระทำของมันไปว่า มันไปทำอะไรตรงไหนบ้าง
ผลปรากฏออกมาแบบนี้ครับ ซึ่งอาจไม่แน่นอนทั้งหมดก็ได้ ...
PIC675799074533-JPG-www.facebook.com.exe
ไฟล์ที่มันสร้างไว้จะอยู่แนวนี้ครับ ...
%WINDIR%\wintybrd.png
%WINDIR%\wintybrdf.jpg
%WINDIR%\mdll.dl
%WINDIR%\jusched.exe
%WINDIR%\jusched.exp
%WINDIR%\jusched.exm
และจะมีการเขียนค่า Registry ไว้ดังนี้
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\JAVA DEVELOPER SCRIPT BROWSE = %WINDIR%\jusched.exe
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\TERMINAL SERVER\INSTALL\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\R\JAVA DEVELOPER SCRIPT BROWSE = %WINDIR%\jusched.exe
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\JAVA DEVELOPER SCRIPT BROWSE = %WINDIR%\jusched.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\STANDARDPROFILE\AUTHORIZEDAPPLICATIONS\LIST\%TEMP%\PIC675799074533-JPG-WWW.FACEBOOK.COM.EXE = %TEMP%\PIC675799074533-JPG-www.facebook.com.exe:*:Enabled:Java developer Script Browse
และตัวไวรัสได้พยายามที่จะเชื่อมต่อกับเครือข่ายผ่านช่องทางดังนี้
174.37.200.**:80
199.64.254.***:2345 (irc) : NICK NEW-[USA|00|P|29440]
199.64.254.***:2345 (irc) : USER XP-5160 * 0 :%COMPUTERNAME%
206.212.244.***:2345 (irc) : NICK NEW-[USA|00|P|73415]
hxxp://208.43.36.96/*****
ไม่มีความคิดเห็น:
แสดงความคิดเห็น