หน้าเว็บ

วันพฤหัสบดีที่ 7 ตุลาคม พ.ศ. 2553

ตามติดชีวิตไวรัส MSN [ Foto ]

หลังจากที่มีปัญหากันอยู่พักใหญ่เรื่องไวรัส msn ป่วนเมือง ...

ผมเลยอยากจะทดลองอะไรบางอย่าง โดยเอาไวรัส msn มาลองใน vm ดู

จากนั้นก็ตามการกระทำของมันไปว่า มันไปทำอะไรตรงไหนบ้าง

ผลปรากฏออกมาแบบนี้ครับ ซึ่งอาจไม่แน่นอนทั้งหมดก็ได้ ...


PIC675799074533-JPG-www.facebook.com.exe


ไฟล์ที่มันสร้างไว้จะอยู่แนวนี้ครับ ...

%WINDIR%\wintybrd.png
%WINDIR%\wintybrdf.jpg
%WINDIR%\mdll.dl
%WINDIR%\jusched.exe
%WINDIR%\jusched.exp
%WINDIR%\jusched.exm

และจะมีการเขียนค่า Registry ไว้ดังนี้

HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\JAVA DEVELOPER SCRIPT BROWSE = %WINDIR%\jusched.exe


HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\TERMINAL SERVER\INSTALL\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\R\JAVA DEVELOPER SCRIPT BROWSE = %WINDIR%\jusched.exe


HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\JAVA DEVELOPER SCRIPT BROWSE = %WINDIR%\jusched.exe


HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\STANDARDPROFILE\AUTHORIZEDAPPLICATIONS\LIST\%TEMP%\PIC675799074533-JPG-WWW.FACEBOOK.COM.EXE = %TEMP%\PIC675799074533-JPG-www.facebook.com.exe:*:Enabled:Java developer Script Browse

และตัวไวรัสได้พยายามที่จะเชื่อมต่อกับเครือข่ายผ่านช่องทางดังนี้

174.37.200.**:80
199.64.254.***:2345 (irc) : NICK NEW-[USA|00|P|29440]
199.64.254.***:2345 (irc) : USER XP-5160 * 0 :%COMPUTERNAME%
206.212.244.***:2345 (irc) : NICK NEW-[USA|00|P|73415]
hxxp://208.43.36.96/*****

ไม่มีความคิดเห็น:

แสดงความคิดเห็น