Witam.
Na kompie z Win7 PL x64, w momencie włożenia pendriva do portu USB tworzony
/kopiowany jest plik package.vbs. Komputer wolny jest od wirusów.
Przeskanowałem adwcleaner - nic nie znalazł, a plik nadal pojawia się.
W zasadzie nic nie robi, ale troche denerwuje mnie skąd to się bierze.
Plik wystawiłem ze zmienioną nazwż na
http://przeklej.org/file/9LkiNR/package.vbs.old
zmiana nazwy polega na dodaniu końcówki old.
Ktoś coś podpowie co zacz?
--
...:::WISKOLER:::...
Stirlitz budzi się z okropnym bólem głowy. Mętnym wzrokiem spogląda wokół:
na stole bateria pustych butelek, obok naga posiniaczona kobieta, poza tym
potworny bałagan, połamane meble...
Uśmiecha się radośnie. W tym dniu, dniu Armii Czerwonej, zachował się jak
prawdziwy radziecki oficer.

do góry

Wcale nie przypadkiem, dnia Sat, 30 Jan 2016 20:10:22 +0100
doszła do mnie wiadomość
<14fgj8imex8hh$.1vzjhweghaw7n$.dlg@40tude.net>
od " ...:::WISKOLER:::..." <j...@b...rh> :
>Witam.
>Na kompie z Win7 PL x64, w momencie włożenia pendriva do portu USB tworzony
>/kopiowany jest plik package.vbs. Komputer wolny jest od wirusów.
>Przeskanowałem adwcleaner - nic nie znalazł, a plik nadal pojawia się.
>W zasadzie nic nie robi, ale troche denerwuje mnie skąd to się bierze.
>Plik wystawiłem ze zmienioną nazwż na
>http://przeklej.org/file/9LkiNR/package.vbs.old
>zmiana nazwy polega na dodaniu końcówki old.
>Ktoś coś podpowie co zacz?

https://technet.microsoft.com/pl-pl/sysinternals/pro
cessmonitor
http://www.moo0.com/software/FileMonitor/

Tym wyśledzisz co ten plik zapisuje, potem tylko zostaje ubić dziada.
--
Całujmy wszyscy dupę Henryka.
http://www.racjonalista.pl/kk.php/s,1546

do góry

Na grupie pl.comp.pecet, osobnik mieniący się nazwą Olaf Frikiov
Skiorvensen naskrobał(a):

> Tym wyśledzisz co ten plik zapisuje, potem tylko zostaje ubić dziada.

Ciężko było ale w końcu namierzyłem dziada. Virustotal niczego nie zeznał
na temat tego pliku mimo intensywnego przesłuchania. Taki sam plik mam w
c:\users\MojaNazwa\AppData\Roaming\package.vbs i tutaj jest on normalnie
widoczny, bo jak już jest skopiowany na pendriva to jako ukryty i
systemowy. Wg Unlockera procesem który go tworzy jest umiejscowiony w
c:\windows\system32\WScript.exe
Virustotal zeznaje iz jest to czysty plik dostarczony przez wielkiego brata
M$, no i teraz mam dylemat - skasować dziada? Po jakiego diabła kopiuje mi
plik *.vbs za każdym włożeniem do portu USB?
--
...:::WISKOLER:::...
Pod dom Stirlitza podjechał samochód, z którego wyskoczyło trzech
gestapowców
i zaczęło głośno dobijać się do drzwi.
- Nikogo nie ma w domu - zawołał do nich z okna Stirlitz.
Gestapowcy wsiedli do samochodu i odjechali.
W ten sposób Stirlitz wodził za nos Gestapo już piąty miesiąc.

do góry

W dniu 2016-01-31 o 19:48, ...:::WISKOLER:::... pisze:
> >
> Wg Unlockera procesem który go tworzy jest
> umiejscowiony w c:\windows\system32\WScript.exe Virustotal zeznaje iz
> jest to czysty plik dostarczony przez wielkiego brata M$, no i teraz
> mam dylemat - skasować dziada?
>

Póki co, to nie kasuj, tylko zmień nazwę, bądź lokalizację, i zobacz co
się stanie. Ale jeśli ma on status systemowego-chronionego, to system
zniweluje owo działanie: przywróci go z kopii zapasowej! A z tym jak
walczyć - to ja nie wiem...

--
Powiedzenie w mojej rodzinie, autorstwa pradziadka:

Dobre rady nic nie kosztują

i przeważnie warte są
swojej... ceny!

do góry

W dniu 31.01.2016 o 19:48, ...:::WISKOLER:::... pisze:
> Na grupie pl.comp.pecet, osobnik mieniący się nazwą Olaf Frikiov
> Skiorvensen naskrobał(a):
>
>> Tym wyśledzisz co ten plik zapisuje, potem tylko zostaje ubić dziada.
>
> Ciężko było ale w końcu namierzyłem dziada. Virustotal niczego nie zeznał
> na temat tego pliku mimo intensywnego przesłuchania. Taki sam plik mam w
> c:\users\MojaNazwa\AppData\Roaming\package.vbs i tutaj jest on normalnie
> widoczny, bo jak już jest skopiowany na pendriva to jako ukryty i
> systemowy. Wg Unlockera procesem który go tworzy jest umiejscowiony w
> c:\windows\system32\WScript.exe
> Virustotal zeznaje iz jest to czysty plik dostarczony przez wielkiego brata
> M$, no i teraz mam dylemat - skasować dziada? Po jakiego diabła kopiuje mi
> plik *.vbs za każdym włożeniem do portu USB?
>

WScript.exe to element Windows Scripting Host
Jest to element systemu pozwalający na uruchamianie skryptów
napisanych w VBScript, JavaScript,
a dzięki swojej otwartej architekturze, także innych języków
które można doinstalowywać.

Sam plik c:\users\MojaNazwa\AppData\Roaming\package.vbs
jest wirusem, korzystającym z tego systemowego mechanizmu
i to tego pliku trzeba się pozbyć.
Tyle, że jeśli twórca wirusa był inteligentny
to poza plikiem package.vbs jeszcze "coś"
jakiś dodatkowy program, który sprawdza czy package.vbs
znajduje się na dysku i przywraca go.

Proces WScript.exe możesz spokojnie ubić
i spróbować skasować package.vbs
ale gdy będziesz to robił, to monitoruj dysk
na wypadek gdyby coś starało się go odtworzyć.

--
Robert

do góry

Na grupie pl.comp.pecet, osobnik mieniący się nazwą Robert Winkler
naskrobał(a):

> Proces WScript.exe możesz spokojnie ubić
> i spróbować skasować package.vbs
> ale gdy będziesz to robił, to monitoruj dysk
> na wypadek gdyby coś starało się go odtworzyć.

No właśnie coś takiego zrobiłem wczoraj, ubiłem proces WScript.exe,
zmieniłem nazwę pliku package.vbs na *.old i zostawiłem w spokoju.
Dziś pliku package.vbs nie ma w rzeczonej lokalizacji (jest tylko ten ze
zmieniona nazwą) i po włożeniu pena do portu na nim nie pojawia sie
podejrzany plik.
Zastanawia mnie tylko że zarówno mój AV jak i virustotal nie wykryły
niczego niebezpiecznego w tym pliku ani w sposobie jak był kopiowany na
pena.
--
...:::WISKOLER:::...
Gestapo obstawiło wszystkie wyjścia, ale Stirlitz je przechytrzył. Uciekł
wejściem.

do góry

> No właśnie coś takiego zrobiłem wczoraj, ubiłem proces WScript.exe,
> zmieniłem nazwę pliku package.vbs na *.old i zostawiłem w spokoju.
> Dziś pliku package.vbs nie ma w rzeczonej lokalizacji (jest tylko ten ze
> zmieniona nazwą) i po włożeniu pena do portu na nim nie pojawia sie
> podejrzany plik.
> Zastanawia mnie tylko że zarówno mój AV jak i virustotal nie wykryły
> niczego niebezpiecznego w tym pliku ani w sposobie jak był kopiowany na
> pena.

Skoro masz wciąż ten plik, to próbuj na virustotalu przez kilka dni. Z
doświadczenia wiem, że po kilku dniach coraz więcej antywirusów zaczyna
plik rozpoznawać, a na początku może żaden nie widzieć w nim nic
podejrzanego.

--
Pozdrawiam,
Stregor

do góry

Wcale nie przypadkiem, dnia Tue, 2 Feb 2016 11:15:26 +0100
doszła do mnie wiadomość
<56b081be$0$22837$65785112@news.neostrada.pl>
od Stregor <s...@w...to.gmail.com> :
>> No właśnie coś takiego zrobiłem wczoraj, ubiłem proces WScript.exe,
>> zmieniłem nazwę pliku package.vbs na *.old i zostawiłem w spokoju.
>> Dziś pliku package.vbs nie ma w rzeczonej lokalizacji (jest tylko ten ze
>> zmieniona nazwą) i po włożeniu pena do portu na nim nie pojawia sie
>> podejrzany plik.
>> Zastanawia mnie tylko że zarówno mój AV jak i virustotal nie wykryły
>> niczego niebezpiecznego w tym pliku ani w sposobie jak był kopiowany na
>> pena.
>
>Skoro masz wciąż ten plik, to próbuj na virustotalu przez kilka dni. Z
>doświadczenia wiem, że po kilku dniach coraz więcej antywirusów zaczyna
>plik rozpoznawać, a na początku może żaden nie widzieć w nim nic
>podejrzanego.

Odpaliłem go w maszynie wirtualnej, usiłuje się łączyć z hostem
149.202.7.196 na porcie 4770, ale przez kilkanaście godzin ten host
nie odpowiedział, więc nie wiem co to za dziad.

Analiza zewnętrzna:
https://www.hybrid-analysis.com/sample/f7c9ab839315c
633fb51cb19137424afe41a2c1ae23cdd807f2b64386b2bb60a?
environmentId=4

Podobne już były:
https://www.hybrid-analysis.com/sample/8e78ab9a85266
301c25474fdce8d2a0d1ca2201d5a7ad8f202302a5c8580e643?
environmentId=4

Silniki AV tego nie wykrywają.
Ciekawe jak wlazło do systemu.
--
"Marian milczał. Wiedział, że musi milczeć i czekać.
Wokół było pusto i cicho. Ta cisza krzyczała."
Jan oborniak, "Krzyk ciszy"

do góry