Wcale nie przypadkiem, dnia Tue, 2 Feb 2016 11:15:26 +0100
doszła do mnie wiadomość
<56b081be$0$22837$65785112@news.neostrada.pl>
od Stregor <s...@w...to.gmail.com> :
>> No właśnie coś takiego zrobiłem wczoraj, ubiłem proces WScript.exe,
>> zmieniłem nazwę pliku package.vbs na *.old i zostawiłem w spokoju.
>> Dziś pliku package.vbs nie ma w rzeczonej lokalizacji (jest tylko ten ze
>> zmieniona nazwą) i po włożeniu pena do portu na nim nie pojawia sie
>> podejrzany plik.
>> Zastanawia mnie tylko że zarówno mój AV jak i virustotal nie wykryły
>> niczego niebezpiecznego w tym pliku ani w sposobie jak był kopiowany na
>> pena.
>
>Skoro masz wciąż ten plik, to próbuj na virustotalu przez kilka dni. Z
>doświadczenia wiem, że po kilku dniach coraz więcej antywirusów zaczyna
>plik rozpoznawać, a na początku może żaden nie widzieć w nim nic
>podejrzanego.

Odpaliłem go w maszynie wirtualnej, usiłuje się łączyć z hostem
149.202.7.196 na porcie 4770, ale przez kilkanaście godzin ten host
nie odpowiedział, więc nie wiem co to za dziad.

Analiza zewnętrzna:
https://www.hybrid-analysis.com/sample/f7c9ab839315c
633fb51cb19137424afe41a2c1ae23cdd807f2b64386b2bb60a?
environmentId=4

Podobne już były:
https://www.hybrid-analysis.com/sample/8e78ab9a85266
301c25474fdce8d2a0d1ca2201d5a7ad8f202302a5c8580e643?
environmentId=4

Silniki AV tego nie wykrywają.
Ciekawe jak wlazło do systemu.
--
"Marian milczał. Wiedział, że musi milczeć i czekać.
Wokół było pusto i cicho. Ta cisza krzyczała."
Jan oborniak, "Krzyk ciszy"