Wav3 Posted September 21, 2011 Report Share Posted September 21, 2011 (edited) Trojan.Agent/Gen-RunOnce & W32/Chir Scanner v1.0Despre virusOdata deschis, se copiaza la startup apoi bindeaza toate executabilele cu el insasi (astfel ca la deschiderea oricarui fisier bindat cu el, e ca si cum ai intra direct in virus si procesul de virusare o ia de la cap) si injecteaza <html><script language="JavaScript">window.open("readme.eml", null,"resizable=no,top=6000,left=6000")</script></html> la sfarsitul tuturor fisierelor HTML.Are ca scop spreading-ul via email. Alaturi de fiecare executabil, creaza un fisier readme.eml.Din ce spune Mcafee, virusul cauta adrese de email in calculator si trimite mail-uri folosind propriul SMTP.Numele principal este runouce.exe (a nu se confunda cu runonce.exe) si poate fi gasit hidden in %windir%\system32\.Mai poate fi gasit sub urmatoarele nume :- pp.exe- serverx.exe- runouce.exe.kav- 000pp.exe- 43359073.dat- dd2.EXE- 04268204.dat- 94461136.exe- 67813805.exe- 05602751.svdCalea catre startup este : HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, Runonce si nu poate fi gasit de catre msconfig.Este detectat de Avira care chiar ofera posibilitatea de Repair insa este inutila pentru ca nu le repara; nu le face nimic.Partea buna este ca nu poate infecta fisierele in use, cele arhivate sau pe cele din windows (este doar un text editor).Mai multe detalii despre virus : W32/Chir.b@MM - Malware - McAfee Labs Threat CenterAcest tool scaneaza toate fisierele .exe, .html, .htm , .eml si bonus .php si este capabil sa repare fisierele .html, .htm, .eml si .php si sa stearga pe cele .exeAm incercat sa repar si fisierele .exe insa fara success.Programul este capabil sa-l gaseasca in registry insa nu-l poate sterge, trebuie sters manual de la adresa de mai sus.InterfataDownload : CrownSoft - Trojan.Agent/Gen-RunOnce & W32/Chir Scanner 1.0Download winrar : Dark FileHost - wrar300.exepentru eventualitatea in care descarci scanner-ul dupa ce ai fost infectat si nu mai poti folosi winrar-ul actual.PS : Am creat programelul dupa lupte crancene duse cu acest gunoi de virus..by me Edited February 19, 2012 by Wav3 1 Quote Link to comment Share on other sites More sharing options...
