[Sample] Email-Worm.Win32.Brontok.dk

L-am gasit pe laptop-ul unui prieten.

Avea numele "qktier.exe" si "qktier.scr" si infecta stick-urile USB: creaza multe scurtaturi pe acolo si se copiaza cu multe nume.

Arhiva contine 2 fisiere:

1. qktier.exe - Trojan.Win32.Agent.xsde

2. Video.exe - Email-Worm.Win32.Brontok.dk (ATENTIE! Are icon de folder dar e executabil!)

Mi s-a parut interesant faptul ca atunci cand deschid cmd, autoruns sau autoruns cu un alt nume, da reboot la laptop. Sper sa am putin timp sa ma uit peste el, sunt curios cum "isi da seama" ca am deschis, probabil dupa classname-ul ferestrei, dar vreau sa fiu sigur.

Atentie! Aceste fisier sunt MALWARE. NU LE EXECUTATI!



Parola arhivei: rst

Incercati sa nu va infectati cu el, va poate da batai de cap.

qktier.exe - dropper.

Scrie un fisier C:\Documents and Settings\User\zoazo.exe

sau C:\Documents and Settings\Administrator\nhsik.exe ??

Probabil vrea sa "sune acasa": ns4.theimageparlour.net

Si in functie de sistem. Fisierul "aruncat" incearca sa injecteze in ctfmon.exe, msmsgs.exe, reader_sl.exe ...

Cat despre video.exe pare mult mai complex si interesant.

da restart si cand descid processexplorer: procexp.exe also rootkitrevealer

da restart si cand navighezi in folderul in care se afla fisierele sale .exe

Mi se pare ca face ceva cu explorer.exe. Il mai bag in VM sa vad cum mai reactioneaza. (Din testele mele mi se pare ca nu are deloc Network Activity. In schimb incearca ceva cu dispozitivele USB)

