Интересно было бы узнать что она делает.
Написано на VB. Заменяет EXPLORER, заражает флешки(которые usb).
В ехе встречаются названия игр.

Может кому попадалось.


6b7f_31.07.2007_CRACKLAB.rU.tgz - vir #5.zip

| Сообщение посчитали полезным:

мб прокси-сервер

| Сообщение посчитали полезным:

SergX
--> Здесь <-- http://www.virustotal.com/ не пробовал проверять?
И в зависимости от ответа юзай гугл http://google.com/ .

-----
xchg dword [eax], eax

| Сообщение посчитали полезным:

И кому верить

AhnLab-V3 2007.7.31.1 2007.07.31 -
AntiVir 7.4.0.54 2007.07.31 TR/Agent.VB.H.1
Authentium 4.93.8 2007.07.30 W32/Legendmir.CTS
Avast 4.7.1029.0 2007.07.31 Win32:Detnat-AX
AVG 7.5.0.476 2007.07.30 Generic2.FRK
BitDefender 7.2 2007.07.31 Trojan.Agent.VB.H
CAT-QuickHeal 9.00 2007.07.31 Worm.VB.bu
ClamAV 0.91 2007.07.31 Trojan.VB-420
DrWeb 4.33 2007.07.31 BackDoor.Generic.1451
eSafe 7.0.15.0 2007.07.31 Virus.Win32.VB.bu
eTrust-Vet 31.1.5019 2007.07.31 Win32/Jampork.D
Ewido 4.0 2007.07.31 Trojan.VB.atv
FileAdvisor 1 2007.07.31 -
Fortinet 2.91.0.0 2007.07.31 W32/VB.ATV!tr
F-Prot 4.3.2.48 2007.07.30 W32/Legendmir.CTS
F-Secure 6.70.13030.0 2007.07.31 Virus.Win32.VB.bu
Ikarus T3.1.1.8 2007.07.31 Virus.Win32.VB.bu
Kaspersky 4.0.2.24 2007.07.31 Virus.Win32.VB.bu
McAfee 5086 2007.07.30 Generic PWS.g
Microsoft 1.2704 2007.07.31 Virus:Win32/VB.BU
NOD32v2 2429 2007.07.30 Win32/VB.NHZ
Norman 5.80.02 2007.07.31 W32/VBTroj.DVG
Panda 9.0.0.4 2007.07.31 Trj/Passtealer.AW
Rising 19.34.12.00 2007.07.31 Trojan.PSW.SBoy.a
Sophos 4.19.0 2007.07.26 Troj/Gampass-A
Sunbelt 2.2.907.0 2007.07.31 Infostealer.Lineage
Symantec 10 2007.07.31 Infostealer.Lineage
TheHacker 6.1.7.159 2007.07.31 Trojan/VB.atv
VBA32 3.12.2.2 2007.07.30 Virus.Win32.VB.bu
VirusBuster 4.3.26:9 2007.07.31 Trojan.PWS.Lmir.AXH
Webwasher-Gateway 6.0.1 2007.07.31 Trojan.Agent.VB.H.1

Вопрос наверное совсем глупый, но почему я не могу снять атрибут хиден с этого ехе ?
ATTRIB говорит:
Переустановка атрибутов системного файла explorer.exe не произведена
Почему он решил что это системный файл ?

| Сообщение посчитали полезным:

Гугли в сторону Win-Trojan/KorGameHack =)
Кетайская поделка походу...

| Сообщение посчитали полезным:

SergX
Наверно, тоже по атрибутам.

| Сообщение посчитали полезным:

жесть) на барсике... Единственное что прикольно, то это AutoRun.inf

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Archer пишет:
Наверно, тоже по атрибутам.
ну я и протупил
благо дос-навигатору атрибуты все пофиг.

а как system в маздае снимается ?

| Сообщение посчитали полезным:

SergX
invoke SetFileAttributes, ADDR FileName, FILE_ATTRIBUTE_NORMAL

-----
xchg dword [eax], eax

| Сообщение посчитали полезным:

SergX пишет:
а как system в маздае снимается ?

Total Commander

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Это - генетика. Не лечится.

-----
– Почему ты работаешь по ночам ? – Так удобнее... В одну смену с чертями...

| Сообщение посчитали полезным:

SergX пишет:
Вопрос наверное совсем глупый, но почему я не могу снять атрибут хиден с этого ехе ?
Атрибут скрытый, с оставлением всех остальных можно снять вот так (delphi):

attr:=GetFileAttributes(pchar(filename));
SetFileAttributes(pchar(filename),attr xor FILE_ATTRIBUTE_HIDDEN);

Так же можно и все остальные атрибуты снимать... или ставить...

| Сообщение посчитали полезным:

Ну вы даёте, и ассемблер приплели, и дельфи. По-моему самое человеческое это в коммандной строке прописать:
attrib -s -h путь_к_файлу

| Сообщение посчитали полезным:

multiarc пишет:
Атрибут скрытый, с оставлением всех остальных можно снять вот так (delphi):
v0id2k пишет:
invoke SetFileAttributes, ADDR FileName, FILE_ATTRIBUTE_NORMAL
Спасибо, но как программно снять я знаю.
Возможно я не корректно задал вопрос.
Меня интересовало как сделать это средствами маздая.

tnt17 пишет:
Это - генетика. Не лечится.
Очень остроумно.

[poly] glot пишет:
Путь_к_файлу attrib -s -h
Не канает.
SergX пишет:
ATTRIB говорит:
Переустановка атрибутов системного файла explorer.exe не произведена

| Сообщение посчитали полезным:

SergX пишет:
почему я не могу снять атрибут хиден с этого ехе ?
Короче, я нашёл у себя в винде файл для примера с аттрибутами SH (c:\document and settings\User\ntuser.ini), если попробовать в коммандной строке так: attrib ntuser.ini -s или так: attrib ntuser.ini -h выскакивает такая же хрень, как и у тебя, НО если сделать так: attrib ntuser.ini -s -h всё работает . В общем попробуй сразу два параметра снять. Должно получиться...

| Сообщение посчитали полезным: