Gjest Skrevet 9. mai 2014 Del Skrevet 9. mai 2014 (endret) Hei, siste to dagene har det spred deg seg et virus på Facebook via meldinger. Det kommer en melding til deg som ser slik ut: "LOL <tilfeldig_filnavn>.zip" Hva skjer når man laster ned?Dette er en ZIP fil som inneholder en JAR-file (Java kjørbar fil, omtrent som en EXE-fil) Når man kjører denne JAR-filen så lastes det ned en fil fra Dropbox som egentlig er en DLL (biblioteks-fil). Denne kjøres så med regsvr2 og oppretter da en kobling til dette i Windows. Hva som skjer videre har jeg ikke undersøkt at jeg ikke nok kunnskaper til det. Hvordan kan jeg ta det vekk? Det beste rådet er å følge Når du trenger hjelp med å få fjernet virus, spyware etc. Eventuelt bare å laste ned og kjøre Malwarebytes Anti-Malware som burde finne viruset og ta det vekk. Virus-scan: Anubis: https://anubis.iseclab.org/?action=result&task_id=1d3c4027c426ffb24154feefcad33393a Jotti: http://virusscan.jotti.org/en/scanresult/e902987fee69e41197bff32392b3ad801b7d4716 Virustotal: https://www.virustotal.com/nb/file/0c3f6e7ce935f0bec86cbebb70abf30ad955d427a0efa220728152236100b338/analysis/1399619758/ EDIT: Her er en Pastebin-lenke med kildekode av nedlastet JAR (etter utpakket ZIP): http://pastebin.com/WQEXv4WA EDIT:VG har også omtalt saken: http://www.vg.no/nyheter/innenriks/mobil-og-tele/advarer-mot-nytt-facebook-virus/a/10123330/ Endret 16. mai 2014 av Gjest Lenke til kommentar
r2d290 Skrevet 9. mai 2014 Del Skrevet 9. mai 2014 (endret) Veldig bra! Kunne du sendt meg zip-fila på PM tro? Endret 9. mai 2014 av r2d290 Lenke til kommentar
CasterAnd Skrevet 9. mai 2014 Del Skrevet 9. mai 2014 Ifølge ubekreftede kilder så inneholder den keylog, og sprer seg selv via facebook igjen. Skal decompile den i en VM 1 Lenke til kommentar
Gjest Skrevet 9. mai 2014 Del Skrevet 9. mai 2014 (endret) Veldig bra! Kunne du sendt meg zip-fila på PM tro? Har den ikke tilgjengelig, men selve JAR-filen gjør ikke stort, du kan laste ned en av DLL-filene fra dropbox-lenken om den er tilgjengelig (prøv de nederste). Lenken til pastebin for Dropbox-lenkene finnes i spoiler http://pastebin.com/rYy3vzW6 EDIT: Har også meldt i fra til Dropbox-team med lenkene, de kan forsvinne når som helst. Endret 9. mai 2014 av Gjest Lenke til kommentar
GeirGrusom Skrevet 9. mai 2014 Del Skrevet 9. mai 2014 Satt og dekompilerte .jar filen i går. Kanskje den elendigste formen for obfuscation jeg noensinne har sett. Lenke til kommentar
CasterAnd Skrevet 10. mai 2014 Del Skrevet 10. mai 2014 Source til .jar-filen: http://pastebin.com/BimJ3Q2X En facebook-gruppe skal prøve å decompile keyloggeren. Lenke til kommentar
Gjest Skrevet 10. mai 2014 Del Skrevet 10. mai 2014 Source til .jar-filen: http://pastebin.com/BimJ3Q2X En facebook-gruppe skal prøve å decompile keyloggeren. Er jo allerede gjort, den er decompilet. Det er mer interessant hva en den DLL-filen gjør med systemet Lenke til kommentar
Gjest Slettet-3t93k9 Skrevet 11. mai 2014 Del Skrevet 11. mai 2014 (endret) EDIT: Muttern hadde heldigvis bare åpnet på telefon Endret 11. mai 2014 av Slettet-3t93k9 Lenke til kommentar
MKezia Skrevet 13. mai 2014 Del Skrevet 13. mai 2014 Hei! Så, ved et uhell lastet ned denne «lol» (….)fil viruset Ser ut til at jeg ikke har sendt det videre enda. Tenkte ikke noe på det før i etterkant. Når jeg skrudde på dataen dagen etter var både brannmuren og anti-virusprogrammet (Trend Micro Titanium) deaktivert. Fikk heldigvis startet igjen når jeg restartet datamaskinen. Skannet gjennom datamaskina (med både Trend Micro og Malewarebytes), og sto at viruset hadde blitt fjernet. Startet så datamaskinen i sikkerhetsmodus, og skannet med Malewarebytes, uten at den fant noe denne gangen. Har avinstallert Java, og lastet det ned igjen. Tror dere at viruset er borte? Eller må jeg gjøre mer for å være på den sikre siden? Lenke til kommentar
r2d290 Skrevet 13. mai 2014 Del Skrevet 13. mai 2014 (endret) Heisann Kan du laste opp loggen som Malwarebytes lagde? Loggen ble automatisk lagret av MBAM og kan også bli observert ved å klikke på History fanen og velge Application Logs. Klikk på Export Log knappen. Velg Text file (*.txt), og lagre loggen på Skrivebordet. Vanskelig å si om du er helt ren uten å se logger fra DDS. Har ikke vært borti logger fra dette viruset enda, så vet ikke helt hva som skal til for å fjerne det. Endret 13. mai 2014 av r2d290 Lenke til kommentar
MKezia Skrevet 13. mai 2014 Del Skrevet 13. mai 2014 Er det denne du mener?Her er fra første hurtigskann: Malwarebytes Anti-Malware 1.75.0.1300www.malwarebytes.org Databaseversjon: v2014.05.12.08 Windows 7 Service Pack 1 x64 NTFSInternet Explorer 11.0.9600.17105Anonym :: Anonym [administrator] 12.05.2014 22:37:54mbam-log-2014-05-12 (22-37-54).txt Skanntype: HurtigsøkAktiverte skanningsinnstillinger: Minne | Oppstart | Register | Filsystem | Heuristikk/Ekstra | Heuristikk/Shuriken | PUP | PUMDeaktiverte skanninnstillinger: P2PObjekter skannet: 261383Tid tilbakelagt: 39 minutt(er), 44 sekund(er) Minneprosesser oppdaget: 0(Ingen skadelige objekter funnet) Minnemoduler oppdaget: 0(Ingen skadelige objekter funnet) Registernøkler oppdaget: 1HKCU\Software\AppDataLow\Software\PriceGong (PUP.Optional.PriceGong.A) -> Satt i karantene og slettet vellykket. Registerverdier oppdaget: 1HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|svchost (Backdoor.Bot) -> Data: regsvr32 /s "C:\Temp:1CF88425.dat" -> Satt i karantene og slettet vellykket. Registerfiler oppdaget: 0(Ingen skadelige objekter funnet) Mapper oppdaget: 0(Ingen skadelige objekter funnet) Filer oppdaget 1c:\temp:1cf88425.dat (Backdoor.Bot) -> Satt i karantene og slettet vellykket. (klar) Dette er den fullstendige skanningen: Malwarebytes Anti-Malware 1.75.0.1300www.malwarebytes.org Databaseversjon: v2014.05.12.08 Windows 7 Service Pack 1 x64 NTFS (Sikkerhetsmodus)Internet Explorer 11.0.9600.17105anonym :: anonym [administrator] 12.05.2014 23:49:58mbam-log-2014-05-12 (23-49-58).txt Skanntype: Full skann (C:\|E:\|)Aktiverte skanningsinnstillinger: Minne | Oppstart | Register | Filsystem | Heuristikk/Ekstra | Heuristikk/Shuriken | PUP | PUMDeaktiverte skanninnstillinger: P2PObjekter skannet: 766216Tid tilbakelagt: 3 time®, 13 minutt(er), 50 sekund(er) Minneprosesser oppdaget: 0(Ingen skadelige objekter funnet) Minnemoduler oppdaget: 0(Ingen skadelige objekter funnet) Registernøkler oppdaget: 0(Ingen skadelige objekter funnet) Registerverdier oppdaget: 0(Ingen skadelige objekter funnet) Registerfiler oppdaget: 0(Ingen skadelige objekter funnet) Mapper oppdaget: 0(Ingen skadelige objekter funnet) Filer oppdaget 0(Ingen skadelige objekter funnet) (klar) Håper det er de rette loggene! Lenke til kommentar
r2d290 Skrevet 14. mai 2014 Del Skrevet 14. mai 2014 Takk, det var riktig. Greit å ha liggende for sammenlikning hvis det er flere som får dette. Hvis du merker noe videre problemer, eller bare ønsker å ta en sjekk, kan du følge veiledningen i signaturen min, og poste logger i en ny tråd. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå