E' di oggi la notizia della scoperta di un nuovo trojan in VBScript, si chiama VBS/Carewmr.A alias Trojan.VBS.Carewmr VBS.AVFake VBS.Trojan.Carewmr.A . La sua origine al momento non è conosciuta, il file pesa 3292 bytes, se si viene infettati si apre in automatico un finestra falsa del programma CLRAV, utility della KasperskyLabs per rimuovere i virus più conosciuti. All'interno della finestra il seguente messaggio:
"Welcome to CLRAV of Kaspersky Labs, press OK or Accept to Start scanning your computer. "
se si clicca OK si apre un secondo messaggio:
"ERROR!, Code error:3212552, please execute this tool in MS-DOS."
e per finire un terzo:
"Thank You for prefer Kaspersky Labs Products"
Apre il registro e cancella le seguenti chiavi:
HKEY_LOCAL_MACHINE\Software\Microsoft\Wi
ndows\CurrentVersion\Run\SystemTray
HKEY_LOCAL_MACHINE\Software\Microsoft\Wi
ndows\CurrentVersion\Run\AVPCC
HKEY_LOCAL_MACHINE\Software\Microsoft\Wi
ndows\CurrentVersion\Run\NAVW32
HKEY_LOCAL_MACHINE\Software\Microsoft\Wi
ndows\CurrentVersion\Run\TrueVector
HKEY_LOCAL_MACHINE\Software\Microsoft\Wi
ndows\CurrentVersion\Run\ZoneAlarm Pro
Crea in C\: i seguenti files da 0 bytes
- "C:\Norton2003isbad_preferKAVORAVP"
- "C:\AVP"
- "C:\NAV"
- "C:\CHILE"
- "C:\TEMUCO"
- "C:\MCAFEE"
- "C:\ENTELPCS"
- "C:\GSM1900MHZ"
- "C:\SONYERICSSON"
- "C:\CAREFULLY_WHIT_ME"
- "C:\YOUR_PC_IS_VERY_BAD"
- "C:\I HATE MELINA"
- "C:\VBS.CarewMR.a"
- "C:\Windows is a real virus?"
- "C:\MELINA_TE_ODIO_MUERETE!"
- "C:\WindowsXP"
- "C:\Windows3.11"
- "C:\Windows98SE"
- "C:\WindowsME"
- "C:\Windows 95"
- "C:\WindowsNT"
- "C:\Windows2000"
- "C:\TELLCELL S.A"
- "C:\PORN"
- "C:\ORAL_SEX"
- "C:\BIN_LADEN_FUCKYOU"
- "C:\ICQ"
- "C:\PANDA"
- "C:\NOD32"
- "C:\TREND"
- "C:\PC-CILLIN"
- "C:\AvpM.exe"
- " C:\Kaspersky_AntiVirus_PersonalPRO_THEBE
ST!!!!!"
- "C:\Norton_thePOOR"
- "C:\Madonna_Sucking_my_dick.avi"
- " C:\Your_system_is_infected_by_a_virus_ja
jajajajajaja.jajajaja"
" C:\THE_HEURISTIC_OF_NORTON_IS_VERY_BAD_A
ND_PRODUCE:POSITIVES-FALSES"
VBS/Carewmr.A crea il file "CLRAV_Report.log" con il seguente messaggio:
"Due an error, Code error:3212552, CLRAV has not disinfect your computer. For Support please send a e-mail to support@kaspersky.com and please indicate the Code Error."
Altri dettagli al link
http://vil.nai.com/vil/content/v_99757.htm
Marco(amvinfe)