Давненько о свежачке не писал. Вчера юзверь подцепил такое вот чудо.
Одна запись в автозагрузке (убирается в осаме) - помойму shell extension
И на всякий случай зануляются CMedia.dll и другие интересныя файлы в папках ../Application Data/CMedia/* + CMedia.dat в Application Data
Файл этот (cmedia.dat) содержит пошифрованные по всей видимости base64 строки. Расшифровывать пока не стал. Где там число показов, на первый взгляд не понятно
На хабре предлагался способ
http://habrahabr.ru/blogs/infosecurity/71412/
но он не прокатил, видимо модификация другая
ЗЫ, Cureit обнаружыл таки эту dll и даже попытался ее удалить.
Подписаться на:
Комментарии к сообщению (Atom)
Комментариев нет:
Отправить комментарий