Pieter Arntz
Spywareslayer
- Lid geworden
- 12 aug 2001
- Berichten
- 15.621
De meest recente varianten van RapidBlaster ( http://www.doxdesk.com/parasite/RapidBlaster.html ) veranderen zichzelf in de hoop zo onontdekt te blijven. Om de zoveel tijd, download RapidBlaster data van de controlerende server die een nieuwe bestands- en mapnaam bevatten. Daarna kopieert het zichzelf naar die map, beëindigt het originele proces, delete het originele bestand, en start het nieuwe bestand op vanaf de nieuwe locatie.
Aangezien de map en bestandsnamen die RapidBlaster gebruikt random door de server verstuurd worden, en niet in het uitvoerbare bestand zijn opgeslagen, is het erg gemakkelijk voor de makers van RapidBlaster om domweg de lijst met gebruikte bestands- en mapnamen aan te passen. Het zoeken naar de volgende bestandsnamen alleen is dus niet voldoende om te garanderen dat je niet besmet bent.
De volgende lijst is een (niet helemaal) complete lijst van RapidBlaster bestandsnamen die tot nu toe zijn gevonden:
rb32 lptt01 = rb32.exe (In een "RapidBlaster" map in Program Files)
- realplay lptt01 = realplay.exe (In een "RealPlay" map in Program Files)
- Notepad lptt01 = Notepad.exe (In een "Notepad" map in Program Files)
- Bsoft lppt01 = Bsoft.exe (In een "BelmontSoft" map in Program Files)
- Icon lptt01 = icon.exe (In een "Icon" map in Program Files)
- msys lptt01 = msys.exe (In een "Msyss" map in Program Files)
- aimaol lptt01 = aimaol.exe (In een "Aimaol" map in Program Files)
- nvd32 lptt01 = nvd32.exe ( In een Program Files\NvidStar directory)
- syscon lptt01 = syscon.exe (In een "Syscon" map in Program Files)
- winwan lptt01 = winwan.exe (In een "Winwan" map in Program Files)
- taskmngr lptt01 = taskmngr.exe > (In een "Taskmngr" map in Program Files)
- Microfinder lptt01 = mcf.exe (In een "MicroFinder" map in Program Files)
- winsyslog lptt01 = winsyslog.exe (In een "Winsyslog" map in Program Files)
- yahoo_toolbar lptt01 = yahoo_toolbar.exe (In een "yahoo_toolbar" map in Program Files)
- Surfer lptt01 = surfer.exe (In een "mssurfer" map in Program Files)
- Dkware lptt01 = dkware.exe (In een "DonkeySoft" map in Program Files)
- Kazaa lptt01 = kazaa.exe (In een "kazaa" map in Program Files)
- Explorer lptt01 = explorer.exe (In een "explorer" map in Program Files)
- Newsgroup lptt01 = newsgroup.exe (In een "newsgroup" map in Program Files)
- Spool = lptt01 spool.exe (In een "spool" map in Program Files)
- Msconfig = msconfig.exe (In een "msconfig" map in Program Files)
- Adaware = lptt01 adaware.exe (In een "adaware" map in Program Files)
- iexplorer lptt01 = explorer.exe (In een "iexplorer" map in Program Files)
- Syslog lptt01 = Syslog.exe (In een "Syslog" map in Program Files)
Javacool van Javacoolsoftware heeft razendsnel gereageerd (zoals we van hem gewend zijn), en een RapidBlaster killer geproduceerd, die elke RapidBlaster variant zal vinden op je computer, het proces stopt, en de Run sleutel in het register verwijdert.
Als het proces gestopt is, zoek je map van het programma in Program Files, en delete het!
Leesvoer: http://www.wilderssecurity.net/specialinfo/rapidblaster.html
Daar kun je ook het killertooltje downen.
Met dank aan Kleinkramer en Javacool,
Grtz,
Pieter
Aangezien de map en bestandsnamen die RapidBlaster gebruikt random door de server verstuurd worden, en niet in het uitvoerbare bestand zijn opgeslagen, is het erg gemakkelijk voor de makers van RapidBlaster om domweg de lijst met gebruikte bestands- en mapnamen aan te passen. Het zoeken naar de volgende bestandsnamen alleen is dus niet voldoende om te garanderen dat je niet besmet bent.
De volgende lijst is een (niet helemaal) complete lijst van RapidBlaster bestandsnamen die tot nu toe zijn gevonden:
rb32 lptt01 = rb32.exe (In een "RapidBlaster" map in Program Files)
- realplay lptt01 = realplay.exe (In een "RealPlay" map in Program Files)
- Notepad lptt01 = Notepad.exe (In een "Notepad" map in Program Files)
- Bsoft lppt01 = Bsoft.exe (In een "BelmontSoft" map in Program Files)
- Icon lptt01 = icon.exe (In een "Icon" map in Program Files)
- msys lptt01 = msys.exe (In een "Msyss" map in Program Files)
- aimaol lptt01 = aimaol.exe (In een "Aimaol" map in Program Files)
- nvd32 lptt01 = nvd32.exe ( In een Program Files\NvidStar directory)
- syscon lptt01 = syscon.exe (In een "Syscon" map in Program Files)
- winwan lptt01 = winwan.exe (In een "Winwan" map in Program Files)
- taskmngr lptt01 = taskmngr.exe > (In een "Taskmngr" map in Program Files)
- Microfinder lptt01 = mcf.exe (In een "MicroFinder" map in Program Files)
- winsyslog lptt01 = winsyslog.exe (In een "Winsyslog" map in Program Files)
- yahoo_toolbar lptt01 = yahoo_toolbar.exe (In een "yahoo_toolbar" map in Program Files)
- Surfer lptt01 = surfer.exe (In een "mssurfer" map in Program Files)
- Dkware lptt01 = dkware.exe (In een "DonkeySoft" map in Program Files)
- Kazaa lptt01 = kazaa.exe (In een "kazaa" map in Program Files)
- Explorer lptt01 = explorer.exe (In een "explorer" map in Program Files)
- Newsgroup lptt01 = newsgroup.exe (In een "newsgroup" map in Program Files)
- Spool = lptt01 spool.exe (In een "spool" map in Program Files)
- Msconfig = msconfig.exe (In een "msconfig" map in Program Files)
- Adaware = lptt01 adaware.exe (In een "adaware" map in Program Files)
- iexplorer lptt01 = explorer.exe (In een "iexplorer" map in Program Files)
- Syslog lptt01 = Syslog.exe (In een "Syslog" map in Program Files)
Javacool van Javacoolsoftware heeft razendsnel gereageerd (zoals we van hem gewend zijn), en een RapidBlaster killer geproduceerd, die elke RapidBlaster variant zal vinden op je computer, het proces stopt, en de Run sleutel in het register verwijdert.
Als het proces gestopt is, zoek je map van het programma in Program Files, en delete het!
Leesvoer: http://www.wilderssecurity.net/specialinfo/rapidblaster.html
Daar kun je ook het killertooltje downen.
Met dank aan Kleinkramer en Javacool,
Grtz,
Pieter
