BakuQ | 2021-10-12 23:12:34 UTC | #1
Witam w Autostart miałem plik .bat o dziwnej nazwie (fskbdadlsf3001.bat) i jego kod wyglądał tak:
@echo off
start javaw -jar C:\Users\oskar\AppData\Roaming\.minecraft\assets\objects\0f\0ff1995b0ef7760051943e7b00bc94ef96eeb90504edb62eb494d3cb8d869138ca98e5f
cmd /c del "%~f0"&exit /b
Czy to jakiś wirus?
Axerr | 2021-10-12 19:42:56 UTC | #2
A jakieś konkrety?
Co jest w pliku 0ff1995b0ef7760051943e7b00bc94ef96eeb90504edb62eb494d3cb8d869138ca98e5f?
SystemZ | 2021-10-22 16:01:23 UTC | #3
Bardzo podejrzane aby skrypt batch z losową nazwą znajdował się w autostarcie.
Wrzuć plik z katalogu mc na ten serwis w celu analizy:
https://www.virustotal.com
Nieznajomy11 | 2021-10-25 06:43:58 UTC | #4
Z jakiegoś powodu zarówno teraz jak i na początku wyszukiwania jakichś informacji o tym to zawsze wpadałem na zyczu.
Tym razem udało mi się wpaść na podobnie wyglądający raport z any.run: https://any.run/report/dc1f5e79ecadfcee517e1cd6fd69fff9e90593952a2920c6ae5caa6ca9a18e1d/2b8e1869-1984-4161-86d0-f011c2b968d0
Być może nie jest to nic aż tak okropnego, a jakiś beznadziejnie zrealizowany mechanizm aktualizacji tego launchera, czy też metoda na wyciąganie danych (metryk) przez twórców — jeśli tak, to trochę gorzej, to już w sumie prawie jak wirus. :joy:
Istnieje też mała, ale niezerowa szansa, że jakiś faktyczny malware korzystałby z tego jako swojego nośnika. W każdym razie zdecydowanie nie wygląda dobrze. Warto zmienić launcher. :flushed:
system | 2021-11-23 12:19:02 UTC | #5
Ten temat został automatycznie zamknięty 32 dni po ostatnim wpisie. Tworzenie nowych odpowiedzi nie jest już możliwe.