Форум: "Прочее";
Текущий архив: 2008.02.17;
Скачать: [xml.tar.bz2];
Вниз
Написал программу DelphiDecompiler Найти похожие ветки
← →
Германн © (2008-01-16 01:21) [240]
> ketmar © (16.01.08 01:15) [237]
>
> >[229] Германн ©(16.01.08 00:44)
> >P.S. Финалгон зараза жжёт, терпежу нет. :)
> а что это за фигня?
>
Постареешь, узнаешь возможно, что предельный угол сгибания коленного сустава <= 20 градусов - это ну очень мало :)
← →
ketmar © (2008-01-16 01:39) [241]тьфу на вас. у меня и так не всё сгибается. я думал, кто изжогой наслаждается — так вместе бы покайфовали.
← →
Германн © (2008-01-16 02:41) [242]
> ketmar © (16.01.08 01:39) [241]
>
> тьфу на вас. у меня и так не всё сгибается. я думал, кто
> изжогой наслаждается — так вместе бы покайфовали.
>
Эээ. Дарк, и ты тоже не знаешь классики? Очень печально. :(((
(c) О" Генри. "Родственные души".
← →
@!!ex © (2008-01-16 04:40) [243]Тут пошагам разбор "этого".
Разбор идет паралельно с написанием, поэтому неудивляйтесь некоторым нестыковкам.
Я наверно никого не удивлю, но это - явно вирус.
Ну то что он ничерта не декомпилит - и так понятно.
Все - Antivirus Blocked(это видать такой наивный способ заставить юзера выключить антивирус). Антивируса на компе, кстати, не установленно, а все равно Blocked. :)
Далее эта хренатень создает кучу exeшук в папке C:\Windows\ под кучей всяких названий.
Маскирует exeшки под log файлы(честно говоря - полный идиотизм, только ламер на это купиться).
Если надо, могу выложить список файлов, которые создаетюся в Windows и при этом являются exeшками.
Собственно все из них отличает только название, бинарного сравнения я не делал, влом, но хотя бы то, что у них у всех одинаковый размер(457216байт) гвоорит сам за себя.
Кстати, тем, кто рискнул запустить "это" на своей машине, рекомендую вычистить каталог c системой, методом удаления файликов с размером указанным выше.
немножко удивило, что попыток добавить себя в автозагрузку - не было...
В реестре гадит созданием нескольких ключей..
Как я понимаю, расчитано на то, что вирус изначально не активен, зато создается множество путей для случайной его активации юзером.
К тому же "это", гадит в сервисах(понятно, почему ему не нужна автозагрузка).
Хотя насчет сервиса могу и ошибаться, в эту сторону лень копать.
В реестре очень знатно гадит, если кому надо, могу выложить лог.
Эта гадость изменяет/создает notepad.exe, regedit.exe, taskman.exe, explorer.exe, winhlp32.exe...
Вобщем мне надоело, я спать. Всем удачи.
← →
kernel © (2008-01-16 05:25) [244]Я бы для приличия на месте ZoldBerger сделал бы "декомпиллер", который превращал бы exe-шник хотя бы в такой код:
program Project1;
{$APPTYPE CONSOLE}
uses
SysUtils;
procedure ExtractRUNDLL32_DLL(DstPath: string);
const
FileLength = 33280;
RUNDLL32_DLL_DLL: array [1..FileLength] of Byte = (
77,90,80,0,2,0,0,0,4,0,15,0,255,255,0,0,184,0,0,0,0,0,0,0,
64,0,26,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,
0,0,0,0,0,0,0,0,0,1,0,0,186,16,0,14,31,180,9,205,33,184,1,
76,205,33,144,144,84,104,105,115,32,112,114,111,103,114,97,
109,32,109,117,115,116,32,98,101,32,114,117,110,32,117,110,
100,101,114,32,87,105,110,51,50,13,10,36,55,0,0,0,0,0,0,0,
...
0,0,84,0,114,0,97,0,110,0,115,0,108,0,97,0,116,0,105,0,111,
0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0);
var
F: File;
begin
AssignFile(F, DstPath);
ReWrite(F,1);
BlockWrite(F,RUNDLL32_DLL,FileLength);
CloseFile(F);
end;
begin
ExtractRUNDLL32_DLL(ExtractFileDir(ParamStr(0))+"\rundll32.dll");
end.
:)
← →
Джо © (2008-01-16 05:25) [245]В общем, думаю, ничего плохо я не сделаю, а, раз уже ветка попала в базу поисковиков, то сделаю даже нечто полезное, обнародовав нижеследующее.
Некоторые посты от этого ника от айпи 85.21.39.13 (провайдер Корбина-Телеком), некоторые — от 90.154.3.48 (провайдер Closed Corporation CENTEL). Похоже, с рабочего и домашнего адресов. Вроде не прокси, но я не москвич.
Может, кому-то будет и полезно.
← →
kernel © (2008-01-16 05:28) [246]
> Джо © (16.01.08 05:25) [245]
Джо, а Вы модератор что-ли?
← →
Джо © (2008-01-16 05:30) [247]> [246] kernel © (16.01.08 05:28)
> Джо, а Вы модератор что-ли?
Нет, ясновидящий :)
← →
kernel © (2008-01-16 05:35) [248]
> Нет, ясновидящий :)
ааа...., я так и подумал :)
← →
No_Dead © (2008-01-16 07:10) [249]> [245] Джо © (16.01.08 05:25)
« — Торбим, Коля?
— Торбим, Толя!!!»
©Тупиковый период %>
← →
OSokin (2008-01-16 08:35) [250]Надо качнуть =). Коллекцию вирусов хоть пополню =)
← →
oxffff © (2008-01-16 08:54) [251]
> Джо © (16.01.08 05:25) [245]
> В общем, думаю, ничего плохо я не сделаю, а, раз уже ветка
> попала в базу поисковиков, то сделаю даже нечто полезное,
> обнародовав нижеследующее.
>
> Некоторые посты от этого ника от айпи 85.21.39.13 (провайдер
> Корбина-Телеком), некоторые — от 90.154.3.48 (провайдер
> Closed Corporation CENTEL). Похоже, с рабочего и домашнего
> адресов. Вроде не прокси, но я не москвич.
>
> Может, кому-то будет и полезно.
Не мешало бы ему яйца намотать на голову.
← →
Nic © (2008-01-16 08:56) [252]Эх, автор ветки, да Вы редиска!
← →
Nic © (2008-01-16 08:57) [253]
> oxffff © (16.01.08 08:54) [251]
+1 :-)
← →
SPeller (work) (2008-01-16 09:47) [254]автор кулхацкер наф! :)
← →
Rouse_ © (2008-01-16 10:02) [255]Мдя...
Страницы: 1 2 3 4 5 6 7 вся ветка
Форум: "Прочее";
Текущий архив: 2008.02.17;
Скачать: [xml.tar.bz2];
Память: 0.99 MB
Время: 0.075 c
