Собственно хотел бы найти человека, который бы смог разобраться алгоритме вируса.
Вирус: Trojan.WinLock.**
Пишим в icq 6962125

В чем трудность? Закинь в какой-нибудь sandbox и посмотри что он делает.

В чем трудность? Закинь в какой-нибудь sandbox и посмотри что он делает.
И таким образом ты узнаешь каким образом он генерирует ключи?

http://www.av-desk.com/static/new-www/winlock.png
копирует себя в: c:/documents and settings/all users/application data/
под именем: blocker.exe и blocker.bin

дописывает в реестр: HLKM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
ключ: "C:\\WINDOWS\\system32\\userinit.exe,..,C:\\DOCUME~ 1\ \ALLUSE~1\\APPLIC~1\\blocker.exe"

генератор ключа:
http://news.drweb.com/get+winlock+code/?c=число

Мне нужен алгоритм генератор этого ключа...

Мне нужен алгоритм генератор этого ключа...
Свяжись с drweb"ом, мож поделятся))

_ttp://news.drweb.com/show/?i=304&c=5
онлайн генератор)

Мне нужен алгоритм генератор этого ключа...

Вот если не секрет: ЗАЧЕМ???

ну как, чтоб после переделки вируса слали смс на "другой" номерок а тс знал алгоритм для генерации ответа.

Они мне отказали...
Вот ещё генератор от Symantec:
http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/Ransom_unlock.exe (Для примера: 4111234567)

ну как, чтоб после переделки вируса слали смс на "другой" номерок а тс знал алгоритм для генерации ответа.
А это как-бы не запрещено ©

в ecx - число

генератор:
0040421B |. 81E1 FFFF0F00 AND ECX,0FFFFF
00404221 |. 8BC1 MOV EAX,ECX
00404223 |. C1E8 10 SHR EAX,10
00404226 |. 83E0 0F AND EAX,0F
00404229 |. 69C0 95000000 IMUL EAX,EAX,95
0040422F |. 33D2 XOR EDX,EDX
00404231 |. BE A7000000 MOV ESI,0A7
00404236 |. F7F6 DIV ESI
00404238 |. 8BC1 MOV EAX,ECX
0040423A |. C1E8 0C SHR EAX,0C
0040423D |. 83E0 0F AND EAX,0F
00404240 |. 6BC0 6C IMUL EAX,EAX,6C
00404243 |. BF 97000000 MOV EDI,97
00404248 |. 8BF2 MOV ESI,EDX
0040424A |. 33D2 XOR EDX,EDX
0040424C |. F7F7 DIV EDI
0040424E |. 8BC1 MOV EAX,ECX
00404250 |. C1E8 08 SHR EAX,8
00404253 |. 83E0 0F AND EAX,0F
00404256 |. 6BC0 1F IMUL EAX,EAX,1F
00404259 |. C1E6 04 SHL ESI,4
0040425C |. BF A3000000 MOV EDI,0A3
00404261 |. 03F2 ADD ESI,EDX
00404263 |. 33D2 XOR EDX,EDX
00404265 |. F7F7 DIV EDI
00404267 |. 8BC1 MOV EAX,ECX
00404269 |. C1E8 04 SHR EAX,4
0040426C |. 83E0 0F AND EAX,0F
0040426F |. 6BC0 1D IMUL EAX,EAX,1D
00404272 |. C1E6 04 SHL ESI,4
00404275 |. BF B3000000 MOV EDI,0B3
0040427A |. 03F2 ADD ESI,EDX
0040427C |. 33D2 XOR EDX,EDX
0040427E |. F7F7 DIV EDI
00404280 |. 8BC1 MOV EAX,ECX
00404282 |. 83E0 0F AND EAX,0F
00404285 |. 6BC0 35 IMUL EAX,EAX,35
00404288 |. C1E6 04 SHL ESI,4
0040428B |. B9 C5000000 MOV ECX,0C5
00404290 |. 03F2 ADD ESI,EDX
00404292 |. 33D2 XOR EDX,EDX
00404294 |. F7F1 DIV ECX
00404296 |. C1E6 04 SHL ESI,4
00404299 |. 03F2 ADD ESI,EDX

А это как-бы не запрещено ©
Если о форуме то не запрещено, если в общем-конечно запрещено :D

в некоторых числах тупит =*)

fasm:
include 'win32ax.inc'

temp db 256 dup(?)
formats_str db "%i",0

main:
call oy
;4110000001 => 53
invoke wsprintf,temp,formats_str,edx
invoke MessageBox,HWND_DESKTOP,temp,temp,MB_OK
exit:
invoke ExitProcess,0
.end main

proc oy
mov ecx,4110000001
and ecx,0FFFFFh
MOV EAX,ECX
SHR EAX,10h
AND EAX,0Fh
IMUL EAX,EAX,95h
XOR EDX,EDX
MOV ESI,0A7h
DIV ESI
MOV EAX,ECX
SHR EAX,0Ch
AND EAX,0Fh
IMUL EAX,EAX,6Ch
MOV EDI,97h
MOV ESI,EDX
XOR EDX,EDX
DIV EDI
MOV EAX,ECX
SHR EAX,8h
AND EAX,0Fh
IMUL EAX,EAX,1Fh
SHL ESI,4h
MOV EDI,0A3h
ADD ESI,EDX
XOR EDX,EDX
DIV EDI
MOV EAX,ECX
SHR EAX,4h
AND EAX,0Fh
IMUL EAX,EAX,1Dh
SHL ESI,4h
MOV EDI,0B3h
ADD ESI,EDX
XOR EDX,EDX
DIV EDI
MOV EAX,ECX
AND EAX,0Fh
IMUL EAX,EAX,35h
SHL ESI,4h
MOV ECX,0C5h
ADD ESI,EDX
XOR EDX,EDX
DIV ECX
SHL ESI,4h
ADD ESI,EDX
MOV ECX,EAX
ret
endp