Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Реверсинг (https://forum.antichat.xyz/forumdisplay.php?f=94)
-   -   Алгоритм вируса (https://forum.antichat.xyz/showthread.php?t=118030)

-Hormold- 27.04.2009 18:32

Алгоритм вируса
 
Собственно хотел бы найти человека, который бы смог разобраться алгоритме вируса.
Вирус: Trojan.WinLock.**
Пишим в icq 6962125

ViP-K1LLeR 27.04.2009 18:37

В чем трудность? Закинь в какой-нибудь sandbox и посмотри что он делает.

gold-goblin 27.04.2009 18:52

Цитата:

В чем трудность? Закинь в какой-нибудь sandbox и посмотри что он делает.
И таким образом ты узнаешь каким образом он генерирует ключи?

eLWAux 27.04.2009 19:01

http://www.av-desk.com/static/new-www/winlock.png
копирует себя в: c:/documents and settings/all users/application data/
под именем: blocker.exe и blocker.bin

дописывает в реестр: HLKM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
ключ: "C:\\WINDOWS\\system32\\userinit.exe,..,C:\\DOCUME ~1\ \ALLUSE~1\\APPLIC~1\\blocker.exe"

генератор ключа:
http://news.drweb.com/get+winlock+code/?c=число

-Hormold- 27.04.2009 19:17

Мне нужен алгоритм генератор этого ключа...

razb 27.04.2009 19:29

Цитата:

Мне нужен алгоритм генератор этого ключа...
Свяжись с drweb"ом, мож поделятся))

mr.The 27.04.2009 19:32

_ttp://news.drweb.com/show/?i=304&c=5
онлайн генератор)

.ATK 27.04.2009 19:32

Цитата:

Сообщение от -Hormold-
Мне нужен алгоритм генератор этого ключа...

Вот если не секрет: ЗАЧЕМ???

neprovad 27.04.2009 19:54

ну как, чтоб после переделки вируса слали смс на "другой" номерок а тс знал алгоритм для генерации ответа.

-Hormold- 27.04.2009 20:12

Они мне отказали...
Вот ещё генератор от Symantec:
http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/Ransom_unlock.exe (Для примера: 4111234567)

Nightmarе 27.04.2009 20:13

Цитата:

Сообщение от neprovad
ну как, чтоб после переделки вируса слали смс на "другой" номерок а тс знал алгоритм для генерации ответа.

А это как-бы не запрещено ©

eLWAux 27.04.2009 20:18

в ecx - число

генератор:
Код:

0040421B  |. 81E1 FFFF0F00  AND ECX,0FFFFF
00404221  |. 8BC1          MOV EAX,ECX
00404223  |. C1E8 10        SHR EAX,10
00404226  |. 83E0 0F        AND EAX,0F
00404229  |. 69C0 95000000  IMUL EAX,EAX,95
0040422F  |. 33D2          XOR EDX,EDX
00404231  |. BE A7000000    MOV ESI,0A7
00404236  |. F7F6          DIV ESI
00404238  |. 8BC1          MOV EAX,ECX
0040423A  |. C1E8 0C        SHR EAX,0C
0040423D  |. 83E0 0F        AND EAX,0F
00404240  |. 6BC0 6C        IMUL EAX,EAX,6C
00404243  |. BF 97000000    MOV EDI,97
00404248  |. 8BF2          MOV ESI,EDX
0040424A  |. 33D2          XOR EDX,EDX
0040424C  |. F7F7          DIV EDI
0040424E  |. 8BC1          MOV EAX,ECX
00404250  |. C1E8 08        SHR EAX,8
00404253  |. 83E0 0F        AND EAX,0F
00404256  |. 6BC0 1F        IMUL EAX,EAX,1F
00404259  |. C1E6 04        SHL ESI,4
0040425C  |. BF A3000000    MOV EDI,0A3
00404261  |. 03F2          ADD ESI,EDX
00404263  |. 33D2          XOR EDX,EDX
00404265  |. F7F7          DIV EDI
00404267  |. 8BC1          MOV EAX,ECX
00404269  |. C1E8 04        SHR EAX,4
0040426C  |. 83E0 0F        AND EAX,0F
0040426F  |. 6BC0 1D        IMUL EAX,EAX,1D
00404272  |. C1E6 04        SHL ESI,4
00404275  |. BF B3000000    MOV EDI,0B3
0040427A  |. 03F2          ADD ESI,EDX
0040427C  |. 33D2          XOR EDX,EDX
0040427E  |. F7F7          DIV EDI
00404280  |. 8BC1          MOV EAX,ECX
00404282  |. 83E0 0F        AND EAX,0F
00404285  |. 6BC0 35        IMUL EAX,EAX,35
00404288  |. C1E6 04        SHL ESI,4
0040428B  |. B9 C5000000    MOV ECX,0C5
00404290  |. 03F2          ADD ESI,EDX
00404292  |. 33D2          XOR EDX,EDX
00404294  |. F7F1          DIV ECX
00404296  |. C1E6 04        SHL ESI,4
00404299  |. 03F2          ADD ESI,EDX


AnGeI 27.04.2009 20:18

Цитата:

А это как-бы не запрещено ©
Если о форуме то не запрещено, если в общем-конечно запрещено :D

eLWAux 27.04.2009 20:35

в некоторых числах тупит =*)

fasm:
Код:

include 'win32ax.inc'

temp        db 256 dup(?)
formats_str  db "%i",0

main:
      call  oy
      ;4110000001 => 53
      invoke  wsprintf,temp,formats_str,edx
      invoke  MessageBox,HWND_DESKTOP,temp,temp,MB_OK
  exit:
        invoke ExitProcess,0
 .end main

proc oy
        mov ecx,4110000001
        and ecx,0FFFFFh
        MOV EAX,ECX
        SHR EAX,10h
        AND EAX,0Fh
        IMUL EAX,EAX,95h
        XOR EDX,EDX
        MOV ESI,0A7h
        DIV ESI
        MOV EAX,ECX
        SHR EAX,0Ch
        AND EAX,0Fh
        IMUL EAX,EAX,6Ch
        MOV EDI,97h
        MOV ESI,EDX
        XOR EDX,EDX
        DIV EDI
        MOV EAX,ECX
        SHR EAX,8h
        AND EAX,0Fh
        IMUL EAX,EAX,1Fh
        SHL ESI,4h
        MOV EDI,0A3h
        ADD ESI,EDX
        XOR EDX,EDX
        DIV EDI
        MOV EAX,ECX
        SHR EAX,4h
        AND EAX,0Fh
        IMUL EAX,EAX,1Dh
        SHL ESI,4h
        MOV EDI,0B3h
        ADD ESI,EDX
        XOR EDX,EDX
        DIV EDI
        MOV EAX,ECX
        AND EAX,0Fh
        IMUL EAX,EAX,35h
        SHL ESI,4h
        MOV ECX,0C5h
        ADD ESI,EDX
        XOR EDX,EDX
        DIV ECX
        SHL ESI,4h
        ADD ESI,EDX
        MOV ECX,EAX
        ret
endp



Время: 01:35