25.08.2011, 01:00
|
|
Познающий
Регистрация: 30.07.2011
Сообщений: 64
С нами:
7782806
Репутация:
4
|
|
Как показал анализ, файл меняет хосты. Спасибо onthar за помощь.
|
|
|
25.08.2011, 01:00
|
|
Участник форума
Регистрация: 27.03.2010
Сообщений: 275
С нами:
8488406
Репутация:
41
|
|
Цитата:
Сообщение от [seller
;317343]Как показал анализ, файл меняет хосты.
Правильно. А вот на что именно он заменяет вконтакте:
91.223.89.101
91.220.0.38
*эх, взломать бы их
и поисковики на
193.45.17.8
Как видим, фейк довольно прикольный - по-прежнему требует смс для активации (а не сам ее высылает), но этот довольно реалистично заботиться о безопасности: требует удалить в хостах свои же строки. Вот только первый раз код активации любой прокатывает
Теперь вопрос: что это за код и для чего он нужен (немного напоминает криптор)
code:
begin
{
0045870C 54 push esp
0045870D F5 cmc
0045870E 41 inc ecx
0045870F 008100000070 add [ecx+$70000000], al
00458715 F5 cmc
00458716 41 inc ecx
00458717 008200000088 add [edx+$88000000], al
0045871D F5 cmc
0045871E 41 inc ecx
0045871F 0086000000A0 add [esi+$A0000000], al
00458725 F5 cmc
00458726 41 inc ecx
00458727 0088000000B8 add [eax+$B8000000], cl
0045872D F5 cmc
0045872E 41 inc ecx
0045872F 00A1000000D4 add [ecx+$D4000000], ah
00458735 F5 cmc
00458736 41 inc ecx
00458737 00A2000000EC add [edx+$EC000000], ah
0045873D F5 cmc
0045873E 41 inc ecx
0045873F 00B100000004 add [ecx+$4000000], dh
00458745 F64100B2 test byte ptr [ecx+$00], $B2
00458749 0000 add [eax], al
}
end. |
|
|
|
25.08.2011, 01:00
|
|
Постоянный
Регистрация: 26.04.2010
Сообщений: 459
С нами:
8445206
Репутация:
15
|
|
Цитата:
Сообщение от Hellight
Народ доставляет:
Файл проверен Dr.Web: Вирусов нет
Обновленная ссыль на вирустотал - как видим, доктор уже палит)))))
Файл проверяется на Dr.Web'a только после заливки файла только 1 раз. |
|
|
|
26.08.2011, 01:00
|
|
Флудер
Регистрация: 28.06.2011
Сообщений: 3,261
С нами:
7828886
Репутация:
335
|
|
Установи с сайта Dr.Web'а online антивирус для браузера. И проверяй каждую подозрительную ссыль на вирусы. Очччень удобно.
|
|
|
|
26.08.2011, 01:00
|
|
Новичок
Регистрация: 07.08.2011
Сообщений: 12
С нами:
7771286
Репутация:
0
|
|
Я лично сижу на Линуксе, вирусы мне не страшны, да и Яваскрипт выключаю, когда мне дают ссылку И тебе советую так сделать.
|
|
|
|
26.08.2011, 01:00
|
|
Новичок
Регистрация: 21.07.2011
Сообщений: 4
С нами:
7795766
Репутация:
0
|
|
Я лично сижу на Линуксе, вирусы мне не страшны, да и Яваскрипт выключаю, когда мне дают ссылку И тебе советую так сделать.
согласен Линукс зе бест
|
|
|
|
27.08.2011, 01:00
|
|
Участник форума
Регистрация: 30.01.2011
Сообщений: 125
С нами:
8043446
Репутация:
0
|
|
это обычный спам от людей мне также она идет,акки какойто хакер ломанул и отсылает мне от моих друзей,я из любопытства скачал эту прогу так коряво зделана 100% виряк поставилил картинку как у стандартного jpg очень коряво вообшем не включайте кстати это уже обсуждалось я тему создавал поиши...написана вроде прога эта на Delphi 7 точно не помню уже...
|
|
|
|
27.08.2011, 01:00
|
|
Участник форума
Регистрация: 29.07.2011
Сообщений: 157
С нами:
7784246
Репутация:
6
|
|
|
|
|
|
07.09.2011, 01:00
|
|
Новичок
Регистрация: 10.08.2009
Сообщений: 3
С нами:
8817070
Репутация:
5
|
|
Цитата:
Сообщение от _Werewolf_
Если интересно что это - скачай и запусти из-под виртуалки. Например в антивирусах есть такая функция.
А если в трояне есть функсия обхода виртуалки? Если есть функция обхода антивирусов и фаеров? Думай перед тем что советуешь. Ведь могут пострадать люди.
Добавлено через 1 минуту
Цитата:
Сообщение от Nexent
Я лично сижу на Линуксе, вирусы мне не страшны, да и Яваскрипт выключаю, когда мне дают ссылку И тебе советую так сделать.
Ну я бы не говорил что тебе вирусы не страшны. Смотря под каким дистрибутивом сидишь. Вирусы под линь уже давно есть и это не панацея.
Да и ботнеты из армии линуксов не новость. Так что погугли и узнай что твой линукс тоже уязвим.
|
|
|
|
08.09.2011, 01:00
|
|
Флудер
Регистрация: 28.06.2011
Сообщений: 3,261
С нами:
7828886
Репутация:
335
|
|
Цитата:
Сообщение от RolexXak
функсия
1) Функция.
2) Мне такие вирусы не разу не попадались, поэтому и советовал. Как говорится "Век живи - век учись". Спасибо за ЦУ.
А насчет уязвимого линукса - присоединяюсь. И под него всякие интересные вещи пишут.
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для [seller]](/avatars/avatar4569161.jpg?34896393){kind=avatar}
Комбинированный вид
