 |
|
25.08.2011, 01:00
|
|
Постоянный
Регистрация: 16.10.2009
Сообщений: 395
С нами:
8721686
Репутация:
91
|
|
Было такое 1000 раз, не переходи по сылке!
|
|
|
25.08.2011, 01:00
|
|
Участник форума
Регистрация: 27.03.2010
Сообщений: 275
С нами:
8488406
Репутация:
41
|
|
Цитата:
Сообщение от [seller
;317343]Как показал анализ, файл меняет хосты.
Правильно. А вот на что именно он заменяет вконтакте:
91.223.89.101
91.220.0.38
*эх, взломать бы их
и поисковики на
193.45.17.8
Как видим, фейк довольно прикольный - по-прежнему требует смс для активации (а не сам ее высылает), но этот довольно реалистично заботиться о безопасности: требует удалить в хостах свои же строки. Вот только первый раз код активации любой прокатывает
Теперь вопрос: что это за код и для чего он нужен (немного напоминает криптор)
code:
begin
{
0045870C 54 push esp
0045870D F5 cmc
0045870E 41 inc ecx
0045870F 008100000070 add [ecx+$70000000], al
00458715 F5 cmc
00458716 41 inc ecx
00458717 008200000088 add [edx+$88000000], al
0045871D F5 cmc
0045871E 41 inc ecx
0045871F 0086000000A0 add [esi+$A0000000], al
00458725 F5 cmc
00458726 41 inc ecx
00458727 0088000000B8 add [eax+$B8000000], cl
0045872D F5 cmc
0045872E 41 inc ecx
0045872F 00A1000000D4 add [ecx+$D4000000], ah
00458735 F5 cmc
00458736 41 inc ecx
00458737 00A2000000EC add [edx+$EC000000], ah
0045873D F5 cmc
0045873E 41 inc ecx
0045873F 00B100000004 add [ecx+$4000000], dh
00458745 F64100B2 test byte ptr [ecx+$00], $B2
00458749 0000 add [eax], al
}
end. |
|
|
|
25.08.2011, 01:00
|
|
Постоянный
Регистрация: 26.04.2010
Сообщений: 459
С нами:
8445206
Репутация:
15
|
|
Цитата:
Сообщение от Hellight
Народ доставляет:
Файл проверен Dr.Web: Вирусов нет
Обновленная ссыль на вирустотал - как видим, доктор уже палит)))))
Файл проверяется на Dr.Web'a только после заливки файла только 1 раз. |
|
|
|
25.08.2011, 01:00
|
|
Познающий
Регистрация: 18.05.2011
Сообщений: 37
С нами:
7887926
Репутация:
0
|
|
Вначале в М-агенте приходит так:
Цитата:
привет, тут?
потом:
Цитата:
http://www.narod.ru/disk/22877041001/DSC00550.exe.html как твоя фотка туда попала?
Это приходит от друзей.когда они не в сети.т.е красные.Куда ведет эта ссылка?Какие данные снимает хакер (куки или что),когда жертва переходит по этой ссылке? и как это сделать самому,что это? |
|
|
|
25.08.2011, 01:00
|
|
Познающий
Регистрация: 21.06.2011
Сообщений: 75
С нами:
7838966
Репутация:
7
|
|
Цитата:
Сообщение от scorp1992
Вначале в М-агенте приходит так:
потом:
Это приходит от друзей.когда они не в сети.т.е красные.Куда ведет эта ссылка?Какие данные снимает хакер (куки или что),когда жертва переходит по этой ссылке? и как это сделать самому,что это?
я тебе открою секрет. Это файл залитый на файлообъеник narod.ru Пытаются впарить троя наверна))
|
|
|
|
25.08.2011, 01:00
|
|
Познающий
Регистрация: 26.01.2011
Сообщений: 54
С нами:
8049206
Репутация:
-1
|
|
твоих друзей хакнули и шлют всем спам из инвиза
narod.ru - файлообменник
|
|
|
|
25.08.2011, 01:00
|
|
Флудер
Регистрация: 28.06.2011
Сообщений: 3,261
С нами:
7828886
Репутация:
335
|
|
Если интересно что это - скачай и запусти из-под виртуалки. Например в антивирусах есть такая функция.
|
|
|
|
25.08.2011, 01:00
|
|
Флудер
Регистрация: 28.06.2011
Сообщений: 3,261
С нами:
7828886
Репутация:
335
|
|
Кстати забыл добавить: Есть online антивирусы.
|
|
|
|
25.08.2011, 01:00
|
|
Познающий
Регистрация: 21.06.2011
Сообщений: 75
С нами:
7838966
Репутация:
7
|
|
|
|
|
|
25.08.2011, 01:00
|
|
Участник форума
Регистрация: 27.03.2010
Сообщений: 275
С нами:
8488406
Репутация:
41
|
|
Народ доставляет:
Файл проверен Dr.Web: Вирусов нет
Обновленная ссыль на вирустотал - как видим, доктор уже палит))))) |
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
