При заражении (шифровании) файла, который не является исполняемым, Virlock создает для него новый исполняемый Win32 PE-файл, в который записывается код вируса и зашифрованное содержимое документа. Оригинальный файл удаляется, а на его месте появляется новый с тем же именем и добавленным расширением .exe к имени. При запуске такого файла на исполнение, он расшифровывает оригинальный файл, записывает его в текущую директорию и открывает.
Зачем он записывает оригинальный файл в текущую директорию? Что происходит дальше с этим файлом?
Зачем он записывает оригинальный файл в текущую директорию? Что происходит дальше с этим файлом?
erenyagdiran.github.io/I-was-just-asked-to-crack-a-program-Part-2/
www.hex-rays.com/products/ida/debugger/linux.shtml
Встречались ли еще подобные исследования с криптоляпами у малварей?