delegate 1 сен 2011 в 07:54

Вирус без программирования

2 мин

5.5K

Антивирусная защита*

Из песочницы

+35

Комментарии 35

Evengard 1 сен 2011 в 08:02

школоло «писало»… Похвастаться чтоб 1 сентября мол какие они кулхакцоры…

ArtemSmirnov 1 сен 2011 в 12:55

не первый пост в котором в коментариях говорят про школьников, но таки обидно

Yoda33 1 сен 2011 в 13:10

Обижаться сто́ит на неправду… да и вообще не сто́ит. Вопрос в том что у школьника в голове. А у классического «школьнега» там кроме самомнения, нигилизма и максимализма мало что есть. Но из каждого правила есть исключения.

romy4 1 сен 2011 в 14:17

школоло — это ярлык, а не возрастная приналежность. хотя (зачастую) бывают и совпадения

nuzni 1 сен 2011 в 08:10

MDAC то ему зачем понадобился )
Походу тогда этот вирус херит базы данных)

Rendorf 1 сен 2011 в 08:25

Вряд ли, эти самые obo файлы слишком маленькие для этого. Скорее всего это просто попытка выудить сохраненные пароли из браузера, вирмейкер без навыков программирования большое не сделает.

Rendorf 1 сен 2011 в 08:11

А что вирус делал-то? Просто сидел как процесс?

delegate 1 сен 2011 в 08:17

К сожалению, сказать точно не могу. В зашифрованных файлах могут быть сохранённые пароли браузеров и т.п. Знакомый, о котором я говорил выше, сказал, что ни один браузер не работал до того, как он не завершил дерево процессов.

AigizK 1 сен 2011 в 08:23

Этими инструментами надо было попробовать: www.reflector.net/ и www.jetbrains.com/decompiler/
сомневаюсь, что там исходники защищены.Получили бы полный исходный код и уже по ним намного легче разобраться, нежели после IL дизассемблера.

antivir 1 сен 2011 в 09:24

да ещё и требующий .NET.

Они бы еще Microsoft SQL поставили…

FSA 1 сен 2011 в 09:45

Увы, прошли времена ZX-Spectrum когда за каждый байт боролись.

bolk 1 сен 2011 в 10:01

Ну и хрен с ними, с теми временами. В качестве спорта это прикольно, а каждый день так программировать, нафик надо. Прошли же времена, когда надо было быстро бегать, чтобы быть целым и сытым.

bohdan-shulha 1 сен 2011 в 10:24

> Прошли же времена, когда надо было быстро бегать, чтобы быть целым и сытым.
Нуу… Спорно, спорно… Современные гопники успешно выполняют роль древних хищников.

bolk 1 сен 2011 в 10:25

Совершенно не спорно. На тигра полиции не пожалуешься.

bohdan-shulha 1 сен 2011 в 10:38

Если успеешь добежать и сможешь обмениваться информацией. Да и сама «полиция» успешно справляется с ролью гопников.

bolk 1 сен 2011 в 10:42

Я думаю, надо сворачивать этот непрофильный разговор.

int03e 1 сен 2011 в 09:46

Хаха, я помню в незапамятные времена на вирус наткнулся, он для своей работы BDE ставил…

bolk 1 сен 2011 в 09:51

Популярный антивирус его не определял, что вовсе неудивительно и скоро вы поймёте почему.

Дочитал до конца, так и не понял почему.

НЛО прилетело и опубликовало эту надпись здесь

GavriKos 1 сен 2011 в 09:52

Непонятно только, почему антивирус его не определил, как было сказано в самом начале. Запись в system32, самокопирование, слежение за процессами — это характерные модели поведения вируса.

GavriKos 1 сен 2011 в 09:53

Ой, не у одного меня такой вопрос. Простите за необновленные комментарии.

Scratch 1 сен 2011 в 09:52

Разработчик видимо курил вместе с автором этой статьи

shpaker 1 сен 2011 в 10:00

Вирусы которые требуют фреймворк это оригинально.

UksusoFF 1 сен 2011 в 10:20

А что он делает кроме того что в автозапуск прописывается? :)

bRUtality 1 сен 2011 в 10:25

Мало того, что школоло со своей джумлой демпингует, так теперь и вирусы клепать начнут:))

Deaddy 1 сен 2011 в 10:52

дадада, как зарабатывать-то теперь? )))

mokus 1 сен 2011 в 10:43

«Вирус не может быть запущен, чтобы запустить вирус поставте пожалуйста .Net Framework последней версии»

MadRogue 1 сен 2011 в 10:47

Содержимое файлов в папке «engine», если судить по примеру, закодированы Base64. Декодирование вышеуказанного куска файла — даёт какой-то бинарный код.

kolpeex 1 сен 2011 в 13:57

Ну как бы это код и закодирован в base64, чтобы можно было в статью безопасно вставить.

delegate 1 сен 2011 в 14:01

Нет. Скачайте архив, в подкаталоге engine находятся файлы о которых я говорил. В них зашифрованная информация, но дешифровка каждого по отдельности с base64 не дала результатов. Возможно их необходимо в определённом порядке связать.

MakeInstall 1 сен 2011 в 11:01

1 сентября. Дальше больше!

bolk 1 сен 2011 в 11:48

Тут меня попросили запостить комментарий об этом вирусе:

если верить anubis.iseclab.org/?action=result&task_id=17ef78b3e9f3e08f43947b46bb630ebd7&format=html то он юзает самбу (PIPE\lsarpc)
если верить www.threatexpert.com/report.aspx?md5=2d5ce53662c8cf2495eef80ee07e1006 то это должен быть типо бота, директивы тут:
dl.dropbox.com/u/27672813/oBot/up2.txt
dl.dropbox.com/u/27672813/oBot/up2f.txt
dl.dropbox.com/u/27672813/oBot/up2f/upp2.ver

Сам по ссылкам не ходил, передаю комментарий как есть.

REU 1 сен 2011 в 13:46

Я знаю здоровых дядек, которые на этом алгоритме пишут всё, как для себя так и по работе. Это печально…

НЛО прилетело и опубликовало эту надпись здесь

deseven 2 сен 2011 в 10:55

если ОС 64-разрядная… вирь всё равно устанавливается в C:\Windows\System32

вы видимо не в курсе, но в 64-битной винде тоже есть папочка system32 и там лежат 64-битные компоненты
а 32-битные лежат в папке SysWOW64
вот такое вот торжество маразма и совместимости

Зарегистрируйтесь на Хабре, чтобы оставить комментарий