Ошибка резидента

    Недавно мне пришло письмо примерно следующего содержания:
    Уважаемый Х. Ваша кандидатура очень нас заинтересовала, поэтому мы бы не прочь познакомиться поближе. Предварительно вам нужно скачать наш фирменный бланк резюме resume.exe, заполнить его, и отослать нам обратно. С уважением, сетевые злодеи.

    Что характерно, линк на резюме был именно так и написан. resume.exe (не кликайте, ссылка для примера). Они вообще, что ли?

    Скачиваем, смотрим. Файл размером 159744 байтов, на первый взгляд запакован. Касперскому программа знакома под именем "Trojan.Win32.Srizbi.v".

    Ида страшно матерится на поврежденную таблицу импорта. Оно и понятно — в ней совсем хорошо видно, что файл запакован.

    6,09 КБ

    Код (синий участок) занимает процентов пять от размера программы, зато данных — навалом. Эти данные и есть, скорее всего, упакованный код. Особенно пугают названия сегментов: "_67D&NEk&" или "_uoeWPJ3" вместо чего-то привычного типа ".code". Точка входа не где-то в начале файла, а в какой-то заднице.

    Пробуем пару распознавалок упаковщиков, типа PEID — безрезультатно, этот упаковщик им не знаком. Поэтому сразу переходим к активным действиям. Мы не будем анализировать, как программа упакована. Раз она умеет распаковываться, дадим сделать ей это самой. (Этот случай оказался довольно простым, в других запуск программы может привести к Ужасным Вещам).

    Загружаем файл в дебагер, ставим точку останова на CreateFile. Логично ведь — любая вредоносная программа должна ее использовать? (На самом деле, тут мы можем совершить несколько больших промахов. Например, если программа использовала бы «родную» функцию ZwCreateFile, которая находится уровнем ниже CreateFile).

    … и запускаем на выполнение. Тут нас ожидает сюрприз номер 1. Проходит секунд 15-20 (!), прежде чем выполнение останавливается на входе в CreateFile. Видать, программа упакована и переупакована вдоль и поперек и не один раз. Постарались от души, что и сказать.

    Остановившись на входе в CreateFile, смотрим название открываемого файла:
    kernel32!CreateFileA:
    7c801a24 8bff            mov     edi,edi
    0:000> da poi(esp+4)
    0012fe70  "C:\WINDOWS\system32\drivers\gran"
    0012fe90  "de48.sys"

    Драйвер! Дело пахнет руткитами. Пока программа стоит, делаем дамп чем-нибудь вроде PE Tools, и рассматриваем в дизассемблере. Он все ще ругается, теперь уже на IAT, но это несмертельно. В дебагере смотрим на call stack, находим, откуда была вызвана функция, возвращаемся в дизассемблер, находим этот код. Вызов CreateFile выглядит примерно как
    call ds:42C1C8

    что нам ничего особо не говорит. Поэтому используя команду dds в windbg находим адреса реальных функций, руками переносим в иду (из немного, что-то около двадцати). Теперь у нас есть названия вызываемых функций (как бы восстановленная руками таблица импорта), и мы можем проанализировать код в дизассемблемере. Он оказывается очень простым, линейным, почти без ветвлений. Приведу полностью код главной функции:

    ; Attributes: bp-based frame
    Main_40164F proc near
    var_32C= dword ptr -32Ch
    String1= byte ptr -228h
    Windir= byte ptr -124h
    var_20= dword ptr -20h

    push ebp
    mov ebp, esp
    sub esp, 32Ch
    call unxor_401040
    call SetupImports_401248

    call ds:GetTickCount_0
    mov ds:TickCount_42C1AC, eax
    push 104h ; uSize
    lea eax, [ebp+Windir]
    push eax ; lpBuffer
    call ds:GetWindowsDirectoryA
    lea eax, [ebp+Windir]
    push eax
    lea eax, [ebp+String1]
    push eax
    call ds:lstrcpyA
    lea eax, [ebp+Windir]
    push eax
    lea eax, [ebp+var_32C]
    push eax
    call ds:lstrcpyA
    push ds:lpString2
    lea eax, [ebp+var_20]
    push eax
    call ds:lstrcpyA
    push ds:dword_42C16C
    lea eax, [ebp+Windir]
    push eax
    call ds:lstrcatA
    lea eax, [ebp+Windir]
    push eax
    call ExtractDriver_4015E4
    lea eax, [ebp+var_20]
    push eax
    lea eax, [ebp+Windir]
    push eax
    call LoadDriver_4014CB
    add esp, 0Ch
    call KillMySelf_40139F
    call CleanUp_401000
    leave
    retn
    Main_40164F endp

    Как видно, все просто. Сначала подготавливаются строки, затем восстанавливается импорт, после чего драйвер извлекается из тела программы, сохраняется в папку с драйверами и загружается.
    ADVAPI32!CreateServiceA:
    77e37071 6a30            push    30h
    0:000> da poi(esp+8)
    0012ff74  "grande48"


    Здесь хочу напомнить об одном простом, но очень действенном способе борьбы с такого рода заражениями. Достаточно запретить себе запись в системные директории и большая половина вирусов работать просто не будет.

    На этапе загрузки драйвера нас ждет второй сюрприз. Он не загружается. Можно сидеть и ждать часами с отладчиком в руках, когда же вызовется этот долгожданный IoCreateDevice, но этот момент не наступает. Через несколько часов бесплодных попыток загрузить драйвер, оказывается, что он сделан для Windows 2000! Поэтому большинству windows пользователей, которое пользуется XP, эта зараза не страшна. Вполне возможно, что это только данная модификация себя так ведет, так что точно не скажу.

    Кстати о драйвере. Размер 167936. Определяется Касперским как Rootkit.Win32.Agent.aih. Внутри содержит массу разнообразного кода, который рассылает спам. Кроме прочего содержит IP адрес управляющего сервера: 208.66.195.172. Судя по всему, это co-location, а сам сервер арендован. Не очень, правда, понятно, как это можно арендовать сервер для управления ботнетом ) А может быть, сервер легальный, просто вредоносный код на него внедрен, а админы прозевали. Вобщем туманно тут все.

    Возвращаемся обратно. Функция KillMySelf создает бат-файл _it.bat в папке Temp и затем его запускает:
    kernel32!CreateFileA:
    7c801a24 8bff            mov     edi,edi
    0:000> da poi(esp+4)
    0012fb58  "C:\DOCUME~1\dev\LOCALS~1\Temp\_i"
    0012fb78  "t.bat"

    Вот его полный текст:

    :abc
    del «C:\sandbox\Trojan.Win32.Srizbi.v\resume.exe.txt»
    if exist «C:\sandbox\Trojan.Win32.Srizbi.v\resume.exe.txt» goto abc
    rmdir «C:\sandbox\Trojan.Win32.Srizbi.v»
    del «C:\DOCUME~1\dev\LOCALS~1\Temp\_it.bat»

    То есть пытается удалить программу, папку, ее содержащую, и самого себя напоследок.

    Вывод

    Srizbi — никакой не троян, а переносчик настоящей вредоносной программы. Его цель — максимально быстро (хоть и получается медленно) выгрузить из своего тела настоящий вирус, запустить его на выполнение, после чего исчезнуть, оставив минимум следов. Код его несложный и необъемный, и начинающим (как я:), довольно просто в нем разобраться. Из-за дурацкой ошибки, вся работа Srizbi.v идет на смарку: он не проверяет версию операционной системы на соответствие содержащемуся в нем драйверу. В результате система просто отказывается грузить драйвер. Заглянуть в драйвер полезно, там руткит, который прячет файлы, ключи реестра, сетевые соединения и прослушиваемые порты.
    Поделиться публикацией

    Похожие публикации

    Комментарии 108

    • НЛО прилетело и опубликовало эту надпись здесь
        +4
        просто хобби в свободное от работы время)
          +15
          крутое хобби, пока остальные собирают марки...
            0
            Только spm решил отойти от дел, как его троя разбирают любители :)
        0
        +1
        Спасибо за подробный бетатест-отчет для незадачливых разработчиков трояна. Они вам, наверняка, скажут спасибо. :)
        В целом интересно и зря вы так себя скромно недооцениваете, какой же вы начинающий?
        Дебагер какой используете? SoftIce?
          +1
          windbg
        • НЛО прилетело и опубликовало эту надпись здесь
            +11
            хорошая статья для хабра
              0
              Ага, давненько таких статей небыло. Автор молодец, ждем еще.
              +6
              Интересно! Что-то на "начинающего" вы совсем не похожи :)
              + вам
                0
                спасибо
                +1
                > и начинающим (как я:)
                Если Вы "начинающий", то что же будет, когда станете профессионалом (страшно представить :))
                  0
                  это просто хобби)
                    +1
                    Почитайте книжки Криса Касперски, он тут наплодил некоторое количество штук по теме. 8)
                    правда книги ориентированы как раз на начинающих, но сам Крис явно в теме получше.
                    На то, чтобы ориентироватся на уровне этого отчета вполне хватает. Помницо, в старые добрые времена хакал и отвязывал от лицензии почти все проги самостоятельно, сейчас практический смысл в таких копаниях окончательно пропал.
                      0
                      Да, я помню читал в Хакере несколько его статей. Хотя в то время я вообще ничего не понимал, но было интересно следить за ходом мысли :))
                      Насчет почитать книжки, это Вы хорошую мысль подкинули, хочется уметь в этом разбираться :))
                    0
                    >Достаточно запретить себе запись в системные директории и большая половина вирусов работать просто не будет.

                    Т. е. не сидеть все время под Администратором?
                      +2
                      либо так, либо просто запретить себе запись (если ваш акаунт входит в группу администраторов). Во втором случае есть обходной путь, так как права на выставление прав все же остаются. То есть в случае ошибки прогармма попробует выставить себе права на запись. Но я таких не встречал среди знакомой мне пары вирусов.
                        0
                        Ладно, а что на счет "меньшей половины вирусов"? Всё-таки сработает?
                          0
                          там могут не использоваться системые папки
                            0
                            Но руткит-то поставить оно сможет, если не из-под админа?
                              0
                              ну для этого драйвер надо зарегистрировать-загрузить, а это может администратор.
                          0
                          Только что винда запретила самому себе запретить доступ на запись в C:\Windows :)
                          +1
                          Как советует сам Майкросовт Работать под учетной записью администратора опасно.
                          Поэтому необходимо создавать ограниченную учетную запись и работать с ней. Учетной записи с административными правами поменять название на отличное от Администратор. Соответственно в системные папки необходимо поставить права доступа для файловой системы только учетной записи администратора и тогда обычным вирусам не туда дороги, но это все для случаев, когда вирус не использует для внедрения сплойтов, которые позволяют запускаться с привилегиями самой системы.
                            0
                            В Windows встроена учётная запись Administrator (или Администратор - в русской версии будут работать оба варианта). И если при установке винды не задать "пароль администратора", в принципе ничто не помешает выполнять что угодно от его имени.
                              0
                              А кот мешает вам поставить пароль, при установки системы она предлагает это сделать. Тут вопрос уже в другом, а надо ли вам это делать. Если есть большое желание цеплять всякую гадость в сети, то конечно же на надо. А если нет, то нужно немного поковыряться с правами и все. Ну и хороший анитивирь с файрфолом.
                                0
                                Кот мне не мешает, он на системнике спит :)
                                Я имел в виду, что НЕ ПОСТАВИВ пароль на встроенную учетную запись "администратор" (что наблюдается в 90% установок), вы никак не обезопасите себя, даже работая под ограниченной учетной записью. И где в моих словах желание "цеплять гадость"? Я просто дополнил ваши слова :)
                                  0
                                  Если вы, работая под одной учетной записью, попытаетесь запустить программу под другой учетной записью с админскими правами, но с пустым паролем, Windows вам этого сделать не даст. То же касается и программных методов. Так что на этот счет можете не волноваться, но пароль все-таки лучше поставить
                          –2
                          Я так понимаю, что цель этой статьи баг репорт? :)
                            0
                            :)
                            скорее радость по поводу такой простой ошибки, а не какого-нибудь полного удаления системы.
                            –1
                            Нет, ограничить всеголишь один пункт.
                            Кстати а как бороться с Hidra?
                              0
                              а что такое hidra?
                                0
                                Я не совсем уверен что прально написал название, но читаеться как гидра. Эта гадасть содиться в ехе-шники, и начинает распростроняться во все ехе файлы на компьютере. А избавиться от нее у меня получилось лишь удалением всех ехе файлов и как следсвие переустановка системы!
                                  +2
                                  Антивирусы очень успешно борются с этой заразой. А если нужны погибшие в неравном бою фирмачные блокноты и пейнты в "установка - удаление программ" "дополнительные компоненты" решат ваши проблемы. А вообще до того как гидра поест все ехешки лучше использовать голову и антивирус. Вместе дают поразительные результаты =)
                              0
                              "и начинающим (как я:), " - убило :)
                              Спасибо за интересный обзор.
                              P.S. Свежая avira не смогла распознать что-нибудь подозрительное в этом файле. Очень жаль. :(
                                0
                                ну.. да, пока я так считаю.

                                вы про какой файл?
                                  0
                                  Спасибо за интересную статью.
                                  А файл по ссылке — тот самый, который вам прислали? Мой антивир говорит «Nothing Found».
                                    0
                                    потому что это не файл, а просто ссылка. Я ее писал с амперсандами, но у хабра свои идеи на этот счет. Должно было быть "угловая скобка" href= и так далее.
                                  0
                                  А вы где его достать смогли ?
                                    0
                                      0
                                      "resume.exe (не кликайте, ссылка для примера)."
                                        0
                                        почему-то сервер хабра заменяет [амперсандlt;] на реальные угловые скобки.
                                  0
                                  жду новых публикаций. крайне интересно.
                                    0
                                    смотря, с какой частотой вирусы будут приходить в почту)
                                      0
                                      эм... это, конечно, можно обеспечить :))
                                    0
                                    спасибо за интересный обзор! :)

                                    получил +2 полезности:
                                    /me пошел запрещать себе запись в системные папки
                                    /me поностальгировал по временам DOS и всевластия ассемблера... :)
                                      0
                                      1 - готовьтесь к тому, что некоторые действия типа инсталляций программ надо будет делать в юникс-стиле, под администратором.
                                      2 - ассемблер и сейчас живее всех живых )
                                      +1
                                      А вы точно уверены, что драйвер-таки не загрузился? Судя по тому коду, что вы привели, драйвер регистрируется сервисом в системе. Но не факт, что троян запустит этот сервис сразу после регистрации ;-) Надо, все-таки, создавать тут отдельный блог по Reverse Engeneering, хотя я тоже начинающий :-)
                                        0
                                        регистрируется, ага, но потом StartService валится.
                                        В msinfo32 он виден, как зарегеный, но незагруженный.
                                      • НЛО прилетело и опубликовало эту надпись здесь
                                          0
                                          да ладно вам, тут много интересного, но спасибо)
                                            0
                                            Реверсинг это круто;)
                                          +1
                                          Целое детективное расследование.
                                            +2
                                            "как будто один компьютер рассказывает новости другому" - нечто такое сказали в одном из прошлых постов.
                                            0
                                            прочел с интересом хоть вирусами никогда не интересовался. и вообще думаю на никс свалить с виндоус :)
                                              0
                                              Я уже свалил. Не жалею. ;)
                                              0
                                              Спс, порадовало.
                                                –1
                                                Афтору 5, пеши еще!
                                                  0
                                                  Очень хорошая статья!
                                                  Автору спасибо.
                                                  Хотелось бы больше таких статей, т.к. тематика вирусов и их ковыряния очень интересная и познавательная!
                                                    0
                                                    больше не надо, а то надоест быстро)
                                                    0
                                                    Спасибо за красивую статью. Повспоминал, как с приятелем в 90-х годах тоже ковыряли вирусняки, правда тогда еще 95-е винды только появились. Жаль плюсануть не могу, но все равно спасибо, было очень интересно.
                                                      0
                                                      и вам спасибо
                                                      0
                                                      Отлично, почаще бы таких расследований про реверсивную инженерию и "хакеров", которых вычисляют общими усилия хабра :))
                                                        0
                                                        зависит от того, как часто будут вирусы в почту приходить)
                                                        0
                                                        В ассемблерах не силен, но интересно было читать как вы анализировали... хоть и криворукий нерабочий (почти) троян...
                                                        P.S> Да распухнет твоя карма ;)
                                                          0
                                                          :)
                                                          а она... не лопнет?
                                                          0
                                                          А можно поподробнее, из-за чего именно руткит не работает на ХР? Довольно любопытно. =)

                                                          Вдруг вам покажется интересным... Вы случайно Rustoсk.C не хотите поковырять для саморазвития? =) Вот образец, пароль 000.
                                                            0
                                                            Добрые вы! Такую заразу в открытый доступ класть :-D
                                                              0
                                                              не работает, потому, что он собран для windows 2000. Это задается полями Major/MinorOperating SystemVersion в PE заголовке. Ну, а загрузчик драйверов требует точного совпадения с текущей версией.
                                                                0
                                                                хмм..
                                                                а где, собственно, интсталлятор? или мне его самому в BootExecute прописывать?
                                                                  0
                                                                  Увы, дроппера мне не встречалось. Но даже не в дроппере дело. В BootExecute он, AFAIK, не прописывается, он вроде драйвер. Да и не уверен я, что он из BootExecute запустится как exe, когда у него флаг DLL в хедере установлен.

                                                                  Честно признаться, я сам в нем не ковырялся. Рекомендую ознакомиться с подробностями тут, здесь, еще немного там.
                                                                    0
                                                                    ну вобщем, ясно. снимаем DLL flag, ставим подсистему на win32 console, и тогда запускается из пользовательского режима. Первый зашифрованный слой между pushad и popad - довольно просто. А потом, ууу.. таким начинающим, как я, не под силу. Особенно учитывая, что в dr web потратили целую неделю.
                                                                0
                                                                Спасибо за наглядную, показательную методику анализа вирусов!
                                                                  0
                                                                  это скорее обобщенный итог. со всеми подробностями это надо раз в двадцать больше страниц.
                                                                  0
                                                                  побольше бы таких статей! раньше тоже баловался, но щас времени нет :\, но с удовольствием бы покопался ;)
                                                                  респект автору!
                                                                    0
                                                                    ночи, они длинные)
                                                                    0
                                                                    Спасибо большое! Было интересно прочитать.
                                                                      0
                                                                      приходите еще)
                                                                      0
                                                                      Круто! Словно рецензию на фильм прочитал. Можно даже аналогию провести. Вирус-блокбастер, вирус-мелодрама, вирус-ужасов, вирус-фантастика.
                                                                        0
                                                                        вирус-порнография)
                                                                        0
                                                                        хоть я и далёк от программинга, но прочитал всё равно с интересом :) всегда было интересно, что же такого люди мудрят в вирусах и прочих вредоносных программах. спасибо автору!
                                                                          0
                                                                          и вам спасибо
                                                                          0
                                                                          Повеселило :)
                                                                          Если бы мне пришло письмо подобного содержания — я бы просто удалил его нафиг и всё.
                                                                          А автору не влом было аккуратно скачать и препарировать... ну даёт :)
                                                                            0
                                                                            прсото интересно, что же оно конкретно делает.
                                                                            0
                                                                            Опечатка: "На эпате загрузки"
                                                                              0
                                                                              Тоже заметил, но на фоне интересности и увлекательности самой статьи напрочь забыл об опечатке, чего и вам желаю :)
                                                                                0
                                                                                спасибо, внимательные вы какие)
                                                                              0
                                                                              спасибо! действительно очень интересно! Но те кто рассылают такой вирус, явно тупанули))
                                                                                0
                                                                                ну почему. насколько я знаю, примерно от одного до трех процентов пользователей windows используют win 2000.
                                                                                0
                                                                                Сервер:
                                                                                PORT STATE SERVICE
                                                                                22/tcp filtered ssh
                                                                                25/tcp filtered smtp
                                                                                111/tcp filtered rpcbind
                                                                                135/tcp filtered msrpc
                                                                                136/tcp filtered profile
                                                                                137/tcp filtered netbios-ns
                                                                                138/tcp filtered netbios-dgm
                                                                                139/tcp filtered netbios-ssn
                                                                                445/tcp filtered microsoft-ds
                                                                                631/tcp filtered ipp
                                                                                950/tcp filtered oftep-rpc

                                                                                То есть не веб-хостинг, +все порты для "обычных" коннектов закрыты.
                                                                                WHOIS:
                                                                                McColo Corporation MCCOLO (NET-208-66-192-0-1)
                                                                                208.66.192.0 - 208.66.195.255
                                                                                Aviacor ltd MCCOLO-DEDICATED-CUST425 (NET-208-66-195-128-1)
                                                                                208.66.195.128 - 208.66.195.193

                                                                                McColo - компания, дающая в аренду выделенные сервера.
                                                                                Если с английским нормально - можно им написать abuse-report и лавочку прикроют.
                                                                                  0
                                                                                  А антивирусные компании о таких серверах не репортают разве?
                                                                                    0
                                                                                    Отловить все сервера по инету - нереально.
                                                                                    Обычно процесс происходит так: кто-то находит сайт, который распространяет вирус - недовольный пользователь пишет в саппорт хостинга о том, что так и так, сайт pupkin.com шлёт мне вирусы, примите меры. Дальше это письмо эскалируется до системных администраторов сервера , которые собсно и смотрят, что там не так и если находят что-то - просто тушат этот сайт.
                                                                                    Такие сервера, как этот отловить трудно - ибо он ничеого не отсылает, а наоборот - принимает некие данные - соответственно обнаржуть его можно, только расковыряв исходник вируса :)
                                                                                      0
                                                                                      Дописал комментарий и понял смысл вашего вопроса - насколько я знаю, АВ компании просто заносят в базу "слепок" вредоносного кода - что именно делает конкретный вирус - разбираются довольно редко, только если это не что-то распространённое - например какой нить червь.
                                                                                        0
                                                                                        Не поверите, но все-таки разбираются. Как отличить хитрый пакер или протектор от хитрого файлового вируса? Только разобраться. Да и имена хорошо бы не с потолка давать, а по функционалу.
                                                                                  –2
                                                                                  Спасибо! Теперь я понял как работают вирусы! Попробую написать что-нибудь подобное на досуге! :))))
                                                                                    0
                                                                                    Кладбище уродов без чувства юмора. В сотый раз в этом убеждаюсь уже...
                                                                                    0
                                                                                    Откройте для себя ImpRec - чтобы не фиксить импорт руками
                                                                                      0
                                                                                      ImpRec - то да, но там вначале есть вызов SetupImports, который грузит нужные функции через GetProcAddress.
                                                                                      0
                                                                                      Браво! Вы настоящий хакер в исконном значении этого слова.
                                                                                        0
                                                                                        никогда об этому не думал. просто интересно, как это работает изнутри.
                                                                                        0
                                                                                        "Загружаем файл в дебагер, ставим точку останова на CreateFile. Логично ведь - любая вредоносная программа должна ее использовать?" - сильно =)
                                                                                        но такой простой финт обходится например запуском второй копии процесса, в итоге имеем зараженную систему. если руткит толковый - то имеем гемор с его обезвреживанием. это первый нюанс.
                                                                                        ну а второй - не стоит на рабочей машине исследовать вирусы, для этого стоит заводить VMWare. Сам так делаю и вам того же желаю =) Ибо способов уйти из-под отладки столько... =)
                                                                                          0
                                                                                          А во «второй копии процесса» CreateFile не будет?
                                                                                            0
                                                                                            смотря чем отлаживать. если ollydbg - то идет отладка одного процесса. других процессов не касается. поэтому второй запущенный выполняется вне отладчика. если же тем же softice, windbg, syser - ставить бряк на CreateFile глобально - не знаю не знаю. Бряк должен быть в АП определенного процесса. Если они ставят во все процессы - запаришься разгребать вызовы =)
                                                                                            0
                                                                                            Э! Если бряка ставитсо на вызов CreateFile - тогда да, запуск второго процесса проскочит. А если бряк ставить на начало CreateFile - это уже совсем другое. Правда, есть способ и от такого уйти :-) Да и не CreateFile единым...
                                                                                            А еще FileMon хорошо юзать - будет видно что и куда дропается.
                                                                                              0
                                                                                              1-для таких случаем есть опция "debug child process".
                                                                                              2-спасибо, подумаю)
                                                                                                0
                                                                                                >имеем зараженную систему
                                                                                                Виртуальную, скорее всего.
                                                                                                  0
                                                                                                  Ой, невнимательно прочитал - вы и сами такое решение предложили.
                                                                                                0
                                                                                                1-для таких случаем есть опция "debug child process".
                                                                                                если отлаживаешь в IDA - то можно считать что компьютер заражен =) главный деструктив выполняется вначале. Главаная задача вируса - запустица. На заражение и уничтожение данных ему хватит пары секунд. Отлаживать запустившийся вирус уже бестолку - разве что искать средство его лечения.

                                                                                                Я как то давно песал статью про препарирование вируса, и даж антивирус написал для него =) Лечилку. Если интересно - могу запостить. Хотя пока чет не получается сделать пост - выкидывает на объяснение, что такое карма итп.
                                                                                                Вот стотейка - http://rascalspb.narod.ru/articles/AntiWin32Friendly/AntiWin32Friendly.html
                                                                                                  0
                                                                                                  Ух ты, мега...
                                                                                                  все детально и лаконично одновременно.
                                                                                                  пишите, пожалуйста, еще !
                                                                                                  Спасибо

                                                                                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                  Самое читаемое