Наиболее важно — детектирование файлов, которые получаются в процессе работы — их много, в них много заложено логики, они взаимосвязанны. Первоначальный js-даунлоадер является одним файлом, поэтому от рассылки к рассылке он переделывается и на момент рассылки практически никем не детектируется, а вот получающиеся в итоге файлы (ехе, батники) — вот их детект важен на самом деле. В свете этого интересно взглянуть на модификацию этих батников, ну и на батник 4c2e533d.cmd, например, ведь именно он является «боссом» по итогу.
Еще больше — не появятся.
Аргументирую: 1. В инете куча готовых инструментов (в том числе исходных кодов и т.н билдеров) для создания своих зловредов-шифровальщиков для их рассылки «клиентам» — два клика и готово. 2. В этом топике ничего особенного не раскрыто, про этот шифровальщик подробно много где писали и выкладывали все его файлы — все кто хотел уже давно мог себе сделать такое — все эти скрипты являются исходниками, самим нужно лишь морфер сделать чтоб при каждой рассылке новый файлик был. 3. Тем, кто и так в этой отрасли — могли и раньше в партнерках участие принять, если хотели.
Учитывая тот факт, что сейчас этот файл определяется некоторыми антивирусными сканерами как вредоносный, я склоняюсь ко второму варианту. Было бы интересно услышать мнение читателей.
Тупо запаковали, но потом отказались от этой глупой идеи, т.к пакнутую версию детектируют все кому не лень, а дефолтную — нет (вирустотал чист). Аналогично и с sdelete (причем sdelete в этом году после летней эпидемии вышеописанного шифровальщика начал детектить Каспер и в незапакованном виде — чтоб неповадно было).
Внутри – программа с иконкой блокнота, запускающая блокнот.
Если быть точным, то программа делает «ShellExecuteW» на «open» для «notepad.exe».
Т.е:
1. Это может быть не блокнот если в системе разбросаны (а вот хочу я так!) в разных местах вирусы с таким именем, то ваша программа может запустить нечто другое — то, что первым ей подсунет система, а это будет не факт что файл из system32.
2. А он, собственно, может и не запуститься, если у меня непонятно что с ассоциациями расширений в системе.
Так что вопрос о том, что делает ваша программа не так прост как кажется на первый взгляд.
Ну, это у той Теминой аудитории так принято. Если бы Вы перешли по ссылке на запись об этом в его ЖЖ, то в первом бы предложении топика увидели бы однокоренное слово. Поэтому в данном случае была просто попытка встать с ним на одну волну.
Аргументирую:
1. В инете куча готовых инструментов (в том числе исходных кодов и т.н билдеров) для создания своих зловредов-шифровальщиков для их рассылки «клиентам» — два клика и готово.
2. В этом топике ничего особенного не раскрыто, про этот шифровальщик подробно много где писали и выкладывали все его файлы — все кто хотел уже давно мог себе сделать такое — все эти скрипты являются исходниками, самим нужно лишь морфер сделать чтоб при каждой рассылке новый файлик был.
3. Тем, кто и так в этой отрасли — могли и раньше в партнерках участие принять, если хотели.
Тупо запаковали, но потом отказались от этой глупой идеи, т.к пакнутую версию детектируют все кому не лень, а дефолтную — нет (вирустотал чист). Аналогично и с sdelete (причем sdelete в этом году после летней эпидемии вышеописанного шифровальщика начал детектить Каспер и в незапакованном виде — чтоб неповадно было).
Но на сайте NASA другая информация:
science.ksc.nasa.gov/history/gemini/gemini-3/gemini-3.html
Если быть точным, то программа делает «ShellExecuteW» на «open» для «notepad.exe».
Т.е:
1. Это может быть не блокнот если в системе разбросаны (а вот хочу я так!) в разных местах вирусы с таким именем, то ваша программа может запустить нечто другое — то, что первым ей подсунет система, а это будет не факт что файл из system32.
2. А он, собственно, может и не запуститься, если у меня непонятно что с ассоциациями расширений в системе.
Так что вопрос о том, что делает ваша программа не так прост как кажется на первый взгляд.
Что-то напомнило казачков:
ic.pics.livejournal.com/anton_klyushev/29866588/81834/81834_original.jpg
drweb.club
drweb.today
дрвеб.дети
… и много других
Валерию доверять можно, правильно нагуглили :)