Столкнулся с таким вирусом, который во время загрузки блокирует Windows и вываливает окошко с классической надписью "введите код разблокировки, положив 100500 рублей на номаер бла-бла-бла".
Не стоит больше ходить на непроверенные сайты, да.
Второй системой стоит Linux-дистрибутив, плюс Google знает все, так что проблема решилась быстро, не в этом вопрос.
Меняя ветку реестра, нашел непосредственно тело вируса. Так вот, с ним как-нибудь поэкспериментировать можно? Код, например, попробовать найти?
От нечего делать. [Ответ]
Part!zan 21:17 29.03.2011
Сообщение от Schumi:
с ним как-нибудь поэкспериментировать можно
конечно можно
Сообщение от Schumi:
Код, например, попробовать найти
можно и найти. если совсем нечем заняться и ты знаешь как пользоваться отладчиком и дизассемблером.
[Ответ]
Part!zan, опередил)
хотя ща копаться в этих листингах - зло, текущие вирусы пишут на "высоких" языках, а-ля визуал бейсик. соответственно мусора....уууу
[Ответ]
mishel13 21:20 29.03.2011
Сообщение от Schumi:
Меняя ветку реестра,
какую?
Сообщение от Schumi:
нашел непосредственно тело вируса
Schumi, кстати, можно просто в ресурсах покопаться, но сначала думается нужен анпакер. в ресурсах ковыряться - restorator
кстати, а как выводят на экран это сообщение? битмап или виндовое окно? (ни разу не видел просто)
[Ответ]
Part!zan 21:33 29.03.2011
Сообщение от zeroserg:
текущие вирусы пишут на "высоких" языках
да их уже лет 10 на них пишут. разбираться в них не сильно сложнее. а иногда даже и гораздо проще, чем в pure asm written.
Сообщение от zeroserg:
можно просто в ресурсах покопаться
там обычно ниче интересного нету. да и в последнее время винлокеры упаковываются всякой хренью, так что их еще и распаковать перед реверсингом надо.
[Ответ]
Schumi 21:40 29.03.2011
Сообщение от Part!zan:
если совсем нечем заняться и ты знаешь как пользоваться отладчиком и дизассемблером.
Пострадать фигней периодически бывает интересно, но вот пользоваться указанными средствами - не умею вообще, от программирования далек...
Сообщение от zeroserg:
...кстати, а как выводят на экран это сообщение? битмап или виндовое окно? (ни разу не видел просто)
Вирус подправляет реестр. В итоге, вместо стандартного процесса explorer.exe запускается тело вируса, которое, ко всему прочему, не дает вызвать диспетчер задач. Так что это окошко винды, да только не закрыть его. [Ответ]
zeroserg 21:44 29.03.2011
Schumi, и кнопочки есть? например "ок" только которую не нажать?
пс: просто интерес)
ппс: если от программирования далёк, то копаться в "теле вируса" смысла нет.
[Ответ]
занятно,правда не каждый юзер осилит live cd с линуксом
[Ответ]
Schumi 21:54 29.03.2011
Сообщение от zeroserg: Schumi, и кнопочки есть? например "ок" только которую не нажать?
Ага, еще и кнопочки с циферками есть, на которые можно пощелкать мышкой и эти самые циферки в поле для ввода появятся. Мне напомнило ВУЗ-овское задание по программированию - примерно такую же формочку на Делфи сделать. С кнопочками и полем для ввода. Только ее закрыть можно было.
Сообщение от zeroserg:
ппс: если от программирования далёк, то копаться в "теле вируса" смысла нет.
Жаль... Ну да ладно, биты информации высечь морзянкой на стальной плите и оставить на память. [Ответ]
zeroserg 21:57 29.03.2011
Schumi, интересно, если поправить параметр кнопочки, например, enabler - ом
и потом нажать на неё... поможет?
ну, если очень очень интересно - найди какую-нибудь статью для начинающих по ассемблеру
(х86, но никак не другие)
[Ответ]
Schumi 22:21 29.03.2011
Сообщение от zeroserg: Schumi, интересно, если поправить параметр кнопочки, например, enabler - ом
и потом нажать на неё... поможет?
Э-э-э... А если для чайников - это как? Просто экранчик блокирует полностью возможность запуска чего-либо. Даже безопасный режим не поможет, реестр-то изменен.
Сообщение от zeroserg:
ну, если очень очень интересно - найди какую-нибудь статью для начинающих по ассемблеру
(х86, но никак не другие)
