olzaruta
Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Блокировщик и Шифровщик в одном флаконе ( Trojan.Winlock + Trojan.Encoder) - "Продвинутые школьники" решили воссоединить этих двух троянов, сделали они это очень просто: Чуть чуть поменяли текст, дизайн и код разблокировки в исходнике ( который свободно гуляет в сети + в конструкторе сделали экзешник шифровщика и все это склеили в один исполняемый файл, благо ПО по этому делу......достаточно! - Так как мне эта модификация показалась интересной, я решил провести эксперимент ( думаю Вам будет интересно почитать мое творение, так как надоело наверное "тестирование" антивирусов, где не видно самой работы зловреда на операционной системе, если, то что я привел ниже покажется неинтересным..я готов удалить сообщение! ) - Итак....запускаем файл, который я скачал в интернете под названием GoldHack.exe...в переводе вроде бы как " Золотой Хаккер"... - Ну и мы видим картину блокирования нашей операционной системы: - Ну блокировщик и блокировщик...нам то что? Примечательно, что в тексте указан и код! Нам необходимо лишь угадать кнопочку "разблокировать" .....их указано 4 - Вводим указанный на экране код...и жмем любую кнопочку разблокировать! Вверху появляется надпись...."идет Удаление системы".....сколько я не ждал....система моя все так же и шла к удалению, но видно не смогла дойти? - Естественно указанный код не подходит....поэтому снимаем блокировщик обычным способом ( их очень много, расписывать не буду ) .....или вводим правильный код ..если знаем...! - Уффф...ну все! Но не все! Далее начинается самое интересное..заходим в папку...ну хотябы "Рисунки" или любую другую..и видим, что все зашифровано...!!! К нашему расширению добавилось еще одно EnCrYpTeD...!!! - При попытке открыть графический, текстовый и т.д и т.п файлы, мы получаем окно, открыть не удалось! - Ищем "шутника" у себя на компе..и находим его в папке "Temp" - Тут мы видим: Копию Winlock, выполненную на Delphi, зашифрованный текстовый файл, папку ( в ней файл блокнота, зачем я так и не понял?) и парочку исполняемых файлов....запускаем один из них:.....вылетает окошко, что нам установили какую то хрень...жмем ок....появляется окно ввода пароля для расшифровки нашего "богатства"....если кликнуть на кнопочку ????....вылетит окошко, что файлы зашифрованы.. - Нужно расшифровать!!! для этого есть спец утилитки от Веба и Каспера, запускаем и расшифровываем, еще так же есть "пароли"....вроде для этой модификации нашелся, но при вводе...ноль эмоций.. - Выцеплять пароль для расшифровки мне стало лень, поэтому....торжественно удаляем содержимое Sandbox...и радуемся жизни! - Этот эксперимент я проводил на реальной системе, но в среде Sandbox ( песочница), как видно из эксперимента она не пропускает на комп...не Trojan.Winlock не Trojan.Encoder, только необходимо её правильно настроить! - На этом ВСЕ! Файл "зловреда" и содержимое папки "Теmp" можно качнуть ниже.. http://rghost.ru/43214831 ( ruboard ) ps: Вот чем наши дети занимаются! Нет, что бы направить свои знания в полезное русло! |