и снова Winlock ( MBRlock )
|
oke
|
Дата: Суббота, 14.04.2012, 12:13 | Сообщение # 1
|
Постоянный
Зарегистрирован: 15.01.2012
Группа: Пользователи
Сообщений: 124
Статус: Offline
|
попался значит моему другу "новый" троян винлок вообщем после заставки(после которой в биос лезут) сразу выскакивает винлок даже винда не загружается
инфа с dr.web: Trojan.MBRlock.6
Для обеспечения автозапуска и распространения:
Модифицирует главную загрузочную запись (MBR).
Вредоносные функции:
Запускает на исполнение:
<SYSTEM32>\logonui.exe /status /shutdown
Пытается завершить работу операционной системы Windows.
Изменения в файловой системе:
Создает следующие файлы:
%TEMP%\x2z8.exe
%TEMP%\fpath.txt
Самоудаляется.
Другое:
Ищет следующие окна:
ClassName: 'Shell_TrayWnd' WindowName: ''
ClassName: 'StatusWindowClass' WindowName: ''
есть у кого идеи по написанию этого?
Сообщение отредактировал oke - Суббота, 14.04.2012, 12:13
|
|
|
|
|
sk0rpi0n
|
Дата: Суббота, 14.04.2012, 20:21 | Сообщение # 2
|
Участник
Зарегистрирован: 28.05.2011
Группа: Пользователи
Сообщений: 65
Статус: Offline
|
Не совсем понял, что вы от форумчан хотите услышать? |
|
|
|
|
oke
|
Дата: Суббота, 14.04.2012, 22:52 | Сообщение # 3
|
Постоянный
Зарегистрирован: 15.01.2012
Группа: Пользователи
Сообщений: 124
Статус: Offline
|
последняя строчка сообщения... стоило бы прочитать все |
|
|
|
|
Волк-1024
|
Дата: Суббота, 14.04.2012, 23:51 | Сообщение # 4
|
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
|
Про MBR хз (тут нужно на ASM'е писать). А вот остальное элементарно реализуется на Делфе. |
|
|
|
|
oke
|
Дата: Суббота, 14.04.2012, 23:56 | Сообщение # 5
|
Постоянный
Зарегистрирован: 15.01.2012
Группа: Пользователи
Сообщений: 124
Статус: Offline
|
я про MBR и имел ввиду |
|
|
|
|
Волк-1024
|
Дата: Воскресенье, 15.04.2012, 00:11 | Сообщение # 6
|
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
|
Нужно какой-нить MBR локер реверснуть и посмотреть как это реализованно...
Сообщение отредактировал Волк-1024 - Воскресенье, 15.04.2012, 00:12
|
|
|
|
|
Волк-1024
|
Дата: Воскресенье, 15.04.2012, 00:18 | Сообщение # 7
|
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
|
Посмотри тут: Доступно только для пользователей |
|
|
|
|
XSPY
|
Дата: Воскресенье, 15.04.2012, 13:06 | Сообщение # 8
|
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 263
Статус: Offline
|
MBR locker не обязательно на асме писать-это можно сделать и в любом языке программирования (тот же Си\С++,Делфи...)
З.Ы:Копай в сторону Ринг-0 |
|
|
|
|
Волк-1024
|
Дата: Воскресенье, 15.04.2012, 13:20 | Сообщение # 9
|
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
|
Даже не представляю как будет выглядеть на Делфе обращение к памяти 0000:7C00h или чтение секторов жесткого диска без функции биоса int 13h....
Информация по int 13h http://www.codenet.ru/progr/dos/int_0012.php
Сообщение отредактировал Волк-1024 - Воскресенье, 15.04.2012, 13:30
|
|
|
|
|
oke
|
Дата: Воскресенье, 15.04.2012, 14:44 | Сообщение # 10
|
Постоянный
Зарегистрирован: 15.01.2012
Группа: Пользователи
Сообщений: 124
Статус: Offline
|
насчет ринго0 есть идеи? |
|
|
|
|
Волк-1024
|
Дата: Воскресенье, 15.04.2012, 15:09 | Сообщение # 11
|
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
|
В нулевое кольцо на Вынь 7, вроде, без драйвера уровня ядра не попасть...
Сообщение отредактировал Волк-1024 - Воскресенье, 15.04.2012, 15:15
|
|
|
|
|
sk0rpi0n
|
Дата: Воскресенье, 15.04.2012, 19:10 | Сообщение # 12
|
Участник
Зарегистрирован: 28.05.2011
Группа: Пользователи
Сообщений: 65
Статус: Offline
|
Quote
последняя строчка сообщения... стоило бы прочитать все
Капитан! Я прочитал, и не понял. Непонятный текст сверху, а потом вдруг "как реализовать?"... Теперь уже понял, и не пойму чего сложного, если есть как бы алгоритм, который вы написали в первом сообщении, то в общем ничего сложного с гуглом.
Сообщение отредактировал sk0rpi0n - Воскресенье, 15.04.2012, 19:11
|
|
|
|
|
XSPY
|
Дата: Понедельник, 16.04.2012, 14:44 | Сообщение # 13
|
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 263
Статус: Offline
|
Волк-1024, необязательно драйвер!Если речь о х64,то можно попасть через хрень,которая переносит приложения из архитектуры х86 и они работают в х64 (статья по-моему называеться "через врата рая"... как то так...). |
|
|
|
|
oke
|
Дата: Суббота, 21.04.2012, 21:28 | Сообщение # 14
|
Постоянный
Зарегистрирован: 15.01.2012
Группа: Пользователи
Сообщений: 124
Статус: Offline
|
Quote (sk0rpi0n)
Капитан! Я прочитал, и не понял. Непонятный текст сверху, а потом вдруг "как реализовать?"... Теперь уже понял, и не пойму чего сложного, если есть как бы алгоритм, который вы написали в первом сообщении, то в общем ничего сложного с гуглом.
ну раз так все просто подкинь ка пару примеров как модифицировать страничку MBR
|
|
|
|
|
xXxSh@dowxXx
|
Дата: Воскресенье, 22.04.2012, 08:24 | Сообщение # 15
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
|
XSPY
Quote (XSPY)
необязательно драйвер!Если речь о х64,то можно попасть через хрень,которая переносит приложения из архитектуры х86 и они работают в х64 (статья по-моему называеться "через врата рая"... как то так...)
ок а если не через x64 ?
|
|
|
|
|
oke
|
Дата: Воскресенье, 22.04.2012, 16:50 | Сообщение # 16
|
Постоянный
Зарегистрирован: 15.01.2012
Группа: Пользователи
Сообщений: 124
Статус: Offline
|
http://vazonez.com/page/mbr-locker - там билдер на delphi |
|
|
|
|
C@T
|
Дата: Воскресенье, 22.04.2012, 17:10 | Сообщение # 17
|
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
|
уже писал , можно было и на форуме глянуть
https://delfcode.ru/forum/10-405-1#2154
или же вот, данное творение не винлок, но вместо загрузчика винды ставит анимацию алгоритма жизни, если есть ВМ можете проверить
|
|
|
|