Среда, 28.10.2020, 22:39 Приветствую вас Гость | Группа "Гости" 
[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 1
  • 1
Модератор форума: Волк-1024, Anton93, xXxSh@dowxXx  
delfcode » Delphi » Вирусология Delphi » и снова Winlock ( MBRlock )
и снова Winlock ( MBRlock )
okeДата: Суббота, 14.04.2012, 12:13 | Сообщение # 1
Постоянный
Зарегистрирован: 15.01.2012
Группа: Пользователи
Сообщений: 124
Статус: Offline
попался значит моему другу "новый" троян винлок вообщем после заставки(после которой в биос лезут) сразу выскакивает винлок даже винда не загружается
инфа с dr.web: Trojan.MBRlock.6
Для обеспечения автозапуска и распространения:
Модифицирует главную загрузочную запись (MBR).
Вредоносные функции:
Запускает на исполнение:
<SYSTEM32>\logonui.exe /status /shutdown
Пытается завершить работу операционной системы Windows.
Изменения в файловой системе:
Создает следующие файлы:
%TEMP%\x2z8.exe
%TEMP%\fpath.txt
Самоудаляется.
Другое:
Ищет следующие окна:
ClassName: 'Shell_TrayWnd' WindowName: ''
ClassName: 'StatusWindowClass' WindowName: ''

есть у кого идеи по написанию этого?


Сообщение отредактировал oke - Суббота, 14.04.2012, 12:13
 
sk0rpi0nДата: Суббота, 14.04.2012, 20:21 | Сообщение # 2
Участник
Зарегистрирован: 28.05.2011
Группа: Пользователи
Сообщений: 65
Статус: Offline
Не совсем понял, что вы от форумчан хотите услышать?
 
okeДата: Суббота, 14.04.2012, 22:52 | Сообщение # 3
Постоянный
Зарегистрирован: 15.01.2012
Группа: Пользователи
Сообщений: 124
Статус: Offline
последняя строчка сообщения... стоило бы прочитать все
 
Волк-1024Дата: Суббота, 14.04.2012, 23:51 | Сообщение # 4
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
Про MBR хз (тут нужно на ASM'е писать). А вот остальное элементарно реализуется на Делфе.
 
okeДата: Суббота, 14.04.2012, 23:56 | Сообщение # 5
Постоянный
Зарегистрирован: 15.01.2012
Группа: Пользователи
Сообщений: 124
Статус: Offline
я про MBR и имел ввиду
 
Волк-1024Дата: Воскресенье, 15.04.2012, 00:11 | Сообщение # 6
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
Нужно какой-нить MBR локер реверснуть и посмотреть как это реализованно...

Сообщение отредактировал Волк-1024 - Воскресенье, 15.04.2012, 00:12
 
Волк-1024Дата: Воскресенье, 15.04.2012, 00:18 | Сообщение # 7
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
Посмотри тут: Доступно только для пользователей
 
XSPYДата: Воскресенье, 15.04.2012, 13:06 | Сообщение # 8
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 263
Статус: Offline
MBR locker не обязательно на асме писать-это можно сделать и в любом языке программирования (тот же Си\С++,Делфи...)
З.Ы:Копай в сторону Ринг-0 wink
 
Волк-1024Дата: Воскресенье, 15.04.2012, 13:20 | Сообщение # 9
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
Даже не представляю как будет выглядеть на Делфе обращение к памяти 0000:7C00h или чтение секторов жесткого диска без функции биоса int 13h....

Информация по int 13h http://www.codenet.ru/progr/dos/int_0012.php


Сообщение отредактировал Волк-1024 - Воскресенье, 15.04.2012, 13:30
 
okeДата: Воскресенье, 15.04.2012, 14:44 | Сообщение # 10
Постоянный
Зарегистрирован: 15.01.2012
Группа: Пользователи
Сообщений: 124
Статус: Offline
насчет ринго0 есть идеи?
 
Волк-1024Дата: Воскресенье, 15.04.2012, 15:09 | Сообщение # 11
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
В нулевое кольцо на Вынь 7, вроде, без драйвера уровня ядра не попасть...

Сообщение отредактировал Волк-1024 - Воскресенье, 15.04.2012, 15:15
 
sk0rpi0nДата: Воскресенье, 15.04.2012, 19:10 | Сообщение # 12
Участник
Зарегистрирован: 28.05.2011
Группа: Пользователи
Сообщений: 65
Статус: Offline
Quote
последняя строчка сообщения... стоило бы прочитать все

Капитан! Я прочитал, и не понял. Непонятный текст сверху, а потом вдруг "как реализовать?"... Теперь уже понял, и не пойму чего сложного, если есть как бы алгоритм, который вы написали в первом сообщении, то в общем ничего сложного с гуглом. smile


Сообщение отредактировал sk0rpi0n - Воскресенье, 15.04.2012, 19:11
 
XSPYДата: Понедельник, 16.04.2012, 14:44 | Сообщение # 13
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 263
Статус: Offline
Волк-1024, необязательно драйвер!Если речь о х64,то можно попасть через хрень,которая переносит приложения из архитектуры х86 и они работают в х64 (статья по-моему называеться "через врата рая"... как то так...).
 
okeДата: Суббота, 21.04.2012, 21:28 | Сообщение # 14
Постоянный
Зарегистрирован: 15.01.2012
Группа: Пользователи
Сообщений: 124
Статус: Offline
Quote (sk0rpi0n)
Капитан! Я прочитал, и не понял. Непонятный текст сверху, а потом вдруг "как реализовать?"... Теперь уже понял, и не пойму чего сложного, если есть как бы алгоритм, который вы написали в первом сообщении, то в общем ничего сложного с гуглом.

ну раз так все просто подкинь ка пару примеров как модифицировать страничку MBR
 
xXxSh@dowxXxДата: Воскресенье, 22.04.2012, 08:24 | Сообщение # 15
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
XSPY
Quote (XSPY)
необязательно драйвер!Если речь о х64,то можно попасть через хрень,которая переносит приложения из архитектуры х86 и они работают в х64 (статья по-моему называеться "через врата рая"... как то так...)


ок а если не через x64 ?
 
okeДата: Воскресенье, 22.04.2012, 16:50 | Сообщение # 16
Постоянный
Зарегистрирован: 15.01.2012
Группа: Пользователи
Сообщений: 124
Статус: Offline
http://vazonez.com/page/mbr-locker - там билдер на delphi
 
C@TДата: Воскресенье, 22.04.2012, 17:10 | Сообщение # 17
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
уже писал , можно было и на форуме глянуть smile

http://delfcode.ru/forum/10-405-1#2154

или же вот, данное творение не винлок, но вместо загрузчика винды ставит анимацию алгоритма жизни, если есть ВМ можете проверить smile
Прикрепления: KILL.rar(162.4 Kb)
 
delfcode » Delphi » Вирусология Delphi » и снова Winlock ( MBRlock )
  • Страница 1 из 1
  • 1
Поиск:

delfcode.ru © 2008 - 2020 Хостинг от uCoz