и снова Winlock ( MBRlock )
|
|
oke | Дата: Суббота, 14.04.2012, 12:13 | Сообщение # 1 |
Постоянный
Зарегистрирован: 15.01.2012
Группа: Пользователи
Сообщений: 124
Статус: Offline
| попался значит моему другу "новый" троян винлок вообщем после заставки(после которой в биос лезут) сразу выскакивает винлок даже винда не загружается инфа с dr.web: Trojan.MBRlock.6 Для обеспечения автозапуска и распространения: Модифицирует главную загрузочную запись (MBR). Вредоносные функции: Запускает на исполнение: <SYSTEM32>\logonui.exe /status /shutdown Пытается завершить работу операционной системы Windows. Изменения в файловой системе: Создает следующие файлы: %TEMP%\x2z8.exe %TEMP%\fpath.txt Самоудаляется. Другое: Ищет следующие окна: ClassName: 'Shell_TrayWnd' WindowName: '' ClassName: 'StatusWindowClass' WindowName: ''
есть у кого идеи по написанию этого?
Сообщение отредактировал oke - Суббота, 14.04.2012, 12:13 |
|
| |
sk0rpi0n | Дата: Суббота, 14.04.2012, 20:21 | Сообщение # 2 |
Участник
Зарегистрирован: 28.05.2011
Группа: Пользователи
Сообщений: 65
Статус: Offline
| Не совсем понял, что вы от форумчан хотите услышать?
|
|
| |
oke | Дата: Суббота, 14.04.2012, 22:52 | Сообщение # 3 |
Постоянный
Зарегистрирован: 15.01.2012
Группа: Пользователи
Сообщений: 124
Статус: Offline
| последняя строчка сообщения... стоило бы прочитать все
|
|
| |
Волк-1024 | Дата: Суббота, 14.04.2012, 23:51 | Сообщение # 4 |
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
| Про MBR хз (тут нужно на ASM'е писать). А вот остальное элементарно реализуется на Делфе.
|
|
| |
oke | Дата: Суббота, 14.04.2012, 23:56 | Сообщение # 5 |
Постоянный
Зарегистрирован: 15.01.2012
Группа: Пользователи
Сообщений: 124
Статус: Offline
| я про MBR и имел ввиду
|
|
| |
Волк-1024 | Дата: Воскресенье, 15.04.2012, 00:11 | Сообщение # 6 |
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
| Нужно какой-нить MBR локер реверснуть и посмотреть как это реализованно...
Сообщение отредактировал Волк-1024 - Воскресенье, 15.04.2012, 00:12 |
|
| |
Волк-1024 | Дата: Воскресенье, 15.04.2012, 00:18 | Сообщение # 7 |
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
| Посмотри тут: Доступно только для пользователей
|
|
| |
XSPY | Дата: Воскресенье, 15.04.2012, 13:06 | Сообщение # 8 |
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 263
Статус: Offline
| MBR locker не обязательно на асме писать-это можно сделать и в любом языке программирования (тот же Си\С++,Делфи...) З.Ы:Копай в сторону Ринг-0
|
|
| |
Волк-1024 | Дата: Воскресенье, 15.04.2012, 13:20 | Сообщение # 9 |
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
| Даже не представляю как будет выглядеть на Делфе обращение к памяти 0000:7C00h или чтение секторов жесткого диска без функции биоса int 13h....
Информация по int 13h http://www.codenet.ru/progr/dos/int_0012.php
Сообщение отредактировал Волк-1024 - Воскресенье, 15.04.2012, 13:30 |
|
| |
oke | Дата: Воскресенье, 15.04.2012, 14:44 | Сообщение # 10 |
Постоянный
Зарегистрирован: 15.01.2012
Группа: Пользователи
Сообщений: 124
Статус: Offline
| насчет ринго0 есть идеи?
|
|
| |
Волк-1024 | Дата: Воскресенье, 15.04.2012, 15:09 | Сообщение # 11 |
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
| В нулевое кольцо на Вынь 7, вроде, без драйвера уровня ядра не попасть...
Сообщение отредактировал Волк-1024 - Воскресенье, 15.04.2012, 15:15 |
|
| |
sk0rpi0n | Дата: Воскресенье, 15.04.2012, 19:10 | Сообщение # 12 |
Участник
Зарегистрирован: 28.05.2011
Группа: Пользователи
Сообщений: 65
Статус: Offline
| Quote последняя строчка сообщения... стоило бы прочитать все Капитан! Я прочитал, и не понял. Непонятный текст сверху, а потом вдруг "как реализовать?"... Теперь уже понял, и не пойму чего сложного, если есть как бы алгоритм, который вы написали в первом сообщении, то в общем ничего сложного с гуглом.
Сообщение отредактировал sk0rpi0n - Воскресенье, 15.04.2012, 19:11 |
|
| |
XSPY | Дата: Понедельник, 16.04.2012, 14:44 | Сообщение # 13 |
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 263
Статус: Offline
| Волк-1024, необязательно драйвер!Если речь о х64,то можно попасть через хрень,которая переносит приложения из архитектуры х86 и они работают в х64 (статья по-моему называеться "через врата рая"... как то так...).
|
|
| |
oke | Дата: Суббота, 21.04.2012, 21:28 | Сообщение # 14 |
Постоянный
Зарегистрирован: 15.01.2012
Группа: Пользователи
Сообщений: 124
Статус: Offline
| Quote (sk0rpi0n) Капитан! Я прочитал, и не понял. Непонятный текст сверху, а потом вдруг "как реализовать?"... Теперь уже понял, и не пойму чего сложного, если есть как бы алгоритм, который вы написали в первом сообщении, то в общем ничего сложного с гуглом. ну раз так все просто подкинь ка пару примеров как модифицировать страничку MBR
|
|
| |
xXxSh@dowxXx | Дата: Воскресенье, 22.04.2012, 08:24 | Сообщение # 15 |
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
| XSPY Quote (XSPY) необязательно драйвер!Если речь о х64,то можно попасть через хрень,которая переносит приложения из архитектуры х86 и они работают в х64 (статья по-моему называеться "через врата рая"... как то так...)
ок а если не через x64 ?
|
|
| |
oke | Дата: Воскресенье, 22.04.2012, 16:50 | Сообщение # 16 |
Постоянный
Зарегистрирован: 15.01.2012
Группа: Пользователи
Сообщений: 124
Статус: Offline
| http://vazonez.com/page/mbr-locker - там билдер на delphi
|
|
| |
C@T | Дата: Воскресенье, 22.04.2012, 17:10 | Сообщение # 17 |
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
| уже писал , можно было и на форуме глянуть
http://delfcode.ru/forum/10-405-1#2154
или же вот, данное творение не винлок, но вместо загрузчика винды ставит анимацию алгоритма жизни, если есть ВМ можете проверить
|
|
| |