Trojan.Winlock.3333 - продолжение эксперимента.
Начало здесь http://maxpark.com/community/3579/content/3282153
Разработчик данного винлокера писал, что после введения кода разблокировки, баннер убирается, а троянец самоуничтожается и зачищает следы своего прибывания. На деле оказалось не так. Убирается только баннер! А папка с созданным билдом Винлокера "исчезает", т.е. становится невидимой, но она есть. Это как в том фильме "ДМБ"
-Ты суслика видишь?
- Нет!
- И я не вижу... Но, он ЕСТЬ!
Мало того, троянец создает свою копию и тоже прописывает в режиме "невидимки" уже в другие папки. Если его криптануть или обфусцировать, чтоб не палился аверами, подшаманить с названием, то его, никак в системе не обнаружить. И систему таки придётся сносить! Так, как я работала с незамаскированным зловредом, потом его нашел Курейт. Саму прогу - создающую баннер, винлокера и его копию.
Мало того, эти два файлика: Локер и его копия, уже работают, как обычные троянцы - передают инфу автору данного Винлокера. Несмотря на заданную строгую политику автозагрузок, он всё таки туда пропишется. Менеджер автозагрузок только попробовал возмутиться и спросить, что с ним делать, но не успел! Наглый баннер заткнул полезную прогу на полуслове.
Не так он и безобиден, как казалось на первый взгляд. Всё правильно, баннер убрался, можно вздохнутьс облегчением. Но рано радоваться, ввиду секретных возможностей троянца. После удаления или работы с ним, надо проверить весь жесткий диск антивирусом и дополнительно - антивирусными сканерами от других разработчиков.
Если ничего не нашлось, значит, хорошо закриптовано и надо фирматировать диск, чтоб ничего от зловреда не осталось!
Файл самого баннера, легко убирается из под другой системы, запущенной с лазера или флешки, если знать, что и где искать.
Так как, Блокировщик, я создавала сама, запомнила название и куда его положила, то нашла без труда через другую систему.
А это я побаловалась с внешним видом баннера.
Корявое фото, сделано с мобильника, ввиду того, что баннер не даёт сделать скрин.
И на последок, прикол с ентим самым винлокером...
Есть у меня товарищ, который тоже любитель поисследовать. Делюсь с ним билдером, рассказываю, что да как с ним работать. Но есть у него противная привычка, не дослушать/перебивать и делать по своему. Когда пыталась донести до него, чтоб на билдере при создании локера, запомнил вводимый пароль, то послушал и сделал по своему! Я настаивала записать на бумаге. Что сделал? Записал в блокноте и сохранил в текстовом файле. а то, что после запуска локера, вылезет БАННЕР и уже никак до файла с паролем не доберется, этого не учел. Другого компа у него нет, системы на лазере или флешке - тоже. Да тут всё просто и понятно! - сказал по скайпу и отключился. Сразу посылаю сообщение по скайпу, чтоб пароль всё таки переписал на бумагу. Не успевает дойти! Он уже запустил баннер.))) Через несколько часов выполз в скайп и начал ругаться, что винду пришлось переустанавливать. Ну и наржалась я! Обиделся... отцепился от контактов.))) Ну и кто ему виноват?)))
Комментарии
Чтобы экспериментальную базу из моего компа делать ?!?
Или как ? Или что ?
Вместо того, шоп писать муйню такую, должны говоить простое СПАСИБО, за то с вами БЕСПЛАТНО делятся полезным. В реале, я за уроки по сетевой безопаснотсти, деньги хорошие беру.