vazonez
20.12.2009, 19:47
Вечер. Зима.
Делать ничего. Полез на [Ссылки доступны только зарегистрированным пользователям] поискать интересной малвари. Там огромный выбор всякого - от шпионов разных до троянов. После паруминутного серфинга, сегодняшняя цель нашлась - Trojan-Spy.Win32.Webmoner.ab (ищи на сайте, это не сложно). Решил я спалить кошельки и вмид кодера этого троя. А хуле, грабить не красиво.
И вот, VBox загружен. Беглый осмотр показал - вкусняшка чем-то запакована. Большая часть секций имеет имя "CENSORED" - обработано чем-то, а нам без разницы чем. Все тело запаковано - вразумительных и вкусных строк нету.
Грузимся в отладчике - сразу видно, что все там нафаршировано мусором по самое нехочу:
[Ссылки доступны только зарегистрированным пользователям]
После нажатия F9, ситуация начала прояснятся. Перед основной работой, трой делает небольшую паузу. Ставим исполнение на паузу и трэйсим по выхода из системной библиотеки. После этого основной код программы стал декриптован и скопирован туда, где мы оказались.
Код там аж ниразу не интересный - работа с окнами и прочая унылая фигня. Но мы ж то, мать его, ищем не код, а ищем данные. Пролистав ввех-вниз листинг в отладчике, цель все-таки нашлась:
[Ссылки доступны только зарегистрированным пользователям]
Кодер спалился) Есть один хороший сервис - проверка кошелей ВМ ([Ссылки доступны только зарегистрированным пользователям]). Чекаем там любой из кошельков и получаем крохи инфы - вмид и почту.
Сделаем так, чтобы гугл знал его получше:
Внимание! Мошенник и вор!
WMID#685620749402
Z446519800353
R977427732768
U148178261273
E788145424684
[email protected]
Если у кого есть персональный аттестат, можно кинуть на него абузу, для профилактики. А на мыло я ему письмецо кинул - может ответит :-)
Оригинал:
[Ссылки доступны только зарегистрированным пользователям]
Делать ничего. Полез на [Ссылки доступны только зарегистрированным пользователям] поискать интересной малвари. Там огромный выбор всякого - от шпионов разных до троянов. После паруминутного серфинга, сегодняшняя цель нашлась - Trojan-Spy.Win32.Webmoner.ab (ищи на сайте, это не сложно). Решил я спалить кошельки и вмид кодера этого троя. А хуле, грабить не красиво.
И вот, VBox загружен. Беглый осмотр показал - вкусняшка чем-то запакована. Большая часть секций имеет имя "CENSORED" - обработано чем-то, а нам без разницы чем. Все тело запаковано - вразумительных и вкусных строк нету.
Грузимся в отладчике - сразу видно, что все там нафаршировано мусором по самое нехочу:
[Ссылки доступны только зарегистрированным пользователям]
После нажатия F9, ситуация начала прояснятся. Перед основной работой, трой делает небольшую паузу. Ставим исполнение на паузу и трэйсим по выхода из системной библиотеки. После этого основной код программы стал декриптован и скопирован туда, где мы оказались.
Код там аж ниразу не интересный - работа с окнами и прочая унылая фигня. Но мы ж то, мать его, ищем не код, а ищем данные. Пролистав ввех-вниз листинг в отладчике, цель все-таки нашлась:
[Ссылки доступны только зарегистрированным пользователям]
Кодер спалился) Есть один хороший сервис - проверка кошелей ВМ ([Ссылки доступны только зарегистрированным пользователям]). Чекаем там любой из кошельков и получаем крохи инфы - вмид и почту.
Сделаем так, чтобы гугл знал его получше:
Внимание! Мошенник и вор!
WMID#685620749402
Z446519800353
R977427732768
U148178261273
E788145424684
[email protected]
Если у кого есть персональный аттестат, можно кинуть на него абузу, для профилактики. А на мыло я ему письмецо кинул - может ответит :-)
Оригинал:
[Ссылки доступны только зарегистрированным пользователям]