Собственно хотел бы найти человека, который бы смог разобраться алгоритме вируса. Вирус: Trojan.WinLock.** Пишим в icq 6962125
копирует себя в: c:/documents and settings/all users/application data/ под именем: blocker.exe и blocker.bin дописывает в реестр: HLKM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon ключ: "C:\\WINDOWS\\system32\\userinit.exe,..,C:\\DOCUME~1\ \ALLUSE~1\\APPLIC~1\\blocker.exe" генератор ключа: http://news.drweb.com/get+winlock+code/?c=число
ну как, чтоб после переделки вируса слали смс на "другой" номерок а тс знал алгоритм для генерации ответа.
Они мне отказали... Вот ещё генератор от Symantec: http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/Ransom_unlock.exe (Для примера: 4111234567)
в ecx - число генератор: Code: 0040421B |. 81E1 FFFF0F00 AND ECX,0FFFFF 00404221 |. 8BC1 MOV EAX,ECX 00404223 |. C1E8 10 SHR EAX,10 00404226 |. 83E0 0F AND EAX,0F 00404229 |. 69C0 95000000 IMUL EAX,EAX,95 0040422F |. 33D2 XOR EDX,EDX 00404231 |. BE A7000000 MOV ESI,0A7 00404236 |. F7F6 DIV ESI 00404238 |. 8BC1 MOV EAX,ECX 0040423A |. C1E8 0C SHR EAX,0C 0040423D |. 83E0 0F AND EAX,0F 00404240 |. 6BC0 6C IMUL EAX,EAX,6C 00404243 |. BF 97000000 MOV EDI,97 00404248 |. 8BF2 MOV ESI,EDX 0040424A |. 33D2 XOR EDX,EDX 0040424C |. F7F7 DIV EDI 0040424E |. 8BC1 MOV EAX,ECX 00404250 |. C1E8 08 SHR EAX,8 00404253 |. 83E0 0F AND EAX,0F 00404256 |. 6BC0 1F IMUL EAX,EAX,1F 00404259 |. C1E6 04 SHL ESI,4 0040425C |. BF A3000000 MOV EDI,0A3 00404261 |. 03F2 ADD ESI,EDX 00404263 |. 33D2 XOR EDX,EDX 00404265 |. F7F7 DIV EDI 00404267 |. 8BC1 MOV EAX,ECX 00404269 |. C1E8 04 SHR EAX,4 0040426C |. 83E0 0F AND EAX,0F 0040426F |. 6BC0 1D IMUL EAX,EAX,1D 00404272 |. C1E6 04 SHL ESI,4 00404275 |. BF B3000000 MOV EDI,0B3 0040427A |. 03F2 ADD ESI,EDX 0040427C |. 33D2 XOR EDX,EDX 0040427E |. F7F7 DIV EDI 00404280 |. 8BC1 MOV EAX,ECX 00404282 |. 83E0 0F AND EAX,0F 00404285 |. 6BC0 35 IMUL EAX,EAX,35 00404288 |. C1E6 04 SHL ESI,4 0040428B |. B9 C5000000 MOV ECX,0C5 00404290 |. 03F2 ADD ESI,EDX 00404292 |. 33D2 XOR EDX,EDX 00404294 |. F7F1 DIV ECX 00404296 |. C1E6 04 SHL ESI,4 00404299 |. 03F2 ADD ESI,EDX
в некоторых числах тупит =*) fasm: Code: include 'win32ax.inc' temp db 256 dup(?) formats_str db "%i",0 main: call oy ;4110000001 => 53 invoke wsprintf,temp,formats_str,edx invoke MessageBox,HWND_DESKTOP,temp,temp,MB_OK exit: invoke ExitProcess,0 .end main proc oy mov ecx,4110000001 and ecx,0FFFFFh MOV EAX,ECX SHR EAX,10h AND EAX,0Fh IMUL EAX,EAX,95h XOR EDX,EDX MOV ESI,0A7h DIV ESI MOV EAX,ECX SHR EAX,0Ch AND EAX,0Fh IMUL EAX,EAX,6Ch MOV EDI,97h MOV ESI,EDX XOR EDX,EDX DIV EDI MOV EAX,ECX SHR EAX,8h AND EAX,0Fh IMUL EAX,EAX,1Fh SHL ESI,4h MOV EDI,0A3h ADD ESI,EDX XOR EDX,EDX DIV EDI MOV EAX,ECX SHR EAX,4h AND EAX,0Fh IMUL EAX,EAX,1Dh SHL ESI,4h MOV EDI,0B3h ADD ESI,EDX XOR EDX,EDX DIV EDI MOV EAX,ECX AND EAX,0Fh IMUL EAX,EAX,35h SHL ESI,4h MOV ECX,0C5h ADD ESI,EDX XOR EDX,EDX DIV ECX SHL ESI,4h ADD ESI,EDX MOV ECX,EAX ret endp