ROOTKIT
21 Zrzutów Rootkita Sirefef z dnia
2012-04-19
2012-04-20
2012-04-24
2012-04-26
2012-04-28
[malware]
[Aby zobaczyć linki, zarejestruj się tutaj]
hasło: sg [/malware]
Win32Rootkit BlackEnergy
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[malware]
[Aby zobaczyć linki, zarejestruj się tutaj]
[/malware]
RANSOM
GEMA
[Aby zobaczyć linki, zarejestruj się tutaj]
[malware]
[Aby zobaczyć linki, zarejestruj się tutaj]
[/malware]
[Aby zobaczyć linki, zarejestruj się tutaj]
Ransom LockScreen
Unblock code: 9109101313
Drops from a fake porn site as xxx_video.avi.exe
Runs through SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon as Shell replacement of Explorer.
For unpacking load dropper into debugger and set a break on CreateProcess (due to drop period ransomware restarts itself from %temp% folder for original file self-deletion purposes). Then locate decrypted payload container in dropper memory and dump it to disk. Cut off garbage, remove UPX and "unpacking" complete. Next it is trivial. Unblock button is Button3. Yes this crapware written on Delphi 7 and even include image named "winlockimage". Used WinBlockTerr Delphi component for various system parameters blocking.
CODE: SELECT ALL
CODE:0047FDCC TForm1_Button3Click proc near
CODE:0047FDCC
CODE:0047FDCC var_4 = dword ptr -4
CODE:0047FDCC
CODE:0047FDCC pushebp
CODE:0047FDCD mov ebp, esp
CODE:0047FDCF push0
CODE:0047FDD1 pushebx
CODE:0047FDD2 mov ebx, eax
CODE:0047FDD4 xor eax, eax
CODE:0047FDD6 pushebp
CODE:0047FDD7 pushoffset loc_47FE2B
CODE:0047FDDC pushdword ptr fs:[eax]
CODE:0047FDDF mov fs:[eax] , esp
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[malware]
[Aby zobaczyć linki, zarejestruj się tutaj]
[/malware]
[Aby zobaczyć linki, zarejestruj się tutaj]
FAKEAV
Smart Fortress 2012
[Aby zobaczyć linki, zarejestruj się tutaj]
[malware]
[Aby zobaczyć linki, zarejestruj się tutaj]
[/malware]
Windows Safety Checkpoint
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[malware]
[Aby zobaczyć linki, zarejestruj się tutaj]
[/malware]
PASSWORD/HASŁO
sg