))
Господа, кажется, могу порадовать тех, кто хотел увидеть работающий вариант этой шняги
)
Да, я ее поймал! (и оно доставило мне примерно 20 минут наслаждения).
Итак:
best.softnavigator.net/soft/download_16979.html - вот это архив с бесплатной игрой, качаемой с megasvalka.net.ru
(мне, большому дитю, захотелось "вспомнить все" и поиграть в старинную дендятину - Battle City)
...честно говоря, я бы не спешил утверждать, что автор этой игры при изготовлении задумал нехорошее, скорее на этой самой мегасвалке есть источник заражения...
Что делает? Копирует себя в %windir%\system32\drivers с именем winlogon.exe, затем прописывается в реестр в Windows\CurrentVersion\Run, а после первой же (неизбежной!) перезагрузки еще и как оболочка
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Потом инициирует перезагрузку и выдает очень натуральную картинку о нелицензионном программном обеспечении, и требование оплатить через яндекс-деньги, если посмотреть, как же теперь активироваться
)) Красота!
Защит никаких нет, скрытых троянов, регистрируемых сервисов, ocx или dll, убиения антивирусов - нет, все крайне просто. За исключением того, что даже в защищенном режиме попадаем туда же...
но есть еще вариант "с поддержкой командной строки", который собственно и спасает.
А, да - собственно шняга в экзешнике этих самых танчиков... внедрена, так сказать...
Экзешник начинается достаточно типично - с установки SEH и выполнения привилегированной команды, копать мне лениво, короче - кому интересно, наслаждайтесь ))
Файл прикрепить не могу - ибо 120К в архиве. Но с "мегасвалки", я думаю, сольете без проблем...