fidres
10.12.2010, 18:22
сегодня сделал для себя вывод, что ERDregedit не подходит для редактирования реестра винды на заблоченной машине.
но в составе Alkid Win PE есть утилита, позволяющая просматривать и редактировать реестр поражённой системы!
(использовал ZverDVD 2010)
с помощью этой утилиты и нашёл подменённый ключ "userinit".
сам локер - тривиален. ничего кроме номера телефона - нет.
перекрывает экран, не давая отображать таскманагер (хотя, по альт-табу - видно, что тот всплывает по трём-клавишам).
вес - чуть больше 52 кило.
название "xxx_video_30619.avi.exe".
пришёл скорей всего по почте, в спам-рассылке с какого-то рассадника, типа майл.ру (о чём-то таком при мне говорили страдальцы). судя по месту обитания - залез через оперу (правда не уточнял какой версии).
текст - примерно такого содержания: "просмотр порно... пополнить баланс абонента мтс 89853132746 через терминал экспресс-оплаты... в чеке будет указан код разблокировки...".
G:\~a\~vir\xxx_video_30619.avi.exe
-------------------------------- File version info:
-------------------------------- Section info (3 sections):
Section: UPX0
VirtualSize: 0001F000
VirtualAddress: 00001000
PointerToRawData: 00000200
SizeOfRawData: 00000000
Flags: E0000080
Section: UPX1
VirtualSize: 0000D000
VirtualAddress: 00020000
PointerToRawData: 00000200
SizeOfRawData: 0000C800
Flags: E0000040
Section: .rsrc
VirtualSize: 00001000
VirtualAddress: 0002D000
PointerToRawData: 0000CA00
SizeOfRawData: 00000200
Flags: C0000040
-------------------------------- Imports:
KERNEL32.DLL
LoadLibraryA
GetProcAddress
VirtualProtect
VirtualAlloc
VirtualFree
ExitProcess
Modules imported: 1
Functions imported: 6
-------------------------------- Exports:
Ordinal RVA Name
OrdinalBase: 0
NumberOfFunctions: 0
NumberOfNames: 0
но в составе Alkid Win PE есть утилита, позволяющая просматривать и редактировать реестр поражённой системы!
(использовал ZverDVD 2010)
с помощью этой утилиты и нашёл подменённый ключ "userinit".
сам локер - тривиален. ничего кроме номера телефона - нет.
перекрывает экран, не давая отображать таскманагер (хотя, по альт-табу - видно, что тот всплывает по трём-клавишам).
вес - чуть больше 52 кило.
название "xxx_video_30619.avi.exe".
пришёл скорей всего по почте, в спам-рассылке с какого-то рассадника, типа майл.ру (о чём-то таком при мне говорили страдальцы). судя по месту обитания - залез через оперу (правда не уточнял какой версии).
текст - примерно такого содержания: "просмотр порно... пополнить баланс абонента мтс 89853132746 через терминал экспресс-оплаты... в чеке будет указан код разблокировки...".
G:\~a\~vir\xxx_video_30619.avi.exe
-------------------------------- File version info:
-------------------------------- Section info (3 sections):
Section: UPX0
VirtualSize: 0001F000
VirtualAddress: 00001000
PointerToRawData: 00000200
SizeOfRawData: 00000000
Flags: E0000080
Section: UPX1
VirtualSize: 0000D000
VirtualAddress: 00020000
PointerToRawData: 00000200
SizeOfRawData: 0000C800
Flags: E0000040
Section: .rsrc
VirtualSize: 00001000
VirtualAddress: 0002D000
PointerToRawData: 0000CA00
SizeOfRawData: 00000200
Flags: C0000040
-------------------------------- Imports:
KERNEL32.DLL
LoadLibraryA
GetProcAddress
VirtualProtect
VirtualAlloc
VirtualFree
ExitProcess
Modules imported: 1
Functions imported: 6
-------------------------------- Exports:
Ordinal RVA Name
OrdinalBase: 0
NumberOfFunctions: 0
NumberOfNames: 0