Реверс віруса Piggy
Почнемо з того, що сьогодні з `явився новий вірус для icq – на ім’я “Piggy“.
Після реверсу вірусу за допомогою Olly, я зрозумів як працює алгоритм.
Piggy був написаний на Delphi, це я зясував за допомогою peid.
Даний використовує свій алгоритм декодування рядків. Всі рядки в ньому – набір одиничок і нуликів (простіше кажучи – ASCII код).
Дані, які витягуються безпосередньо з самого коду:
“12111″, “744444″, “757555″, “1000″, “1001″, “software”, “microsoft”, “windows”, “CurrentVersion”, “uninstall”, “QIP Infium \”, “: \ Program Files \ “,” \ infium.ede “,” QIP Infium “,” http://www.icq.com/ “,” people / “,” 566539612 “,” d1-1-2-6-14 “, “]=]=] – “,” [=[=[", "477754821", "[=[=[", "]=]=]”, “91507743″, “–]”,” http: / / easeload.ru / “,”: “,” (1,95) “,,” download /? “,” Pigge.fip “,” login.icq.com “,” microsoft “,” infected “,” software “,” password “,” ( “,”. qip “,” QIP \ Profiles \ “,” Profiles “,” Volatile Environment “,” APPDATA “
Як відновити пароль:
- Дивимося інформацію “Про Себе”
- Копіюємо ASCII код (одинички і нулики)
- Дістаємо з ASCII потрібні нам дані
Дешифратор: http://uasc.org.ua/Piggy_qweabc.php?s=[code]
Рома ти все таик віришив відкрити скрипт для людей? Мені здаеться шо все таки це трішки небезпечно
Це я вирішив, Ростон схожий вже є майже на всіх порталах.
+1 відкритий тільки онлайн сервіс, а не сорс.
фактично відкрити свій онлайн сервіс (який працює на нашому алгоритмі) ми мусимо, щоб не залишатися позаду тих хто це зробив вже
хоча я не одобряю цю ідею, так як це призводить до кражі номерків =(
Першая новина у новому 2010 році.
Про це читав на хабрі 5 днів тому, але зараз мені здається там статті вже немає.
Як багато комп’ютерів заражані зараз цим вірусом?
ZEXEL: хз.. вірус кидав лінк на скачку самого себе на файлообміннику easyload.ru.
якшо вірити пошуку на файлообміннику ( http://easyload.ru/search/ ) по колонці “Скачан”, то число біля 53′000.
причому пік можна спостерігати лише 17 числа (51к):
@ 23 Piggy.zip 0.52 2010-01-17 51012