Антивирусы → Эксперименты с вирусом

Авг 23, 2010

Как-то попался мне в руки исходник вируса на Delphi, который подменяет файл hosts.
Исходник, видимо, старый т.к. KIS при проверке скомпилированного файла сообщил о Trojan.Win32.Generic.

Решил поиздеваться над зловредом - вырезать всё, что антивирус считает вредоносным.

В итоге от более чем двухсот строк кода осталось всего пару строк:

varString := '127.0.0.1 smsdeluxe.ru 127.0.0.1 smsdeluxe.ru 127.0.0.1 www.smsdeluxe.ru 127.0.0.1 only-support.com 127.0.0.1 rutracker.org' +
'127.0.0.1 www.rutracker.org 127.0.0.1 megashara.com 127.0.0.1 youtube.com 127.0.0.1 www.youtube.com 127.0.0.1 odnoklassniki.ru 127.0.0.1 www.odnoklassniki.ru';


Честно говоря, не лучший способ определить вредоносность программы, попахивает халтурой специалистов Kaspersky.

Таким образом, любой файл можно превратить в вирус - достаточно лишь в любое место кода вставить эту переменную с соответствующим содержанием и "зловред" готов.

Post to Twitter

Комментарии (2)

  1. avatar

    Dead
    Август 24th, 2010 at 19:15 #

    Честно говоря не когда не люблю каспера, но порой и им приходиться пользоваться

  2. avatar

    d3m
    Февраль 22nd, 2012 at 02:14 #

    Совсем не факт, что вы правы, т.к. этот детект у касперского — основан на эвристике, и.. соответственно когда вы убрали список адресов для подмены, файл перестал быть Trojan.Win32.Generic, т.к. перестал нести свою вредоносную деятельность:)

Ваш комментарий

Rambler's Top100 Яндекс.Метрика