Есть такая прога popstar.exe. Что она делает в общем, не важно, но она как-то ухитряется прятаться не только от различных ТаксМанагеров и ПроцессМанагеров, но еще и "исчезает" с винчестера. Т.е. прячется целиком и полностью. При перезагрузке снова появляется на старом месте. Никто не знает как она это делает? Спасибо.
может, перехватывает FindFirstFile и FindNextFile и дурит тех, кто ими пользуется, и другие энумераторы, наверное, перехватить можно.
интересная весчь я ее запустил в 2000 под пользователем - во-первых, выдала окно debug-mode, во-вторых, в списке процессов ее видно, а запускает она инет эксплорер, в-третьих, она нормально дизассемблируется идой (правда, индексные переходы есть), и наконец, похожа на обычный порнотроян/даунлоадер, токо ниче у него у меня не вышло под пользователем тк ниче не прописано. вот что у меня было в окне дебаг: 35C CFG_URL0: http://www.adbiz-pool.com/pop/wcmd.php 35C CFG_URL1: http://www.adbiz-pool2.com/pop/wcmd.php 35C CFG_URL2: http://www.adbiz-pool3.com/pop/wcmd.php 35C CFG_IDS: ID11x 35C IDStr: ID11x-jafqekho 548 IESDEX... 548 URL: http://www.adbiz-pool.com/pop/wcmd.php?d=0:0:0:0:ID11 x-jafqekho:000000 000:2:16:57:52 548 Binary : FALSE 548 Offset : +0b 548 File : (null) 548 URL : http://www.adbiz-pool.com/pop/wcmd.php?d=0:0:0:0:ID11x-jafqekho:00000 0 000:2:16:57:52 548 DwFile : C:\WINNT\system32\kgcbpomj.dat 548 ID : PSTAR2B 548 Prefix : q 548 Nothing to send... (file zero size/not found/cant alloc mem/offset>=filesize)! 548 C:\DOCUME~1\shoo\LOCALS~1\Temp\fehohijk.htm 548 HTML generated: NULLSEND 548 NULLSEND html generated 548 Executing ie... 548 IE Captured ID: 1 и периодически обновлялось, вот. за 98 - у меня нет, а под админом такое пускать не рискнул ой! линки побил, а то влезет еще кто! (винуват)
