Что делает эта прога?

Знакомая по асе пислала ссылку. Я перешел - там exe. По старой индейской привычке, конечно же, предварительно посмотрел его в hiew. После того, что я там увидел, всякое желание его запускать пропало ) PEiD на его анализе просто падает

Знакомая русская, но написала про ссылку "Check this: http...". На мои вопросы не ответила и ушла в офлайн. Путем некоторых заключений, основанных на дедуктивном методе одного дяди, я пришел к выводу что у нее просто угнали аську и по ее контакт-листу рассылают какую-то гадость.

Я уже стар, и утратил все былые юношеские навыки мегохакера, поэтому, если кому не сложно, ради интереса, посмотрите, что делает сия прога.

[EDIT]

Аттачем не приципился Не помню скока там можно на аттач. Ну да ладно, вот этот файл: http://ifolder.ru/1529779

 

Это какой-то трой, мне тоже несколько ссылок в асю приходило.
Аську не угоняли, просто трой рассылает ссылки по кл.
Я помню, распаковал и пихнул на virustotal. Уж не помню, что оказалось, бяка какаято короче

 

virustotal. Причём, у аваста он был внесён в базы только вчера.

 

мля, и оно вообще работает? o_O
проверьте кто-нибудь, а... ))

 

это warezov
какая-то версия

 

у него entry point на заголовке
и tls'ов никаких..

 

Nouzui
Да, я тоже заметил. Но проверять не стал Лень виртуалку запускать.

 

такое может и из виртуалки вылезти, если оно правда рабочее.. ::

 

Nouzui
А на заголовке ли? Просто сейчас вспомнил, как kpnc описывал ulink, там были игры с секциями: физически было одно, а в памяти всё располагалось уже по-другому.

 

>у него entry point на заголовке
>и tls'ов никаких..
епт, вы что. это upack обычный. (aka winupack)

>А на заголовке ли? Просто сейчас вспомнил, как kpnc описывал ulink, там были игры с
>секциями: физически было одно, а в памяти всё располагалось уже по-другому.
не, не то. там прикол в том, что PointerToRawData выравнивается в нижнюю сторону.
в частности, в данном случае вместо 0000000D станет 0 => на 401000 пудет промаппен MZ-хидер.
пронаблюдать это можно напр. в олли.

 

>мля, и оно вообще работает? o_O
что понимать под "работает"?
upack файло распаковывает. что дальше - не смотрел, т.к. не интересно.

 

WolfHunter
то и понимать
открой его hiew'ом, найди entry point и посмотри, какие там инструкции
а потом объясни, почему он не вываливается в протекшн фаулт (сам не проверял, но раз распространяется, значит, как-то работает))
я не понимаю..

 

а почему он должен вываливаться? =)

Код (Text):

1. EntryPoint:
2.  
3. 00401030 >- E9 A5060300        JMP FLASH.004316DA
4. 00401035    42                 INC EDX
5. ...
6. 004316DA    BE 88014000        MOV ESI,FLASH.00400188
7. 004316DF    AD                 LODS DWORD PTR DS:[ESI]

=)

 

вообще-то да, у мну глюки
прикольная идея с выравниванием смещений..

 

>открой его hiew'ом, найди entry point и посмотри, какие там инструкции
то что в хиеве это не учтено - это проблемы хиева

 

да не то что в хиеве, вообще, похоже, нигде не учтено..
включая спецификацию PE..