Перейти к содержанию
vpv

Возможно ли самостоятельно разработать антивирус

Recommended Posts

Dr. Jekyll

Итого в "базе" перечислено 3702 + 1 + 9 + 18 = 3730 файлов ровно. Ну и 17 масок.

И да, вот очередная веселая картинка.

diplom_Virtual_intellectual_systems.jpg

post-19814-1364528109_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

а я могу объяснить почему пик на 92 годе )))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr. Jekyll

Ну, я полагаю, что это произошло из-за зачатия Бабушкина. Авторы вирусов предвидели тот сокрушительный удар, который им нанесет младенец в будущем, и заблаговременно пытались нейтрализовать личинку.

С глубоким прискорбием должен отметить, что логика Исполнителя, запечатленная в его нетленном коде, уже укусила меня в мозг, и диаграмма была оформлена поистине несносно, хотя и такая в некоторых псевдоВУЗах худо-бедно сошла бы за курсовичок.

Immunity_collection.png

Также в предыдущем посте в список масок прокрался путь %appdata:~3,255%\taskhost.exe, маской не являющийся.

Слова "И по одному Аллаху ведомым причинам..." предлагаю читать как "И по одному Заратустре ведомым причинам, убрал из нее файлы..."

Небольшая статистика: за вычетом масок, добавление каждого из 3730 имен вирусов в "базу" "антивируса" обошлось налогоплательщикам в 200000 / 3730 = 53,62 рубля непосредственных расходов, не считая затрат на проведение помпезных презентаций и оплаты труда бездарных "преподавателей", "экспертов" и журналистов, издание прокламаций в "Ползуновском альманахе" и др. косвенных затрат.

И, как всегда, очередная веселая картинка в Мурзилка-АлтГТУ-style.

letter.jpg

post-19814-1364539233_thumb.png

post-19814-1364539881_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr. Jekyll

Как видим, даже мэр города не преминул отметить, что фанатичный поклонник Zаратустры слишком дорог налогоплательщикам.

Да, должен особо отметить, что в коллекции вирусов, наполнившей Иммунитет сакральным смыслом, имеет место быть и файл из... будущего! Вирус MITH-496.COM будет создан аж 24 марта 2023 года, в 02 часа 17 минут 40 секунд, что преисполняет наши сердца благоговейным трепетом перед воодушевленным верой в Zаратустру изобретателем первой в мире двунаправленной машины времени. Следующий транш в размере 200000 р. необходимо направить на повышение вероятности перемещения на этом аппарате в будущее, ибо вероятность 1/3730 пока что оставляет желать лучшего.

Предлагаю уже сейчас приступить к написанию канонической биографии Пророка, для чего припадем, братия, к истокам, и станем восхищенно внимать самому Zороастрийцу (стиль, орфография и др. сохранены):

"•Количество техники, размещаемой у меня дома не поддаётся исчислению числом, меньшем 100. Сервер потребляет 100Вт энергии ежечасно и создает магнитные поля, при неразмогничивании которых могут случаться казусы в виде ударов током флэшек, лежащих просто так, прилипании листов бумаги к батарее и т.п.

•Стационарный компьютер генерирует огромное число электромагнитных импульсов, но они гасятся за счет толстой стали, из которой был создан каркас, а так же за счет трансформаторов, которые генерируют электромагнитные волны в противофазе. Общий потребляемый ток составляет около 5-и ампер в режиме нагрузки, но в режиме простоя потребляемая мощность всего 72Вт при столь огромном изобилии железа.

Выводы

•Мною было проведено исследование экологической обстановки района и города, в котором я проживаю. Приведена статистика и сравнение с другими крупно-населёнными географическими объектами близ Алтайского края. А так же продемонстрирован вред от технической обстановки квартиры. В теории можно предположить, что растения и магнитная изоляция не выпускают волны за пределы квартиры и беспокоиться не о чем, но на самом деле всё может быть совсем не так.

P.S. – зато я фантики куда-попало не кидаю. Для этого есть помойки =)""

И не преминем отметить его высокие моральные принципы.

certificate_city.jpg

post-19814-1364541271_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr. Jekyll

Breaking news.

Вниманию публики предлагается несравненный сверхпереархиватор Бабушкина! По сходной цене. ATR одобряе.

Прикоснись к вечности!

arch1.gif

arch2.gif

post-19814-1364544216_thumb.png

post-19814-1364544240_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr. Jekyll

Архиватор Бабушкина.

http://anonymousdelivers.us/43201

Псевдокод алгоритма:

АРХИВАЦИЯ:

Совершены все мыслимые и немыслимые ошибки. Феерично.

Caption = "Вес программы в памяти: " & App.ThreadID * a & " байт"

X = 1

Y = 1

Do

Do

If Not BooL = True Then

If Not Y >= X Then

If Y / X Like "*" & Mid(Text3, 1, 14) & "*" Then

MsgBox ... "Блоки сходятся!"

BooL = True

End If

End If

End If

X = X + 1

Loop Until (X > xmax)

Y = Y + 1

Loop Until (Y > ymax)

If BooL = True Then msg "Значения найдены"

РАСПАКОВКА (без магии не обошлось)

статус = "Вычисляем делители..."

... маловразумительная магия

статус = "Выполняем деление..."

... еще магия

статус = "Запись из памяти в файл..."

...

If Text6 Like "*22146654946652146656473828377455389019274830192747301037565647392499980642

734/763166243547631635462746436380192

93847564839263658594836618110203844356873261,3738202*" Then

FileCopy App.Path & "\sys\SFC.DLL", Text4

Text1 = "FFFB00496E666F000F00226C544EDA..."

End If

If Text6 Like "*4830192747301037565647392499980642734/8475643658594836618110203844356873261,662016*" Then

FileCopy App.Path & "\sys\MSVBVM50.DLL", Text4

Text1 = "BA100E1FB409CD21B8014CCD21906D..."

End If

Исходник прилагается.

archivator.frm.txt

Galoist.JPG

По оценкам алтайских экспертов, это стоит никак не менее 0,8 млн. руб. Что ж, люди знающие, 2 * 400 т. р. уже выплатили в 2011 г. И - мы еще других лет не рассматривали.

archivator.frm.txt

post-19814-1364547820_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr. Jekyll

Защита Zаратустры:

If txt Like "*Key=*" Then

Text2 = Mid(txt, 5, 29)

If Text2 Like "?A???-???L?-?????-?????-???F?" Then

Text2.Visible = False

Else

Msgb.Visible = True

Msgb.Label1 = "Программа не активирована"

Таким образом, подходят любые ключи такого вида. Впрочем, Гений, бывает, меняет маску. Так, возможен вариант "?A???-???L?-?????-?????-K????"

Такая маска содержит в себе три десятичных разряда "хэш-функции" срока действия ключа в днях xyz на позициях: "?A?x?-???L?-???y?-?????-Kz???", где

x - старший разряд срока действия;

y и z представляют собой младший разряд суммы или разности соответствующих разрядов срока действия ключа в днях и констант 0, 1 или 2 в зависимости от значений в некоторых других позициях строки ключа.

1346966671118.jpg

Altai_future_2010_resampled..jpg

post-19814-1364549726_thumb.jpg

post-19814-1364550140_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr. Jekyll

Еще защита Zаратустры:

"Чувак, ты никогда не задумывался, что ты полный долб*б? Я являюсь пользователем этой проги, и всё, что я тут прочитал - пиздёж пиздежом. Мало того, что ты абсолютно не разбираешься в прогах, так ещё и пытаешься выставить себя самым умным. С полным утверждением могу сказать, что ты - идиот, который не разбирается вообще ни в чем. "Я общался с людьми", "я читал" - и как, Андрей, многого добился? Удаляйся нахер, щенок".

Так говорят в АлтГТУ. Так говорил Zаратустра.

- Даже если антивирусник не очень, парнишка явно молодец!

- парнишка учится смолоду пилить бабло:)

- в сколково поедет. со своей флешкой.

- Работает, что-то делает - хорошо. Хочет сразу бабло за очень сырой продукт - плохо. Флешка - без комментариев.

diplom_Altay_future_2010.jpg

post-19814-1364551377_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr. Jekyll

Д-р Зета. Впрочем, я могу закодировать энциклопедию на этом металлическом стержне. Для этого мне понадобится нанести на него одну-единственную риску.

Д-р Герман. Вы шутите, коллега? Разве может одна-единственная риска нести такое огромное количество информации?

Д-р 3ета. Разумеется, может, мой дорогой Герман! В вашей энциклопедии меньше тысячи букв и специальных знаков. Каждую букву и каждый знак я обозначу числами от 1 до 999, добавляя в случае необходимости нули слева, чтобы все коды были трехзначными.

Д-р Герман. Я не вполне уловил вашу мысль. Как, например, вы закодируете слово "КОТ"?

Мартин Гарднер

arch_wall.png

400zk.jpg

diplom_Altai_future_2009.jpg

post-19814-1364552354_thumb.png

post-19814-1364552398_thumb.jpg

post-19814-1364552493_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr. Jekyll

- Это "конкурсы" - программа Будущее Алтая. Проректор АГМУ Бабушкин награждён памятной медалью этой программы. Студент Бабушкин выигрывает конкурс. Есть ли тут связь? Дождёмся ли мы ответа на этот вопрос?

ОБС

- Молодец парень! И нечего завидовать остальным, гордиться нужно, что на Алтае есть такие умные жители! Сами сначала пусть что-то сделают полезного, чтобы потом претензии предъявлять!

Быдло

- Кто-то вкалывает на заводе и платит налоги, а кто-то обманывает людей, пускает им пыль в глаза и эти налоги распиливает. Бабушкин - вор и мошенник! Позор!

Граждане

- Конечно сожрем. Такой конкурент, одних сигнатур каких мы не видывали. И код винтажный. старой школы. Наверное и вирусы под него сам пишет.

Не понятно что делает оператор "ЕБN ГУСЕЙ".

Касперский с Нортоном

- Кафедрал, это с ваших слов получается гос учреждения его подставили, приобретая ПО, а конкурс этот умник подставил его вручив 400 косарей? бедный парень!!! вот изверги!

Ироничный парень

- Похоже, большая часть комментов написана одним и тем же и специально поддерживается в течение нескольких дней. Репортаж по ящику действительно был приурочен ко Дню науки. Вся эта шумиха напоминает "травлю со стороны завистников" и конкурентов. Вместо того, чтобы писать всякую хрень, пошли бы лучше повышать свою квалификацию!

Прохожий

- В данном вопросе - я не специалист, а случайный прохожий. С какой агрессией Вы накидываетесь на первого встречного - Вы напоминаете свору бешеных собак! Не мешало бы немного очеловечиться. Хотя "и это тоже пройдет"

Он же

- Первый встречный, к вашему сведению, выпилил из бюджета как минимум 400к рублей гранта со своей абсолютно негодной шарлатанской разработкой. То, что в политехе не нашлось специалистов, не способных прочитать код интерпретатора cmd.exe - это ерунда. Поскольку грант получил Бабушкин - это значит, что во-первых, с грантом пролетел кто-то еще, менее одаренный родственными связями в академической среде, а во-вторых, что этот кто-то еще, действительно талантливый и трудолюбивый, возможно либо опустит руки и вообще забьет на научную деятельность или задумается о продолжении карьеры в других местах планеты, где деньги дают не под ping -n 1000000 mail.ru.

Прохожему

http://politsib.ru/news/62624

Это пишет студент-электронщик!

"В 15 лет я написал программу Faraon, всеформатный аудио и видео проигрыватель, несколько раз выступал на краевых и городских конкурсах. Занимал призовые места, но, как мне показалось, работа не была оценена полностью. На данный момент программу Faraon используют порядка 2000 человек из Алтайского края и все довольны программой.

Так же занялся глубоким изучением аппаратной части компьютера. Изучал строение ГП (графический процессор) и ЦП (центральный процессор), зачем нужны южные и северные мосты на материнских платах, что происходит после нажатия кнопки включения, какие напряжения на какой порт подаются, как можно это всё использовать в других целях, и прочие вопросы.

Например, старый блок питания ATX 150W имел всего 2 выхода типа molex (штекер, который подключается к CD-ROM’ам и винчестерам) имеет жёлтый и красный провода по краям и два чёрных посередине. Я заметил, что если замыкать в блоке всего пару контактов (как правило зелёный и чёрный провода), то он начинает работать отдельно от материнской платы, на основе полученных знаний я смог добавить 12Vвентиляторы в звуковой усилитель и подключить их к блоку, до этого усилитель выключался от перегрева сам. Так же ничего не помешало мне подключить гирлянду, которая раньше работала от розетки, но затем сгорел блок к ней, к компьютеру в красный провод molex, а чёрный – земля. Таким образом, я подавал на гирлянду 5V от коммутатора ATX, и она работала весь новый год".

Zаратустра

press_release1.gif

press_release2.gif

press_release3.gif

post-19814-1364554088_thumb.png

post-19814-1364554101_thumb.png

post-19814-1364554111_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr. Jekyll

- Чтобы вам до конца жизни пользоваться ТОЛЬКО антивирусом Бабушкина. Да что там, чтобы все, чтобы вас окружало, было сделано такими, как он. Вот бы вы взвыли.

Гражданин

- Уме Турман из политеха - хорошо. что вы предлагаете? дальше продавать "антивирус" и дурить лохов или остановить "травлю" и все забыть? Не вы ли тратили бюджетные деньги на ЭТО? Если вы мама этого парня - я вас пойму, пойму ваши призывы прекратить проливать гуамно, его пролилось уже очень предостаточно. Но если вы человек, имеющий, хотоь какое-то отношение к ИТ вы должны признать всю серьезность ситуации. Дело идет не о допинывании. Критику нужно уметь принимать. Не всем это удается. Тем более юнцам- максималистам. Пляжные семейные фотографии, считаю - низко, Однако это реакция на совершенные действия парня и его окружения. Крепитесь, волна гумна уже проходит. Но смогут ли причастные выйти из этого сухими - это вопрос.

Гражданин

Патентная заявочка расставляет акценты.

patent_request.gif

first_steps2.__2.jpg

post-19814-1364555282_thumb.png

post-19814-1364555839_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr. Jekyll

Некоторые абзацы выше являются цитатами из обсуждений этой темы на других ресурсах, в том числе - на форумах СМИ. Они заключены в кавычки либо оформлены как прямая речь, начинающая со знака тире. К моему глубокому сожалению, с полным сохранением авторской лексики.

Приношу извинения всем заинтересованным лицам.

Цитировались

http://politsib.ru/news/62624

http://www.amic.ru/news/210209/

http://www.amic.ru/news/209366/

http://sporaw.livejournal.com/153328.html?page=8

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Нецензурная речь, даже оформленная как цитата, всё равно остаётся нецензурной речью. Поэтому нарушает правила форума.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr. Jekyll

Вот, Если кто-то еще не видел. Один-в-один, можно сказать. За исключением того, что герой фильма все же был в колледже, пусть и посредственным, но программистом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

AlexxSun мы пообщались с Dr. Jekyll в личке. Думаю, он будет более внимателен при выборе цитат.

P.S. Друзья, старайтесь, по возможности, избегать цитирования фрагментов текста, содержащих нецензурную лексику. Конечно, в некоторых случаях, без цитат трудно обойтись, но злоупотреблять свободой слова на нашем форуме тоже не следует. Нам нужно учитывать, что наши сообщения читают разные люди (в том числе и те, которым не нравится или даже противен мат), поэтому нужно стараться формулировать мысли так, чтобы их могли читать (без отвращения) все участники форума.

Напомню также, что я оставляю за собой право применять за оскорбления и мат самые суровые санкции http://www.anti-malware.ru/forum/index.php...st&p=167996

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr. Jekyll

"Отец помог мне только придумать название "Иммунитет" - на этом его помощь заканчивается. Все остальное было достигнуто собственными силами. Кстати, на тот момент отец ещё не был проректором.

Самое странное, что большинство крупных антивирусов начинают реагировать на мой антивирус как на вирус, хотя раньше такого никогда не было и в исходном коде вирусов нет. Я свой код знаю и не стал бы распространять заразу.

В СМИ изначально информация была преподнесена некорректно. Например, о флэшке-маркере, я вообще не хотел рассказывать, как и о тестировании Windows 8, это была инициатива журналистов. Также я не продавал лицензии на "Иммунитет", я его только устанавливал и брал деньги именно за эту работу. А грант 400 тысяч рублей по программе "У.М.Н.И.К." я получил на дальнейшее развитие проекта. Я никогда не делал громких заявлений о том, что мой антивирус во многом превосходит "старших братьев". Все его пользователи довольны и продолжают им пользоваться. Я согласен с тем, что над ним предстоит еще много работать, но уже сейчас для самых обычных пользователей он подходит, гарантируя им защиту от большого количества вредоносных объектов".

Как видим, это беспардонная ложь, растиражированная СМИ. Причем нетрудно заметить, - по слогу значительно отличающаяся от обычных речей алтайского гения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
KingS
секций и точек входа, включая OEP, хранятся в файле “Base.dll”. На данный момент антивирус насчитывает приблизительно 2.610.000 вирусов, из них содержится заголовков порядка 118.000, остальное - вредоносные команды. Данные о вирусах были получены с сайта Viruslist.com, на котором любой пользователь может оставить заявку о найденном недавно вирусе и тем самым предупредить остальных, что обнаружен ручными средствами новый вирус".Прилагаю файл “Base.dll”, версия от 14 марта 2013 г. со вторым расширением .txt, т.к. .dll он не является.

 base.dll.txt ( 61.45 килобайт )

Шутки ради накодил сканер для антивирусной базы бабушкина, качать тут: http://rghost.net/45057032

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr. Jekyll

Итак, дорогие читатели, по Вашим многочисленным просьбам журнал "Веселые картинки" начинает разбор исходного кода "антивируса" "Иммунитет" Алексея Бабушкина.

Файл New Imun\Con2.frm от 16.08.2012

Элементы пользовательского интерфейса этой формы сами по себе способны доставить немалое удовольствие. Скажем, Label11.Caption = "Выводить сигнал аппаратно (на спикер компьютера)".

Также форма содержит несколько невидимых VB.TextBox, свойства Text которых представляют собой строки из файла настроек "антивируса" "config.cpp":

#pragma once#include stdio.h#include windows.hmain () { int time=90int inetscreen=1int confirmver=0int acttime=40int flashantiv=1int beep=1}

Рассмотрим процедуры этого модуля.

Процедура Form_Load() лихо считывает файл настроек "антивируса" "config.cpp" целиком двумя строками

    Open App.Path & "\System\config.cpp" For Input As 10    text1 = Input(LOF(10), 10)

И инициализирует настройки программы следующим незамысловатым образом:

    If text1 Like "*int inetscreen=1*" Then        SetOn = True         SetOff = False    Else        SetOn = False        SetOff = True    End If    If text1 Like "*int confirmver=1*" Then        VerOn = True        VerOff = False    Else        VerOn = False        VerOff = True    End If    If text1 Like "*int flashantiv=1*" Then        Op1 = True        Op2 = False    Else        Op1 = False        Op2 = True    End If

Переменные типа VB.OptionButton:

группа "Сетевая защита": SetOn - "Включен", SetOff - "Выключен";

группа "Флэш антивирус": Op1 - "Включен", Op2 - "Выключен";

группа "Контроль соединения": VerOn - "Включен", VerOff - "Выключен".

Однако далее у автора возникли некоторые затруднения, и он решил, что остальные настройки сподручнее разбирать иначе:

    Open App.Path & "\System\config.cpp" For Input As IFile    Do While Not EOF(IFile)        Line Input #IFile, txt        If txt Like "*int acttime=*" Then            ti = Mid(txt, 13, 4)        End If                If txt Like "*int beep=1*" Then            Check4 = 1        End If                If txt Like "*int time=*" Then            text1 = Mid(txt, 10, 4)        End If    Loop    mi = text1 / 60    secs = text1 - (mi * 60)    mi = Format(mi, "0#")    secs = Format(secs, "0#")

Таким образом "Иммунитет" инициализирует переменные, расположденные в группе "Период проверки файлов". Далее производится инициализация настроек группы "Визуальное оповещение":

        Text2 = 0    Text2 = FileLen(App.Path + "\Virusfound.mp3")    If Text2 = 0 Then Snd2 = True    Text2 = -2    Text2 = FileLen(App.Path & "\System\visible.conf")    If Not Text2 = -2 Then Vis1 = True Else Vis2 = True    Text2 = App.Path + "\Virusfound.mp3"

Логика автора поражает воображение - то Text2 присваивается 0 перед проверкой существования файла, в другой же раз уже -2... И, конечно, не может не обратить на себя внимание отсутствие простейших представлений о логических вычислениях, что весьма огорчительно для разработчика лучшего в мире "антивируса". Но этим дело не ограничивается, - имена и номера файлов появляются как кролики из шляпы фокусника:

        Open App.Path & "\System\Public.info" For Input As 102    Text3 = Input(LOF(102), 102)    If Text3 Like "*0*" Then Check2 = 0    If Text3 Like "*1*" Then Check2 = 1    Close 102

Но и нумерация файлов - это еще не все, под конец нам приуготовлен настоящий сюрприз в виде числа... ошибок ECC. Как все мы помним, ECC назван также отдельный модуль (или функция) антивируса, поэтому сообщение о том, что он отыскивает какие-то ошибки, должно произвести неизгладимое впечатление на любого профессора АлтГТУ. И, надо особо отметить, произвело.

    Form1.status.SimpleText = "Готово"    If Not Err.Number = 0 Then        Form1.errcontroltext = Form1.errcontroltext + 1        Form1.errcontrol.SimpleText = "Ошибок ECC: " & Form1.errcontroltext    End IfEnd Sub

Процедура mi_Change() не может оставить равнодушным никого. Трогательное копирование операторов if в начале каждой строки валидатора так напоминает первые неуверенные шаги младенца!

    On Error Resume Next    If Not mi = "" Then If mi > 2 Then mi = 2    If Not mi = "" Then If mi < 0 Then mi = 0    If Not mi = "" Then If mi = 1 Then Label2 = "Минуту"    If Not mi = "" Then If mi = 2 Then Label2 = "Минуты"    If Not mi = "" Then If mi = 0 Then Label2 = "Минут"

А бессмертные строки подсчета числа ошибок ECC добавлены во все обработчики событий OnChange и процедуру abel3q_Click(), видимо, для увеличения гипнотического действия этой аббревиатуры.

    If Not Err.Number = 0 Then        Form1.errcontroltext = Form1.errcontroltext + 1        Form1.errcontrol.SimpleText = "Ошибок ECC: " & Form1.errcontroltext    End IfEnd Sub

Но наибольшее потрясение в исследуемом файле производит процедура abel3q_Click(), в которой не обошлось без скромного, но обаятельного жульничества с .mp3 и .dll:

    If Snd1 = False Then        FileCopy App.Path + "\Virusfound.mp3", "Virusfound.wav"        FileCopy App.Path + "\IPAct.mp3", "IPAct.wav"        c = 1    Else        FileCopy App.Path + "\Virusfound.wav", "Virusfound.mp3"        FileCopy App.Path + "\IPAct.wav", "IPAct.mp3"        c = 2    End If    If Check1 = 0 Then        FileCopy App.Path + "\ICore.dll", "ICore(back).dll"        FileCopy App.Path + "\Moon.dll", "ICore.dll"    Else        FileCopy App.Path + "\ICore(back).dll", "ICore.dll"    End If

Далее обрабатывается настройка "Визуальное оповещение" Vis1, причем она сохраняется весьма оригинальным образом в файлах visible.conf и Flash.cpp:

    If Vis1 = True Then        Open App.Path & "\System\visible.conf" For Output As 9        Print #9, "123"        Close 9        Open App.Path & "\System\Flash.cpp" For Output As 14        Print #14, "del=0"        Close 14    Else        Kill App.Path & "\System\visible.conf"        Open App.Path & "\System\Flash.cpp" For Output As 14        Print #14, "del=1"        Close 14    End If

Отдельный файл Public.info, в который автор счел нужным сохранить установку из группы Звуковое оповещение", - занимает целый кластер, а содержит ноль или единичку, получаемые не без некоторых усилий:

    If Check2 = 1 Then Text3 = 1    If Check2 = 0 Then Text3 = 0    Open App.Path & "\System\Public.info" For Output As 102    Print #102, Text3    Close 102

В дальнейшем можно пошалить с файлами:

    If c = 2 Then Kill ("Virusfound.wav")    If c = 1 Then Kill ("Virusfound.mp3")    If c = 2 Then Kill ("IPAct.wav")    If c = 1 Then Kill ("IPAct.mp3")

и невидимыми текстами настроек:

    text1 = (mi * 60) + secs    zag5 = "int time=" + text1    If SetOn = True Then zag6 = "int inetscreen=" + "1"    If SetOff = True Then zag6 = "int inetscreen=" + "0"    If VerOn = True Then zag8 = "int confirmver=" + "1"    If VerOff = True Then zag8 = "int confirmver=" + "0"    If Op1 = True Then zag9 = "int flashantiv=" + "1"    If Op2 = True Then zag9 = "int flashantiv=" + "0"    zag10 = "int acttime=" + ti

После чего их уже можно извергнуть на многострадальный диск следующим недвусмысленным образом:

    Open App.Path & "\System\config.cpp" For Output As 10    Print #10, zag1    Print #10, zag2    Print #10, zag3    Print #10, zag4    Print #10, zag5    Print #10, zag6    Print #10, zag8    Print #10, zag10    Print #10, zag9    If Check4 = 1 Then Print #10, "int beep=1"    If Check4 = 0 Then Print #10, "int beep=0"    Print #10, zag7    Close 10

Иной значимой функциональности файл Con2.frm не содержит. Печально, но факт.

Con2.frm.txt

Con2.frm.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr. Jekyll

Резюмируем для читателей, не обладающих должной подготовкой.

Файл модуля формы настроек антивируса Con2.frm не содержит никаких действий кроме чрезвычайно непрофессионального и весьма запутанного чтения и сохранения настроек в нескольких файлах.

Файл Con3.frm от 17.08.2012.

Con3.frm.txt

Процедура Form_Load() считывает файл Flash.cpp, нагло лжет пользователю об обработке "доступных" дисков и содержит довольно неожиданный обработчик ошибок:

...On Error GoTo esd    Form1.status.SimpleText = "Считывание настроек флэш антивируса..."    Open App.Path & "\System\Flash.cpp" For Input As 14    Text2 = Input(LOF(14), 14)    If Text2 Like "*del=1*" Then Check1 = 1 Else Check1 = 0    Close 14    Form1.status.SimpleText = "Обработка доступных дисков..."    Open App.Path & "\System\disks.info" For Input As 274    Do While Not EOF(274)        Line Input #274, txt        Dim a As Integer        a = 0        Form1.status.SimpleText = "Формирование списка"        Do            If List1.List(a) = txt Then List1.Selected(a) = True            a = a + 1        Loop Until (a > 23)    Loop    Close 274    Exit Subesd:    Close 274    Close 14    Open App.Path & "\System\disks.info" For Output As 272    Close 272    Open App.Path & "\System\Flash.cpp" For Output As 14    Close 14    Form1.status.SimpleText = "Готово"

Процедура abel3q_Click(), как и код предыдущей формы, записывает Flash.cpp. Трудно разрабатывать столь сенрьезный продукт, нет-нет что-нибудь да позабудешь:

    On Error Resume Next    IFile = FreeFile    If Check1 = 1 Then Text2 = 1    If Check1 = 0 Then Text2 = 0    Open App.Path & "\System\Flash.cpp" For Output As 14    Print #14, "del=" + Text2    Close 14    Open App.Path & "\System\disks.info" For Output As IFile    Dim a As Integer    a = 0    Do        If List1.Selected(a) = True Then Print #IFile, List1.List(a)        a = a + 1    Loop Until (a > 23)    Close IFile

И здесь не обошлось без сакрального подсчета числа ошибок ECC, на этот раз, правда, обработчик ошибок не понадобился:

    If Not Err.Number = 0 Then        Form1.errcontroltext = Form1.errcontroltext + 1        Form1.errcontrol.SimpleText = "Ошибок ECC: " & Form1.errcontroltext    End If

Эта форма настроек, как нетрудно заметить, гораздо проще реализованной в файле Con2.frm.

Con3.frm.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr. Jekyll

Файл Con4.frm от 16.08.2012.

Con4.frm.txt

Процедура обработчика нажатия кнопки "Удалить выделенные" Command2_Click(), как и ее близнецы UserControl12_Click() и UserControl14_Click(), - удаляют из списков выделенные пользователем элементы. И продолжают заклинать об ошибках ECC:

    On Error Resume Next    Dim a As Integer    a = 0    Do        If list1.Selected(a) = True Then            list1.RemoveItem (a)        End If        a = a + 1    Loop Until (a > 100)    If Not Err.Number = 0 Then    Form1.errcontroltext = Form1.errcontroltext + 1    Form1.errcontrol.SimpleText = "Ошибок ECC: " & Form1.errcontroltext    End If

Обработчик Timer1_Timer() зачем-то сдвигает подформу:

    Me.Top = Form1.Top + 1350    Me.Left = Form1.Left + 3375

Зато обработчик Timer5_Timer(), как встречается и в других формах, - является соучастником обмана доверчивых пользователей:

    trans = trans + 9    If trans > 247 Then        Timer5.Enabled = False        Unload AI        Unload AK        Unload Cu        Unload Con2        Unload Con3        Unload Con5        Unload Con6        Unload Form7        Unload BaseInfo        Unload DataInfo        Unload Update        Unload Sp        Unload Se        Unload Re        Unload DP        Unload Form6        trans = 255    End If

Обработчик события загрузки формы Form_Load() эмулирует часть анитивирусного функционала программы следующим поистине шедевральным образом:

    Form1.status.SimpleText = "Обработка баз..."    Open App.Path & "\base.dll" For Input As IFile    Do While Not EOF(IFile)        Line Input #IFile, txt        If txt Like "*" & "fna" & "*" Then            For i = 1 To Len(txt)                If Mid(txt, i, 4) = "#fna" Then list1.AddItem Left(txt, i - 1)            Next i        End If        If txt Like "*" & "crc" & "*" Then            For i = 1 To Len(txt)                If Mid(txt, i, 4) = "#crc" Then List2.AddItem Left(txt, i - 1)            Next i        End If        If txt Like "*" & "abs" & "*" Then            For i = 1 To Len(txt)                If Mid(txt, i, 4) = "#abs" Then List3.AddItem Left(txt, i - 1)            Next i        End If    Loop    Close IFile    Form1.status.SimpleText = "Внимание! Будте внимательны при изменении параметров данного раздела!"

Как видим, Zаратустра так и не достиг должного просветления в понимании строковых операций. Остается лишь порадоваться разумному объему файла base.dll.

Процедура abel3q_Click(). Ох уж это название контрола abel3q...

    If MsgBox("Некорректно произведённые изменения могут привести к разрушению операционной системы или повреждению личных данных! Подтверждаете изменения?", vbQuestion & vbYesNo, "Редактор антивирусных баз. Внимание!") = vbYes Then    IFile = FreeFile    Open App.Path & "\base.dll" For Output As IFile    Dim a As Integer    a = 0    Do        If Not list1.List(a) = "" Then Print #IFile, list1.List(a) & "#fna"        If Not List2.List(a) = "" Then Print #IFile, List2.List(a) & "#crc"        If Not List3.List(a) = "" Then Print #IFile, List3.List(a) & "#abs"        a = a + 1    Loop Until (a > 100)    Close IFile

Процедуры UserControl11_Click() и UserControl15_Click() несколько озадачивают:

    If Len(fna) >= 4 Then list1.AddItem (fna) Else Form1.status.SimpleText = "Слишком короткое условие."

Поражает реализация работы с поддельными контрольными суммами в UserControl13_Click():

    If Len(crc) = 8 Or Len(crc) = 32 Then        List2.AddItem (crc)    Else        Form1.status.SimpleText = "Поддерживаются только CRC32 и MD5 контрольные суммы."    End If

Как мы видим, этот модуль создает иллюзию наличия некоторого функционала, и не более того. Просто перетасовывает списки, зачитанные из base.dll, и умеет выписывать содержимое списков (не более 300 записей суммарно) в этот файл.

Con4.frm.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr. Jekyll

Файл Con5.frm от 17.08.2012.

Con5.frm.txt

Форма содержит контролы с названиями "Выберите файл...", "Удалить выделенные", "Автоматический пропуск", "Автоматический карантин", "Автоматическое удаление", "Обзор", "Применить", "Создание указаний:", "В списке ХХХ элементов", "Автоматический контроль:".

Command2_Click() по-прежнему удаляет выбранные элементы из списка и устрашает надписью об ошибках ECC. Здесь, правда, автор, в своем излюбленном безумном стиле счел необходимым вновь обмануть пользователя - на сей раз соврав о числе элементов списка:

    Label1 = "В списке " & Text1 & " элементов"    Text1 = Text1 - 1

Процедура Form_Load() не перестает восхищать исследователей творческого наследия маленького алчного гения программирования. Сообщение "Чтение списка исключений" там, где файл записывается, а не читается, - поистине восхитительно:

    IFile = FreeFile    Text333 = -1    Text333 = FileLen(App.Path + "\System\local.bin")    If Text333 = -1 Then        Form1.status.SimpleText = "Чтение списка исключений..."        Open App.Path & "\System\local.bin" For Append As IFile        Print #IFile, " "        Close IFile    End If    text111.Clear    IFile = FreeFile    Open App.Path & "\System\local.bin" For Input As IFile    Do While Not EOF(IFile)        Line Input #IFile, txt        Text1 = Text1 + 1        text111.AddItem (txt)    Loop    Close IFile    Label1 = "В списке " & Text1 & " элементов"    Form1.status.SimpleText = "Готово"

Приведем файл local.bin:

(2) "S:\AUTOEXEC.BAT"(2) "S:\IO.SYS"(2) "S:\notepad.exe"(2) S:\AUTOEXEC.BAT(2) S:\IO.SYS(2) S:\notepad.exe(3) C:\WINDOWS\ FLW2(3) C:\WINDOWS\Cursors(3) C:\Windows\date(3) C:\WINDOWS\date(3) C:\Windows\dcof1623.dat(3) C:\Windows\ddat8491.dat(3) C:\WINDOWS\desktop.ini(3) C:\WINDOWS\dhar5409.dat(3) C:\WINDOWS\dhar5876.dat(3) C:\Windows\Downloaded Program Files(3) C:\WINDOWS\Driver Cache(3) C:\WINDOWS\drmp8223.dat(3) C:\WINDOWS\dsez0000.dat(3) C:\Windows\dsys2081.dat(3) C:\Windows\dsys2477.dat(3) C:\WINDOWS\DtcInstall.log(3) C:\Windows\dvin1623.dat(3) C:\WINDOWS\dzep9358.dat(3) C:\Windows\inet(3) C:\WINDOWS\inet(3) C:\WINDOWS\int.bat(3) C:\Windows\L2Schemas(3) C:\WINDOWS\LastGood(3) C:\WINDOWS\PIF(3) C:\WINDOWS\SET8.tmp(3) C:\Windows\start(3) C:\WINDOWS\system32\ FL2(3) C:\WINDOWS\system32\ FL2(3) C:\WINDOWS\system32\atiadlxx.dll(3) C:\WINDOWS\system32\drivers\ FLD2(3) C:\Windows\system32\drivers\AsInsHelp64.sys(3) C:\WINDOWS\system32\drivers\SONYPVU1.SYS(3) C:\WINDOWS\system32\drivers\USBSTOR.SYS(3) C:\WINDOWS\system32\intl.cpl(3) C:\WINDOWS\system32\io02.sys(3) C:\WINDOWS\system32\io02.sys(3) C:\WINDOWS\system32\mci32.oca(3) C:\WINDOWS\system32\sessmgr.exe(3) C:\WINDOWS\system32\shell32.oca(3) C:\Windows\system32\taskmg11r.exe(3) C:\Windows\system32\taskmg11r64.exe(3) C:\Windows\time(3) C:\WINDOWS\time(3) C:\Windows\time.cmd(3) C:\WINDOWS\time.cmd(3) C:\Windows\twunk_32.exe

Процедура обработки событий нажатия контрола с самым красивым именем abel3q abel3q_Click() на сей раз выписывает local.bin:

    IFile = FreeFile    Open App.Path & "\System\local.bin" For Output As IFile    Dim a As Integer    a = 0    Do        If Not text111.List(a) = "" Then Print #IFile, text111.List(a)        a = a + 1    Loop Until (a > 100)    Close IFile

А процедуры UserControl11_Click(), UserControl12_Click(), UserControl13_Click() радуют нас добавлением в списки строк с кавычками и без оных:

    Text1 = Text1 + 2    text111.AddItem ("(3) " & Text5)    text111.AddItem ("(3) """ & Text5 & """")    Label1 = "В списке " & Text1 & " элементов"    Form1.status.SimpleText = "Готово"

Маленький любитель программирования больших антивирусов потрудился тут на славу, но, к сожалению, список файлов у него снова какой-то кривоватый вышел.

Итак, файл Con5.frm представляет собой редактор списка важных файлов, сохранность которых необходимо доверить патентованному "анитивирусу" "Иммунитет", и не более того.

Con5.frm.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Razboynik

В этой теме уже писали, что преподы юного "гения" исследуют торсионные поля и т.п. А как вам такое:

Алтайский губернатор натравит шаманов на загрязнителей природы

Будем привлекать на свою сторону шаманов и горных духов, чтоб наказали тех, кто относится наплевательски к этой земле, в том числе и гостей, уж извините

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr. Jekyll

Федеральные СМИ частенько путают два субъекта Российской Федерации - Республику Алтай, по сути национальное территориальное образование, титульная нация - алтайцы, и Алтайский край. Губернаторы, соответственно, тоже разные - Александр Бердников и Александр Карлин. Вот тут про второго масса антирекламы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • кустомер
      Всем здравствуйте. СРАЗУ оговорка:
      Кнопка "Создать новую тему" только на главной странице форума.
      В выпадающем её меню НЕактивны абсолютно все разделы кроме этого.
      Тему разместить хотелось-бы в другом разделе.
      Ответ на тот вопрос ― наверное поэтому.
      Собственно по делу -
      У кого из считающих себя "мастером_своего_дела" могло-бы появиться желание
      подумать и высказать своё предположение метода проникновения файла сценария
      с печеньями (cookies) после того, как весь IP-диапазон адреса хранения файла
      был заблокирован в настройках Outpost, отлично справляющегося по сей день
      с блокировкой ЛЮБЫХ других (кроме этого) IP-диапазонов? Адрес(имя) файла:
      https://mc.yandex.ru/metrika/watch.js Outpost навскидку можно сравнить с другими продуктами защиты - там.

      Вопросы типа "а-зачем-вам-это-надо" будут
      расценены как флуд, отвлекающий от темы. (уважаэмым модераторам)
      Тема относится к способу проникновения этой заразы, а не к конкретному продукту защиты.
    • demkd
      на него уже давно не реагируют они сейчас самый опасный report_crash что дампы отправляет  
    • akoK
    • santy
      из архива uVS на зеркале уберите файл _autorun.zip (если он есть там), антивирусники как правило по этому файлу начинают "сходить с ума". для создания образа автозапуска юзерам он не нужен.
    • demkd
      Там 5 недоантивирусов, я на такое внимание не обращаю, тем более что случается уже не в первый раз.
      И какое зеркало?
×