00011C0A cmp word ptr [eax], ‘ZM’
00011759 mov bx, [eax+3Ch]
00011E31 cmp dword ptr [eax+ebx], 'EP'

The code in general now looks like “spaghetti” – and still, it’s just a
second-layer decryptor. The picture below shows you its execution flow – every
grey “box” in it represents a stand-alone function:

Ссылка на полное описание распкаовки и методах дебага драйверов под vmware —

http://blog.threatexpert.com/2008/05/rustockc-unpacking-nested-doll.html

Вот ссылка на сам руткит, качайте и эксперементируйте —

http://rapidshare.com/files/116503927/Rustock.C.rar.html

п.с. В жж делаю запрос сложный, выдало: Тысячи и тысячи обезьянок работают
сейчас, чтобы выполнить ваш запрос. Подождите немного, пожалуйста. ггг:)))

п.с.2. Таки, кто ж автор сего безобразия, ну так как бы просто интересуюсь)


http://community.livejournal.com/ru_girls_hack/128450.html

Теги:

Оставить мнение

Check Also

Эхо кибервойны. Как NotPetya чуть не потопил крупнейшего морского перевозчика грузов

Российское кибероружие, построенное на утекших у АНБ эксплоитах, маскировалось под вирус-в…