23.02.2015, 11:04
To dodam dwa kolejne filmiki, na potwierdzenie tego co pisałem wcześniej.
Pierwszy, gdzie zainstalowana jest tylko wersja 64 bitowa Microsoft Visual C++ 2010 SP1 Redistributable Package
W obu filmikach najpierw uruchamiam "Malware.exe" aby pokazać, że VS potrafi prawidłowo powiadomić o pliku uruchamianym przeze mnie w obu przypadkach.
Plik kopiowany z temp nie był przeze mnie uruchamiany, a tylko chciałem pokazać, że tak naprawdę jest to plik wykonywalny, uruchamiany przez exploita.
Pierwszy, gdzie zainstalowana jest tylko wersja 64 bitowa Microsoft Visual C++ 2010 SP1 Redistributable Package
[Aby zobaczyć linki, zarejestruj się tutaj]
Drugi, gdzie są zainstalowane obie wersje, 64 bitowa i 32 bitowa[Aby zobaczyć linki, zarejestruj się tutaj]
Jak widać w przypadku gdy są zainstalowane dwie wersje, VS blokuje plik nazwalosowa.tmp uruchamiany przez exploita, a w przypadku, gdy jest tylko wersja 64 bitowa tego już nie robi i ransomware blokuje system (jak pisałem wcześniej widoczny jest tylko biały ekran, bo to stara próbka, więc pewnie nie ma już skąd pobrać danych).W obu filmikach najpierw uruchamiam "Malware.exe" aby pokazać, że VS potrafi prawidłowo powiadomić o pliku uruchamianym przeze mnie w obu przypadkach.
Plik kopiowany z temp nie był przeze mnie uruchamiany, a tylko chciałem pokazać, że tak naprawdę jest to plik wykonywalny, uruchamiany przez exploita.