Originally posted by d3vil
Może Mo4x sprawdzi to
Ten program jest pisany w Delphi... Jest tam troche tego kodu (czytaj "niezła sieczka"
).
1. Wyszukiwanie podejrzanych funkcji
Przeszukałem exec i nie znalazłem funkcji związanych z Internet'em, raczej nie jest to trojan.
Jedziemy dalej...
Poniżej mamy screen z tematu w którym sam autor opublikował swojego bindera.
Ściągnąłem tamtą wersje, nazwijmy ją "oryginał". Ściągnąłem także wersję od Dark Smark'a. Porównajmy te dwa pliki, sprawdzimy czy Dark Smark nic tam nie "dokleił" itp.
2. Sprawdzamy rozmiar pliku i datę ostatniej modyfikacji.
Nic podejrzanego.
3. Porównajmy dwa pliki, czy mają taki sam kod (program porównuje każdy bit!).
Nic podejrzanego, plik od autora (oryginał) i plik od Dark Smark'a są identyczne!
4. Porówajmy hashe obu plików
Plik oryginalny:
Calculating hash of 698368 bytes file `B-Indeo_od_autora_progsa.exe`...
SHA-256:
9A2F66AAC723D6A124FE59AABE74FDFAE00D3A23D91CFCCAFDDE2FC343743DCC
MD5:
EE657352C66DBE59DBF3520A8D69D849
CRC-32:
1AE4606A
Calculation took 0.040 seconds[/b]
Plik od Dark Smark'a:
Calculating hash of 698368 bytes file `B-Indeo_od_Dark_Smark.exe`...
SHA-256:
9A2F66AAC723D6A124FE59AABE74FDFAE00D3A23D91CFCCAFDDE2FC343743DCC
MD5:
EE657352C66DBE59DBF3520A8D69D849
CRC-32:
1AE4606A
Calculation took 0.040 seconds[/b]
5. Wniosek i ostateczny werdykt
Wniosek: Dark Smark pobrał plik z serwera autora i umieścił na innym serwerze FTP. Nie wprowadził zmian do pliku, ani nie zbindował go z niczym.
Werdykt: Niewinny :mruga: