@Apthon
Ja. Es wäre gelungen, wenn es möglich gewesen wäre
Dieser Trojaner wird noch viel Schaden anrichten. Die Erpresser haben den Virus so geschrieben, dass die Sprache leicht geändert werden kann.
@bombinho
Danke
Der Trojaner stellt die ComputerId folgendermaßen zusammen:
Delphi-Quellcode:
type
TCBuffer = array[0..$199] of char;
const
MAXSIZECB = Sizeof(TCBUffer);
var
GLOB_BaseName: TCBUffer; //=ComputerId
procedure BuildComputerID;
var
SystemDirectory, ComputerName, Name: TCBuffer;
DriverSerialNumber, CName1, CName2: DWORD;
n: Cardinal;
begin
GetSystemDirectory(SystemDirectory, MAXSIZECB);
SystemDirectory[3] := char(0);
DriverSerialNumber := 0;
GetVolumeInformation(
SystemDirectory, nil, 0, @DriverSerialNumber,
DWORD(nil^), DWORD(nil^), nil, 0);
n := MAXSIZECB;
GetComputername(Computername, n);
CName1 := DWORD(PDWORD(@ComputerName[0])^);
CName2 := DWORD(PDWORD(@ComputerName[4])^) and $FFFF;
strfmt(Name, '%0.8X%0.8X%0.4X', [DriverSerialNumber, CName1, CName2]);
Strcopy(Glob_BaseName, Name);
end;
Die Computerid wird auch für die ersten 20 Zeichen des Katalogdateinamens benutzt.
Vg
Marcu