Kilka dni temu na blogu firmy Sunbelt pojawił się interesujący choć krótki wpis. W popularnym złośliwym oprogramowaniu udającym program antywirusowy (Antivirus 2009), zostały odkryte ciekawe wpisy dotyczące zawartości plików binarnych. Świadczą one o mocnym przywiązaniu do swoich ziomków :) i co ciekawe wykraczają poza ramy politycznych wojen i waśni. Oczywiście przyczyną takiego zachowania może być także próba ukrycia działania aplikacji przez środowisko konkurencyjne lub firmy antywirusowe. Ale mam dziwne przeczucie, że tutaj chodzi jednak o wielki i wspaniały patriotyczny czyn!
Zawartość pliku:
00420174 – Bot started.
0042018C – App name:
004201A0 – Exe name:
004201B4 – Bot ID:
004201C8 – Wait before activate:
004201E8 – Sleep period:
00420200 – Popup URL:
00420214 – Don`t install on Rus:
00420234 – Russian or Ukrainian Windows detected. Exiting …
0042027C – Looking for XP antivirus
004202A0 – SoftwareXP AntivirusOptionsAdvancedScan
004202D4 – Key =
004202E4 – XP antivirus detected
00420304 – Unregistering toolbar
00420324 – Unregistering self
Jak łatwo możemy wywnioskować z wpisów 00420214 oraz 00420234, aplikacja wykrywa czy instancja zarażonego botem systemu operacyjnego Windows jest wersją rosyjską lub ukraińską. Jeśli tak – aplikacja się dezaktywuje. Nie wygląda to na jakąś ściemę i raczej faktycznie tak działa. To się nazywa patriotyzm lokalny!