Похоже развели/хакнули

semenov, 😂 я думаю пройдет однозначно.

Кроме чудо-полиморфизма, сее творческое произведение содержит в себе еще функционал сокрытия екзешного файла, основанный на "недокументированном вызове" SetFileAttributes 😆

В OnFormCreate:

00490201   6824024900             push    $00490224; exe-файл будет скрытым, системным еще и архивным!
00490206   E85969F7FF             call    00406B64  ;активируеться супер-стелс режим (kernel32.SetFileAttributesA)
0049020B   B834024900             mov   eax, $00490234  это строка 'ваш VIP доступ успешно продлен.'
00490210   E8BFD9F9FF             call    0042DBD4; Задобряем пользователя мифическим VIP доступом (ShowMessage)

А еще автор нашел чудесную замену многопоточности. И правда, зачем морочиться со всякими там созданиями потоков и их синхронизацией если можно просто бросить на форму 11(!) таймеров и задать им интервал срабатывания в 1 сек. А мужики с Intel и не знают... Создают зачем-то никому ненужные библиотеки и компиляторы... :D

Сегодня утром захожу письмо на мыло от него:

Вчера зашел с другого компьютера, поменял везде пароли. Думаю, что сейчас доступа он не имеет

Юморист)))))

Ставьте линукс и спите спокойно

Он не может слать пароли, я вчера сменил пароль аккаунта, которым пользуеться трой для отправки писем. И добавлять себя в автозагрузку это чудо не умеет.

Мож расскажете школьнику про уголовную отвественность за шантаж?

Еще я бы посоветовал Вам установить какой-нить файрвол, он подобное пресекает в два счета. (Рекомендую Comodo).

Спасибо. Про ответственность я уже ему говорил в ответ:

Все он вроде угомонился, ничего натворить не успел. Так что всем спасибо, за проявленный интерес. 🍻

Не устаю повторять - юзайте софт, контролирующий автозагрузку в реальном времени! (АнВир, например)

Большинство зловреда не ловится антивирями, поскольку они не содержат вирь-код. Они просто пишутся в автозагрузку и, при след. загрузке уже грузят вири (как некоторый софт, при старте проверяющий обновления). Причём, грамотно написанный вирь и тут антивирями не вычесляем. Поскольку может загружаться безопасными частями и потом уже собираться и начинать свою работу. Опять же - не без записей в авторан (в различные ветви реестра!)

Так что контроль автозапуска - это 90% (если не больше) решения проблем с вирусами, троянами и пр нечестью.

Файер, безусловно, необходимая вещь для сёрфа по инету. В качестве защиты от атак, контроля изменений файлов (эта же фича есть в антивирисах), блокировки соединений на нежелательные сайты\ИП. Но вот от рассылки паролей никто (и ничего) нормально не защитит. Хотя бы по тому, что пасс может отправляться дефолтным браузером стандартным ГЕТом на 80 порт (т.е. неотличим от работы браузера).

Каспер уже детектит этот горе-вирус

И не только этот, на страничке кулхацкера есть еще одно произведение: http://armia-chel.narod.ru/ раздел "<<<Скачать наше фото>>>", с таким же принципом работы. Я уже отправил касперам его и подробную информацию о нем, в следующих базах будет детектиться.

Нет, это вы поспешили с комментарием. Еще раз повторю - ошибочно детектились любые программы собраные на Delphi. Абсолютно чистые, с вирусом для Delphi это никак не связано.

Точно так же детектился и инсталлятор InnoSetup, а его используют тысячи разработчиков.