Продолжая тему особо ценных постов, представляю анализ новой тулзы под именем Goga Hosts v1.0 Ниже я постараюсь не употреблять такие фразы как "идиот", "шозаёбтвоюмать" и т.п., но ничего гарантировать не могу.

О программе: прописывает вбитые данные в файл hosts, тем самым перенаправляя юзера куда злоумышленнику надо, или просто нахуй в 0.0.0.0, тем самым блокируя для юзера определенный сайт.

Итак, первое, что попадает на глаза, так это билдер. Лично мое мнение — так лучше не делать. Он не упакован, архив с билдером — тоже, всё без компрессии. Смысл так делать? Нету, нету этого самого смысла. Название тоже доставляет. Как мы увидим дальше, грузинские корни у автора таки есть ИБО ТАКОЙ ХУЙНИ НАДО УМЕТЬ УПОРОТЬ (если ты, мой дорогой читатель, и есть автор — не обижайся же!).

Запускаем и видим интерфейс:

И что бы вы подумали? Тут я бы тоже так не делал. Имхо - в маленькой тулзе менюшки смотрятся весьма и весьма уёбищно.

Жмем "Создать" и получаем ЕХЕ, весом чуть менее 50КБ. Дохуевато. Первым делом смотрим, что же это такое, но, думаю, все уже поняли, что билд написан на Delphi. На расово верном асме вышло бы в 10 раз меньше, хотя с мегабитовыми каналами всем уже похуй.

Создали билд, запустили. Файл дропнулся сюда: "%WINDIR%\winupdate.exe". Опять же, не стоит такой штуки делать. Есть %TMP% и иже с ним. Далее этот бинарник забивает себе место в автозагрузке по адресу HKCU\..\Run:SysQh

При запуске не из виндовой папки, билд копирует себя в оную (см. выше) и запускает копию на исполнение. В процессе работы рядом с файлом winupdate.exe создается еще одна копия с рандомным названием, которая, собственно и "блокирует" hosts-файл. В памяти присутствуют оба бинарника, один охраняет второй от убивания. Очень сомнительная охрана, ведь эту парочку говна можно завершить в два клика.

После запуска билда топаем в папку с hosts файлом и видим:

Скрытый файл — это настоящий файл hosts, в нем и происходит основное действие, второй же файл hosts — фэйковый, с левой буквой "о". В него, при запуске билда, падает одна единственная строка: "127.0.0.1 localhost", что, сдается мне, немножечко палевно, при первом запуске туда стоит сбрасывать содержание реального файла.

А вот со скрытым-настоящим файлом ситуёвина гораздо интереснее:

Первая строка — это значение файла hosts до запуска билда, старое значение в общем. Вторая строка — то, что мы вбивали в билдере. Сработало, но с багом — после строки идет 3 нулевых байта и еще какая-то херня. Нушозаебтваю! Третья строка — это непонятное наебалово со стороны автора. Я такой хуйни не вбивал и не просил, т.е. билд вбивает левую хуйню за компанию с хуйней, вбитой в билдере. Строка блокирует доступ к сайту www.bt.bashtel.ru Нахуя он такое сделал — эт к аффтару.

В общем, такие вот дела. Да, не забудем упомянуть 2 долбоебизма, которые желательно исправить. Номер раз - строки в открытом виде (ну блядь поксорить то можно было!). Номер два — запись конфига в билд. Ну т.е. запись всех этих хостов и айпишников. Ежели делать нормально, то конфиг стоит цеплять в виде того же ресурса, без каких либо ограничений на размер конфига.