Файловый вирус на делфи весом 2357 байт

[st01en]

а можно перезалить (коментов ради)?

[Иллидан]

Отличный вирус.

Единственное, у меня вопрос к модераторам? Что-то за опрос такой, особенно 4). Я думал здесь собрались культурные люди и непечатных слов использовать нельзя.

[Лубышев]

Я хотел бы посмотреть на это детище но вот здесь http://virusoff.pisem.su/ файла нет. Видимо Модераторы постарались. Выложите, пожайлуста еще раз. Прям на форум

[execom]

Цитата:

Единственное, у меня вопрос к модераторам? Что-то за опрос такой, особенно 4). Я думал здесь собрались культурные люди и непечатных слов использовать нельзя.

Премного уважаемый господин, правильный!!! Если вас это задело пожалуйтесь администратору, я думаю меня очень здорово пожурят и выпишут талон на исправительные работы.. Жаль..

Я думаю, что кого-то задел этот проект и поэтому выпустил довольно "бодрое" обновление. Что оно в себя включает перечислю ниже..

Принцип действия:
ЗАРАЖЕНИЕ - Заражение выполняется наиболее скоростным методом доступным для вирусов этого класса (оно унаследованно от предыдущей версии, хотя кое что изменено..).. Суть заражения в том что при нём не создаётся ни каких временных файлов, а только лишь происходит копирование начала жертвы размером как вирус в конец жертвы а на это место пишется тело виря... Т.о. образом за цикл заражение происходит перенос всего нескольких килобайт (6666 байт)

ЗАПУСК ЖЕРТВЫ- это место в вирусе претерпело максимальные изменения, раньше после нахождения нужного количества жертв вирь извлекал из себя и расшифровывал тело жертвы и кидал его в чистом виде в системный темп и потом просто его от туда запускал... Не спорю не самый грациозный способ, но для HLLP вирусов - это в 99,9% случаев единственный способ исключением составляют только вирусы на DOS-языках типа Turbo Pascal которые просто удаляли себя из жертвы и её запускали (но в win32 такой номер не проходит, да и он имеет свои косяки - основной в том что после запуска жертва излечивается)... Короче ближе к делу)) В этой версии вирус запускает жертву напрямую в память вашего (или не вашего) драгоценного компа))) Это даёт максимум грации и достаточно некислую скорость и главное ни каких временных файлов и излечения жертвы))) Короче сплошная красота...

Дополнительные фишки:
1)Теперь вирус стал заражать собой флешки, т.е. при запуске любой жертвы заражённой или просто виря в чистом виде, вирь ищет флешку на вашем компе и кидает туда свою копию (в чистом виде) и кидает на флэху autorun.inf, который запустит вирус при открытии флешки через проводник))
2)При старте вируса с флешки вирус открывает проводник с диском (флешкой), что бы не было заметно что вирус запущен.. Т.е. вам кажется что вы открыли флэху, а на самом деле вы запустили вирус, который стартонув открыл проводник с корнем флешки))

Особенности:
Вирус заражает файлы весом от своего размера (3333 байта) до 1 мибибайта (1 000 000 байт).. Т.к. жертвы весом меньше виря корректно не заразятся, а файлы больше мибибайта не всегда будут корректно запускаться в память...

Перспектива для следующего обновления:
1)Добавлю наконец-то возможность сохранения иконки жертвы, а то в текущей версии иконка при заражении пропадает)))
2)Куча мелких доработок в автоматике и устранение мелких некрасивостей...

Недостаток:
В коде нет коментов, это потому что мне они конкретно мешают при разработке и я их убираю, но в ближайшее время я выкину сорец этой версии с коментами...

Как делать вирус (ехе):
1)Скачать архив
2)Разархивировать его
3)Запустить файл vir3333.bat
4)После этого что-то поморгает и свету представится ехе-шник виря, готовый к бою: vir3333.exe весом 3333байт))

Самое главное:
ВОТ линк:virusoff.pisem.su/vir3333.rar

[Карась]

Архив никаких подозрений не вызвал у многих антивирей.
Но при попытки скомпилить, НОД тутже обозвал это трояном и переместил в карантин..

Цитата:

всего нескольких килобайт (6666 байт)

К чему бы это..........

Каким образом НОД распознал что это жук? Проверяет какие функции вызывает приложение?

[execom]

Цитата:

Архив никаких подозрений не вызвал у многих антивирей.

Ни у каких антивирей ни каких подозрений исходник и не мог вызвать а излишняя сцикливость ещё не кому мозгов не добавила)))

Цитата:

Но при попытки скомпилить, НОД тутже обозвал это трояном и переместил в карантин..

Это не заслуга нод32, а его прямая обязанность, ибо шароварному антивирю положено палить незащищённый код)))
Почему я акцентирую на слове незащищённый, да потому что все мои вирусологические статьи и публичные исходники - это всего лишь качественные и проверенные примеры реализации вирусологических алгоритмов.. Если кто-то незаметил не каких диструктивных функций и защитных механизмов вирус не имеет и это повышает читаемость кода, понятность логики и снижает риск "безбашенного", ламерского применения данных трудов... А вообще если особенно интересна тема обхода систем безопасности, я пожалуй размещу в ближайшее время несколько изысканий этого направления...
Опять же хочу напомнить, что всё это только в обучающих целях и все вирусы созданые в учебных целях, я намерено отправляю на анализ лицам, занимающимися вопросами вашей безопасности))))

Цитата:

всего нескольких килобайт (6666 байт)

Не спорю я и сам был удивлён размером, но это всего лишь случайность и не какой "подгонки" не было

Цитата:

Каким образом НОД распознал что это жук? Проверяет какие функции вызывает приложение?

Причина одна из двух, первая (маловероятная) произошло сходство (более предельного порога совпала сигнатура) с кодом ранее выпускаемого мной USB червя..
Вторая и наиболее верояная причина, это была реакция эвристика, на попутку нахальной записи на флеху (код ведь прошёл линейную эмуляцию антивирём).. Короче если убрать функцию USBInfect то эта реакция пропадёт, вместе с возможностью распространения через флехи))

[execom]

Сделал коментарии к исходнику.. Скачать этот сорец можно
либо сдесь: http://virusoff.pisem.su/vir3333x.rar
либо сдесь: http://slil.ru/25756854

[GAGARIN-NEW]

Цитата:

1)Теперь вирус стал заражать собой флешки, т.е. при запуске любой жертвы заражённой или просто виря в чистом виде, вирь ищет флешку на вашем компе и кидает туда свою копию (в чистом виде) и кидает на флэху autorun.inf, который запустит вирус при открытии флешки через проводник))

Открыл америку )))
В общем интересная статья , респект execom ) Написал бы аналог но не на низком уровне )

[_ares_]

Антивирус не ругается на exe в папке

[execom]

Цитата:

Антивирус не ругается на exe в папке

Видимо слабый антивирь)))