Polimorph Malware

[Alecsillidan]

Am facut o mica jucarie Marca RST, un malware polimorph.

Din pacate este detectat:

VirusTotal - Free Online Virus, Malware and URL Scanner

Ce face jucaria:

Autorun prin registry prin Run si Shell

Disable Task Manager

Disable Safe Mode

Disable System Restore

De fiecare data cand calculatorul va porni va da shutdown...destul de enervant

Link: www.softocan.com/polimorph1.rar

Parola arhivei este RST

As dori ca cineva cu virtual box sa il testeze.

Nu sariti cu critici!

Edited August 29, 2011 by Alecsillidan
am arhivat virusul

[Wav3]

Nu o lua ca pe o critica, ci ca pe un motiv de a persevera.

Nu vad ce ar putea fi detectat la un astfel de mini-programel.

De curiozitate, in ce e facut ?

[Alecsillidan]

E malware, nu mai porneste PC-ul (pentru noobi), normal ca e detectat.

Este scris in DOS Am facut un batch file ca punct de pornire, pe care l-am scris dupa intr-un compiler buguit de C, din cauza compilerului il vede ca malware pentru ca injecteaza scriptul in cmd. Adica in C am scris sa execute codul in cmd.

Scriptul de baza e simplu

Este aplicatie win32 ghost

[aphex]

"This application created with trial version of Quick Batch File Compiler. \r\nPlease register your copy to remove this window.\r\nVisit Abyssmedia — MP3 Recorder, ScriptCryptor, AudioRetoucher, Quick Batch File Compiler for more details."

Polimorf ? Macar cunosti sensul cuvantului ?

[Alecsillidan]

este polimorph, dupa ce il deschizi isi schimba numele in un milion de posibilitati...iar chestia aia n-are de unde sa-ti apara, l-am pornit si eu. Compiler de cacat

Ma las de DOS, tot mai bun e vb6

[aphex]

E malware, nu mai porneste PC-ul (pentru noobi), normal ca e detectat.

Este scris in DOS Am facut un batch file ca punct de pornire, pe care l-am scris dupa intr-un compiler buguit de C, din cauza compilerului il vede ca malware pentru ca injecteaza scriptul in cmd. Adica in C am scris sa execute codul in cmd.

Scriptul de baza e simplu

Este aplicatie win32 ghost

Ba baiatule eu zic ca nu dai bine cu capu sau ai 12 ani cel mult. Compiler buguit, injecteaza scriptul in cmd, aplicatie win32 ghost )) doamne

DOS nici nu mai exista pe platforma windows de la xp in coace ce mortii lui de legatura are si in plus ca e scris intr-un amarat de interpretor de scripturi care la randul lui e scris in Delphi.

[Wav3]

Nu cred ca antivirusul iti gaseste tie daca l-ai facut sa inchida PC o data sau de f ori.

Sau si daca il inchide o data se considera malware ?

PS : iarta-mi noobitatea..

[root_prime]

penibil, te asteptam totusi sa ne zici cum e troianul tau polimorf , a fi polimorf inseamna sa isi modifice mereu o parte din sursa in timp ce isi pastreaza functia intacta nu sa aiba nume random

Edited August 29, 2011 by root_prime

[Jimmy]

Anubis - Analysis Report

[me.mello]

mai e numit si polimorph....cat pupincurism...habar nu aveti zau.

[Haceru]

A fost scris in "Batch file" dupa care compilat, dupa cum se pare in "Quick Batch File Compiler. - Trial" apoi banuiesc pentru a nu lua cineva sursa la ce a facut el, l-a compilat in c++ introducand sa excute acel .exe compilat in "QBFC".

"intr-un compiler buguit de C, din cauza compilerului il vede ca malware"

Buguit de C ? (ei sunt devina a ? off, sa le facem reclamatie astora de la C sa fie mai atenti data viitoare) LOL. Si nu, NU este detectat ca find virus de la compilatorul "buguit de c" si nici de codul trecut in batch file.

Compilatorul "Quick Batch File Compiler" este cauza si nu doar el ci mai sunt si altele cum ar "Exescript", "Advanced batch converter", "Bat To Exe Converter" etc si cu tot cu updateurile lor tot vor fi detectate asta tocmai din cauza ca antivirusurile nu poate face in asa fel incat sa detecteze daca una sau mai mutle functii de tine trecute in batch file este de a face rau itentionat cuiva si ar fi imposibil sa faca asa ceva, asta ar fi insemanand ca nu am mai putea face nimic in batch file ca near fi detectat aiurea antivirusul ori ce cod si tocmai dasta a facut in asa fel ca, .bat-urile ce sunt compilate in .exe sa fie detectate.

De ce nu si .bat ? Am spus mai sus e imposibil si in plus se vede codul sursa dand un singur click pe Edit iar tu din moment ce vrei sa il faci din .bat in .exe desigur ca scopul este de a ascunde codul ce dauneaza in anumite moduri sistemul cuiva.

Malware ? Unde ?

Incerca doar sa iasa putin in evidenta si el ... zicand ca a facut mare chestie in c++ cand totul a fost in "bach file" apoi spunand ca e tot mai bine vb6, alta iesire de-a lui.

Si indiferent cum a fost codat/facut din moment ce "jucaria" dauneaza calculatorului vostru in diferite variante/metode il poti numi virus.

Daca stam bine sa ne gandim virusii cum sunt facuti ? Cresc in pom ?

Alecsillidan - Nu l-am incercat si nici nu o voi face dar presupun ca e ok cel putin pe Xp ca pe 7 sau Vista sunt alte locatii si in plus necesita sa pornesti "jucaria" prin click dreapta "Run administrator" pentru a se efectua comenzile in caz contrar vei primi "Acces denied."(insemnand ca, virusul tau nu si-a indeplinit sarcina cu succes).

Oricum, Bravo.

[symboss]

As vrea sa stiu in ce consta "polimorfismul" acestu "virus".

[Haceru]

In schimbarea numelui.

Presupun ca, la descahidere schimba numele de la consola nu si de la fisier mai exact titlu de la consola "Command Prompt".

Prin o varianta de genul:

title %random%

Ce va genera un sir de numere random. gen "54316".