-
.
a titolo di studio:
Oggi vi mostro un "virus" (che non si può ovviamente chiamare così perchè non è un vero virus) che ha alcune buone caratteristiche:
-è formato da due processi, che si riattivano a vicenda e i file hanno copie di backup sparse nel computer: in questo modo se l'antivirus individua il file infetto, l'altro processo lo ripristina e viceversa
ovviamente i file sono nascosti all'utente con attributi RSH e sono piazzati in avvio automatico utilizzando apposite chiavi di registro (anch'esse ripristinate se cancellate dall'utente o dagli antivirus ^^ )
-è autoreplicante: infetta le chiavette e i volumi rimovibili e utilizzando la solita tecnica dell'autorun in modo da infettare anche altri computer, sempre senza farsi vedere
-individua i principali programmi antivirus o per la sicurezza (i più difffusi) e chiude subito il processo o la finestra attiva (nel caso degli antivirus il cui processo non è terminabile... ma la finestra di scansione sì )
-il vero e proprio effetto non è pericoloso ma altamente fastidioso:
ogni tanto muove a caso il puntatore e la rotellina del mouse, simula la pressione di caratteri casuali, minimizza le finestre, apre gli sportelli CD/DVD, imposta al massimo il volume di sistema, blocca tastiera e mouse per un po'...
posto i sorgenti in allegato (ovviamente non compilati); sono tre file: wincftmon, winlogin e winfct. i primi due sono i file che costituiscono i due processi del virus, e il terzo è responsabile dell'infezione del computer e del replicamento automatico sui volumi rimovibili. vanno compilati nell'ordine in cui li ho scritti e per infettare una macchina basta avviare il terzo (winfct.exe)
ricordo: a scopo di studio!
buon divertimento (per lo studio ovviamente )
download. -
-Anubi-.
User deleted
Invece delle chiavi di registro fai copiare il virus in esecuzione automatica...le chiavi di registro variano a seconda del sistema, aggiungi una funzione per la riproduzione per email e unisci i file in un setup sempre in AutoIT...
Ah, giusto...il virus occupa tutta la CPU, è troppo ricconoscibile...
Usa drivegetdrive per fare la lista dei drive su cui far riprodurre il virus...
Sostituisci windowsdir con userprofiledir per adattarlo a utenti che non hanno privilegi amministrativi...
COSA PIU' IMPORTANTE:
Anubi ha inviato i file compilati alla symantec per evitare lamerate da parte tua veso altri utenti. -
-Anubi-.
User deleted
Se vuoi rispondere invia un MP ad Anubi...forse quì non ci ritornerà più .