В этой статье речь пойдет о быстрых способах заражения файлов в
системе.
Этих способов очень много и я попробую рассказать только о самых
лучших или еще пока никому не известных.
Метод первый "Applog каталог"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Это довольно простой метод. Мы открываем файл в (каталоге)
%windows%\applog\applog.ind и ищем в нем имена каталогов и файлов которые
были запущены в последний время(?).. Этот метод на сколько я знаю никто
не использовал может потому что это геморно?
Есть еще один способ мы ищем файлы "*.lgd" в том же каталоге applog,
читаем их и сканим внутренность файлов. В нутри этих файлов находиться
полное имя файлов (включая диск, каталог). и заражаем.. У себя на машине
а каталоге Applog я нашел 146 lgd файлов... В этих ldg файлах хронятся
все имена файлов которые были запущены на машине..
Метод второй "RegRun"
~~~~~~~~~~~~~~~~~~~~~
Этот метод уже использовали, но все равно я решил описать его... Этот
метод намного проще первого.. Мы должны изменить ключ по адресу
HKEY_CLASSES_ROOT\exefile\shell\open\command место ключа который стоит
поумолчанию "%1" %* надо поставить свои типа "c:\ULTRAS\virus.exe" "%1"
%* после этого при запуске exe файла будет запускаться ваш вирус и
заражать запущенный файл. Но сначало вам надо будет узнать имя файла
который запускался(GetCommandLine) и если мы узнали имя то заразить и
запустить(winExec)...
Метод третий "Search&Infect"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Этот метод используется почти во всех вирусах написаных за последний
год... Метод заключается в том что мы ищем на всех дисках("GetDriveTypeA"
Api).. Я решил рассказать как этот метод использовать в Ring0 вирусах.
Итак мы имеем резидент (Ring0) который должен обязательно заражать при
проверки аттрибутов файлов(IFSFN_FILEATTRIB). Cоздаем дроппер который
будет искать файлы на всех дисках с помощью GetDriveTypeA, если мы
находим exe файл проверяем его аттрибуты и тут передается на процедуру
заражения резидентной части(ring0)... Это методы быстро работает... За 3
минуты у меня была зараженна почти вся система :) (тестил Babylonia)...
Дроппер можно так же зарегистировать в системе чтобы он загружался при
загрузки системы (через реестр или win.ini)...
Метод четвертый "Autorun"
~~~~~~~~~~~~~~~~~~~~~~~~~
Мне очень нравиться эта фича. Если вы хотите чтобы при открытий диска
в Win98/95 запускался ваш вирус, тогда этот метод для вас. Нам надо
создать на диске (если хотите на всех дисках то с помощь "GetDriveTypeA")
файл Autorun.inf куда прописать следующие параметры:
[autorun]
open=c:\ultras.exe
Заголовок файла - [autorun]
Если диск открывается то запускаем c:\ultras.exe - open=c:\ultras.exe
Конечно имя и путь может быть другими..
Если возникли проблемы пишите сюда: [email protected]
ULTRAS/MATRiX
What`s my age again?
(c) 2000
ULTRAS[MATRiX]
What`s my age again
[email protected]
www.coderz.net/ultras
www.coderz.net/matrix
Статья для журнала Top Device
|