01.06.2000 Ultra Infection [ULTRAS/MATRiX]

   В  этой  статье  речь  пойдет  о  быстрых  способах заражения файлов в
системе.

   Этих  способов  очень  много  и  я  попробую рассказать только о самых
лучших или еще пока никому не известных.

Метод первый "Applog каталог"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

   Это   довольно   простой   метод.   Мы  открываем  файл  в  (каталоге)
%windows%\applog\applog.ind и ищем в нем имена каталогов и файлов которые
были  запущены  в последний время(?).. Этот метод на сколько я знаю никто
не использовал может потому что это геморно?

   Есть  еще  один способ мы ищем файлы "*.lgd" в том же каталоге applog,
читаем  их  и  сканим внутренность файлов. В нутри этих файлов находиться
полное  имя файлов (включая диск, каталог). и заражаем.. У себя на машине
а  каталоге  Applog  я нашел 146 lgd файлов... В этих ldg файлах хронятся
все имена файлов которые были запущены на машине..


Метод второй "RegRun"
~~~~~~~~~~~~~~~~~~~~~

   Этот  метод уже использовали, но все равно я решил описать его... Этот
метод   намного  проще  первого..  Мы  должны  изменить  ключ  по  адресу
HKEY_CLASSES_ROOT\exefile\shell\open\command  место  ключа  который стоит
поумолчанию  "%1"  %* надо поставить свои типа "c:\ULTRAS\virus.exe" "%1"
%*  после  этого  при  запуске  exe  файла  будет запускаться ваш вирус и
заражать  запущенный  файл.  Но  сначало  вам надо будет узнать имя файла
который  запускался(GetCommandLine)  и  если  мы узнали имя то заразить и
запустить(winExec)...

Метод третий "Search&Infect"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~

   Этот  метод  используется почти во всех вирусах написаных за последний
год... Метод заключается в том что мы ищем на всех дисках("GetDriveTypeA"
Api).. Я решил рассказать как этот метод использовать в Ring0 вирусах.

   Итак мы имеем резидент (Ring0) который должен обязательно заражать при
проверки  аттрибутов  файлов(IFSFN_FILEATTRIB).  Cоздаем  дроппер который
будет  искать  файлы  на  всех  дисках  с  помощью GetDriveTypeA, если мы
находим  exe  файл  проверяем его аттрибуты и тут передается на процедуру
заражения  резидентной части(ring0)... Это методы быстро работает... За 3
минуты у меня была зараженна почти вся система :) (тестил Babylonia)...

   Дроппер можно так же зарегистировать в системе чтобы он загружался при
загрузки системы (через реестр или win.ini)...

Метод четвертый "Autorun"
~~~~~~~~~~~~~~~~~~~~~~~~~

   Мне  очень нравиться эта фича. Если вы хотите чтобы при открытий диска
в  Win98/95  запускался  ваш  вирус,  тогда  этот метод для вас. Нам надо
создать на диске (если хотите на всех дисках то с помощь "GetDriveTypeA")
файл Autorun.inf куда прописать следующие параметры:

[autorun]
open=c:\ultras.exe

Заголовок файла - [autorun]
Если диск открывается то запускаем c:\ultras.exe - open=c:\ultras.exe
Конечно имя и путь может быть другими..

Если возникли проблемы пишите сюда: [email protected]

   ULTRAS/MATRiX
What`s my age again?
     (c) 2000
        
 
   ULTRAS[MATRiX]
 What`s my age again

  [email protected] 
 www.coderz.net/ultras 
 www.coderz.net/matrix

 Статья для журнала Top Device