Привет всем. В этой статье я поведаю вам приемы для программирования
червей и троянов. Чтобы быть подкованным и без помощи антивирусы
расправиться с любым вирусом, Вам стоит это прочесть.
Долго распинаться не буду, и перейду сразу к делу:
Для начала приведу список мест в реестре, где они могут поселиться на автозагрузку.
Некоторые из таких мест весьма интересны, потому что на них не обращает внимания msconfig и утилиты для реестра.
Так что вирусы смело записываются туда на автозагрузку.
При написании вирусов используются различные приемы для сокрытия программ от глаз пользователя:
Можно произвольно выбирать имена - прописывать себя с ними в
автозагрузку и копировать в винду. Имена можно выбирать как из списка,
так и случайно.
Можно при каждой перезагрузке менять местоположение — перемещаясь по системным каталогам и меняя имя.
Также можно хранить в коде своей программы такую же программу, но с другого компилятора. Чтоб Касперкси сразу все не припалил.
При заражении диска или компьютера необходимо учитывать психологию
пользователя. Отвлечь его приманить именем программы, иконкой. Вывести
липовое системное сообщение.
Работая с окнами можно закрывать авнтивирусы.
При копировании в память нельзя выделять себе большой приоритет.
Из системного реестра можно извлечь много полезной информации. (Ниже приведу интересные параметры реестра).
Отредактировав файл hosts можно без труда запретить пользователю посещать какие-либо домены. Он даже ничего не заподозрит.
Некоторые вирусы хранят в себе коды вирусов на различных языках программирования и в нужный момент извлекают и запускают их.
Тут хранятся имена и названия системных пользовательских папок, типа:
Мои документы, Мои рисунки, Рабочий стол. Их некоторые вирусы могут
менять.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Explorer\Shell Folders
Common Administrative Tools
Common AppData
Common Desktop
Common Documents
Common Favorites
Common Programs
Common Start Menu
Common Startup
Common Templates
CommonMusic
CommonPictures
CommonVideo
Personal
В менеджере процессов постоянно запущены файлы SVCHOST.EXE.
Так вот этот файл лежит в windows\system32\ и вирус сохраняет свое тело
под её именем. Поймать такого черта, можно только увидев в менеджере
процессов, кто запустил процесс. Все процессы SVCHOST запускаются от
имени системы (SYSTEM). Если такой файл запущен от имени пользователя,
стоит задуматься.
Вот обрывок того самого кода:
char myname[1024],windir[1024];
HKEY hKey;
SetErrorMode(SEM_NOGPFAULTERRORBOX); //Вырубаем сообщения об ошибках
PeekMessage(NULL, NULL, NULL, NULL, NULL);
GetModuleFileName(hInstance,myname,sizeof(myname)); //Получаем путь к себе и папку винды
GetWindowsDirectory(windir,sizeof(windir));
if(strcmp(windir,myname)) //Проверяем если программа не в папке windows то выйти (Мы ведь уже скопировались !
{
MessageBox(0,"Необходимый файл динамической библиотеки msbjk.dll не
найден.","Error", MB_OK | MB_DEFBUTTON1 | MB_ICONEXCLAMATION |
MB_DEFAULT_DESKTOP_ONLY);
return 0;
}
//-------
for(; //Это бесконечный цикл
{
RegOpenKeyEx(HKEY_LOCAL_MACHINE,"Software\\Microsoft \\Windows\\CurrentVersion\\Run" , 0,KEY_WRITE,&hKey);
RegSetValueEx(hKey, "SVCHOST.EXE",0, REG_SZ,(BYTE *)windir,256);
RegCloseKey(hKey);
// Тут может быть любой код вашей программы
EnumProcessesOther();// Эта функция будет описана в следующ
ей статье (Она закрывт все антивирусы)
Sleep(30000); //Задержка на 30 секунд
}
В папке windows есть файл без расширения hosts. Если в него вписать код:
То пользователь не сможет зайти ни на один из этих сайтов, каким бы
браузером и через какие прокси он бы не старался. Так что иногда туда
заглядывайте.
Сорри, но полностью все и изложить не смог, так как это уже будет не статья, а книжка
Статья написана исключительно для изучения алгоритмов работы вирусов и
методов борьбы с ними. Алгоритмы работы вирусов были выявлены при
декомпиляции найденных в интернете вирусов и на
Все материалы размещенные на сайте пренадлежат их владельцам и предоставляются исключительно в ознакомительных целях. Администрация ответственности за содержание материала не несет и убытки не возмещает. По истечении 24 часов материал должен быть удален с вашего компьютера. Незаконная реализация карается законами РФ и Украины: "Об авторском и смежном праве". При копировании материала, ссылка на сайт обязательна!