Sujet Précédent Sujet Suivant

DEFI !!! SDSYS V1 - FAITE UN BOUFFE TROJAN

cs_aKheNathOn Messages postés 575 Date d'inscription dimanche 23 décembre 2001 Statut Membre Dernière intervention 23 octobre 2012 - 10 déc. 2002 à 17:39
cs_aKheNathOn Messages postés 575 Date d'inscription dimanche 23 décembre 2001 Statut Membre Dernière intervention 23 octobre 2012 - 23 févr. 2004 à 19:56
Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.

https://codes-sources.commentcamarche.net/source/5301-defi-sdsys-v1-faite-un-bouffe-trojan
cs_aKheNathOn Messages postés 575 Date d'inscription dimanche 23 décembre 2001 Statut Membre Dernière intervention 23 octobre 2012
23 févr. 2004 à 19:56
http://www.vbfrance.com/code.aspx?ID=4452

Amuses toi bien :)
Ficarcy0407 Messages postés 28 Date d'inscription samedi 5 avril 2003 Statut Membre Dernière intervention 24 septembre 2005
23 févr. 2004 à 18:58
salut, tu dit ke ta fait la v2, elle est ou la v2 please ?
Merci !
Ficarcy0407 Messages postés 28 Date d'inscription samedi 5 avril 2003 Statut Membre Dernière intervention 24 septembre 2005
23 févr. 2004 à 18:43
Tout d'abord j'aimerais qu'on m'explique pourquoi ca desinfecte pas si on supprime le exe, sinon, jai trouvé une autre faille :
je crois que qu'en faite la deuxieme faille vient de la methode 3, la verification toute les 10 secondes : je m'explique, vu que ca verifie toute les 10 secondes, tu créé un mini prog vbs qui modifie les 2 valeurs du registre infecté, et dès que le vbs a fini, tout de suite apres, tu debranche la prise de ton pc, donc le virus il a pas le temps de refaire la clé infecté
A moins que tai vraiment pas de bol et ke la verification tombe aux mauvais moment ! J'ai pas testé mais je vois pas comment ma methode pourait ne pas marcher !
Merci de m'expliquer mes erreurs


PS : Désolé les admins jarrive plus a ecrire sans fote !
FrostByte Messages postés 138 Date d'inscription mercredi 4 avril 2001 Statut Membre Dernière intervention 28 janvier 2006
3 févr. 2004 à 11:33
à la rigueur pour être vraiment méchant tu peux tenter le 'Exe hijacking' je crois... sur PSC y a tout !!
meylyssaw Messages postés 1 Date d'inscription lundi 4 août 2003 Statut Membre Dernière intervention 4 août 2003
4 août 2003 à 13:34
salut a tous je vous explique mon probleme j ai un trojan ds mon pc comment je peux l'enlever :( ca met la rage!!!!!!!!
cs_YaNn0u Messages postés 48 Date d'inscription lundi 6 janvier 2003 Statut Membre Dernière intervention 27 avril 2005
4 juil. 2003 à 06:47
ptite question, si jarrête ce prog avec ctrl alt suppr, processus, est ce que la fonction form_unload se fait quand meme ?
cs_aKheNathOn Messages postés 575 Date d'inscription dimanche 23 décembre 2001 Statut Membre Dernière intervention 23 octobre 2012
11 déc. 2002 à 22:26
walla la v2 sortie avec toutes vos remarques de prises en compte :

Demmarage avec win en mode sans echec
Impossible de l'arretter avec CTRL+ALT+SUPPR
cs_wbr Messages postés 110 Date d'inscription dimanche 11 août 2002 Statut Membre Dernière intervention 21 juillet 2006
11 déc. 2002 à 22:21
même rendu là, c'est simple de jarté un antivirus, il y a déjà des codes sur vbfrance pour fermer un prog avec son titre (pas arrièreplan). Le seul prob c que on peu pas fermer norton en tapant Navapw32 mais en écrivant Norton Antivirus v5.0 [...]. Il doit quand même exister une autre facon avec la racine du exe mais je n'ai pas trop de temps à consacrer aux infection au virus et autre chose du genre.. Mais akh, ça serait bien de nouvelles méthodes d"infection, ça m'inspire beaucoup et je croit que c'est toujours bon a savoir. Maintenant je vérifi des s'il y a des exe avant douvrir mes projets, parce que, peut etre meme que j'étais infecter sans le savoir..
a+
cs_aKheNathOn Messages postés 575 Date d'inscription dimanche 23 décembre 2001 Statut Membre Dernière intervention 23 octobre 2012
11 déc. 2002 à 21:56
désolé mais je n'ait pas de viguard ... quand au jartage des antivirus ce n'est pas mon pb , c'est carément un autre dommaine ... qu'il faudrais étudier de prés dont je n'ait pas le temps ...

Voilà ... je viens de poster la v2 du défi ... et là vous aurez du mal ... moi je me suis infecté et j'ai plus de moyen de les jarter ... mais je vais bien trouver ... :)
Spylover Messages postés 110 Date d'inscription mercredi 24 avril 2002 Statut Membre Dernière intervention 12 août 2010 1
11 déc. 2002 à 21:52
Salut,

Je veux pas vous couper dans votre élan, certes votre mode d'infection ne sera pas visible avec NAV (norton anti virus) mais avec Viguard, c'est foutu....

En 1 seconde vous êtes repérés, bien sur il vous faut désactiviter le process de viguard, oui mais il peut varier en fonction des versions.

Alors quand vous pensez antivirus ne pensez pas uniquement à ceux qui vérifient la signature du programme, mais plutot à leurs actions....

Bon courage
cs_aKheNathOn Messages postés 575 Date d'inscription dimanche 23 décembre 2001 Statut Membre Dernière intervention 23 octobre 2012
11 déc. 2002 à 21:01
Test réussit ... en effet en tuant le processus sous xp ça fonctionne ... Alors pour être plus concret la methode pour l'arretter manuellement est :

Démarer / Executer / Regedit

CTRL+ALT+SUPPR

Arreter le programme de nom Project1.exe

Ensuite aller dans HKEY_CLASSES_ROOT puis dans la clef .exe dans la valeur .exe faut mettre exefile .

Bon alors j'annonce la suite que je vais essayer de faire ce soir :

Systéme de virus gardien : Pere qui aide le fils (deux exe)
Avec un mini module polymorphe pour empecher de fermer le prog ...

Quand aux code ... je vais voir si on peut le rendre polymorphe ... Hey ... je pense que ça peut devenir incontrolable ... mais je peux aussi tenter de faire un systéme de propagation ... mais j'en vois pas l'interet ... la methode eput être utilisée à des mauvaises fins ...
cs_aKheNathOn Messages postés 575 Date d'inscription dimanche 23 décembre 2001 Statut Membre Dernière intervention 23 octobre 2012
11 déc. 2002 à 17:51
Bon alors ce soir je teste vos propositions et si c'est le cas on sort la version 2 ...
cs_wbr Messages postés 110 Date d'inscription dimanche 11 août 2002 Statut Membre Dernière intervention 21 juillet 2006
11 déc. 2002 à 11:30
As-tu résolu le pb du timer ?
Oui facilement. Tu as presque tout protéger mais pas le sur le mode sans échec ou DOS. J'ai fait un petit antidote de 5mn (un peu nul aussi) mais j'ai penser à faire un peu plus grand. Genre un scanner de exe qui vérifi si le contenu provien de ta source ou en est dériver. Si la "chaîne clef" est trouver, on recherche dans le registre le chaîne d'access au fichier dans toutes les clef Run, RunOnce, etc.. Bon alors je vais peut-être faire ça cette semaine mais je sais pas comment je vais mis prendre pour trouver ma lignes sensible..
a+
cs_zappy Messages postés 161 Date d'inscription mardi 19 juin 2001 Statut Membre Dernière intervention 10 avril 2007 2
11 déc. 2002 à 09:50
Sous Win2k (noyau NT)

On tue le processus (du coups on appelle pas le form_unload).
On detruit l'exe.
On nettoie la base de registre.

Voila c'est fini, bouffé le trojan (qui n'est pas un virus, je le rappelle).

A+ pour de nouvelles aventures
ovRflow Messages postés 42 Date d'inscription vendredi 2 août 2002 Statut Membre Dernière intervention 5 novembre 2004
11 déc. 2002 à 09:33
Je suis desolé de vous cassé ds votre elan mé la je ne puis vs laisser en dire plus sans vous informer que quand vs demarrer votre ordi avec la touche SHIFT ( ca pe varier selon les ordi), les runkey ne sont pas chargées.
Voila bon par contre je vous prévien kan meme g juste survolé ce code ( g pa le temp mé jreviendrai ) donc peut etre ke vs y avez deja pensez??
ovRflow
....:: www.ovRflow.fr.st ::....

PS : compren rien a lang alors si qqn pouvai me dire ou kliker sur le site tlsecurity pour telecharger votre programme miracle ki fusionne les dll,ocx avec l'exe ??? Merci d'avance.
cs_aKheNathOn Messages postés 575 Date d'inscription dimanche 23 décembre 2001 Statut Membre Dernière intervention 23 octobre 2012
11 déc. 2002 à 07:49
si tu veux rendre le .exe inactif ... à sa valeur défault tu dois remettre son ancienne valeur exefile que je ne modifie pas . Biensûr si on veut être battard on peut essayer de camoufler le registre dans .exe à la valeur default on laisse exefile ce qui ferra le registre continuer vers la clef exefile .

Dans la valeur exefile on jarte toutes ses clefs pour obliger les gars à les réécrire au lieu de modifier une seule valeur ... puis dans cette valeur default de exefile on lui mets une valeur de chaine aléatoire ... histoire que les antivirus ne pigent pas trop ce qui leur arrive (cf mes sources polymorphes) puis on rédige dans cette clef aleatoire la structure d'execution .

Bon bref rien ne sert à compliquer tout ça ... ici c'est juste pour s'entrainer ... donc pour que tu jartes l'étape 2 mets juste ça :

Registres.SaveString Registres.HKEY_CLASSES_ROOT, ".exe", "", "exefile"

PS : As-tu résolu le pb du timer ? car modifier ceci toutes les 10 sec ça va être chaud pour tout arréter ...
cs_wbr Messages postés 110 Date d'inscription dimanche 11 août 2002 Statut Membre Dernière intervention 21 juillet 2006
11 déc. 2002 à 02:25
DHKold:
fusion de bitsart sert à fusionner un exécutable avec des DLL ou des OCX. Les appli faites en vb ont besoin de 2 DLL de base pour rouler. Alors si on les fusionne dans le exe, les 3 fichiers sont combiner ensemble et forme 1 (2DLL + 1EXE). Donc les runtimes que tu a besoin sont tous dans le .exe et roule un peu partout (semblablement a Delphi). Tu peux avoir le logiciel fusion sur http://www.tlsecurity.net/main.htm. Mais prend un crack parce que la version gratuite est nul.. Et akh, donne moi la ligne d'origine de la clef .exe que tu as modifier avec ton programme et je te fait l'antidote.
a+
DHKold Messages postés 153 Date d'inscription vendredi 6 décembre 2002 Statut Membre Dernière intervention 29 mai 2005 2
10 déc. 2002 à 22:58
Oups, excuse c'était FrostByte qui avait posté ce texte, enfin si tu sais...
DHKold Messages postés 153 Date d'inscription vendredi 6 décembre 2002 Statut Membre Dernière intervention 29 mai 2005 2
10 déc. 2002 à 22:54
hello, je connais vraiment rien aux virus (mais ici j'ai compris ;). Par contre j'ai repéré un petit truc qui m'interesse, tu dis:
"sauf si elles sont inclues dans le exe (voir Fusion de bit-arts ou Compy) "
J'ai tenté une recherche là-dessus mais sans résultat, pourrais tu m'expliquer, même briêvement?

:: Merci, et bravo pour ta source ::
cs_blabla Messages postés 112 Date d'inscription mercredi 28 août 2002 Statut Membre Dernière intervention 13 mars 2004
10 déc. 2002 à 21:21
hi ! faite attention c tro chian !
aKheNathOn>encore merci ... ;-)
cs_aKheNathOn Messages postés 575 Date d'inscription dimanche 23 décembre 2001 Statut Membre Dernière intervention 23 octobre 2012
10 déc. 2002 à 20:11
Ah ouais pas mal du tout ! Je connaissait pas ça ... Bon je vais tester ta proposition puis mettre à jour si c'est ok :)
vbGuy Messages postés 60 Date d'inscription samedi 10 novembre 2001 Statut Membre Dernière intervention 13 juin 2004
10 déc. 2002 à 20:01
Le prob(enfin je crois je ne l' ai pas encore tester) c' est qu' il ne laissera pas un bon arret de windows parceque meme windows ne pourras pas arreter le prog.
Tu aurrai du mettre le code suivant

> Privat sub Form_queryunload(cancel as integer,unloadmode as integer)

'REGARDE POURQUOI L'APPLI QUITTE
Select case UnloadMode

case vbAppWindows

If Right(App.Path, 1) <> "" Then
Registres.SaveString Registres.HKEY_LOCAL_MACHINE, "softwaremicrosoftwindowscurrentversion
un", "sdsys", App.Path & "" & App.EXEName
Else
Registres.SaveString Registres.HKEY_LOCAL_MACHINE, "softwaremicrosoftwindowscurrentversion
un", "sdsys", App.Path & App.EXEName
End If

Cancel = False 'ON QUITTE CAR APPLI FERMEE PAR WINDOWS

Case else:

Cancel = true ' L'APPLI N' EST PAS FERMEE PAR WINDOWS ON NE QUITTE PAS

end select

End Sub
cs_moustachu Messages postés 1079 Date d'inscription jeudi 14 novembre 2002 Statut Membre Dernière intervention 1 janvier 2012
10 déc. 2002 à 18:06
Je le prenais comme tel, je vais un peu l'étudier avant de la lancer. Je suis plutôt Newbies dans ce domaine
cs_aKheNathOn Messages postés 575 Date d'inscription dimanche 23 décembre 2001 Statut Membre Dernière intervention 23 octobre 2012
10 déc. 2002 à 17:57
Ou encore si j'ai vb version Englaise (elle sont inclues dans l'install de windows à partir de win2000) pour les versions englaises y'à besoin que juste de msvbvm60.dll .
et puis justement ce qui est bien avec vb c'est que mes codes ne seront pas utilisés à des fin méchantes ... ou du moins si elles le sont elles n'aboutiront pas ... je vois mal un virus de 1.6 MO ... donc pas de pbs ce code n'est pas méchant :) ...

Je vous propose juste de vous divertir en aprennant . (PS : Déconséillé comme même au newbies ...!)
FrostByte Messages postés 138 Date d'inscription mercredi 4 avril 2001 Statut Membre Dernière intervention 28 janvier 2006
10 déc. 2002 à 17:49
sauf si elles sont inclues dans le exe (voir Fusion de bit-arts ou Compy)
cs_moustachu Messages postés 1079 Date d'inscription jeudi 14 novembre 2002 Statut Membre Dernière intervention 1 janvier 2012
10 déc. 2002 à 17:44
Je ne suis pas trop branché virus mais j'essaye de m'intéresser un peu à tout... Mais là il faut les runtimes de VB pour lancer un virus ? Pas top ;)
cs_aKheNathOn Messages postés 575 Date d'inscription dimanche 23 décembre 2001 Statut Membre Dernière intervention 23 octobre 2012
10 déc. 2002 à 17:39
J'attends vos lumiéres

Discussions similaires

Un beau défi
cs_petfire -
smailhop -

2 réponses
comande en hyperterminal
jmb7523 -
Fpaul54 -

3 réponses
comment creer une session en asp.net
tabitni -
tabitni -

14 réponses
Petit défi
DefiAzzana -
Utilisateur anonyme -

11 réponses
HELP...chaine de caractères....en C..défi TP
cs_SniPi -
Liverion -

4 réponses
Rejoignez-nous