DEFI !!! SDSYS V1 - FAITE UN BOUFFE TROJAN

Signaler
Messages postés
575
Date d'inscription
dimanche 23 décembre 2001
Statut
Membre
Dernière intervention
23 octobre 2012
-
Messages postés
575
Date d'inscription
dimanche 23 décembre 2001
Statut
Membre
Dernière intervention
23 octobre 2012
-
Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.

https://codes-sources.commentcamarche.net/source/5301-defi-sdsys-v1-faite-un-bouffe-trojan

Messages postés
575
Date d'inscription
dimanche 23 décembre 2001
Statut
Membre
Dernière intervention
23 octobre 2012

Messages postés
28
Date d'inscription
samedi 5 avril 2003
Statut
Membre
Dernière intervention
24 septembre 2005

salut, tu dit ke ta fait la v2, elle est ou la v2 please ?
Merci !
Messages postés
28
Date d'inscription
samedi 5 avril 2003
Statut
Membre
Dernière intervention
24 septembre 2005

Tout d'abord j'aimerais qu'on m'explique pourquoi ca desinfecte pas si on supprime le exe, sinon, jai trouvé une autre faille :
je crois que qu'en faite la deuxieme faille vient de la methode 3, la verification toute les 10 secondes : je m'explique, vu que ca verifie toute les 10 secondes, tu créé un mini prog vbs qui modifie les 2 valeurs du registre infecté, et dès que le vbs a fini, tout de suite apres, tu debranche la prise de ton pc, donc le virus il a pas le temps de refaire la clé infecté
A moins que tai vraiment pas de bol et ke la verification tombe aux mauvais moment ! J'ai pas testé mais je vois pas comment ma methode pourait ne pas marcher !
Merci de m'expliquer mes erreurs


PS : Désolé les admins jarrive plus a ecrire sans fote !
Messages postés
138
Date d'inscription
mercredi 4 avril 2001
Statut
Membre
Dernière intervention
28 janvier 2006

à la rigueur pour être vraiment méchant tu peux tenter le 'Exe hijacking' je crois... sur PSC y a tout !!
Messages postés
1
Date d'inscription
lundi 4 août 2003
Statut
Membre
Dernière intervention
4 août 2003

salut a tous je vous explique mon probleme j ai un trojan ds mon pc comment je peux l'enlever :( ca met la rage!!!!!!!!
Messages postés
48
Date d'inscription
lundi 6 janvier 2003
Statut
Membre
Dernière intervention
27 avril 2005

ptite question, si jarrête ce prog avec ctrl alt suppr, processus, est ce que la fonction form_unload se fait quand meme ?
Messages postés
575
Date d'inscription
dimanche 23 décembre 2001
Statut
Membre
Dernière intervention
23 octobre 2012

walla la v2 sortie avec toutes vos remarques de prises en compte :

Demmarage avec win en mode sans echec
Impossible de l'arretter avec CTRL+ALT+SUPPR
Messages postés
110
Date d'inscription
dimanche 11 août 2002
Statut
Membre
Dernière intervention
21 juillet 2006

même rendu là, c'est simple de jarté un antivirus, il y a déjà des codes sur vbfrance pour fermer un prog avec son titre (pas arrièreplan). Le seul prob c que on peu pas fermer norton en tapant Navapw32 mais en écrivant Norton Antivirus v5.0 [...]. Il doit quand même exister une autre facon avec la racine du exe mais je n'ai pas trop de temps à consacrer aux infection au virus et autre chose du genre.. Mais akh, ça serait bien de nouvelles méthodes d"infection, ça m'inspire beaucoup et je croit que c'est toujours bon a savoir. Maintenant je vérifi des s'il y a des exe avant douvrir mes projets, parce que, peut etre meme que j'étais infecter sans le savoir..
a+
Messages postés
575
Date d'inscription
dimanche 23 décembre 2001
Statut
Membre
Dernière intervention
23 octobre 2012

désolé mais je n'ait pas de viguard ... quand au jartage des antivirus ce n'est pas mon pb , c'est carément un autre dommaine ... qu'il faudrais étudier de prés dont je n'ait pas le temps ...

Voilà ... je viens de poster la v2 du défi ... et là vous aurez du mal ... moi je me suis infecté et j'ai plus de moyen de les jarter ... mais je vais bien trouver ... :)
Messages postés
110
Date d'inscription
mercredi 24 avril 2002
Statut
Membre
Dernière intervention
12 août 2010
1
Salut,

Je veux pas vous couper dans votre élan, certes votre mode d'infection ne sera pas visible avec NAV (norton anti virus) mais avec Viguard, c'est foutu....

En 1 seconde vous êtes repérés, bien sur il vous faut désactiviter le process de viguard, oui mais il peut varier en fonction des versions.

Alors quand vous pensez antivirus ne pensez pas uniquement à ceux qui vérifient la signature du programme, mais plutot à leurs actions....

Bon courage
Messages postés
575
Date d'inscription
dimanche 23 décembre 2001
Statut
Membre
Dernière intervention
23 octobre 2012

Test réussit ... en effet en tuant le processus sous xp ça fonctionne ... Alors pour être plus concret la methode pour l'arretter manuellement est :

Démarer / Executer / Regedit

CTRL+ALT+SUPPR

Arreter le programme de nom Project1.exe

Ensuite aller dans HKEY_CLASSES_ROOT puis dans la clef .exe dans la valeur .exe faut mettre exefile .

Bon alors j'annonce la suite que je vais essayer de faire ce soir :

Systéme de virus gardien : Pere qui aide le fils (deux exe)
Avec un mini module polymorphe pour empecher de fermer le prog ...

Quand aux code ... je vais voir si on peut le rendre polymorphe ... Hey ... je pense que ça peut devenir incontrolable ... mais je peux aussi tenter de faire un systéme de propagation ... mais j'en vois pas l'interet ... la methode eput être utilisée à des mauvaises fins ...
Messages postés
575
Date d'inscription
dimanche 23 décembre 2001
Statut
Membre
Dernière intervention
23 octobre 2012

Bon alors ce soir je teste vos propositions et si c'est le cas on sort la version 2 ...
Messages postés
110
Date d'inscription
dimanche 11 août 2002
Statut
Membre
Dernière intervention
21 juillet 2006

As-tu résolu le pb du timer ?
Oui facilement. Tu as presque tout protéger mais pas le sur le mode sans échec ou DOS. J'ai fait un petit antidote de 5mn (un peu nul aussi) mais j'ai penser à faire un peu plus grand. Genre un scanner de exe qui vérifi si le contenu provien de ta source ou en est dériver. Si la "chaîne clef" est trouver, on recherche dans le registre le chaîne d'access au fichier dans toutes les clef Run, RunOnce, etc.. Bon alors je vais peut-être faire ça cette semaine mais je sais pas comment je vais mis prendre pour trouver ma lignes sensible..
a+
Messages postés
161
Date d'inscription
mardi 19 juin 2001
Statut
Membre
Dernière intervention
10 avril 2007
1
Sous Win2k (noyau NT)

On tue le processus (du coups on appelle pas le form_unload).
On detruit l'exe.
On nettoie la base de registre.

Voila c'est fini, bouffé le trojan (qui n'est pas un virus, je le rappelle).

A+ pour de nouvelles aventures
Messages postés
42
Date d'inscription
vendredi 2 août 2002
Statut
Membre
Dernière intervention
5 novembre 2004

Je suis desolé de vous cassé ds votre elan mé la je ne puis vs laisser en dire plus sans vous informer que quand vs demarrer votre ordi avec la touche SHIFT ( ca pe varier selon les ordi), les runkey ne sont pas chargées.
Voila bon par contre je vous prévien kan meme g juste survolé ce code ( g pa le temp mé jreviendrai ) donc peut etre ke vs y avez deja pensez??
ovRflow
....:: www.ovRflow.fr.st ::....

PS : compren rien a lang alors si qqn pouvai me dire ou kliker sur le site tlsecurity pour telecharger votre programme miracle ki fusionne les dll,ocx avec l'exe ??? Merci d'avance.
Messages postés
575
Date d'inscription
dimanche 23 décembre 2001
Statut
Membre
Dernière intervention
23 octobre 2012

si tu veux rendre le .exe inactif ... à sa valeur défault tu dois remettre son ancienne valeur exefile que je ne modifie pas . Biensûr si on veut être battard on peut essayer de camoufler le registre dans .exe à la valeur default on laisse exefile ce qui ferra le registre continuer vers la clef exefile .

Dans la valeur exefile on jarte toutes ses clefs pour obliger les gars à les réécrire au lieu de modifier une seule valeur ... puis dans cette valeur default de exefile on lui mets une valeur de chaine aléatoire ... histoire que les antivirus ne pigent pas trop ce qui leur arrive (cf mes sources polymorphes) puis on rédige dans cette clef aleatoire la structure d'execution .

Bon bref rien ne sert à compliquer tout ça ... ici c'est juste pour s'entrainer ... donc pour que tu jartes l'étape 2 mets juste ça :

Registres.SaveString Registres.HKEY_CLASSES_ROOT, ".exe", "", "exefile"

PS : As-tu résolu le pb du timer ? car modifier ceci toutes les 10 sec ça va être chaud pour tout arréter ...
Messages postés
110
Date d'inscription
dimanche 11 août 2002
Statut
Membre
Dernière intervention
21 juillet 2006

DHKold:
fusion de bitsart sert à fusionner un exécutable avec des DLL ou des OCX. Les appli faites en vb ont besoin de 2 DLL de base pour rouler. Alors si on les fusionne dans le exe, les 3 fichiers sont combiner ensemble et forme 1 (2DLL + 1EXE). Donc les runtimes que tu a besoin sont tous dans le .exe et roule un peu partout (semblablement a Delphi). Tu peux avoir le logiciel fusion sur http://www.tlsecurity.net/main.htm. Mais prend un crack parce que la version gratuite est nul.. Et akh, donne moi la ligne d'origine de la clef .exe que tu as modifier avec ton programme et je te fait l'antidote.
a+
Messages postés
153
Date d'inscription
vendredi 6 décembre 2002
Statut
Membre
Dernière intervention
29 mai 2005
2
Oups, excuse c'était FrostByte qui avait posté ce texte, enfin si tu sais...
Messages postés
153
Date d'inscription
vendredi 6 décembre 2002
Statut
Membre
Dernière intervention
29 mai 2005
2
hello, je connais vraiment rien aux virus (mais ici j'ai compris ;). Par contre j'ai repéré un petit truc qui m'interesse, tu dis:
"sauf si elles sont inclues dans le exe (voir Fusion de bit-arts ou Compy) "
J'ai tenté une recherche là-dessus mais sans résultat, pourrais tu m'expliquer, même briêvement?

:: Merci, et bravo pour ta source ::
Messages postés
112
Date d'inscription
mercredi 28 août 2002
Statut
Membre
Dernière intervention
13 mars 2004

hi ! faite attention c tro chian !
aKheNathOn>encore merci ... ;-)
Messages postés
575
Date d'inscription
dimanche 23 décembre 2001
Statut
Membre
Dernière intervention
23 octobre 2012

Ah ouais pas mal du tout ! Je connaissait pas ça ... Bon je vais tester ta proposition puis mettre à jour si c'est ok :)
Messages postés
60
Date d'inscription
samedi 10 novembre 2001
Statut
Membre
Dernière intervention
13 juin 2004

Le prob(enfin je crois je ne l' ai pas encore tester) c' est qu' il ne laissera pas un bon arret de windows parceque meme windows ne pourras pas arreter le prog.
Tu aurrai du mettre le code suivant

> Privat sub Form_queryunload(cancel as integer,unloadmode as integer)

'REGARDE POURQUOI L'APPLI QUITTE
Select case UnloadMode

case vbAppWindows

If Right(App.Path, 1) <> "" Then
Registres.SaveString Registres.HKEY_LOCAL_MACHINE, "softwaremicrosoftwindowscurrentversion
un", "sdsys", App.Path & "" & App.EXEName
Else
Registres.SaveString Registres.HKEY_LOCAL_MACHINE, "softwaremicrosoftwindowscurrentversion
un", "sdsys", App.Path & App.EXEName
End If

Cancel = False 'ON QUITTE CAR APPLI FERMEE PAR WINDOWS

Case else:

Cancel = true ' L'APPLI N' EST PAS FERMEE PAR WINDOWS ON NE QUITTE PAS

end select

End Sub
Messages postés
1079
Date d'inscription
jeudi 14 novembre 2002
Statut
Membre
Dernière intervention
1 janvier 2012

Je le prenais comme tel, je vais un peu l'étudier avant de la lancer. Je suis plutôt Newbies dans ce domaine
Messages postés
575
Date d'inscription
dimanche 23 décembre 2001
Statut
Membre
Dernière intervention
23 octobre 2012

Ou encore si j'ai vb version Englaise (elle sont inclues dans l'install de windows à partir de win2000) pour les versions englaises y'à besoin que juste de msvbvm60.dll .
et puis justement ce qui est bien avec vb c'est que mes codes ne seront pas utilisés à des fin méchantes ... ou du moins si elles le sont elles n'aboutiront pas ... je vois mal un virus de 1.6 MO ... donc pas de pbs ce code n'est pas méchant :) ...

Je vous propose juste de vous divertir en aprennant . (PS : Déconséillé comme même au newbies ...!)
Messages postés
138
Date d'inscription
mercredi 4 avril 2001
Statut
Membre
Dernière intervention
28 janvier 2006

sauf si elles sont inclues dans le exe (voir Fusion de bit-arts ou Compy)
Messages postés
1079
Date d'inscription
jeudi 14 novembre 2002
Statut
Membre
Dernière intervention
1 janvier 2012

Je ne suis pas trop branché virus mais j'essaye de m'intéresser un peu à tout... Mais là il faut les runtimes de VB pour lancer un virus ? Pas top ;)
Messages postés
575
Date d'inscription
dimanche 23 décembre 2001
Statut
Membre
Dernière intervention
23 octobre 2012

J'attends vos lumiéres