вещь не новая, но думаю многие не видели
WinNT.Annigilator Virus v0.1 by _xh4ck_
WinNT.Annigilator Virus v0.1 by _xh4ck_
- Полиморфный вирус, написанный на ассемблере (~5000 строк, 75кб) Размер: 7кб. К вирусу прилагается программа-редактор списков плагинов, тоже написанная на ассемблере. Программа имеет русский интерфейс. Сделан только для nt систем и на 9х не работает. Изначально задумывалась большая функциональность, но затянувшийся процесс отладки и поиска багов отбил всю охоту
Фичи:
- Поддержка плагинов. Скачивается список плагинов с сервера, производится обновление плагинов, и, если нужно - удаление. Вся дополнительная функциональность реализована в виде плагинов (exe или dll)
- Каждый плагин может находиться на отдельном сервере и иметь любой размер (в разумных пределах)
- Вирус заражает все файлы, запущенные после него. Для этого он замещает функцию CreateProcessInternalW (см. комментарии в коде) Метод заражения: увеличение размера последней секции, оверлей файла не трогается.
- Вирус не заражает установочные файлы и файлы с большим размером (чтобы не отнимать память и не замедлять работу компьютера) - Если вирус запустить с параметром "-infect %file%", где %file% - любой exe-шник. Вирус заразаит этот файл и завершит свою работу.
- Шифрование: вирус при шифровании использует несколько различных ключей и обратимых операций.
- Полиморфизм: каждый раз процедура шифрования генерируется заново и имеет всегда различный код, каждая операция представлена несколькими ее вариантами, + используется генератор мусорных инструкций, что в сумме позволяет добиться почти полной неповторимости кода. - При заражении незначительно увеличивает размер файла
- Обходит файрвол
- Не имеет собственного процесса и использует перпроцессную резидентность
Плагины:
- Тырелка всех паролей на основе Pinch2Alpha, код доработан
- HTTP прокси сервер
- SOCKS 5 прокси сервер. Исходняки прилагаются.
