Accedi per seguire   
Seguaci 0
d0riad

Richiesta Di Aiuto Per Un Trojan Deleter

4 messaggi in questa discussione

Salve a tutti...

Faccio parte del team dei Game Master in un gioco di ruolo online.

Recentemente abbiamo scoperto l'esistenza di un trojan che ruba gli account ai giocatori del suddetto gioco e onde prevenirne la diffusione ho cominciato la scrittura di questo modesto Trojan Deleter.

L'unico problema è che non avendo a disposizione il trojan effettivo per poterne studiare il comportamento sto lavorando in base ai security report che ho trovato navigando in internet :P

Ora, questo è il codice dello script che ho ideato:

tRO=msgbox("Ragnarok Trojan Checker v0.03b" & vbCrLf & "by d0riad." & vbCrLf & "This simple tool is ment to verify if you have the Ro Trojan alias PWSteal.Ragnarok" & vbCrLf & "Hit OK to continue",VBOkOnly,"Ragnarok Trojan Cheker v0.01")

Dim fso

Set fso = CreateObject("Scripting.FileSystemObject")

If (fso.FileExists ("C:\Windows\rundll132.exe")) Then

pRO=MsgBox("rundll132.exe found..." & VBCrLf & "that's not good..." & VBCrLf & "Proceeding the scan...",vbOKOnly+vbCritical,"rundll132.exe found!")

dRO=MsgBox("Do you want me to delete" & vbCrLf & "(or at least try to xD)" & vbCrLf & "The trojan executable?",vbYesNo+vbquestion,"Delete it?")

Else

iRO=MsgBox("rundll132.exe not found." & VBCrLf & "Proceeding with the scan.",vbOKOnly+vbinformation,"rundll132.exe not found!")

End If

If dRO=vbYes Then

Dim fso2,tROexe

Set fso = CreateObject("Scripting.FileSystemObject")

Set tROexe = fso.GetFile("C:\Windows\rundll132.exe")

fso.DeleteFile ("C:\Windows\rundll132.exe")

MsgBox "rundll132.exe deleted!"

End if

If (fso.FileExists ("C:\Windows\System32\rodll.dll")) Then

pRO=MsgBox("rodll.dll found...." & vbCrLf & "That's even worse...",vbOKOnly+vbCritical,"rodll.dll found!")

bRO=MsgBox("Do you want me to delete" & vbCrLf & "(or at least try to xD)" & vbCrLf & "The trojan library file (.dll)?",vbYesNo+vbquestion,"Delete it?")

Else

iRO=MsgBox("rodll.dll not found...." & vbCrLf & "That's good...",vbOKOnly+vbinformation,"rodll.dll not found!")

kRO=MsgBox("Well, it seems you haven't the Ragnarok Trojan." & vbCrLf & "That's good. But beware of what you download :wub:", vbOKOnly+vbinformation,"Finished!")

End If

If bRO=vbYes Then

Dim fso3,tROdll

Set fso = CreateObject("Scripting.FileSystemObject")

Set tROdll = fso.GetFile("C:\Windows\System32\rodll.dll")

fso.DeleteFile ("C:\Windows\System32\rodll.dll")

MsgBox "rodll.dll deleted!"

End if

Come potete vedere il codice è molto grezzo come anche le sue funzioni.

Volevo domandarvi se potevate gentilmente aiutarmi a inserire del codice che cancelli questa riga dal Regedit:

Adds the value:

"Regro" = "%Windir%\rundll132.exe"

to the registry subkey

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

so that it runs every time Windows starts.

...che non ho la benchè minima idea di come fare :P

Potete darmi qualche idea/suggerimento/stringa?

Ringrazio in anticipo per il vostro aiuto :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao e Ben arrivato/a nel forum, ...AryaS - d0riad

Ti invito a personalizzare la tua presenza in WinInizio aggiungendo una firma e un'avatar al tuo profilo personale;

se non sai come fare clicca qui

Se vuoi presentarti alla comunità perchè non fai un salto in "Benvenuto", la discussione creata proprio per accogliere i nuovi iscritti. (Naturalmente non sei obbligato a farlo :) )

Ricordati, infine, di aprire nuove discussioni usando titoli specifici: un titolo troppo generico come "Aiuto" o "Consiglio" è inutile perchè non permette di capire subito la tua richiesta e rende più difficili le ricerche per gli altri utenti.

Buona permanenza in WinInizio!

*****************************************

Ti premetto che non ho nessuna nozione sui codici... comunque magari i tecnici della sezione Programmazione ti potranno aiutare...

nel frattempo, dai un'occhiata qui: http://msdn2.microsoft.com/it-it/library/1...wcc(VS.80).aspx

.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao e Ben arrivato/a nel forum, ...AryaS - d0riad

Ti invito a personalizzare la tua presenza in WinInizio aggiungendo una firma e un'avatar al tuo profilo personale;

se non sai come fare clicca qui

Se vuoi presentarti alla comunità perchè non fai un salto in "Benvenuto", la discussione creata proprio per accogliere i nuovi iscritti. (Naturalmente non sei obbligato a farlo :P )

Ricordati, infine, di aprire nuove discussioni usando titoli specifici: un titolo troppo generico come "Aiuto" o "Consiglio" è inutile perchè non permette di capire subito la tua richiesta e rende più difficili le ricerche per gli altri utenti.

Buona permanenza in WinInizio!

*****************************************

Ti premetto che non ho nessuna nozione sui codici... comunque magari i tecnici della sezione Programmazione ti potranno aiutare...

nel frattempo, dai un'occhiata qui: http://msdn2.microsoft.com/it-it/library/1...wcc(VS.80).aspx

.

Ciao AryaS.

Il suggerimento che ti ha dato Kuma, dovrebbe essere valido se programmassi in ambiente .NET.

Da quello che ho visto (premetto di non essere un estimatore di Visual Basic e quindi non lo conosco benissimo), il tuo programma è scritto in Visual Basic 6 (o precedente, ma non VB.NET...).

Per quell'ambiente dovresti fare affidamento alle API di Microsoft. Nello specifico, dovresti utilizzare 3 o 4 funzioni che ti vengono fornite dalla DLL ADVAPI32.DLL:

1) RegOpenKeyA (per aprire la chiave di registro prescelta)

2) RegDeleteKeyA (per eliminare la chiave di registro prescelta)

3) RegDeleteValueA (per eliminare un valore dalla chiave di registro prescelta)

4) RegCloseKeyA (per chiudere la chiave di registro prescelta)

"Importazione" delle funzioni della dll advapi32.dll:

Declare Function RegOpenKey Lib "advapi32.dll" Alias "RegOpenKeyA" (ByVal Hkey As Long, ByVal lpSubKey As String, phkResult As Long) As Long
Declare Function RegDeleteKey Lib "advapi32.dll" Alias "RegDeleteKeyA" (ByVal Hkey As Long, ByVal lpSubKey As String) As Long
Declare Function RegDeleteValue Lib "advapi32.dll" Alias "RegDeleteValueA" (ByVal Hkey As Long, ByVal lpValueName As String) As Long
Declare Function RegCloseKey Lib "advapi32.dll" (ByVal Hkey As Long) As Long
bData As Long) As Long

Implementazione delle funzioni deletekey e deletevalue:

Public Function DeleteKey(ByVal Hkey As Long, ByVal strKey As String)
Dim r As Long
r = RegDeleteKey(Hkey, strKey)
End Function

Public Function DeleteValue(ByVal Hkey As Long, ByVal strPath As String, ByVal strValue As String)
Dim keyhand As Long
r = RegOpenKey(Hkey, strPath, keyhand)
r = RegDeleteValue(keyhand, strValue)
r = RegCloseKey(keyhand)
End Function

:) e buon lavoro ;-)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

vi ringrazio moltissimo ;-)

è uno script in .vbs da usare come script stand-alone visto che dovrebbe partire in automatico prima dell'avvio del gioco e deve essere leggero... :)

Modificato da AryaS - d0riad

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0