LOG_GIGANTIC_TROJAN

Описание:

Релиз нового нативного резидентного вируса, написанного на C, C++ и питоне (питон чисто для отправки логов с кейлоггера и скриншотов) с использованием winapi 32 👨‍💻

вирус не детектится абсолютно никакими антивирусами, копируется в svchost.exe, создает кучу новых процессов и заражает все активные .exe файлы на компьютере. реализован инжект в виде библиотеки динамической компоновки (dll) в абсолютно любые удобные для пользователя процессы. к примеру, я выбрал MicrosoftSoundController, который склеен с инъекцией вируса и мусорными dll файлами Microsoft.

программа управляет буфером обмена, и умеет заменять скопированный вами текст, фильтрованный регулярными выражениями на свой.

все нажатия клавиш на компьютере обрабатываются и записываются в файл keylogs.txt, который далее отправляется в телеграм бота.

создаются скрины фотографий, которым также имеет место быть в том самом телеграм боте.
вирус 100% fud, и несет огромный и непоправимый вред для компьютера, поэтому я принял решение отправить его в лаборатории Евгения Касперского, чтобы проанализировав его, он был добавлен в антивирусную базу, а эвристики нахождения вредоносов были улучшены.
ответ лаборатории вы можете увидеть на скрине снизу.

детектирование включено здесь:

LOG_GIGANTIC_TROJAN.exe - Trojan-Banker.Win64.ClipBanker.f

LOG_GIGANTIC_TROJAN.exe - Trojan-Banker.Win64.ClipBanker.e

хочется отметить, что в семействе вирусов Trojan-Banker еще не было подсемейства Win64, но теперь появилось. код вируса я представляю, как наблюдения в ходе исследовательской работы по изучению эвристик детектирования, а также winapi 32. в проекте насчитывается около 10 000 строк, но тем нее менее вес исполняемого бинарника составляет порядка 100 килобайт.

Компиляция и сборка:

Windows:

Скачиваем архив

Открываем в Visual Studio (.sln)

Собираем конфигурацию CMake (Ctrl + S в CMakeLists.txt)

Собираем проект (Ctrl + Shift + B)

Открываем исполняемый файл в папке out/build/x64-realese/LOG_GIGANTIC_TROJAN

Навигация:

LOG_GIGANTIC_TROJAN/LOG_GIGANTIC_TROJAN - все исходники .exe трояна

Основной код клипера:

Clipboard.h

Clipboard.cpp

Основной код кейлоггера:

KeyMaster.h

KeyMaster.cpp

KeyMasterUtils.cpp

KeyMasterUtils.h

Имитация плавающего экрана:

ScreenPramk.cpp

ScreenPrank.h

Копирование в svchost, иная автозагрузка:

Core.cpp

Core.h

KeyMaster.cpp

KeyMaster.h

Связь с разработчиком:

Telegram - https://t.me/logbaby

VK - https://vk.com/logbaby

English

Description:

Release of a new native resident virus written in C, C++ and python (python is purely for sending keylogger logs and screenshots) using winapi 32 👨‍💻

the virus is not detected by absolutely any antivirus, it is copied to svchost.exe, creates a bunch of new processes and infects all active .exe files on the computer. Injection is implemented in the form of a dynamic link library (dll) into absolutely any user-friendly processes. for example, I chose the MicrosoftSoundController, which is glued with a virus injection and junk Microsoft dlls.

The program manages the clipboard and can replace the text you copied, filtered by regular expressions, with your own.

All keystrokes on the computer are processed and written to the keylogs.txt file, which is then sent to the telegram bot.

screenshots of photos are created, which also take place in the same telegram bot.
the virus is 100% fud, and causes huge and irreparable harm to the computer, so I decided to send it to the laboratories of Evgeny Kaspersky, so that after analyzing it, it will be added to the anti-virus database, and malware detection heuristics will be improved.
you can see the answer of the laboratory on the screen below.

detection enabled here:

LOG_GIGANTIC_TROJAN.exe - Trojan-Banker.Win64.ClipBanker.f

LOG_GIGANTIC_TROJAN.exe - Trojan-Banker.Win64.ClipBanker.e

I would like to note that the Trojan-Banker virus family did not yet have the Win64 subfamily, but now it has.I present the virus code as observations in the course of research work on the study of detection heuristics, as well as winapi 32. the project has about 10,000 lines, but nevertheless, the weight of the executable binary is about 100 kilobytes.

Compiling and building:

Windows:

Download archive

Open in Visual Studio (.sln)

Build CMake configuration (Ctrl + S in CMakeLists.txt)

Building the project (Ctrl + Shift + B)

Open the executable in the out/build/x64-realese/LOG_GIGANTIC_TROJAN

Navigation:

LOG_GIGANTIC_TROJAN/LOG_GIGANTIC_TROJAN - all Trojan .exe sources

Main clipper code:

Clipboard.h

Clipboard.cpp

Main keylogger code:

KeyMaster.h

KeyMaster.cpp

KeyMasterUtils.cpp

KeyMasterUtils.h

Simulate a floating screen:

ScreenPramk.cpp

ScreenPrank.h

Copy to svchost, other autoload:

Core.cpp

Core.h

KeyMaster.cpp

KeyMaster.h

Contact developer:

Telegram - https://t.me/logbaby

VK - https://vk.com/logbaby