В статье 273 УК РФ даны признаки вредоносной компьютерной программы – программа должна совершать определенные действия с компьютерной информацией (модификация, копирование, блокирование, уничтожение), притом заведомо и несанкционированно. Заведомо – в силу свойств самой программы, не в результате ошибки (бага); несанкционированно – без разрешения и вопреки воле лица, уполномоченного разрешать или запрещать те или иные действия с информацией (в соответствии с действующим законодательством таким лицом является обладатель информации, т. е., в большинстве случаев, пользователь компьютера). Таким образом, если программа начинает DDoS-атаку без разрешения пользователя (на чьем компьютере эта программа работает), то она вредоносная, т. к. заведомо предназначена для несанкционированного блокирования компьютерной информации. Если с разрешением, то не вредоносная. Такое разрешение может быть получено путем ввода в программу определенных данных (нажатием на кнопку в интерфейсе, вводом ключа командной строки и т. п.; любая интерактивность действий программы с информацией исключает ее вредоносность, кроме случаев, когда вредоносная функциональность замаскирована под другую и пользователь, нажимая на какую-то кнопку, получает не тот результат, который ожидал).
JS LIOC, согласно описанию (сам не использовал :-)), требует получения команды на DDoS-атаку от пользователя (путем нажатия на соответствующую кнопку), поэтому не является вредоносной компьютерной программой. Однако размещение этой программы на своем сервере может образовать другой состав преступления, но тут уже надо разбираться в мотивах и целях, в каждом конкретном случае.
Дополнительное чтение ;-) 
