2004-07-16 11:27
Crossbow
אני רק רוצה להדגיש שהכל למטרות טובות -- ללמוד, ולא להרוס. עכשיו, אני בטוח שכולכם מכירים את הוירוסים הידועים בשפת VBS... הרי VBS זה גן עדן למתכנתי וירוסים... בכל מקרה, הצלחתי לבנות וירוס (על ניירות, מכיוון שלא הייתה לי גישה למחשב) שאם ישוחרר אני לא חושב שיהיה אפשר לעצור אותו בכל כך קלות...
מה הרעיון? הוירוס נקרא RandomIsCool והוא עבד בהצלחה על מחשב עם רשת ביתית... עכשיו, הוא מתבסס על אותם עקרונות של וירוסי ה- VBS: העתקה לתוך הרג'יסטרי, הפצה מתוך אי מייל וכולי... אז מה חדש בו? הכל אקראי... ננתח את אלגוריתם הוירוס:
הוירוס מקבל משתנים שונים, כגון FileNameX (יהיה שם הקובץ הבא), iX (יהיה משתנה ללולאת For לצרכים שונים), FsoX (יהיה אובייקט File System לצרכים שונים), WScriptX (יהיה לצורך כתיבה לרג'יסטרי) וכולי... עכשיו, השלבים הם כאלה:
א. הוירוס מקצה שמות אקראיים למשתנים שלו... כלומר, FileNameX יהפוך למשהו אחר, FsoX יהפוך למשהו אחר וכולי... השמות מורכבים משתי מרכיבים אקראיים: מספר תווים אקראי וערך תווים אקראיים. ב. הוירוס מחפש את כל הקבצים עם סיומת html ו- vbs, ומוסיף את עצמו לסוף שלהם, כאשר כל השמות כבר אקראיים. ג. הוירוס שולח את עצמו באי מייל עם שם קובץ אקראי ועם שמות משתנים אקראיים. הרעיון עובד על רשימת התפוצה באי מייל. ד. הוירוס שולח את עצמו במירק. ה. הוירוס מוחק ערכים שונים מהרג'יסטרי, וכמו כן קבצים חשובים.
הוירוס עבד בהצלחה על מערכות Windows 9x... כמובן שלא שחררתי אותו... קצב ההדבקה שלו (אם ישוחרר, והלוואי שלא ישוחרר) יהיה מהיר מאוד. הוירוס לא תופס הרבה מקום, אבל הוא ארוך יחסית לוירוס VBS...
מהם היתרונות של הוירוס? א. הפצה מהירה. ב. יכול לרוץ על כל מחשבים חלונאי (מגרסאות 9x בינתיים). ג. חוסר יכולת מעקב אחרי הוירוס (הוא עובר מוטציות מהר מאוד). ד. הדבקה בקבצים רבים, כגון html, vbs.[נערך על-ידי Crossbow בתאריך 2004/07/16 11:31]
2004-07-16 11:34
Enn
אבל כשהוא מפיץ את עצמו דרך האיימיל, מה הנושא והתוכן של ההודעה שהוא שולח (נוסף לקובץ עם השם האקראי שנשלח)?
2004-07-16 11:39
Crossbow
הם גם אקראיים... זה כל הקטע! הכל אקראי לחלוטין.
2004-07-16 11:41
Enn
אבל מי יפתח הודעה שהנושא שלה הוא X8572FG? והתוכן שלה 5FAFB6F?
האקראיות בקטע הזה לדעתי קצת מיותרת (כל עוד זה יוצא אקראי לגמרי).
2004-07-16 11:57
Crossbow
זה הכרחי נגד מעקב אחרי הוירוס... האמת היא שעכשיו כשאתה אומר את זה, יש לי רעיון: אני יכול לכתוב וירוס שלא יהיה אקראי לגמרי... אולי שם הקובץ ונושא ההודעה יהיו לקוחים אקראית מתוך שמות הקבצים אצל הקורבן, כלומר, שם קובץ אקראי מתוך המחשב המודבק... איך זה?
2004-07-16 12:00
Enn
זה נשמע הרבה יותר טוב
2004-07-16 12:01
Bleeding Moon
רעיון חמוד =]
ואם אתה יכול אז תעשה לו עוד מאגר קטן (נניח "ממצב?, עדיין זוכר אותי?") / יקח טופיקים של מיילים שיש כבר בתיבת דואר ומהם יעשה טופיק :P
2004-07-16 12:02
Crossbow
לא, כי אז הוירוס לא יהיה אקראי ולכן יהיה אפשר לעדכן אנטיוירוסים נגדו.
2004-07-16 12:12
cp77fk4r
הוירוס "BugBear" והשיבוט שלו "BugBear.b" (אני ממש ממש ממש לא בטוח שהיית על הנט כשהשיבוט שלו שוחרר) עושים את אותה הפעולה, הרעיון מאוד יפה. אבל קרוס, יהיה אפשר לעקוב אחריו, נכון, זה יהיה קשר אבל תעשה דבר כזה:
הוירוס, משנה את השמות שלו ע"פ לולאת For נכון? אז גם אנחנו (אלה שרוצים לעקוב ולמחוק אותו) נעשה את זה, נעשה לולאת For שבנויה מהקוד עצמו של הוירוס, ואז פשוט הפלט שיצא ממנה- זה מה שנמחק.
אני חושב, שהכי טוב זה לבנות פונקציה, והיא תקבל קלט מסויים, ולפיו יהיו כמה חוקים שלפיהם הלולאת For שקובעת את השם הבא תעבוד.
עכשיו הקלט שיוכנס אליה (אפשר לעשות גם כמה קלטים שלפיהם החוקים יעבדו, ואז בכלל לא יהיה אפשרי לעקוב אחריו) יהיה רנדומאל, ובגלל שהקלט יהיה ראנדומאלי והחוקים מבוססים עליו- זאת אומרת שגם החוקים של הפעולה של הלולאת For של הוירוס יהיו ראנדומאלים! ככה שכל פעם לא רק שהוא יבחר שם אחר, הוא גם יתנהג בצורה אחרת, ככה הוא יהיה ראנדומאלי לחלוטין :)
אבל בכל אופן, עדיין יהיה פיסת קוד מסויימת שתיהיה צריכה להשאר קבועה. ואז פשוט, בכל מחשב נגוע- אנשים יכנסו ל"חיפוש"==>"חיפוש קבצי טקסט וורוד" ושם יש אפשרות לחיפוש ע"י מילה או סטרינג מסויים שיש בקובץ, יחפסו את הפיסת קוד ההיא, וככה יהיה אפשר להסיר את הוירוס.
בכל אופן, כל הכבוד, הרעיון בוצע כבר, אבל הוא ממש יפה :)
2004-07-16 12:17
Crossbow
הראנדומל משתמש בפונקצייה randomize ולכן הוא רנדומלי לחלוטין ואין שום דרך לדעת מה השם המקורי של הוירוס היה... בנוסף, פיסות הקוד הקבועות הן: CreateObject Scripting.FileSystemObject וכל אלה... הם פיסות קוד שהמערכת עצמה משתמשת בהן, ולכן אין שום דרך לעקוב אחריו... ולא, לא הייתי כאשר השיבוט יצא... מה שבאמת רציתי הוא וירוס ויביסקריפט שיחפש קבצי exe ויוסיף להן קוד בינארי שישכפל את עצמו והכל... זה נחמד... כמו שילוב בין וירוסי VBS לבין וירוסי ASM...
2004-07-16 12:22
hfm
וירוס פיצוץ רואים שאתה כתבת(קרוס) את זה אפשר לבנות קובץ קטן שליפני שהוירוס פועל הוא מוחק חלק מהאנטי וירוס
2004-07-16 12:22
cp77fk4r
אין לי מושג אם אתה מכיר את הקבוצה 29a, כנס לאתר שלהם (קבוצה של כותבי וירוסים): http://www.29a.host.sk
תקרא, אולי זה יעניין אותך.
2004-07-16 14:42
Crossbow
מעניין ביותר...
2004-07-16 16:01
cp77fk4r
הכרת את 29a ? (אגב, בדוק מה זה בHex..)
ועוד משהו- לוירוסים האלה קוראים "וירוסים פולימורפים" (Pholimorphs Virus)
2004-07-16 16:07
The Keeper
יהיה הרבה יותר מעניין אם הוא יעתיק את עצמו לקבצים יותר חשובים מ-vbs ו-html... כי אם מדביק רק את הקבצים האלה (שבד"כ לא הכי חשובים למחשב), מחיקה שלהם תספיק... אבל אם יעתיק את עצמו לקבצים חשובים יותר, המשתמש יצטרך לעבוד יותר כדי להסיר (עד כדי פרמוט)
משה, מתכנת בכיר במיקרוסופט :)
2004-07-16 16:10
The Keeper
ו... בקשר לכותרת של האימייל שנשלח, כותרת עם התחלה כמו (יישור לשמאל [LOL, אי אפשר]) Re: XXX תעבוד מצויין, כי זה כאילו מישהו מחזיר לו אימייל, (משמע הוא פתח כבר אמייל של אותה כתובת בעבר) אז הוא יפתח...
2004-07-16 17:28
Crossbow
cp77fk4r: אני יודע שזה 666... TheKeeper: כן, רציתי להציג את הרעיון... אני לא מפתח את הוירוס הזה עוד...
2004-07-19 08:56
Crossbow
כן, צריכים ניידות.
2004-07-19 01:10
cp77fk4r
אין קשר.. יותר קשה לגלות בVB בגלל שהרצת התוכנה דורשת קימפול, לעומת זאת, בVBS למשל הקוד רק דורש מפרש, ולכן אפשר להסתכל בקוד מקור ולראות בדיוק איך הקובץ פועל.
2004-07-18 23:37
hfm
אם הוא יפרסם קוד מקור האנטי וירוס יוכלו לעלות על זה
עוד משהוא לוירוסים צריך לעשות את זה כמה שיותר מסובך כיאז קשה יותר לגלות למשל בVB לבנות פקדים תוך כדי שהתוכנה פועלת ולקרוא להם בשמות משונים
2004-07-18 15:36
cp77fk4r
כי הוא לא רוצה שזה יהרס, אז שמע, אל תפרסם קוד מקור, תפרסם תרשימים (אם יש לך).
או חלקי קוד בשביל פעולות מסויימות.
2004-07-18 15:21
BlackSnake פשוט פרסם פה את המקור... אם אתה מפחד שאיזה אידיוט ייקח את המקור ויריץ אותו - פשוט תוסיף שגיאה תחבירית או משהו באמצע הקוד. ממה שהבנתי אתה גם ככה לא מתכוון להפיץ את זה (וירוס)... אז מה הסודיות?
2004-07-18 08:25
Crossbow
אני כבר אחשוב על פרסום קוד המקור... ובקשר לויביאס: אפשר באמת לבנות קובץ bat ש- "יסתיר" את קובץ הויביאס מהמערכת (כמו שאני יודע שהיה עם Janice)...
2004-07-18 02:01
cp77fk4r
סבבה אחי, אתה צודק, אבל אני חושב שאם מישהו באמת ירצה ת'אנונימיות הזאת שהוא יפתח HexEditor וישנה את הסיסמא כי בלי זה הוא לא ירגיש שלא בנח, אז הוא יהיה מספיק חכם ולא ידבק בוירוס הזה..
2004-07-18 01:48
'
cp77fk4r כתב : "וב"ס, לא הבנתי את הבעיה של מציאת הקבצים, יש להם שם קבוע (למשל בMirc: "remote.ini" או "script.ini" וכו'), הוא יוכל לאסוף את שמותיהם של הקבצים ולערוך חיפוש וכשהוא ימצא אותם- להוסיף את הפקודות שהוא צריך." -סוף ציטוט. סיפי, אתה יוצר פה בעיה, לא כולנו משתמשים בקליינט של קחאלד[או איך שלא כותבים את השם הזה], יש כאלא שמתשמשים בirssi bitchx pirch hydra והרבה מאוד גירסאות קוד פתוח/סגור, ואף אחת מהן לא מתבססת על irc scripting חוץ מהגירסא של קחאלד[ככה ידוע לי לפחות], כדי לעבור את הבעיה הזאת יהיה צריך ליצור מאגר דיי גדול של גירסאות כאלו והוא פשוט יבחר אותן, עוד בעיה שנוצרת היא אם האפשרות לגילוי של הגירסא של הקליינט באייארסי היא לפי הversion , כל אחד יכול פשוט לפתוח הקס אדיטור ולשנות את הגירסא, מה שיוצר עוד קושי, זה מה שעולה לי בראש עכשיו, אני יערוך מחר ויוסיף.
2004-07-18 01:31
cp77fk4r
חחח, כמו שאני מאותגר קיוקבייסית
וב"ס, לא הבנתי את הבעיה של מציאת הקבצים, יש להם שם קבוע (למשל בMirc: "remote.ini" או "script.ini" וכו'), הוא יוכל לאסוף את שמותיהם של הקבצים ולערוך חיפוש וכשהוא ימצא אותם- להוסיף את הפקודות שהוא צריך.
אני מאמין שאני לא מחדש לך הרבה.. תוכל להסביר את הבעיה?
2004-07-18 01:12
silicon_wolf
אני מאותגר ויביאסית
2004-07-18 01:07
cp77fk4r
סיליק ביליק, הוא לא יכול לעשות את מה שכתבת: "אתה תכתוב באפר לתוך שם החלון של במירק או שתלך על פי פרוסס ניים או פרוסס איידי?"
למרות שזה קרוס... זאת עדיין VBS...
2004-07-18 00:03
Hell-Shooter
עלה לי רעיון... אם אתם כל כך רוצים להעלות פה תרמה, או משהו... אפשר שכל המתכנתים בפורום יכתבו את הוירוס הזה... פחות או יותר ידוע מה הוירוס אמור להכיל, ועוד כמה דברים מסביב... אז פשוט אפשר שהמתכנתים יבנו את הוירוס ובסוף יפרסמו את הקוד וכולם ישמחו :) תחשבו על זה...
2004-07-17 23:31
BlackSnake
אנחנו מדברים על vbs, נכון?.. =|
עמודים:
1
2
