X
تبلیغات
رایتل
سه‌شنبه 15 اردیبهشت‌ماه سال 1388 ساعت 12:51 ب.ظ

آشنایی کامل با آلوده کردن فایل ها در vbscript توسط ویروس های کامپیوتری

سه نوع آلوده سازی مشهور وجود دارند که عبارتند از:

ا.آلوده سازی به روش overwrite (رونویسی)

2.آلوده سازی به روش prepending (اضافه شدن به ابتدای فایل)

3.آلوده سازی به روش  apending  (اضافه شدن به انتهای فایل)

این سه نوع آلوده سازی رایح ترین آلوده سازی فایل های vbscript توسط ویروس های vbscript است که پرکاربرد ترین آن ها روش سوم می باشد.

ا.آلوده سازی به روش overwrite (رونویسی)

ویروس ها برای آلوده سازی به این روش از دو راه استفاده می کنند.در روش اول که ویروس های قدیمی از آن استفاده می کردند،ویروس فایلی را که قرار بود آلوده شود را حذف کرده و سپس خودش را به جای آن فایل کپی می کرد.اما در روش دوم فایل از بین نمی رود و فقط اطلاعات فایل نابود می شوند.ویروس کدهای خودش را به جای کدهای فایل قرار می دهد.در این روش بعضی از خصوصیات فایل باقی می مانند.امروزه ویروس های vbscript از روش دوم رونویسی برای آلوده کردن استفاده می کنند.

دانلود ویروس نمونه:

چون کمتر ویروسی از این روش برای آلوده سازی استفاده می کنه مجبور شدم تا یک ویروس ساده برای این مقاله بسازم.

سورس و توضیح کامل این ویروس رو در وبلاگ هم گذاشتم.از لینک زیر ویروس رو دانلود کنید و سپس بر رویش کلیک راست کرده و edit را برای تماشای سورس ویروس بزنید:

دانلود vbscript overwrite virus

2.آلوده سازی به روش prepending (اضافه شدن به ابتدای فایل)

این روش در ابتدای خلقتش بسیار معروف بود.اگر فایل آلوده شده به ویروس اجرا گردد،ابتدا کدهای ویروس فعال می شوند و وقتی عملیات ویروس به پایان رسید،فایل هم اجرا می شود.در روش prepending،کدهای فایل از بین نمی روند و فایل قابلیت disinfect شدن توسط آنتی ویروس ها را هم داراست.ویروس ابتدا کدهای فایلی که می خواهد آلوده کند را خوانده و در حافظه نگه می دارد.سپس کدهای خودش را به جای کدهای فایل قرار می دهد و کدهای فایل از بین می روند و ویروس در ابتدای فایل قرار می گیرد.بعد از آن،ویروس کدهای فایل را که در حافظه نگاه داشته بود را در انتهای فایل قرار می دهد.اگر ویروس یک فایل را چند بار آلوده کند،حجم فایل بسیار بالا می رود و ویروس هم چندین بار اجرا می شود.پس ویروس ها برای اینکه دریابند یک فایلی آلوده شده یا نه یک رمز را درون فایل قرار می دهند که فقط در یک فایل آلوده شده به آن ویروس وجود داشته باشد.ویروس در ابتدای این که یک فایل را آلوده کند،چک می کند که آیا آن رمز درون کدهای فایل قرار دارد یا خیر.اگر وجود ندشته باشد آن فایل را آلوده می کند.

دانلود ویروس نمونه:

این ویروس رو psychologic از اندونزی نوشته و تنها کاری که این ویروس انجام میده،آلوده کردن فایل های vbscript به روش prepending است و هیچ ضرر دیگه ای نداره.

دانلود vbscript prepending virus

3.آلوده سازی به روش  apending  (اضافه شدن به انتهای فایل)

این روش نیز شباهت زیادی به prepending دارد.در روش apending تنها کاری که ویروس انجام می دهد اضافه کردن کدهای خودش به انتهای فایل است.پس این روش نیز مانند روش قبلی قابلیت disinfect شدن دارد.همچنین ویروس مانند روش قبلی از رمزی برای تشخیص آلوده بودن یا نبودن یک فایل vbscript استفاده می کند.تفاوت بسیار مهمی که بین این دو روش وجود دارد این است که در روش apending ابتدا فایل اجرا می شود و وقتی عملیات فایل به پایان رسید،ویروس هم اجرا می گردد ولی در روش قبلی تا زمانی که کار ویروس پایان نپذیرد،فایل اجرا نخواهد شد.مدت زمانی که طول می کشد تا عملیات ویروس تمام شود به خود ویروس بستگی دارد.به همین دلیل بیشتر ویروس ها از روش سوم برای آلوده سازی فایل ها استفاده می کنند.

دانلود ویروس نمونه:

این ویروس رو خودم نوشتم و سورس ویروس رو هم در وبلاگ گذاشتم.همچنین توضیح خط به خط و کامل ویروس که به سختی میشه ازش باگ پیدا کرد.

دانلود ویروس Aphrodite.a.vbs

del.icio.us  digg  newsvine  furl  Y!  smarking  segnalo