Programming Anti Virus with Vbscipt and Bat file

یا ربالعالمین 

امروز می خوام طریقه ی نوشتن آنتی ویروس رو برای ویروس ها روبا استفاده از زبان برنامه نویسی VBscript   و با استفاده از فایل های Bat رو بگم

 

برای این کار من یک ویروسی رو که دیده بودم رو اسم می برم  و اون رو انالیز می کنم براتون و میام آنتیشو می نویسم

 

اسم ویروس RegSVR.exe هست

یک کپی از خودش رو جهت انجام عملیات مخربش تو این قسمت ها میزاره 

C:\WINDOWS با نام Regsvr.exe که نه hidden و نه … شده 

C:\windows\system32 به همین اسم منتها به صورت Hidden و System اونجا هست 

C:\windows\system32 به اسم Svhost .exe تو System32 که یک فاصله بین اسم و پسوند فایل وجود داره که با فایل اصلی اشتباه نشه و ویندوز اجازه ی کپی رو بهش بده 

“C:\DOCUME~1\L4TR0D~1\LOCALS~1\Temp\Rar$EX45.352\v \regsvr.exe” و همچنین اینجا 

——————
در Taskmgr هم 

با اسم regsvr.exe می باشد 

—————–

در رجیستری
در مسیر های زیر 

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\ با اسم Msn Messsenger
که فایل System32 را بالا میلره 

———————

پورت هایی که باز میکنه 

پورت 2648 هست که با اسم نا شناس هم این کار رو می کنه 

 

 

خوب حالا دوباره یکی یکی مرور می کنیم

آولین کاری که باید انجام بدیم end کردن پروسه بد افزار هست برای اینکار از فرمان زیر استفاده می کنیم

taskkill /f /IM regsvr.exe

از اونجایی که این ویروس از یک dll خاص استفاده می کنه پس ما باید یک فیلترینگ هم بزاریم که بتونه dll رو هم از بین ببریم

taskkill /F /FI “Modules eq consol.dll”

سپس باید فایل هایی که توسط بد افزار ایجاد شده رو Regsvr رو حذف کنیم

del “c:\windows\regsvr.exe”

del “c:\windows\system32\regsvr.exe”

del “c:\windows\svhost .exe”

del “c:\windows\svhost .exe

del “%temp%\Rar$EX45.352\v\regsvr.exe”

 

 

 و بعد Startup اون رو که توی رجیستری انجام میشه رو بایدحذف کنیم

REG DELETE \HKLu\Software\Microsoft\Windows\CurrentVersion\Ru n /v “msn messenger“

و در نهایت پورتی که توسط بد افزار بر روی سیستم باز شده رو هم باید بست

کل آنتی ویروس تو این چند کل خلاصه میشه

taskkill /f /IM regsvr.exe

taskkill /f /fi “modules eq consol.dll”

del “c:\windows\regsvr.exe”

del “c:\windows\system32\regsvr.exe”

del “c:\windows\svhost .exe”

del “%temp%\Rar$EX45.352\v\regsvr.exe”

REG DELETE \HKLu\Software\Microsoft\Windows\CurrentVersion\Run /v “msn messenger”

netsh firewall delete portopening protocol = TCP port = 2648

حالا می خوام همین کد رو به زبان VBscript بزارم کد داخل فایل زیر قرار داره بلاگفا اجازه گذاشتن این کد ها رو نمیده 

http://l4tr0d3ctism.persiangig.com/vbscript%20anti%20virus.txt