یک ویروس جدید بنام import

[Di Di]

هركدومشو كه خواستي بگو اگه داشته باشم مي زارم رو سايت.

[godvb]

آقایون سلام . این ویروسی رو که DiDi جان گذاشتن رو کسی امتحان نکرده !! من الان اجراش کردم نه پیغامی ، نه کادر زرد رنگی ، هیچی که هیچی . این ویروس رو هم دیروز توی یک تایپ تکثیر دیدم (واسه تعمیر رفته بودم)، فکر نکنم همون ویروس سیاسی باشه . چون طرف میگفت آزاری نداره !!!!

[Di Di]

اسم اين ويروس رو آقا مبين زحمت كشيدن پيدا كردن : اسمش سالدوس هست.

از خانواده اوتوران سازهاست كه از طريق فلش مموري يا رم موبيال منتقل مي شه.

اين ويروس جزء پيشرفته ترين انواع اين خانواده محسوب مي شه و براي تكثير خودش از راه هاي مختلفي استفاده مي كنه. همچنين اين ويروس داراي چندين مرحله براي آلوده سازي سيستم قرباني است و همين امر كار ساخت آنتي براي اين ويروس رو سخت مي كنه.

اين ويروس در ابتدا خودش رو در درايو ويندوز كپي مي كنه و در زماني كه ويندوز ريستارت بشه خودش رو در بقيه درايوها هم كپي مي كنه. البته در روت اصلي درايوها همراه با فايل اتوران.

بعد از اين مرحله ويروس براي مدتي در همين حالت باقي مي مونه و به غير از آلوده سازي رم ها و فلش مموري هاي ديگه اي كه به سيستم متصل مي شن كار ديگه اي انجام نمي ده.

در مرحله بعد ويروس به صورت راندوم فولدرهايي از هر درايو رو هايدن و سيستمي مي كنه و چون تنظيمات نمايش ويندوز رو دستكاري كرده كاربر قادر به مشاهده فولدرهاي خود نيست و گمان مي كند كه فولدرهايش پاك شده اند. البته ويروس قبلا گزينه فولدر آپشن را حذف كرده است!!

پس از اين مرحله ويروس در اقدامي ابتكاري اقدام به آلوده سازي فايلهاي اجراي مي كند. البته اين كار را با اتچ كردن خود به انتها فايل هاي اجرائي انجام نمي دهد بلكه خود را در كنار فايل اجرايي ( مثلا فايل Setup.exe ) كپي مي كند. سپس فايل اجرائي را هايدن و سيستمي نموده تا ديده نشود و بعد از آن به طور زيركانه اي شورتكاتي در كنار فايل اجرائي مي سازد كه آيكن همان فايل ستاپ را دارد ولي لينك آن به فايل ويروس است!! با اين كار ، كاربر گمان مي كند كه اين همان فايل Setup واقعي است !!

در نهايت وقتي ويروس تمام اين كارها را انجام داد ، به طور راندوم كادر زرد رنگي در بالاي صفحه مانيتور به نمايش در مي آورد كه در آن جمله زير نوشته شده :

" امام حسين عليه السلام هميشه نماد مظلوميت بوده ولي در طول تاريخ هيچ گاه به اندازه امروز مظلوم نبوده كه به اسم امام حسين به مردم ظلم مي كنند "

[t3r!p3000]

من هم اونو امتحان کردم ولی باز هم هیچ اتفاقی نیفتاد . هفته پیش هم یکی از بچه ها برام اینو آوروده بود ولی اوبار هم هیچ اتفاقی نیفتاد .
فقط این ویروسه فهمیدم این کارها رو کرد .
folder option رو مخفی کردش .
نمایش فایل های مخفی و سیستمی و پسوند فایل ها رو هم غیر فعال کرد .
پروسه های wiaacmgr و wmiprvse و svchost هم در تسک منیجر اضافه شد .
در همه درایوها هم یه فایل AUTORAN.INF و AUTOPLAY.EXE هم اضافه شد . ( برای اجرای ویروس در هر بار باز کردن درایو )
برنامه SOUNDMAX.EXE هم به STARTUP اومده بود .
سرعت سیستم هم بعضی مواقع میومد پایین .
ویندوز من XP SP3 هستش .
ولی هر چی که بود حدود 12 ساعتی که کامپیوتر روشن بود هیچ نوار زرد رنگی ندیدم . ( دارم کف مونده می شم . )

[Di Di]

چند هفته طول مي كشه.....

[avini]

جواب ...
http://win-pass.persiangig.com/Virus.pdf
ببخشید اگر غلت املایی داره دیگه

[t3r!p3000]

ببخشید من پست شماره 14 ندیده بودم که اونو فرستادم . ( از زمان ارسال نزدیک بهم معلوم می شه )
پس حالا حالا باید منتظر باشم .
یه چیز دیگه هم که فهمیدم پروسه EXPLORER ( که همه میدونن چیه ) بعضی وقتها نزدیک 100% CPU رو میگیه . ( حتی وقتی از سیستم استفاده ای نمی شه . )
ولی با این توضیحاتی که دادی , معلوم می شه ویروس جالبیه .
عملکردش که خیلی باحال و نو بود . مخصوصا شرتکتاش !

[yeketaz]

آقا اگه اینقدر طرفدار داره پایه شیم یه میکر براش بسازیم

[moradin]

اگر آرشیو ویروس رو برام بفرستی ممنون می شم

[_EHSAN_]

به این تاپیک هم توجه کنید :

http://forum.iranled.com/showthread.php?tid=12728

مربوط به همین ویروس هست ..