ايران ويج

سلام به برو بچه هاي گل ايران ويج...
بچه ها اين فايل یه نوع کرم هستش که مکانيزم کاريش جالبه...
ازين نظر که وقتي اجرا ميشه اول از خودش توي C:\WINDOWS\svchost.exe يه کپي ميگيره که استارت آپ بشه...
در ضمن اين کرم با سرعت باور نکردني خودش رو تمامي فايل هاي اجرايي *.Exe در کامپيوتر Infect میکنه و مدام هي زياد ميشه...
جالبيش اينجاست اصلا سرعت ويندوز رو کاهش نميده !
اگه بشه همچين کرمي درست کرد واقعا عالي ميشه...
با هزار مکافات تمام فايل هاي *.Exe رو هارد رو Clean کردم....
از شما بچه هاي گا ايران ويج ميخواستم اگه ميتونيد اين کرو رم آناليز کنين...
کلا يه توضيحي در مورد عملکردش بدونم...البته غير اينايي که گفتم !
راستي با چي پک شده ؟
اینم لینکش
[attachment=5458]

انتی بهش گیر داد که

(۱۲-شهریور-۱۳۸۹, ۰۰:۳۱:۱۶)kimiafars نوشته است: [ -> ]انتی بهش گیر داد که

بله...آنتی میشناستش...
فقط خیلی سرسخته !!!
خودتون یه امتحانش کنین..

احتمالا Jeefo نیست؟

lord_viper عزیز
دقیقا میدونی چطور ویروسها خودشون رو به فایلها اضاف میکنن وفایلهائی رو که مورد هدف قرار میدن چیه
اگه اره یه کوچولو توضیح مرحمت بفرما

به این روش میگن file Infection که یک ویروس خودشو به فایلهای اجرایی دیگه میچسبونه
مثلا ویروس میاد یک فایل exe رو باز میکنه و کد خودشو در قسمت انتهایی سکشن کد که معمولا خالی داره مینویسه و از OEP برنامه اصلی شروع به جستجو میکنه اولین jmp که پیدا میکنه اونو تغییر میده به ایتدای ادرس کد خودش و در انتهای کدش هم یک jmpقرار میده که اونو تنظیم میکنه ادرس جامپ برنامه که تغییرش داده به jmpخودش

مرسی
کدی برای وی بی نداره نمونه یقابل اجرا برای تفهیم بهتر

از دوستان کسی سورس file infection رو نداره لطف کنه واسم بزاره.....خیلی حیاتیه..ممنون

راستی کسی تونست این کرم و آنالیز کنه ؟

من قبلا یه نیمچه مقاله به اسم Static Injection نوسته بودم تو فروم فکرکنم باشه
اونو ببینی امارش دستت میاد

Sality.z رو ندیدی به این میگی سر سخت.