Darg جان . خیلی ممنونم.
اما فک کردم بی معرفتی باشه . این همه زحمت آنالیز و آنتی نوشتن کشیدی و من کامل توضیح ندم.
Darg نوشته است:توی خیلی از نسخه ها (نه همشون حدود 20 درصدشون) دستکاری که تو فایل اجراییت می کنی فایل رو خراب میکنه (و ویندوز موقع اجراش اررور میده). حتما این یک مورد رو اصلاح کن
توی 50 درصد از فایل ها دستکاری می شه .
تقریبا 20 یا 30 درصدشون خراب می شن .
اما برای آنتی ویروس های که از امضا استفاده می کنن . حکم یک ویروس جدید رو دارند
و اون باقی مونده . در آینده هنر نمایی می کنند
Darg نوشته است:فایل های MPEG (من اسمشون رو مبزارم MPEG چون فکر می کنم میخواستی کاربر اون ها را به شکل یک فایل تصویری ببینه) وقتی پسوند exe شون مشخص میشه کار رو خرای میکنند و قضیه راحت لو میره (با وجود اینکه نام فایل ها رو طولانی انتخاب کردی) بنا براین بیاهو پسوند فایل ها رو در ویندوز مخفی کن.
در مورد فایل های MPEG یه نظر دیگه هم دارم. ایکن نمایشون خیلی تابلویه و کار رو خراب میکنه. اگه بتونی از خود آیکن فایل های mpg در ویندوز استفاده کنی عالی میشه.
یه راهش اینه که خود ایکنش رو تو فایل اصلی داشه باشی. یه راه دیگش هم اینه که وقتی فایل های MPEG رو ساختی از خود Media Player ورش داری (اون شکل ایکن توی فایل wmplayer.exe در مسیر %ProgramFiles%\Windows Media Player پیدا میشه)
نه اصلا اینطور نیست .
اگه دقت کرده باشی . بعد از اجرایی ویروس . شدت عملیات تخریب به حدی بالاست که ویندوز هنگ می کنه و اغلب سیستم بعد از راه اندازی مجدد بالا نمی یاد .
و اکثرا بجای استفاد از آنتی ویروس تعویض ویندوز رو ترجیح می دن .
بعد از دوبار اجرایی ویروس کدی فعال میشه که تمام فرمت ها رو در درون ویروس فعال می کنه . (البته سه کارکتری )
که وقتی ویندوز رو در حالت Safe mode بالا میاره . با باز کردن هر فایلی دوباره ویروس همه چیز رو به حالت دلخواه خود بر می گردونه .
و اما اسامی طولانی . اغلب کاربرای آماتور به اسم توجه می کنند نه آیکن و حتی اگه آیکن متفاوت باشه بیشتر ترغیب به اجرا کردنش می شن .
و حتی نمی دونن فرمت چیه !! یا اگه بدونن به Mpeg توجه می کنند نه Exe
(شما آنتی ویروس نویس ها به این موضوع توجه می کنید . چون تخصصتون اینه !)
Darg نوشته است:* اجرای برنامه ها از طریق رجیستری در Run , خیلی تابلویه و هر آنتی ویروسی برای اولین جستجوش به اون مسیر ها نگاه می اندازه.
بعد از تجربه های بسیار . فقط به نتیجه جالب رسیدم.
در ریجستری از اسکریپت استفاده نکن.
اینقدر ریجستری را کثیف کن که کسی سر در نیاره .
Darg نوشته است:(این قسمت حدس و گمانه) موقع جستوجی ویروست در بین فایل ها فکر می کنم جستجو رو در درایو C:\ یا حتی درایو سیستم عامل شروع نمیشه. اگر اشتباه نکنم برنامت به دنبال Program Files می گرده تا خودش رو به فایل های اونجا (یعنی برنامه های سیستم) بچسبونه تا با اجرای هر برنامه ویروست دوباره اجرا شه. اما از اونجایی که جستجو از یک مسیر نامقول شروع مبشه احتمال خطا وجود داره. مثلا روی سیستم من به جزء Program Files سیستم چند تا Program Files دیگه هم دارم. یک نمونش هم روی درایو H ام بود که البته اونجا فقط بازی داشتم و برنامه شما لطف کردند و همه اون ها رو دست کاری کردند. اینه که فکر میکنم ویروست میتونه مرتکب اشتباه هم بشه (سوتی).
اینجا رو اشتباه کردی .
با یه کد ساده مثل میشه از طریق سیستم پروگرام فایل رو پیدا کرده .
اما این ویروس با جستجویی که انجام می ده پرترین درایو رو انتخاب می کنه . ( چون احتمال میده بیشترین فیلم ها . بازی ها و آهنگ ها اونجا باشه)
و به ترتیب ظرفیت کار خودش رو ادامه می ده .
مثلا دومین درایوی رو که جستجو می کنه . پر ترین درایو بعد از این درایو هستش .
(آنتی ویروس کاشف هم بر همین پایه هست .)
این ویروس یکم خبیثه و دوست اذیت و خرابکاری کنه .
در مورد scf هم چون مربوط به نسخه خود تکثیرش بعدا توضیح می دم. کل ایمیل ها رو پیدا می کنه . و اگه چیزی پیدا نکرد . مارک فووا رو می چسبونه (البته ناقصه )
