۲۴-اردیبهشت-۱۳۸۷, ۲۰:۰۶:۱۳
۲۴-اردیبهشت-۱۳۸۷, ۲۰:۵۷:۴۴
سلام.
این ویروس قبلا تو تاپیک ویروس سیاسی آنالیز شده بود. ولی برای این که تاپیک کامل بشه مجدد این جا در موردش صحبت میکنیم. البته کامل تر.
این از اسکن مکافی که برنامت رو به عنوان ویروس شناسایی کرد. W32/Generic!worm
ویروس کپشن پنجره ها یا کلیدهایی که موس روشون میره رو تغییر میده. هر پنجره ای که باز کنی یا هر کلیدی که بیای روش کلیک کنی یا میشه hoseinvig یا format یا mohajer یا close یا goraz یا ... . خلاصه بد جور میره رو اعصاب.
ویروس پس از اجرا به کمک رجیستری تو استارت آپ میشینه. از این مسیر رجیستری استفاده میکنه.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
برای جلوگیری از برداشتن برنامه از استارت آپ یه تایمر تو برنامه موجوده که در هر ثانیه برنامه رو در استارت آپ قرار میده. به این دلیل اول باید برنامه رو بست بعد از استارت آپ برش داشت. ولی برای بستن برنامه 2 تا مشکل وجود داره که در ادامه توضیح میدم.
ویروس پس از اجرا تو مسیر WINDOWS\system\csrss.exe میشینه و یه فایل هم از تو ریسورس تو مسیر WINDOWS\Services.exe اکسترکت میکنه. یه کپی هم از ویروس کنار فایل csrss به اسم csrss.exe.b میشینه.
انتخاب نام های csrss و services برای این فایل ها بی دلیل نبوده. هدف حسین جلوگیری از بسته شدن پروسه این فایل ها در تسک منجر بوده. چون 2 پروسه سیستمی به همین نام ها موجوده که تسک منجر اجازه بسته شدنشون رو نمیده. حالا اگه برنامه X با نام این پروسه های سیستمی اجرا شه تسک منجر به اشتباه میفته و اجازه بسته شدن پروسه برنامه X رو هم نمیده. این اولین مشکل بستن ویروس هست.
فایل csrss ویروس اصلی هست که کپشن ها رو تغییر میده. وظیفه فایل services هم جلوگیری از بسته شدن ویروس هست. به این ترتیب که تو یه تایمر این 2 تا فایل هم دیگه رو اجرا میکنن. تا به محض بسته شدن یکی توسط دیگری بلافاصله اجرا شه و به این صورت ویروس همیشه اجرا میمونه. این هم دومین مشکل بستن ویروس هست. فایل csrss.exe.b فایل پشتیبان csrss هست. تا در صورت پاک شدن csrss فعالیت ویروس متوقف نشه. فایل services همیشه قبل از اجرای csrss.exe یه کپی از csrss.exe.b به جای csrss.exe قرار میده و بعد اجراش میکنه. بعدا از این مساله برای بستن ویروس استفاده میکنیم.
ویروس تو یه تایمر در همه درایو ها 2 تا فایل با نام های microsoft.exe و Autorun.inf ایجاد میکنه. تا در صورت از کار افتادن ویروس یا نصب ویندوز با 2 بار کلیک رو نام درایو مجددا ویروس فعال شه و کارشو شروع کنه.
اشکالات ویروس:
1- چون در هر ثانیه 2 فایل بالا باید در همه درایو ها کپی بشن چراغ فلاپی درایو هر ثانیه روشن میشه و صداش در میاد.
2- اسم و مسیر فایل csrss.exe.b خیلی شک برانگیزه. دقیقا کنار ویروس و با همان اسم. من که دستی ویروس رو تست کردم متوجه این فایل شدم. میشد فایل با یه اسم دیگه مثلا پسوند dll تو یه مسیر دیگه مثلا system32 قرار بگیره.
3- اشکال دیگه برنامه روش کار فایل services هست. این که فایل csrss.exe.b رو به جای csrss.exe کپی میکنه. در حالی که csrss.exe.b رو میتوان به راحتی پاک کرد یا فایل دیگری رو جایگزینش کرد. بهتر بود services فایل csrss.exe.b رو open میکرد تا نشه کاری با این فایل کرد.
در ادامه روش شناسایی و غیر فعال کردن ویروس رو توضیح میدم.
این ویروس قبلا تو تاپیک ویروس سیاسی آنالیز شده بود. ولی برای این که تاپیک کامل بشه مجدد این جا در موردش صحبت میکنیم. البته کامل تر.
این از اسکن مکافی که برنامت رو به عنوان ویروس شناسایی کرد. W32/Generic!worm
ویروس کپشن پنجره ها یا کلیدهایی که موس روشون میره رو تغییر میده. هر پنجره ای که باز کنی یا هر کلیدی که بیای روش کلیک کنی یا میشه hoseinvig یا format یا mohajer یا close یا goraz یا ... . خلاصه بد جور میره رو اعصاب.
ویروس پس از اجرا به کمک رجیستری تو استارت آپ میشینه. از این مسیر رجیستری استفاده میکنه.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
برای جلوگیری از برداشتن برنامه از استارت آپ یه تایمر تو برنامه موجوده که در هر ثانیه برنامه رو در استارت آپ قرار میده. به این دلیل اول باید برنامه رو بست بعد از استارت آپ برش داشت. ولی برای بستن برنامه 2 تا مشکل وجود داره که در ادامه توضیح میدم.
ویروس پس از اجرا تو مسیر WINDOWS\system\csrss.exe میشینه و یه فایل هم از تو ریسورس تو مسیر WINDOWS\Services.exe اکسترکت میکنه. یه کپی هم از ویروس کنار فایل csrss به اسم csrss.exe.b میشینه.
انتخاب نام های csrss و services برای این فایل ها بی دلیل نبوده. هدف حسین جلوگیری از بسته شدن پروسه این فایل ها در تسک منجر بوده. چون 2 پروسه سیستمی به همین نام ها موجوده که تسک منجر اجازه بسته شدنشون رو نمیده. حالا اگه برنامه X با نام این پروسه های سیستمی اجرا شه تسک منجر به اشتباه میفته و اجازه بسته شدن پروسه برنامه X رو هم نمیده. این اولین مشکل بستن ویروس هست.
فایل csrss ویروس اصلی هست که کپشن ها رو تغییر میده. وظیفه فایل services هم جلوگیری از بسته شدن ویروس هست. به این ترتیب که تو یه تایمر این 2 تا فایل هم دیگه رو اجرا میکنن. تا به محض بسته شدن یکی توسط دیگری بلافاصله اجرا شه و به این صورت ویروس همیشه اجرا میمونه. این هم دومین مشکل بستن ویروس هست. فایل csrss.exe.b فایل پشتیبان csrss هست. تا در صورت پاک شدن csrss فعالیت ویروس متوقف نشه. فایل services همیشه قبل از اجرای csrss.exe یه کپی از csrss.exe.b به جای csrss.exe قرار میده و بعد اجراش میکنه. بعدا از این مساله برای بستن ویروس استفاده میکنیم.
ویروس تو یه تایمر در همه درایو ها 2 تا فایل با نام های microsoft.exe و Autorun.inf ایجاد میکنه. تا در صورت از کار افتادن ویروس یا نصب ویندوز با 2 بار کلیک رو نام درایو مجددا ویروس فعال شه و کارشو شروع کنه.
اشکالات ویروس:
1- چون در هر ثانیه 2 فایل بالا باید در همه درایو ها کپی بشن چراغ فلاپی درایو هر ثانیه روشن میشه و صداش در میاد.
2- اسم و مسیر فایل csrss.exe.b خیلی شک برانگیزه. دقیقا کنار ویروس و با همان اسم. من که دستی ویروس رو تست کردم متوجه این فایل شدم. میشد فایل با یه اسم دیگه مثلا پسوند dll تو یه مسیر دیگه مثلا system32 قرار بگیره.
3- اشکال دیگه برنامه روش کار فایل services هست. این که فایل csrss.exe.b رو به جای csrss.exe کپی میکنه. در حالی که csrss.exe.b رو میتوان به راحتی پاک کرد یا فایل دیگری رو جایگزینش کرد. بهتر بود services فایل csrss.exe.b رو open میکرد تا نشه کاری با این فایل کرد.
در ادامه روش شناسایی و غیر فعال کردن ویروس رو توضیح میدم.
۲۴-اردیبهشت-۱۳۸۷, ۲۱:۵۷:۰۴
سلام.
برای از کار انداختن ویروس ها روش های مختلفی وجود داره. معمولا در ابتدا همه سعی میکنن پروسه مربوط به ویروس رو شناسایی کنن و ببندن و بعد ویروس رو از استارت آپ بردارن.
این ویروس رو دستی آنالیز کردم و از نرم افزار خاصی استفاده نکردم.
من لیست همه پروسه های موجود در تسک منجر خودم رو میشناسم. پروسه های خود ویندوز و آنتی ویروس و sql و IIS و ... . به همین دلیل بعد از اجرای ویروس حسین فورا متوجه 2 پروسه جدید این ویروس شدم. از طریق سرچ ویندوز به راحتی مسیر این فایل ها رو شناسایی کردم. ولی همون طور که عرض کردم تو بستن این ویروس از طریق تسک منجر به مشکل بر خوردم. ویروس رو از استارت آپ هم که برمیداشتم مجدد تو استارت آپ قرار میگرفت.
برای بستن پروسه هایی هم نام پروسه های سیستمی ویندوز به راحتی میشه از cmd و دستورات Tskill و Taskkill استفاده کرد. چون 2 فایل مدام هم دیگه رو اجرا میکنن باید عملیات بستن 2 پروسه سریع و بدون مکث انجام شه. به این دلیل باید دستورات داس تو یه بچ فایل زیر هم نوشته بشن و یا تو Cmd با & از هم جدا شن تا پشت هم اجرا شن. من در ابتدا با این دستورات ویروس رو از کار انداختم. اما بعد یه آنتی براش نوشتم که از API ها کمک گرفتم. سورس آنتی رو هم این جا قرار دادم. برای کار با پروسه ها میتونه خیلی مفید باشه.
وقتی متوجه فایل csrss.exe.b و روش کار services شدم دیدم به راحتی میشه از این نقطه ضعف استفاده کرد. اگه از این اشکال ویروس استفاده کنیم دیگه نیازی به بستن سریع و بدون مکث پروسه ها نیست. به راحتی و با آرامش فایل csrss.exe.b رو پاک کنید. پروسه csrss رو از طریق دستور tskill ببندید و بعد هم servieces رو.
حسین این اشکالات رو برطرف کن و ورژن جدید رو قرار بده.
اینم سورس آنتی این ویروس.
برای از کار انداختن ویروس ها روش های مختلفی وجود داره. معمولا در ابتدا همه سعی میکنن پروسه مربوط به ویروس رو شناسایی کنن و ببندن و بعد ویروس رو از استارت آپ بردارن.
این ویروس رو دستی آنالیز کردم و از نرم افزار خاصی استفاده نکردم.
من لیست همه پروسه های موجود در تسک منجر خودم رو میشناسم. پروسه های خود ویندوز و آنتی ویروس و sql و IIS و ... . به همین دلیل بعد از اجرای ویروس حسین فورا متوجه 2 پروسه جدید این ویروس شدم. از طریق سرچ ویندوز به راحتی مسیر این فایل ها رو شناسایی کردم. ولی همون طور که عرض کردم تو بستن این ویروس از طریق تسک منجر به مشکل بر خوردم. ویروس رو از استارت آپ هم که برمیداشتم مجدد تو استارت آپ قرار میگرفت.
برای بستن پروسه هایی هم نام پروسه های سیستمی ویندوز به راحتی میشه از cmd و دستورات Tskill و Taskkill استفاده کرد. چون 2 فایل مدام هم دیگه رو اجرا میکنن باید عملیات بستن 2 پروسه سریع و بدون مکث انجام شه. به این دلیل باید دستورات داس تو یه بچ فایل زیر هم نوشته بشن و یا تو Cmd با & از هم جدا شن تا پشت هم اجرا شن. من در ابتدا با این دستورات ویروس رو از کار انداختم. اما بعد یه آنتی براش نوشتم که از API ها کمک گرفتم. سورس آنتی رو هم این جا قرار دادم. برای کار با پروسه ها میتونه خیلی مفید باشه.
وقتی متوجه فایل csrss.exe.b و روش کار services شدم دیدم به راحتی میشه از این نقطه ضعف استفاده کرد. اگه از این اشکال ویروس استفاده کنیم دیگه نیازی به بستن سریع و بدون مکث پروسه ها نیست. به راحتی و با آرامش فایل csrss.exe.b رو پاک کنید. پروسه csrss رو از طریق دستور tskill ببندید و بعد هم servieces رو.
حسین این اشکالات رو برطرف کن و ورژن جدید رو قرار بده.
اینم سورس آنتی این ویروس.
۲۵-اردیبهشت-۱۳۸۷, ۱۱:۳۹:۱۰
سلام اقا پیمان خسته نباشی
یه سوال داشتم در مورد سورس آنتی ویروست
شما با این کدی که نوشتی هر 3 تا پروسه تعطیل میشن
یعنی با این کد دیگه از کا ر میوفتن یا دوباره خودشونو اجرا میکنن؟؟
یه سوال دیگه
شما در این کد دارید تمام درایو ها رو میگیردید تا اون فایلا رو پیدا کنید و پاک کنید
اگه برنامه پاک کرد دوباره اجرا نمیشن
یه سوال دیگه غزیه این کد چیه
یه سوال داشتم در مورد سورس آنتی ویروست
شما با این کدی که نوشتی هر 3 تا پروسه تعطیل میشن
کد:
Private Sub cmdRemove_Click()
Dim strDrives As String, strDrive As String
On Error GoTo Handler
Kill strWindowsDir & "\System\csrss.exe"
Kill strWindowsDir & "\System\csrss.exe.b"
Kill strWindowsDir & "\Services.exe"
strDrives = FindDrives
On Error Resume Next
Doیه سوال دیگه
کد:
strDrive = Left(strDrives, InStr(1, strDrives, "*") - 1)
SetAttr strDrive & "microsoft.exe", vbNormal
Kill strDrive & "microsoft.exe"
SetAttr strDrive & "Autorun.inf", vbNormal
Kill strDrive & "Autorun.inf"
strDrives = Right(strDrives, Len(strDrives) - InStr(1, strDrives, "*"))
Loop While (Left(strDrives, 1) <> "*")
MsgBox "HoseinVig Removed Successfully.", vbInformation + vbOKOnly, "Finish"
Exit Subاگه برنامه پاک کرد دوباره اجرا نمیشن
یه سوال دیگه غزیه این کد چیه
کد:
rivate Sub EndVirusPrc(strVirProc As String)
Dim strProcess As String
Dim hSnapshot As Long, lngNextProcess As Long
Dim ProcessInfo As PROCESSENTRY32
hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPALL, 0)
ProcessInfo.dwSize = Len(ProcessInfo)
lngNextProcess = Process32First(hSnapshot, ProcessInfo)
While lngNextProcess <> 0
strProcess = Left(ProcessInfo.szExeFile, InStr(ProcessInfo.szExeFile, vbNullChar) - 1)
If UCase(strProcess) = UCase(strVirProc) Then EndProcess (ProcessInfo.th32ProcessID)
lngNextProcess = Process32Next(hSnapshot, ProcessInfo)
Wend
CloseHandle hSnapshot
End Sub۲۵-اردیبهشت-۱۳۸۷, ۱۱:۴۱:۲۱
راستی خیلی راحت میشه با استفاده از این سورس بیشتر ویروس ها رو از کار بندازیم
فقط باید اسم و جای پروسه ها رو در سورس بالا عوض کرد
فقط باید اسم و جای پروسه ها رو در سورس بالا عوض کرد
۲۵-اردیبهشت-۱۳۸۷, ۱۱:۴۴:۵۴
سلام اقا حسین میشه سورس همین ویروس رو هم بزارید
حالا که بچه حا انالیزش کردن
حالا که بچه حا انالیزش کردن
۲۵-اردیبهشت-۱۳۸۷, ۱۲:۱۲:۵۴
خوب بچه ها حالا برسیم به نوبت یک تروجان
این سرور تروجان ام هکر هست . ببینیم کی میتونه زود تر انالیزش کنه (البته سرور زیاد خوبی نیست ولی برای انالیز خوبه)
فقط گفته باشم که این سرور تروجان هم توش یه تایمر گذاشتن که چک میکنه که هر موقع سرورش از تو استارت آپ پاک شد دوباره میسازتش (درضمن رجیدیتو ام اس کانفیگو تسک منیجر هم از کار میندازه
http://new.iranupload.net/file.php?file=...9d12be98e4
این سرور تروجان ام هکر هست . ببینیم کی میتونه زود تر انالیزش کنه (البته سرور زیاد خوبی نیست ولی برای انالیز خوبه)
فقط گفته باشم که این سرور تروجان هم توش یه تایمر گذاشتن که چک میکنه که هر موقع سرورش از تو استارت آپ پاک شد دوباره میسازتش (درضمن رجیدیتو ام اس کانفیگو تسک منیجر هم از کار میندازه
http://new.iranupload.net/file.php?file=...9d12be98e4
۲۵-اردیبهشت-۱۳۸۷, ۱۲:۵۰:۵۶
سلام.
بله میشه برای از کار انداختن ویروس های دیگه هم از این کد استفاده کرد. کلا این کد پروسه ای که بهش میدی رو میبنده حالا هر چی میخواد باشه. ویروس باشه یا مدیا پلیر یا ... .
تروجانت رو هم دانلود کردم. برم روش کار کنم.
sayberiya نوشته است:سلام اقا پیمان خسته نباشیاین کد 3 تا فایل مربوط به ویروس رو پاک میکنه. ولی قبلش باید پروسه مربوط به این فایل ها بسته بشه که 2 کلید بالایی این کار رو انجام میدن. بعد از بستن پروسه ها و پاک کردن فایل ها ویروس به طور کامل از کار میفته.
یه سوال داشتم در مورد سورس آنتی ویروست
شما با این کدی که نوشتی هر 3 تا پروسه تعطیل میشن
یعنی با این کد دیگه از کا ر میوفتن یا دوباره خودشونو اجرا میکنن؟؟کد:Private Sub cmdRemove_Click()
Dim strDrives As String, strDrive As String
On Error GoTo Handler
Kill strWindowsDir & "\System\csrss.exe"
Kill strWindowsDir & "\System\csrss.exe.b"
Kill strWindowsDir & "\Services.exe"
strDrives = FindDrives
On Error Resume Next
Do
sayberiya نوشته است:یه سوال دیگهنه دیگه وقتی ویروس از کار بیفته و فایل هاش پاک بشن دیگه اجرا نمیشه.
شما در این کد دارید تمام درایو ها رو میگیردید تا اون فایلا رو پیدا کنید و پاک کنیدکد:strDrive = Left(strDrives, InStr(1, strDrives, "*") - 1)
SetAttr strDrive & "microsoft.exe", vbNormal
Kill strDrive & "microsoft.exe"
SetAttr strDrive & "Autorun.inf", vbNormal
Kill strDrive & "Autorun.inf"
strDrives = Right(strDrives, Len(strDrives) - InStr(1, strDrives, "*"))
Loop While (Left(strDrives, 1) <> "*")
MsgBox "HoseinVig Removed Successfully.", vbInformation + vbOKOnly, "Finish"
Exit Sub
اگه برنامه پاک کرد دوباره اجرا نمیشن
sayberiya نوشته است:یه سوال دیگه غزیه این کد چیهاین کد هم لیست کل پروسه های موجود رو به دست میاره و دنبال پروسه ای که بهش دادی میگرده تا اونو ببنده.
کد:rivate Sub EndVirusPrc(strVirProc As String)
Dim strProcess As String
Dim hSnapshot As Long, lngNextProcess As Long
Dim ProcessInfo As PROCESSENTRY32
hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPALL, 0)
ProcessInfo.dwSize = Len(ProcessInfo)
lngNextProcess = Process32First(hSnapshot, ProcessInfo)
While lngNextProcess <> 0
strProcess = Left(ProcessInfo.szExeFile, InStr(ProcessInfo.szExeFile, vbNullChar) - 1)
If UCase(strProcess) = UCase(strVirProc) Then EndProcess (ProcessInfo.th32ProcessID)
lngNextProcess = Process32Next(hSnapshot, ProcessInfo)
Wend
CloseHandle hSnapshot
End Sub
بله میشه برای از کار انداختن ویروس های دیگه هم از این کد استفاده کرد. کلا این کد پروسه ای که بهش میدی رو میبنده حالا هر چی میخواد باشه. ویروس باشه یا مدیا پلیر یا ... .
تروجانت رو هم دانلود کردم. برم روش کار کنم.
۲۵-اردیبهشت-۱۳۸۷, ۱۶:۱۶:۱۴
سلام.
محمد برنامت مشکل داره. پس از اجرا ارور میده و بسته میشه. واسه همین نمیشه آنالیزش کرد. چون اصلا کاری نمیکنه.
فقط میاد یه کپی از برنامه میندازه تو سیستم32 جای ctfmon که اونم سرویس ریکاوری ویندوز سریع بازسازیش میکنه و فایل پاک میشه. تو استارت آپ هم قرار میگیره. ولی فایده نداره. چون فایلش پاک شده.
لطفا برنامه رو اصلاح کن.
محمد برنامت مشکل داره. پس از اجرا ارور میده و بسته میشه. واسه همین نمیشه آنالیزش کرد. چون اصلا کاری نمیکنه.
فقط میاد یه کپی از برنامه میندازه تو سیستم32 جای ctfmon که اونم سرویس ریکاوری ویندوز سریع بازسازیش میکنه و فایل پاک میشه. تو استارت آپ هم قرار میگیره. ولی فایده نداره. چون فایلش پاک شده.
لطفا برنامه رو اصلاح کن.
۲۵-اردیبهشت-۱۳۸۷, ۲۲:۲۸:۱۸
سلام چشب
به زودی یه سرور تروجان دیگه قرار میدم
به زودی یه سرور تروجان دیگه قرار میدم
۲۵-اردیبهشت-۱۳۸۷, ۲۲:۳۸:۱۷
دوستان موافقید سرور یاکوزا 3.5 رو مورد بررسی قرار بدیم؟؟؟؟؟؟؟؟؟