ايران ويج

ايران ويج > هك وكرك و ويروس > ويروس و آنتي ويروس > ويروس > آنالیز انواع بدافزارها(ویروس،کرم،تروجان،کیلاگر،پس سندر،اسپای)
نسخه‌ی کامل: آنالیز انواع بدافزارها(ویروس،کرم،تروجان،کیلاگر،پس سندر،اسپای)
شما در حال مشاهده‌ی نسخه‌ی متنی این صفحه می‌باشید. مشاهده‌ی نسخه‌ی کامل با قالب بندی مناسب.
صفحه‌ها: 1 2 3 4 5 6 7 8 9

Di Di

۲۶-اردیبهشت-۱۳۸۷, ۰۸:۱۷:۴۲
دوستان گرامي
عنوان اين تاپيك مشكل فني داره و باعث شده تا تمام پستها به صورت Bold در بيان. من تمام اونها رو درست كردم اما خودتون هم لطف كنيد از اين به بعد پستهايي كه مي زنيد رو با عنوان صحيح ارسال كنيد تا اين مشكل كلا رفع بشه.

godvb

۲۶-اردیبهشت-۱۳۸۷, ۱۴:۲۵:۱۳
سلام . چیز جالبیه . لطفا اگه میشه اروم اروم کاره رو انجام بدین . چون همه همیشه دسترسی به اینترنت ندارن بعدش هم الان موقع امتحانات هست و کنکور هم در پیشه و تازه کارها یه خورده دیر یاد میگیرن و هزاران بد بختی دیگه .همینطور که دارین پیش میرین خیلی خوبه .
ممنون . موفق باشین

HoseinVig

۲۶-اردیبهشت-۱۳۸۷, ۱۶:۰۱:۰۹
آقا پیمان خسته نباشید دیگه فکر کنم کله ویروسمو شناختی همشو گفتی
من بزودی ورژن جدیدشو میزارم اشکالاتشم رفع میکنم.
فقط به من مهلت بدین . درکم کنید من میام کافی نت واسه پیگیری .... فلش مموری هم بعضی موقه ها ندارم

Payman62

۲۶-اردیبهشت-۱۳۸۷, ۲۰:۴۹:۰۸
Di Di نوشته است:دوستان گرامي
عنوان اين تاپيك مشكل فني داره و باعث شده تا تمام پستها به صورت Bold در بيان. من تمام اونها رو درست كردم اما خودتون هم لطف كنيد از اين به بعد پستهايي كه مي زنيد رو با عنوان صحيح ارسال كنيد تا اين مشكل كلا رفع بشه.
سلام.
مشکل عنوان تاپیک حل شد. دیگه به اون صورت که فرمودی در نمیاد. ممنون از توجهت.

حسین منتظر ورژن جدید ویروست هستیم.

اگه موافقید ویروس new folder رو بررسی کنیم. کسی اگه دارتش بذاره.

sayberiya

۲۶-اردیبهشت-۱۳۸۷, ۲۳:۰۴:۱۰
سلام
آقا پیمان اگه موافقید بیاید سرور یاکوزا 3.5 رو مورد برسی قرار بدیم
موافقید؟؟

Payman62

۲۷-اردیبهشت-۱۳۸۷, ۱۴:۳۳:۱۱
سلام.
اوکی بذارش روش کار کنیم.

sayberiya

۰۱-خرداد-۱۳۸۷, ۱۰:۵۱:۳۳
سلام دوستان
اینم سرور یاکوزا 3.5 البته اپدیتش
در آپدیتش حجم برنامه کم شده و تغیراتی درش ایجاد اومد
هرکی میتونه یا علی
البته سرور خالی رو پیدا نکردم از یکی از دوستام گرفتم که یا عکس بیند شده
http://www.persianupload.com/files/guw3o...m8rilf.exe

Di Di

۰۱-خرداد-۱۳۸۷, ۱۵:۴۰:۱۰
حجم سرور 88.1 كيلو بايت هست و پك هم نشده( كلا نمي تونه سرور رو پك كنه )
به زبان وي بي نوشته شده و داراي يك فرم و يك تايمر هم هست.
پس از اجرا خودش رو داخل شاخه Temp‌يوزر كپي مي كنه و فايل عكس بايند شده رو هم همونجا اكستركتش مي كنه .
تو اين نسخه از روش هاي بهتري براي بايند كردن عكس استفاد شده كه حجم سرور رو كمتر كرده ( البته ممكنه چيزهاي بيشتري هم كم و زياد شده باشه )
برنامه پس از نمايش عكس ، فايل سروري كه تو شاخه Temp و با نام file3.exe كپي كرده رو اجرا مي كنه و سپس شروع به ساخت چند فايل در روت اصلي ويندوز مي كنه.

Windir\Lsas.exe
Windir\syctask.exe
system32\servics.exe
UserProfile\Local Settings\Temp\File3.exe

و كليدهاي رجيستري كه براي اجرا كردن اونها استفاده مي شن.

نكته : با اينكه علي معظمي كلي كد نويسي براي حذف پروسس از تسك منيجر انجام داده ولي اين كدها اصلا تاثيري ندارن و پروسه رو خيلي راحت مي شه با تسك منيجر ديد!!!

sayberiya

۰۱-خرداد-۱۳۸۷, ۱۶:۵۸:۲۴
سلام
آقا مهدی من هرچی گشتم file3.exe رو پیدا نکردم
راستی به جر اونا یه پروسه هم اضافه میشه به اسم

ymsgr_tray.exe

میشه یه بار دیگه روش کار کنید

راستی اقا مهدی اون چیزی که فرستدی برام فقط service.exe رو پیدا میکنه بقیه رو پیدا نمیکنه و حتی پاکم نمیکنه
حالا خودتون یه بار دیگه نگاه بندازید

XSS

۰۱-خرداد-۱۳۸۷, ۲۲:۱۵:۴۱
منم بازی بدید Clap
قبل از هر چیز، کسی با برنامه Cyber Anti Yakoza کار کرده؟
این برنامه 500 سال قبل از میلاد مسیح نوشته شد و به گفته برنامه نویسش حتی ویروس های آینده سایت نفوذگر رو هم میتونه برنامش شناسایی و پاکسازی کنه، بدون اینکه آنتی ویروسش نیازی به آپدیت داشته باشه
الان که این سرور یاکوزا 3.5 رو گذاشتید ایمان قلبیم نسبت به این آنتی ویروس بیشتر شد، آخه این سرور توسط Cyber Anti Yakoza شناسایی میشه
البته اون موقعی که ورژن جدید Spy Yahoo و BajGir و Spy Archive اومد من با این با آنتی ویروس ذکر شده تست کردم و دیدم که آنتی ویروس شناساییش کرد ولی پیش خودم گفتم چون اینا برنامه های رایگانه، شاید علی معظمی روش کار نکرده و برای همین آنتی ویروس Cyb Anti Yaokza شناساییش میکنه؛ ولی حالا که سرور برنامه پولیش مخصوصا آپدیت شدش رو شناسایی کرد جای تعجب داره که چرا علی معظمی یه فکری به حال این آنتی ویروس نمیکنه، چون اگر اجرا باشه هیچ کدوم از برنامه های علی معظمی نمیتونه کار خودش رو انجام بده و به سرعت پاک میشه.

بگذریم، با اجازه اساتید بزرگ من هم آنالیزی روی این کیلاگر داشتم:
==========================================
بعد از اجرا عکس رو در مسیر TempDir/file1.jpg اکسترکت و اجرا میشه
سپس در مسیر زیر TempDir/file3.exe سرور کیلاگر رو اکسترکت میکنه که این فایل فقط فایل کیلاگر هست و دیگه عکس توی اون بایند نشده و حجم فایل 90305 بایت معادل 88 کیلوبایت هست
صفت پوشه System32/Setup رو به Hidden تغییر میده
خودش رو به اسم Lsasss.exe در پوشه System32 کپی میکنه و سپس این فایل رو به servics.exe تغییر نام میده
و یک بار دیگه خودشو کپی میکنه اما اینبار به اسم Lsast.exe در پوشه WINDOWS
---------------------------------------------------------------------------
کلیدهای رجیستریی هم که برای استارت آپ میسازه ایناست:
1. در مسیر HKCU\Software\Microsoft\Windows\CurrentVersion\Run مقداری به نام SystemFile و با Dataی syctask.exe

2. در مسیر HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components کلیدی به نام {z6B2445-1963-9142-A0DB-DBDB9E15FB9z; ایجاد میکنه که مقدار StubPath دارای Dataی systask.exe AutoRun هست.

3. در مسیر HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVerion\Winlogon اطلاعات کلید Shell رو به explorer.exe servics.exe تغییر میده
---------------------------------------------------------------------------
این کیلاگر همینطور مقدار ShowSuperHidden در رجیستری رو تغییر میده تا فایل های سیستمی قابل نمایش نباشند
همچنین با تغییر اطلاعات مقدار ShowPassword تیک Remember My ID & Pass... رو در یاهو مسنجر برمیداره
----------------------------------------------------------------------------
از نکات دیگه هم اینکه در برنامه از شونصد تا تایمر استفاده شده و خدا پدر مادر کسیو که تایمر رو ساخت رو حفظ کنه، وگرنه برنامه نویسا چطوری میخواستن برنامه بنویسن خدا میدونه
از ایرادات برنامه هم اینکه همانطور که گفتم کلیدی که برنامه برای استارت آپ میسازه اسمش {z6B2445-1963-9142-A0DB-DBDB9E15FB9z; که اگر دقت کنید میبینید که آخرش بجای اینکه از } استفاده بشه از ; استفاده شده که بی دقتی برنامه نویس رو نشون میده
************************************************
این تا زمان قبل از ری استارت سیستم بود
الان سیستممو ری استارت میکنم بقیشم مینویسم Biggrin

XSS

۰۱-خرداد-۱۳۸۷, ۲۲:۳۹:۵۶
عجب ویروس اعصاب خورد کنیه
هی زرت و زرت خودشو رو کپی میکنه، حوصلم سر رفت اینقدر خودشو کپی کرد
یه اینجکتی چیزی هم نمیکنه یه خورده پر هیجان بشه Angry
علی معظمی هم با این ویروساش واقعا ترکونده

یادتونه گفتم پوشه Setup رو مخفی میکنه؟
علت این بود فایل های Log خودش رو اونجا قرار میده
فایل های لاگ در فایل های Setup.html و setup.txt واقع در پوشه System32\Setup دخیره شده
بعد از ری استارت شدن سیستم کی لاگر بطور خیلی تابلو سعی میکنه با اینترنت ارتباط برقرار کنه که اولین بار چنین کار تابلویی رو از سوی ویروسی میبینم
خلاصه اینکه فایل های Systask.exe و syctask.exe هم کپی میشن

به نظرم دیگه ارزش نداره وقتمو روش بذارم، چشام درد گرفت
بقیشو دوستان دیگه لطفا انجام بدن
این کیلاگر همش کپی میکنه و با استفاده از شونصد تا تایمری که داره چک میکنه اگر خدایی نکرده یکی از پروسس ها بسته شد دوباره اجراش کنه
یا اگر یکی از این هزاران کپی پاک شد دوباره ساخته بشه
و نذاره کلیدهایی که تو رجیستری تنظیم کرده تغییر کنه یا پاک بشه

برای پیچوندن پسورد یاهو طرف هم از روش اینجکت کردن تکست باکس پسورد استفاده میکنه که دیگه قدیمی شده و از سوی یکی از دوستان هم فکر میکنم تو سایت ایران ویج نمونه ای از این کار قرار داده شده

با معذرت از اساتید بخاطر اینکه یه دفعه پریدم تو بحثتون
صفحه‌ها: 1 2 3 4 5 6 7 8 9
ايران ويج > هك وكرك و ويروس > ويروس و آنتي ويروس > ويروس > آنالیز انواع بدافزارها(ویروس،کرم،تروجان،کیلاگر،پس سندر،اسپای)