سلام.
رفته بودم پست خونه لشگر. اکثر سیستماشون ویروسی بود. جالب بود که حتی سرور هم ویروس داشت.
خلاصه فلش خودمم ویروسی شد. ویروسارو کپی کردم رو هارد که بذارم این جا واسه آنالیز. 3 تا ویروس کپی شده بود رو فلشم که گذاشتم این جا. البته شاید 3 تاشون یه ویروس باشن.
سلام .
من يك زماني يك كدي از تو نت گرفتم كه پروسس برنامتو از تو تسك منيجر مخفي ميكرد . 100 درصد تست شده .
من انتي ويروسم نود32 هستش ، نميدونم چطوري غيرفعالش كنم يعني كلا درشو تخته كنم ، تو تسك منيجر 2تا پروسس داره كه يكي شو اصلا نتونستم ببندم بنابراين هميشه فعال ميمونه ، اگه كسي راهي پيدا كرد بگه .
ينابراين منم مجبور شدم از تو سيف مد كارامو انجام بدم هرچند كه regmonitor و filemonitor باز نشد و دستي كار ها رو انجام دادم .
بهرحال اينا رو بدست اوردم :
3 تا فايل وجود داره به اسم هاي : 1. recycler .3 , EXPLORER.exe .2 , sal.xls.exe . هردوتا فايل exe ها با ويژوال بيسيك نوشته شده و پك هم نشدن .
1. ايكونش مال فايل هاي اكسل هستش ، وقتي اجرا بشه شماره 2 رو هم اجرا ميكنه ، اسمش تو تسك منيجر algssl.exe هستش و به همين اسم هم تو درايو ها كپي ميشه . بنابر گفته نود 32 از مدل win32/vb.EL هستش . دوتا تايمر داره . يكي اتوران هاشو توي درايو ها چك ميكنه و يكي ديگه هم مقدارهاشو تو رجيستري. به اين اسم هاتو سيستم 32 هستش كه با همين اسم ها تو رجيستري هم مقدار ساخته : msfir80.exe كه internal name فايل 1 هست ؛ msime80.exe كه orginal filename هست .يك اتوران با اسم msime80 تو local machin ميسازه و چندتا هم با اسم هاي مختلف تو current_user .
يك مقدار ديگه هم تو رجيستري به اسم wsctf.exe ميسازه كه من فايلي براش پيدا نكردم .
2. اسمش EXPLORER.exe هست با ايكن my computer . خودشو تو سيستم32 ميندازه و برخلاف 1 كه چندين اسم داشت اين يكي همش هم با EXPLORER.exe كار ميكنه . راهي كه من تونستم تشخيص بدم اين بود كه با حروف بزرگه .بنابر گفته نود32 هم از مدل win32/vb.HNZ هست .
3. نود32 اونو win32/Autorun.FH تشخيص ميده .
زياد نتونستم روش كار كنم . شرمنده
شما ها تكميلش كنين . بهترين چيزش اينه كه يك يروسه بيشتر ندارن و براحتي بسته ميشن .
اينها هم براساس سيستم من بود تو سيف مد .
چي شد كسي جوابي واسه مشكل ما پيدا نكرد ؟
كسي ديگه اي هم تا حالا اناليزش نكرده ؟
معمولا انتی ها رو میتونی با غیر فعال کردن سرویسشون از کار بندازی البته بعضی ها هم راههای ساده تری دارن مثلا اونهایی که مال یه بازه زمانی هستن فقط کافیه که تاریه سیستم رو یه چند سالی جابجا کنی تا برای همیشه راحت بشی
(بهتره برای صریعتر گرفتن هر سوال رو تو تو تاپیکهای مجزا مطرح کنین)
سلام.
باز یه ویروس دیگه به پستم خورد. اوردم واسه آنالیز. رو فلش یکی از بچه ها بود. همراه اتوران.
اینو تو ollydbg باز کن ببین توش چه خبره اینم که autorun میزنه که
(البته ور نرفتم محض کنجکاوی بود)
يه جورايي پك شده ( بود! )
به زبان دلفي نوشته شده.
مانند بقيه ويروس هاي خانواده اتوران ها خودش را با نام هاي فريب دهنده در داخل ويندوز كپي مي كنه مثل :
Software\Microsoft\Windows\CurrentVersion\App Paths\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
خودش رو با نام sxs.exe داخل روت اصلي درايوها كپي مي كنه و فايل اتوراني كه مي سازه قادره سيستم رو با دابل كليك بر روي درايو يا حتي باز شدن درياو توسط دستور Open آلوده كنه.
در ابتدا آنتي ويروس هاي مختلف رو از طريق بستن سرويسشون از كار مي ندازه. ليست آنتي ويروس هايي كه از كار مي ندازه رو اگه نگاه كنيد مختون سوت مي كشه!! ( عجب حوصله اي داشته )
خودش رو با نام هاي :
SoundMan
SVoHost
Winscok
داخل شاخه ويندوز كپي مي كنه و از طريق كليد رجيستري زير اجرا مي شه :
Software\Microsoft\Windows\CurrentVersion\Run
البته ممكنه خودش رو با مقادير زير هم داخل همون كليد رجيستري ذخيره كنه :
RavTask
KVMonXP
Ylive
yassistes
Kavpersonal50
Jqbgu
خب من یه سیخی دادم بهش و با olly ice که جناب didi زحمت قرار دادنشو تو سایت کشیده بودن به صورت دستی تو سیم ثانیه انپک شد(چون برنامه های انپکر نمیتونستن انپکش کنن)
سلام.
امروزم یه ویروس دیگه گرفته بودم. میخواستم بیارم امشب بذارم. ولی تو شرکت فلشم رو وصل کردم آنتی زد پاکش کرد.
واسه فردا یکی دیگه میارم.
ولی من بیشتر دوست داشتم ویروس هایی که خودمون مینویسیم رو آنالیز کنیم. این جام که ماشالا همه ویروس نویس. خوب بذارین کاراتونو.
والا ویروس نویسی که به همین سادگی نیست یه مقدار کار میبره (ویروسهای ماستکی که نیومده انتیها دخلشونو میارن فراوونه)
واسه این جور چیزا باید بخش خصوصی بوجود بیاد برای جلوگیری از سوء استفاده