سلام
امروز داشتم تو نت میگشتم دیدم یکی نوشته کرک یاکوزا 3.5 گفتم بزار دانلودش کنم ببینم چیه
ولی وقتی اجراش کردم کسپر غیر فعال شد و تو سایت ویروس توتال هم نشون داد که با بک دور بیند شده
دوستان اگر میشه یاکوزا کرک رو اجرا کنن و سرور بیند شدشو انالیز کنند
http://arash-soft.persiangig.com/crack/Y...20v3.5.exe
sayberiya نوشته است:سلام
امروز داشتم تو نت میگشتم دیدم یکی نوشته کرک یاکوزا 3.5 گفتم بزار دانلودش کنم ببینم چیه
ولی وقتی اجراش کردم کسپر غیر فعال شد و تو سایت ویروس توتال هم نشون داد که با بک دور بیند شده
دوستان اگر میشه یاکوزا کرک رو اجرا کنن و سرور بیند شدشو انالیز کنند
http://arash-soft.persiangig.com/crack/Y...20v3.5.exe
راستش من ویروسی توی این فایل پیدا نکردم
با چیزی هم بایند نشده بود
سرورهم باهاش ساختم و اجرا کردم
رفتارش دقیقا مثل همون سروری بود که خود شما گذاشته بودید
بعدشم این که کرک نشده بود، احتمالا فقط با Hex Workshop طرف ور داشته بود چارتا دونه رشته رو تغییر داده بود.
arsanhacker نوشته است:اینم یک فایل برای آنالیز
کارش ارسال پسوردهای یاهو هست
خیلی هم ساده است
فقط بگید با چی Unpack کردید.
http://www.persianupload.com/files/53s6h...r2gbwg.exe
فایلی که شما قرار دادید با UPX پک شده
برای UnPack کردنشم باید از UPX استفاده کنید
با نرم افزار PEiD شما میتونید تشخیص بدید برنامه ای پک شده یا نه
جناب xss منم اول میخواستم همین کارو بکنم ولی error میداد و برنامه بیته میشد از چند تا unpacker هم استفاده کرده بودم همشون تر میزدن دستی انپکش کردم دادم
اطلاعاتی که در مورد پکر PEiD میده UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo هست.
اگر با UPX که توسط Markus F.X.J. Oberhumer و Laszlo Molnar (همچنین با توجه به ورژن UPXی که فایل با اون پک شده) اقدام به UnPack کردن بکنید مشکلی پیش نمیاد و فایل به درستی Unpack میشه
الان امتحانش کردم، بدون مشکل Unpack میشد.
البته با خود PEiD هم میشه UnPackش کرد.
منم دقیقا مشکل آفای Lord_viper رو داشتم
وگرنه می دونم چه طوری UnPack کنم
هم با خخود UPX میشه هم با برنامه های دیگه
اگه میشه آنالیزش هم بنویسید
دوستا این فایل رو حتما آنالیز کنید
دسوتان این سرور Yakoza 3.6 هست که یکی به من داد ( به عنوان برنامه ی هک ) منم روش کلیک کردم ولی Kaspersky 2009 8.0.0.357 به عنوان کیلاگر شناختتش. منم از اونجا فهمیدم. خودمم باهاش ور رفتم یک چیزهایی دستیگر شد و اونارو پاک کردم. حتی فهمیدم لاگ هاش کجا کپی می شن
خالا این جا گذاشتم تا شما ها هم آنالیز کنید و ببینید چی کار می کنه
خودمم یک باهاش سرو کله زدم
خودشو با نام های Sys.exe و svchot.exe , explorer.exe , .....
http://www.persianupload.com/files/sf8x7...qhsl2z.exe
لاگ هاش هم به این صورت می فرسته :
KeyLog From Yakoza v3.6
Yahoo Password From Yakoza v3.6
Internet Explorer Password From Yakoza v3.6
DialUp Password From Yakoza v3.6
Yahoo Archive From Yakoza v3.6
ولی خودایی شانس آوردم که کسپر روشن بود وگرنه الان همه ی پسورد هام لو می رفت
sys.exe , explorer.exe,csrss.exe,svchost.exe,winlogon.exe,up.exe در جاهای مختلف که بیشترشون تو زیر پوشه های ویندوز و سیستم 32 خودشو کپی میکنه
مثل drivers/etc,pchealth\UploadLB\Config,system32\config , system32\restore,system32\uploadlb\config
\hkey_locale_machine\Software\Microsoft\Active Setup\Installed Components
services\stud مقادیرشو در اینجا مینویسه
البته با استفاده از دستورات vbs
{z6B2445-1963-9142-A0DB-DBDB9E15FB9z}Software\Microsoft\Active Setup\Installed Components\
System32\config\svchost.exe
mswinsock.ocx برای ایجاد ارتباط با سرور
update1.exe,rundll32.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
HKCU\software\Yahoo\Pager\Save Password
SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedAppli
yahoo.txt,yahoo.htm,file.txt,file.htm,setup.txt,fileme.txt
خلاصه از توابع api
WritePrivateProfileStringA
GetPrivateProfileStringA
GetCompressedFileSizeA
GetProcessHeap
HeapAlloc
RtlMoveMemory
InternetFindNextFileA
GetForegroundWindow
IsNTAdmin
GetAsyncKeyState
GetKeyState
GetWindowTextA
SetTimer
KillTimer
CopyFileA
GetWindowsDirectoryA
ShellExecuteA
Sleep
GetIpAddrTable
و .....
و این فایل winlogon.exe رو هم احتمالا با autorun میاره بالا واسه اجرا
دیگه حسش نیست الان مهدی با انتیش میاد
خوشبختانه همرو خودم پاک کرده بودم. چیزی دیگه نبود
مرسی آقای lord_viper برای آنالیز
ولی کسپر با اسم Keylogger بهش گیر می ده و این یک ضعف هست ( البته اگه تیک کیلاگر رو بزنید )