۰۹-تير-۱۳۸۷, ۱۷:۱۳:۵۶
صفحهها: 1 2
۰۹-تير-۱۳۸۷, ۲۱:۰۴:۱۹
آقایون سلام . این ویروسی رو که DiDi جان گذاشتن رو کسی امتحان نکرده !! من الان اجراش کردم نه پیغامی ، نه کادر زرد رنگی ، هیچی که هیچی . این ویروس رو هم دیروز توی یک تایپ تکثیر دیدم (واسه تعمیر رفته بودم)، فکر نکنم همون ویروس سیاسی باشه . چون طرف میگفت آزاری نداره !!!!
۰۹-تير-۱۳۸۷, ۲۳:۱۹:۲۴
اسم اين ويروس رو آقا مبين زحمت كشيدن پيدا كردن : اسمش سالدوس هست.
از خانواده اوتوران سازهاست كه از طريق فلش مموري يا رم موبيال منتقل مي شه.
اين ويروس جزء پيشرفته ترين انواع اين خانواده محسوب مي شه و براي تكثير خودش از راه هاي مختلفي استفاده مي كنه. همچنين اين ويروس داراي چندين مرحله براي آلوده سازي سيستم قرباني است و همين امر كار ساخت آنتي براي اين ويروس رو سخت مي كنه.
اين ويروس در ابتدا خودش رو در درايو ويندوز كپي مي كنه و در زماني كه ويندوز ريستارت بشه خودش رو در بقيه درايوها هم كپي مي كنه. البته در روت اصلي درايوها همراه با فايل اتوران.
بعد از اين مرحله ويروس براي مدتي در همين حالت باقي مي مونه و به غير از آلوده سازي رم ها و فلش مموري هاي ديگه اي كه به سيستم متصل مي شن كار ديگه اي انجام نمي ده.
در مرحله بعد ويروس به صورت راندوم فولدرهايي از هر درايو رو هايدن و سيستمي مي كنه و چون تنظيمات نمايش ويندوز رو دستكاري كرده كاربر قادر به مشاهده فولدرهاي خود نيست و گمان مي كند كه فولدرهايش پاك شده اند. البته ويروس قبلا گزينه فولدر آپشن را حذف كرده است!!
پس از اين مرحله ويروس در اقدامي ابتكاري اقدام به آلوده سازي فايلهاي اجراي مي كند. البته اين كار را با اتچ كردن خود به انتها فايل هاي اجرائي انجام نمي دهد بلكه خود را در كنار فايل اجرايي ( مثلا فايل Setup.exe ) كپي مي كند. سپس فايل اجرائي را هايدن و سيستمي نموده تا ديده نشود و بعد از آن به طور زيركانه اي شورتكاتي در كنار فايل اجرائي مي سازد كه آيكن همان فايل ستاپ را دارد ولي لينك آن به فايل ويروس است!! با اين كار ، كاربر گمان مي كند كه اين همان فايل Setup واقعي است !!
در نهايت وقتي ويروس تمام اين كارها را انجام داد ، به طور راندوم كادر زرد رنگي در بالاي صفحه مانيتور به نمايش در مي آورد كه در آن جمله زير نوشته شده :
" امام حسين عليه السلام هميشه نماد مظلوميت بوده ولي در طول تاريخ هيچ گاه به اندازه امروز مظلوم نبوده كه به اسم امام حسين به مردم ظلم مي كنند "
از خانواده اوتوران سازهاست كه از طريق فلش مموري يا رم موبيال منتقل مي شه.
اين ويروس جزء پيشرفته ترين انواع اين خانواده محسوب مي شه و براي تكثير خودش از راه هاي مختلفي استفاده مي كنه. همچنين اين ويروس داراي چندين مرحله براي آلوده سازي سيستم قرباني است و همين امر كار ساخت آنتي براي اين ويروس رو سخت مي كنه.
اين ويروس در ابتدا خودش رو در درايو ويندوز كپي مي كنه و در زماني كه ويندوز ريستارت بشه خودش رو در بقيه درايوها هم كپي مي كنه. البته در روت اصلي درايوها همراه با فايل اتوران.
بعد از اين مرحله ويروس براي مدتي در همين حالت باقي مي مونه و به غير از آلوده سازي رم ها و فلش مموري هاي ديگه اي كه به سيستم متصل مي شن كار ديگه اي انجام نمي ده.
در مرحله بعد ويروس به صورت راندوم فولدرهايي از هر درايو رو هايدن و سيستمي مي كنه و چون تنظيمات نمايش ويندوز رو دستكاري كرده كاربر قادر به مشاهده فولدرهاي خود نيست و گمان مي كند كه فولدرهايش پاك شده اند. البته ويروس قبلا گزينه فولدر آپشن را حذف كرده است!!
پس از اين مرحله ويروس در اقدامي ابتكاري اقدام به آلوده سازي فايلهاي اجراي مي كند. البته اين كار را با اتچ كردن خود به انتها فايل هاي اجرائي انجام نمي دهد بلكه خود را در كنار فايل اجرايي ( مثلا فايل Setup.exe ) كپي مي كند. سپس فايل اجرائي را هايدن و سيستمي نموده تا ديده نشود و بعد از آن به طور زيركانه اي شورتكاتي در كنار فايل اجرائي مي سازد كه آيكن همان فايل ستاپ را دارد ولي لينك آن به فايل ويروس است!! با اين كار ، كاربر گمان مي كند كه اين همان فايل Setup واقعي است !!
در نهايت وقتي ويروس تمام اين كارها را انجام داد ، به طور راندوم كادر زرد رنگي در بالاي صفحه مانيتور به نمايش در مي آورد كه در آن جمله زير نوشته شده :
" امام حسين عليه السلام هميشه نماد مظلوميت بوده ولي در طول تاريخ هيچ گاه به اندازه امروز مظلوم نبوده كه به اسم امام حسين به مردم ظلم مي كنند "
۰۹-تير-۱۳۸۷, ۲۳:۲۷:۴۶
من هم اونو امتحان کردم ولی باز هم هیچ اتفاقی نیفتاد . هفته پیش هم یکی از بچه ها برام اینو آوروده بود ولی اوبار هم هیچ اتفاقی نیفتاد .
فقط این ویروسه فهمیدم این کارها رو کرد .
folder option رو مخفی کردش .
نمایش فایل های مخفی و سیستمی و پسوند فایل ها رو هم غیر فعال کرد .
پروسه های wiaacmgr و wmiprvse و svchost هم در تسک منیجر اضافه شد .
در همه درایوها هم یه فایل AUTORAN.INF و AUTOPLAY.EXE هم اضافه شد . ( برای اجرای ویروس در هر بار باز کردن درایو )
برنامه SOUNDMAX.EXE هم به STARTUP اومده بود .
سرعت سیستم هم بعضی مواقع میومد پایین .
ویندوز من XP SP3 هستش .
ولی هر چی که بود حدود 12 ساعتی که کامپیوتر روشن بود هیچ نوار زرد رنگی ندیدم . ( دارم کف مونده می شم . )
فقط این ویروسه فهمیدم این کارها رو کرد .
folder option رو مخفی کردش .
نمایش فایل های مخفی و سیستمی و پسوند فایل ها رو هم غیر فعال کرد .
پروسه های wiaacmgr و wmiprvse و svchost هم در تسک منیجر اضافه شد .
در همه درایوها هم یه فایل AUTORAN.INF و AUTOPLAY.EXE هم اضافه شد . ( برای اجرای ویروس در هر بار باز کردن درایو )
برنامه SOUNDMAX.EXE هم به STARTUP اومده بود .
سرعت سیستم هم بعضی مواقع میومد پایین .
ویندوز من XP SP3 هستش .
ولی هر چی که بود حدود 12 ساعتی که کامپیوتر روشن بود هیچ نوار زرد رنگی ندیدم . ( دارم کف مونده می شم . )
۰۹-تير-۱۳۸۷, ۲۳:۵۶:۱۶
چند هفته طول مي كشه.....
۱۰-تير-۱۳۸۷, ۰۱:۴۰:۳۳
۱۰-تير-۱۳۸۷, ۰۳:۱۳:۴۴
ببخشید من پست شماره 14 ندیده بودم که اونو فرستادم . ( از زمان ارسال نزدیک بهم معلوم می شه )
پس حالا حالا باید منتظر باشم .
یه چیز دیگه هم که فهمیدم پروسه EXPLORER ( که همه میدونن چیه ) بعضی وقتها نزدیک 100% CPU رو میگیه . ( حتی وقتی از سیستم استفاده ای نمی شه . )
ولی با این توضیحاتی که دادی , معلوم می شه ویروس جالبیه .
عملکردش که خیلی باحال و نو بود . مخصوصا شرتکتاش !
پس حالا حالا باید منتظر باشم .
یه چیز دیگه هم که فهمیدم پروسه EXPLORER ( که همه میدونن چیه ) بعضی وقتها نزدیک 100% CPU رو میگیه . ( حتی وقتی از سیستم استفاده ای نمی شه . )
ولی با این توضیحاتی که دادی , معلوم می شه ویروس جالبیه .
عملکردش که خیلی باحال و نو بود . مخصوصا شرتکتاش !
۱۴-تير-۱۳۸۷, ۱۹:۵۱:۰۹
آقا اگه اینقدر طرفدار داره پایه شیم یه میکر براش بسازیم
۲۳-اردیبهشت-۱۳۸۸, ۰۲:۲۰:۵۵
اگر آرشیو ویروس رو برام بفرستی ممنون می شم
۲۳-اردیبهشت-۱۳۸۸, ۱۶:۲۱:۱۱
به این تاپیک هم توجه کنید :
http://forum.iranled.com/showthread.php?tid=12728
مربوط به همین ویروس هست ..
http://forum.iranled.com/showthread.php?tid=12728
مربوط به همین ویروس هست ..
صفحهها: 1 2