New Match! Undetectable

[unknown_hcr]

كسي مي تونه آنتي اينو بنويسه؟ خيلي مراقب باشيد.
لينك اسكن: Scan

[Di Di]

اين فقط چند خط كد وي بي هست كه به طرز ناشيانه اي نوشته شده.
بعد از اجرا فايل Boot.ini رو پاك مي كته، يه نسخه از خودش به نام Secuty.exe تو درايو F مي سازه به همراه يه فايل اتوران و در نهايت سيستم رو ريستارت مي كنه ( "Shutdown -r -f -t 0" )

در كل اصلا نمي شه بهش ويروس يا حتي كرم گفت!! فكر نمي كنم احتياجي به آنتي هم داشته باشه. بعد از ريستارت ، وينوز نمي تونه فايل Boot.ini رو پيدا كنه و به طور پيش فرض از درايو C لود مي شه _ اگه ويندوز تو درايو C نصب نباشه كارتون يكم سخت مي شه چون بايد از طريق Dos فايل Boot.ini رو سرجاش بزاريد_ بعد از ورود به ويندوز كافيه تنها اثر اين برنامه كه همون فايل Security.exe و Autorun.inf هست رو از درايو F پاك كنيد.

[saeedsmk]

سلام
خوب هستيد
فكر كنم اين فايل بتونه بهتون كمك كنه
به اميد ديدار

[unknown_hcr]

چطوره اينجا تاپيكي براي آناليز ويروس ها بشه؟
چند تا ويروس نسبتا حرفه اي همراه با يك كي لاگر را كه خيلي وقت پيش توسط گروه x (ترجيح مي دم ذكر نكنم) نوشته شده اند را براي شما قرار مي دم.
اولي تقريبا يك فايل مخرب براي هك كردن سيستم هست و فهميدن جزئيات آن با خودتان. دومي بعد از اجرا به طرز مرگباري خود را در سيستم كپي مي كند و ................ و سومي هم يك كيلاگر.


در ضمن لطفا آموزش آناليز كردن ويروس ها و شناسايي كدها هم توسط دوستان ذكر بشه.

[BlackCode]

کد:

intrsdus.scr Analysed By BlackCode

This Suspicious Program Has Been Packed.


Visual Basic API Declares:

Private Declare Function GetWindowText Lib "user32" Alias "GetWindowTextA" (ByVal hwnd As Long, ByVal lpString As String, ByVal cch As Long) As Long
Private Declare Function GetForegroundWindow Lib "user32" () As Long
Private Declare Function GetSystemDirectory Lib "kernel32" Alias "GetSystemDirectoryA" (ByVal lpBuffer As String, ByVal nSize As Long) As Long
Private Declare Function RegCloseKey Lib "advapi32.dll" (ByVal hKey As Long) As Long
Private Declare Function RegCreateKey Lib "advapi32.dll" Alias "RegCreateKeyA" (ByVal hKey As Long, ByVal lpSubKey As String, phkResult As Long) As Long
Private Declare Function RegSetValueEx Lib "advapi32.dll" Alias "RegSetValueExA" (ByVal hKey As Long, ByVal lpValueName As String, ByVal Reserved As Long, ByVal dwType As Long, lpData As Any, ByVal cbData As Long) As Long         ' Note that if you declare the lpData parameter as String, you must pass it By Value.
Private Declare Function FindWindow Lib "user32" Alias "FindWindowA" (ByVal lpClassName As String, ByVal lpWindowName As String) As Long
Private Declare Sub Sleep Lib "kernel32" (ByVal dwMilliseconds As Long)
Private Declare Function Beep Lib "kernel32" (ByVal dwFreq As Long, ByVal dwDuration As Long) As Long

Visual Basic Constants:

Private Const HKEY_LOCAL_MACHINE = &H80000002
Private Const HKEY_CURRENT_USER = &H80000001
Private Const REG_DWORD = 4
Private Const REG_BINARY = 3
Private Const REG_SZ = 1

Destination Copy Pathes:

(Windows Drive) >>>>>>> Documents and Settings\All Users\Application Data\mWord13.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Winadmin

E:\main154\mWord12.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\dllhost


Attack Points:

{{Disables many active parts of system from registry.}}

Hides Control Panel.
Disables registry.
Disables Yahoo Messenger.
Probably Disables Norton Anti-virus Auto Protect Service.
Shutdowns system after 10 Minutes.
And...................

Good Luck

بقيه به عهده دوستان.

[Di Di]

دوست عزيز تاپيكي با عنوان آناليز بدافزارها تو همين بخش وجود دارهكه مي تونيد آناليز انواع بد افزارها به همراه
آ موزش و نرم افزارهاي مورد نياز رو اونجا پيدا كنيد.

[BlackCode]

عجيبه كه من هر پستي مي دم خبري از تشكر نيست. اون موقعي كه من تازه عضو شده بودم و اولين پستم هم آموزشي بود اونهايي كه الكي ازشون تشكر مي شه كجا بودند؟ من دنبال تشكر گرفتن نيستم ولي اين كار شما درست نيست.