mydoom.a

[amircivil]

سلام دوستان
همونطور که میدونید وقتی مایدوم aاجرا بشه یه فایل دی ال ال در سیستم 32 قرار میده
حالا میخام بدونم که ایا این دی ال ال به فایل اصلی بایند شده یا راه دیگه داره
یا مثلا یه دی ال ال میسازه و به صورت باینری توش مینویسه که بعید میدونم
نظر شما چیه؟
ممنون

[amircivil]

کسی بلد نیست؟

[Darg]

ممکنه بلد باشیم یا اینکه روش فکر کنیم اما بدبختانه (خود من شخصا) اصلا mydoom رو نمی شناسیم که بخوایم روش فکر کنیم!
اگر ممکنه چکیده ای از فعالیت ها و کلا mydoom برای ما تعریف کن...

[amircivil]

سلام بچه ها

اگر ممکنه چکیده ای از فعالیت ها و کلا mydoom برای ما تعریف کن

البته مای دوم ویروس مشهوریه
در هر صورت اینجارو ببین

کد:

http://www.symantec.com/security_response/writeup.jsp?docid=2004-012612-5422-99

اسم اون فایل shimgapi.dll هستش .

این فایل dll خود ویروس هستش ( یه کپی از ویروس ) .

و بوسیله اکسپلورر استارت آپ میشه . ( یعنی ویروس فعال می شه )

اره خودم میدونم
ولی چه جوری این کار رو میکنه ویروس یه فایل با پسوند اگزه هست اون دی ال ال از کجا میاد؟(اگه لازم باشه من خود ویروس رو دارم اپلودش کنم)
یه مشکل دیگه هم هست..اگه دقت کنی یکی از میلهای که میفرسته با پسوند zipهست
در مورد این چی میگی؟

[arnh]

آره خودم میدونم

بقول آقا مهدی: تو همونی نبود که همه چیز می دونست (شوخی)

امیر آقا اگه اشتباه نکنم.
تصور شما اینه که اگه فایل dll باشه نمی تونه توی اکسپلورر به صورت یک فایل اجرایی باز بشه .

ولی نه این فایل dll بوسیله shell و از طریق اکسپلورر اجرا میشه ( استارت آپ) که حتی اگه فرمتش MP3 هم بود باز مشکلی پیش نمی اومد .

چون SHell فقط برای باز کردن فایل های اجرایی هست .

اگه منظورم رو متوجه نمی شه .
مثلا ( توی زبون ویژال بیسیک )

از Shell استفاده کن .
و آدرس فایل اجراییت رو هر چی خواستی انتخاب کن ..
ولی می بینی بازم اجرا شد .. چون shell کار به پسوند نداره ..

امید وارم تونسته باشم کمکی کرده باشم

[arnh]

ولی چه جوری این کار رو میکنه ویروس یه فایل با پسوند اگزه هست اون دی ال ال از کجا میاد؟(اگه لازم باشه من خود ویروس رو دارم اپلودش کنم)

کد:

Filecopy  Virus.exe , virus.Dll

یا مثلا کپی خودش رو تغییر نام میده .

یه مشکل دیگه هم هست..اگه دقت کنی یکی از میلهای که میفرسته با پسوند zipهست
در مورد این چی میگی؟

خوب خود ویندوز هم این کار رو انجام میده ..
فک کنم فقط یه سطر کد برای زیپ کردن فایل ها باشه .
بازم از طریق Shell

کمپرسور ویندوز رو با کامند آدرس فایل اجرایی آدرس دهی می کنی

[amircivil]

فک کنم فقط یه سطر کد برای زیپ کردن فایل ها باشه .

سلام
خوب اون یه خط کد چی هست؟

Filecopy Virus.exe , virus.Dll

یعنی مستقیما فایل اگزه به دی ال ال تغیر نام پیدا میکنه؟ نه
فکر نکنم تا حالا امتحان کردی؟
کار میکنه؟ نکنه منظورت از شل همون دستور سیستم تو سی++ هست؟
ok
(در ضمن اقای arnh لینک اون مطلب چی شد؟)

[He§y]

amir joon bara inke matlab ro behtar begiri source W32.Mydoom.a ro barat gozashtam ke omidvaram be dardet bokhore age degat koni mibini ke file  shimgapi.dll  dar vage khode virus nist va tavasote virus ijad mishe va az oon baraye ferestadane email estefade mikone
va hatta size oonha motafavet hast
virus size:22528
shimgapi.dll size :4096

[amircivil]

به به سلام دوست عزیز
چه عجب یه اشنا دیدم
دلم پوسید اینجاخوبی عزیز
منو که میشناسی ؟

ممنون از سورس خیلی خوشحال شدم دیدمت
******************************
قابل توجه بعضیا

virus size:22528
shimgapi.dll size :4096

*****************************

[He§y]

سلام Amri_Civil
(( در مورد zip  کردن ویروس ))
سورس رو خوب مطالعه کنی میبینی که این کرم برای zip کردن خودش
از شل و یا هیچ فایل کمکی ویندوز استفاده نمیکنه وبا استفاده از توابع  و
دستوراتی که در خود ویروس هست خودش رو zip میکنه  یعنی ویروس
خودش یک کمپرسور دارد و میتونه خودش و هر فایلی رو zip کنه این
ویروس به صورت Encrypt هست وتمام رشته ها به صورت کاملا کد
شده هست ولی ویروس نویس رشته کد شده  رو مشخص کرده  مثلا
Rot13 (fname, "fuvztncv.qyy");
رشته  زیر رو فرا خوانی میکنه که بعد از کد شدن به عبارت بالایی تبدیل شده
fname ,"shimgapi.dll"
این روش باعث میشه که رشته مخفی بمونه و آنتی ویروسها نتوانند ویروس
را شناسایی کنند در مورد encrypt  کردن هم در پستهای بعدی توضیح می دم
و برای کمک گرفتن از فشرده ساز هایی مثل Winzip  , Winrar      و چگونگی
ایجاد آلودگی با استفاده از این نرم افزار ها هم در پستهای بعدی بحثی خواهیم
داشت .
باز هم اگه سوال یا  پسشنهادی بود مطرح کنید تا رسیدگی بشه

[amircivil]

سلام
خوب حالا اگر ما بخاهیم یه ویروس چند چهره بسازیم باید چی کار کنیم؟