حالت موضوعی | حالت خطی

**arnh**

سلام.
اتفاقی با این موضوع برخورد کردم .

نقل قول: نوع : کرم اینترنتی
اندازه : ۳۶۸۶۴ بایت
محيطهاي قابل اجرا : Windows 2000,XP,NT,....

خصوصيات :

1) از طريق SMTP Engine که در ويروس وجود دارد Email هاي آلوده با مشخصات زير ارسال ميکند :

1-1) ساختار mail ارسالي توسط ويروس به اين شرح است :

از :

◊ irvirus@yahoo.com
◊ imen@yahoo.com
◊ iransare@yahoo.com
◊ panda@yahoo.com
◊ simorg@yahoo.com
◊ symntec@yahoo.com
◊ john@yahoo.com
◊ mary@yahoo.com
◊ Reply @yahoo.com
◊ shima@yahoo.com
◊ nastaran@yahoo.com
◊ stan@yahoo.com
◊ IRANSARE20008@yahoo.com
◊ iranvig@yahoo.com
◊ mohammad@yahoo.com
◊ irna@yahoo.com
◊ irib@yahoo.com
◊ taktaz@yahoo.com
◊ bia2@yahoo.com
◊ mozilla@yahoo.com

عنوان :

◊ irvirus
◊ symantec
◊ FBI
◊ irvanvig
◊ NOD32
◊ IranSare2008
◊ Announcement
◊ password
◊ simorgh-ev
◊ Your IP was logged
◊ Read it immediately!
◊ Attention
◊ E-mail account disabling warning
◊ Returned Mail
◊ Soccer funs in public place
◊ IHS
◊ IRNA
◊ hello
◊ ANTI VIRUS

بدنه :

salam dooste aziz...golchini az behtarinaxhaye iran sare
anti virus imen
salam dooste aziz baraye rahaty az daste virus ha anti virus rayegane maara downlod konid
behtarin screen saver az axhaye iransare2008
noron anti virus
passworde user haye iranvig
passworde user haye simorgh
salam..site irvirus hack shode va inam passworde admine sit hastesh
salam lotfan forme nazar sanji ra ke hamrahe file peivast hast ra por konid
one of the files is a virus... can you tell me which one is it? hehehe, i'm only joking... your friend, paul..
Six Soccer funs fucked one girl in public place. Mad images. View it.
I find my husband. If you saw his report me please. His photos in attach.
i hope thats not true!
three files for you to keep... always remember that i'm into deep... i don't know you but i think i'm in love...
fun file
Ioana, *** in grup in camin. Cred ca o stii si
another pic, have fun! ... :->
Credeti ca ar fi mai bine ca Romania sa-si retraga trupele din

1-2) آدرس مقاصد مورد نظر را از درون فايلهايي با پسوند هاي زير جستجو ميکند :

txt html xml adb asp
cfg cgi dbx eml pl
shtm wab

2) تغییراتی که در رجیستری ایجاد میشود عبارتند از :

◊ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\AmirCivil = %System%\AcroTray32.exe

3) فايلهاي زير را ايجاد ميکند :
◊ %System%\AcroTray32.exe
◊ %System%\drivers\etc\hosts.File

هنگامی که این ورم ایجاد می شود و این ورم فایلهایی با پسوند زیر را در سیستم جستجو کرده و یک کپی از ورم با همان نام به اضافه پسوند EXE ایجاد می کند:

.wav
.jpg
.jpeg
.avi
.bmp
.c
.cpp
.vbp
.vbw
.frm
.ocx
.DAT
.doc
.pdf
.zip
.sig
.Tif
.scr

کلید رجیستری زیر را پاک می کند:

HKEY_CURRENT_USER\Printers

پروسسورهای زیر پاک می کند:

ACKW IN۳۲
AD-AWARE
ADAWARE
ADVXDWIN
AGENTSVR
AGENTW
ANTIVIR
ANTIVIRUS
APIMONITOR
APLICA۳۲
AUPDATE
AUTODOWN
AUTOTRACE
AVGCC۳۲
AVGCTRL
AVKSERV
Babylon
CFINET
CLEANPC
DATEMANAGER
DPFSETUP
F-AGNT۹۵
F NRB۳۲
GhostTray
IOMON۹۸
mcvsshld
NAVAP۳۲
navapsvc
navapw۳۲
NAVW۳ ۲
NETD۳۲
NETMON
NORMIST
notepad
NPROTECT
NPROTECTED
NUPGRADE
O UTPOST
PavFires
pavProxy
pavsrv۵۰
POP۳TRAP
POWERPNT
realplay
reg edit
Rtvscan
RuLaunch
SAVScan
SCAN۳۲
SHSTAT
SNDSrvc
symlcsvc
t askmgr
UPDATE
UpdaterUI
Vshwin۳۲
VsStat
VsTskMgr
WINWORD
ZONEALA RM

در فایل زیر متن های زیر را قرار می دهد و اجازه رفتن به سایتهای زیر را نمی دهد:

Path : %System%\drivers\etc\hosts.File

avg.com
google.com
iranvig.com
irvirus.com
mcafee.com
pandasoftware.com
simorgh-ev.org
symantec.com
www.۲۴-۷-transportation.com
www.adhdtests.com
www.aegee.or g
www.aimcenter.net
www.alupass.lu
www.amanit.ru
www.AmirCivil.com
w ww.andara.com
www.angelartsanctuary.com
www.anthonyflanagan.com
www.appr oved۱stmortgage.com
www.argontech.net
www.asianfestival.nl
www.atlantist este.hpg.com.br
www.avg.com
www.aviation-center.de
www.avizoon.com
www .bbc.com
www.bbsh.org
www.bga-gsm.ru
www.boneheadmusic.com
www.bottomb ouncer.com
www.bradster.com
www.buddyboymusic.com
www.bueroservice-it.de
www.calderwoodinn.com
www.capri-frames.de
www.celula.com.mx
www.cesky hosting.cz
www.chinasenfa.com
www.cntv.info
www.compsolutionstore.com
www.coolfreepages.com
www.corpsite.com
www.couponcapital.net
www.cpc.adv .br
www.crystalrose.ca
www.cscliberec.cz
www.curtmarsh.com
www.customl oyal.com
www.DarrkSydebaby.com
www.deadrobot.com
www.dontbeaweekendparen t.com
www.dragcar.com
www.ecofotos.com.br
www.eurostavba.sk
www.everet t.wednet.edu
www.fcpages.com
www.featech.com
www.FritoPie.NET
www.goog le.com
www.iran۳ex.com
www.iranvig
www.iranxiran.com
www.irna.com
ww w.irvirus.com
www.mcafee.com
www.microsoftoft.com
www.pandasoftware.com
www.simorgh-ev.org
www.symantec.com
www.xlxx.com
www.xnxx.com
www.xxx.com
www.yahoo.com

حالا من یه سوال دارم . Shy

علت اینکه دسترسی به سایت ایرانویج رو ممنون می کنه چیه ؟
و یا چرا سایت ایرانویج رو مثل سایت IRANXIRAN بن می کنه ! Amaze

یا چرا ویروس با ایمیل مستعار ایرانویج منتشر می شه . Amaze

هدف از این کار چی بوده ..( مربوط می شه به قبل از اخراج از تیم ویروس نویسی ) Angry

این لینک مستند .
http://www.imenantivirus.com/encycf/W/W_002B1.htm
خواهش می کنم دوستان انتشار این ویروس رو به حساب بچه های تیم ویروس نویسی نگذارند . Whistle

**Iron_Fist**

باید این بابا جواب گو باشه !!!

**arnh**

آقای amircivil

هر موقع این تایپیک رو خوندید . لطفا در مورد این کارتون رو توضیح و ما رو از جنبه های کارتون آگاه کنید .

amircivil

اینجارو هم ببین بدنیست
Happy

T_L_O_T_D

سلام

من نویسنده Telneton.a هستم و این در رابطه با فیلتر کردن باید بگم هیچ بشری حوس نکنه بره زرنگی کنه از iranvig کمک بخواهد یا id هارو add کنه یا email یا ................................................................................................

U WON'T UNDERSTAND US ________________________NOTHING AT ALL_____________________________________________

T}{e*LoRd^Of*T}{E^DaRkNeSs!!

**veyskarami**

اینکه کسی بخواد از ایرانویج کمک بگیره کجاش زرنگیه؟
حاظرم شرط ببندم خود شما که ادعای ویروس نویسی داری از همین سایت اطلاعاتت رو بدست آوردی یا حد اقلش اینه که کمک بسیار زیادی از این سایت گرفتی وگرنه امکان نداشت حتی اسم ایرانویج رو هم شنیده باشی!
والا تا جایی که می دونم اغلب ویروس نویسا انگیزه های قابل قبول تری واسه کاراشون دارن اما چیزی که شما داری میگی اصلا واسه کسی قابل قبول نیست و به نظر من این حرفی که شما زدی حرف یه ویروس نویس کهنه کار نیست

**arnh**

T_L_O_T_D نوشته است:سلام

من نویسنده Telneton.a هستم و این در رابطه با فیلتر کردن باید بگم هیچ بشری حوس نکنه بره زرنگی کنه از iranvig کمک بخواهد یا id هارو add کنه یا email یا ................................................................................................

U WON'T UNDERSTAND US ________________________NOTHING AT ALL_____________________________________________

T}{e*LoRd^Of*T}{E^DaRkNeSs!!

واقعا ..آفرین Clap

می دونی چرا ؟
چون خودت هم فهمیدی بچه های ایرانویج تخصصشون بیشتر از اونیه که آنتی ویروس ویروس شما رو بنویسند . و بخاطر همین از طریق ویروستون دسترسی به سایت ایرانویج رو ممنوع کردید . Whistle

اما من یه توصیه به شما و امیر آقا دارم . Exclamation

بی خیال فیلتر کردن ایرانویج بشید . می دونید چرا ؟
چون بچه های ایرانویج حوصله آنتی ویروس نویسی برای ویروس های ناقص الخلقه شما رو ندارند Laugh

و کار های مهم تر از این هم براشون زیاده .

شما هم وقت یجا پست میدی . اول بفهم کجاست بعد پست بده ..
یه چیزی بگو که آدم باورش بشه ( ویروس نوشتن رو منظورم نیست ) Amaze

T_L_O_T_D

میدونی

1 قاعده کلی هست که همیشه باید رعایت کرد. این انگیزه اصلی بوده!!! به عبارتی کار از محکم کاری عیب نمی کنه!!! تحته هر شرایطی!!!! البته مهمترین قسمت fliter کردن موتور هی جستجو هستند!!!ولی در کل منظور خاصی این وسط نیست!!! ممکنه شما مثلا از سایت www.benz.com خوشت نیاد بخواهی فیلترش کنی!!! ولی زیر ذربین قرار دادن این موضوع هم خودش جالبه!!!!

مهم اینکه باور کنیم خیلی چیزها اون طوری که باید به نظر برسن نیستن!!!
مثال کوچیکش نویسنده sasser که این ویروس رو نوشت وقتی انگیزه رو ازش پرسیدن گفت مادر من تعمیر کار کامپیوتر می خواستم بهش کمک کنم یعنی این جویری این می گه چیزی به اسم جنگ قدرت نبود

در کل واسه همه گی آرزوی موفقت دارم!
چه نویسنده 1 بکدور ساده چه نویسنده sasser
U WON'T UNDERSTAND US ________________________NOTHING AT ALL_____________________________________________

T}{e*LoRd^Of*T}{E^DaRkNeSs!!

**arnh**

T_L_O_T_D نوشته است:مهم اینکه باور کنیم خیلی چیزها اون طوری که باید برسن نیستن!!!

یعنی چی ؟

جالبه که بدونید :
نویسنده ویروس ساسر یه ویروس نویس بزرگ نبود . بلکه یه باگ بزرگ در اختیار داشت .

Ar4sh

با سلام

من نمی خوام برنامه ای که ایشون نوشته رو زیر سوال ببرم !!!
این ویروس خیلی مبتدی نوشته شده !!!
حداقل هر بچه ای بلده از Msconfig ویندوز اون رو از کار بندازه .... [تصویر: 25.gif]

این کلید تو Msconfig ویندوز خیلی تابلو ه ه Laugh

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\AmirCivil = %System%\AcroTray32.exe

=================

کلا متد استارت اپ این ویروس خیلی مبتدی نوشته شده ...

البته برای تازه کارها شروع خوبیه و مناسبه :))) Wink

T_L_O_T_D

سلام
امیر خواسته علاوه بر mutex اسم خودشم توی registery باشه!!

موضوعات مرتبط با این موضوع...
موضوع		نویسنده	پاسخ	بازدید	آخرین ارسال
	ویروس Indian grl.avi.exe	salehjg	6	19,801	۰۴-آذر-۱۳۹۴, ۱۷:۵۶:۴۹ آخرین ارسال: alimogmov
	ویروس	aleas	26	24,327	۰۵-مهر-۱۳۹۳, ۲۱:۲۳:۵۱ آخرین ارسال: STR_virus
	ویروس جدید!!!	hadikh73	9	7,298	۰۴-اسفند-۱۳۹۲, ۱۳:۰۸:۵۶ آخرین ارسال: godvb
	درخواست سورس چند تا ویروس به زبان c	jaber	9	11,122	۲۲-شهریور-۱۳۹۲, ۱۲:۳۷:۱۴ آخرین ارسال: Ghoghnus
	ویروس الوده کننده فایل های اجرایی	elsecret	3	5,547	۱۹-شهریور-۱۳۹۲, ۱۱:۵۲:۰۱ آخرین ارسال: kogo
	[پروژه] سورس چند ویروس	Fery666	6	6,587	۰۷-شهریور-۱۳۹۲, ۱۷:۵۷:۴۲ آخرین ارسال: Ghoghnus
	درخواست سورس ویروس زمانی	rap0661	3	5,221	۳۰-اردیبهشت-۱۳۹۲, ۱۰:۴۳:۳۲ آخرین ارسال: A.P-H@ck3r
	ویروس نویسی با چی؟	mohamadpk	13	16,816	۳۰-اردیبهشت-۱۳۹۲, ۱۰:۰۷:۱۸ آخرین ارسال: A.P-H@ck3r
	ویروس funny.exe	abbasalifix	23	23,891	۲۸-اردیبهشت-۱۳۹۲, ۱۴:۴۰:۳۷ آخرین ارسال: A.P-H@ck3r
	ویروس چندریخت	حمزه 327	5	5,863	۰۹-فروردین-۱۳۹۲, ۲۳:۵۴:۲۱ آخرین ارسال: A.P-H@ck3r

حالت موضوعی \| حالت خطی علت کار یه ویروس .
نویسنده	پیام