حالت موضوعی | حالت خطی

sayberiya

آره منم موافقم

sayberiya

سلام
امروز داشتم تو نت میگشتم دیدم یکی نوشته کرک یاکوزا 3.5 گفتم بزار دانلودش کنم ببینم چیه
ولی وقتی اجراش کردم کسپر غیر فعال شد و تو سایت ویروس توتال هم نشون داد که با بک دور بیند شده
دوستان اگر میشه یاکوزا کرک رو اجرا کنن و سرور بیند شدشو انالیز کنند
http://arash-soft.persiangig.com/crack/Y...20v3.5.exe

XSS

sayberiya نوشته است:سلام
امروز داشتم تو نت میگشتم دیدم یکی نوشته کرک یاکوزا 3.5 گفتم بزار دانلودش کنم ببینم چیه
ولی وقتی اجراش کردم کسپر غیر فعال شد و تو سایت ویروس توتال هم نشون داد که با بک دور بیند شده
دوستان اگر میشه یاکوزا کرک رو اجرا کنن و سرور بیند شدشو انالیز کنند
http://arash-soft.persiangig.com/crack/Y...20v3.5.exe

راستش من ویروسی توی این فایل پیدا نکردم
با چیزی هم بایند نشده بود
سرورهم باهاش ساختم و اجرا کردم
رفتارش دقیقا مثل همون سروری بود که خود شما گذاشته بودید

بعدشم این که کرک نشده بود، احتمالا فقط با Hex Workshop طرف ور داشته بود چارتا دونه رشته رو تغییر داده بود. Amaze

XSS

arsanhacker نوشته است:اینم یک فایل برای آنالیز
کارش ارسال پسوردهای یاهو هست
خیلی هم ساده است

فقط بگید با چی Unpack کردید.

http://www.persianupload.com/files/53s6h...r2gbwg.exe

فایلی که شما قرار دادید با UPX پک شده
برای UnPack کردنشم باید از UPX استفاده کنید
با نرم افزار PEiD شما میتونید تشخیص بدید برنامه ای پک شده یا نه

**lord_viper**

جناب xss منم اول میخواستم همین کارو بکنم ولی error میداد و برنامه بیته میشد از چند تا unpacker هم استفاده کرده بودم همشون تر میزدن دستی انپکش کردم دادم

XSS

اطلاعاتی که در مورد پکر PEiD میده UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo هست.
اگر با UPX که توسط Markus F.X.J. Oberhumer و Laszlo Molnar (همچنین با توجه به ورژن UPXی که فایل با اون پک شده) اقدام به UnPack کردن بکنید مشکلی پیش نمیاد و فایل به درستی Unpack میشه
الان امتحانش کردم، بدون مشکل Unpack میشد.
البته با خود PEiD هم میشه UnPackش کرد.

arsanhacker

منم دقیقا مشکل آفای Lord_viper رو داشتم
وگرنه می دونم چه طوری UnPack کنم
هم با خخود UPX میشه هم با برنامه های دیگه

اگه میشه آنالیزش هم بنویسید

arsanhacker

دوستا این فایل رو حتما آنالیز کنید
دسوتان این سرور Yakoza 3.6 هست که یکی به من داد ( به عنوان برنامه ی هک ) منم روش کلیک کردم ولی Kaspersky 2009 8.0.0.357 به عنوان کیلاگر شناختتش. منم از اونجا فهمیدم. خودمم باهاش ور رفتم یک چیزهایی دستیگر شد و اونارو پاک کردم. حتی فهمیدم لاگ هاش کجا کپی می شن
خالا این جا گذاشتم تا شما ها هم آنالیز کنید و ببینید چی کار می کنه
خودمم یک باهاش سرو کله زدم
خودشو با نام های Sys.exe و svchot.exe , explorer.exe , .....

http://www.persianupload.com/files/sf8x7...qhsl2z.exe

arsanhacker

لاگ هاش هم به این صورت می فرسته :

KeyLog From Yakoza v3.6

Yahoo Password From Yakoza v3.6

Internet Explorer Password From Yakoza v3.6

DialUp Password From Yakoza v3.6

Yahoo Archive From Yakoza v3.6

ولی خودایی شانس آوردم که کسپر روشن بود وگرنه الان همه ی پسورد هام لو می رفت

**lord_viper**

sys.exe , explorer.exe,csrss.exe,svchost.exe,winlogon.exe,up.exe در جاهای مختلف که بیشترشون تو زیر پوشه های ویندوز و سیستم 32 خودشو کپی میکنه
مثل drivers/etc,pchealth\UploadLB\Config,system32\config , system32\restore,system32\uploadlb\config
\hkey_locale_machine\Software\Microsoft\Active Setup\Installed Components
services\stud مقادیرشو در اینجا مینویسه
البته با استفاده از دستورات vbs
{z6B2445-1963-9142-A0DB-DBDB9E15FB9z}Software\Microsoft\Active Setup\Installed Components\
System32\config\svchost.exe
mswinsock.ocx برای ایجاد ارتباط با سرور
update1.exe,rundll32.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
HKCU\software\Yahoo\Pager\Save Password
SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedAppli
yahoo.txt,yahoo.htm,file.txt,file.htm,setup.txt,fileme.txt
خلاصه از توابع api
WritePrivateProfileStringA
GetPrivateProfileStringA
GetCompressedFileSizeA
GetProcessHeap
HeapAlloc
RtlMoveMemory
InternetFindNextFileA
GetForegroundWindow
IsNTAdmin
GetAsyncKeyState
GetKeyState
GetWindowTextA
SetTimer
KillTimer
CopyFileA
GetWindowsDirectoryA
ShellExecuteA
Sleep
GetIpAddrTable
و .....
و این فایل winlogon.exe رو هم احتمالا با autorun میاره بالا واسه اجرا
دیگه حسش نیست الان مهدی با انتیش میاد

arsanhacker

خوشبختانه همرو خودم پاک کرده بودم. چیزی دیگه نبود

مرسی آقای lord_viper برای آنالیز

ولی کسپر با اسم Keylogger بهش گیر می ده و این یک ضعف هست ( البته اگه تیک کیلاگر رو بزنید )

موضوعات مرتبط با این موضوع...
موضوع		نویسنده	پاسخ	بازدید	آخرین ارسال
	ویروس Indian grl.avi.exe	salehjg	6	19,801	۰۴-آذر-۱۳۹۴, ۱۷:۵۶:۴۹ آخرین ارسال: alimogmov
	ویروس	aleas	26	24,327	۰۵-مهر-۱۳۹۳, ۲۱:۲۳:۵۱ آخرین ارسال: STR_virus
	ویروس جدید!!!	hadikh73	9	7,298	۰۴-اسفند-۱۳۹۲, ۱۳:۰۸:۵۶ آخرین ارسال: godvb
	درخواست سورس چند تا ویروس به زبان c	jaber	9	11,122	۲۲-شهریور-۱۳۹۲, ۱۲:۳۷:۱۴ آخرین ارسال: Ghoghnus
	ویروس الوده کننده فایل های اجرایی	elsecret	3	5,547	۱۹-شهریور-۱۳۹۲, ۱۱:۵۲:۰۱ آخرین ارسال: kogo
	[پروژه] سورس چند ویروس	Fery666	6	6,587	۰۷-شهریور-۱۳۹۲, ۱۷:۵۷:۴۲ آخرین ارسال: Ghoghnus
	درخواست سورس ویروس زمانی	rap0661	3	5,221	۳۰-اردیبهشت-۱۳۹۲, ۱۰:۴۳:۳۲ آخرین ارسال: A.P-H@ck3r
	ویروس نویسی با چی؟	mohamadpk	13	16,816	۳۰-اردیبهشت-۱۳۹۲, ۱۰:۰۷:۱۸ آخرین ارسال: A.P-H@ck3r
	ویروس funny.exe	abbasalifix	23	23,891	۲۸-اردیبهشت-۱۳۹۲, ۱۴:۴۰:۳۷ آخرین ارسال: A.P-H@ck3r
	ویروس چندریخت	حمزه 327	5	5,863	۰۹-فروردین-۱۳۹۲, ۲۳:۵۴:۲۱ آخرین ارسال: A.P-H@ck3r

حالت موضوعی \| حالت خطی آنالیز انواع بدافزارها(ویروس،کرم،تروجان،کیلاگر،پس سندر،اسپای)
نویسنده	پیام