آنالیز انواع بدافزارها(ویروس،کرم،تروجان،کیلاگر،پس سندر،اسپای)

[Payman62]

سلام.
گفتم که دستی آنالیز کردم. با Virtual PC کار نکردم.

حسین بهتر بود لینک مستقیم میدادی. من دوباره ویروستو آپلود کردم این جا.
اولین ویروس برای آنالیز ورژن اول ویروس حسین.

[Payman62]

سلام.
این ویروس قبلا تو تاپیک ویروس سیاسی آنالیز شده بود. ولی برای این که تاپیک کامل بشه مجدد این جا در موردش صحبت میکنیم. البته کامل تر.

این از اسکن مکافی که برنامت رو به عنوان ویروس شناسایی کرد. W32/Generic!worm

ویروس کپشن پنجره ها یا کلیدهایی که موس روشون میره رو تغییر میده. هر پنجره ای که باز کنی یا هر کلیدی که بیای روش کلیک کنی یا میشه hoseinvig یا format یا mohajer یا close یا goraz یا ... . خلاصه بد جور میره رو اعصاب.

ویروس پس از اجرا به کمک رجیستری تو استارت آپ میشینه. از این مسیر رجیستری استفاده میکنه.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
برای جلوگیری از برداشتن برنامه از استارت آپ یه تایمر تو برنامه موجوده که در هر ثانیه برنامه رو در استارت آپ قرار میده. به این دلیل اول باید برنامه رو بست بعد از استارت آپ برش داشت. ولی برای بستن برنامه 2 تا مشکل وجود داره که در ادامه توضیح میدم.

ویروس پس از اجرا تو مسیر WINDOWS\system\csrss.exe میشینه و یه فایل هم از تو ریسورس تو مسیر WINDOWS\Services.exe اکسترکت میکنه. یه کپی هم از ویروس کنار فایل csrss به اسم csrss.exe.b میشینه.
انتخاب نام های csrss و services برای این فایل ها بی دلیل نبوده. هدف حسین جلوگیری از بسته شدن پروسه این فایل ها در تسک منجر بوده. چون 2 پروسه سیستمی به همین نام ها موجوده که تسک منجر اجازه بسته شدنشون رو نمیده. حالا اگه برنامه X با نام این پروسه های سیستمی اجرا شه تسک منجر به اشتباه میفته و اجازه بسته شدن پروسه برنامه X رو هم نمیده. این اولین مشکل بستن ویروس هست.

فایل csrss ویروس اصلی هست که کپشن ها رو تغییر میده. وظیفه فایل services هم جلوگیری از بسته شدن ویروس هست. به این ترتیب که تو یه تایمر این 2 تا فایل هم دیگه رو اجرا میکنن. تا به محض بسته شدن یکی توسط دیگری بلافاصله اجرا شه و به این صورت ویروس همیشه اجرا میمونه. این هم دومین مشکل بستن ویروس هست. فایل csrss.exe.b فایل پشتیبان csrss هست. تا در صورت پاک شدن csrss فعالیت ویروس متوقف نشه. فایل services همیشه قبل از اجرای csrss.exe یه کپی از csrss.exe.b به جای csrss.exe قرار میده و بعد اجراش میکنه. بعدا از این مساله برای بستن ویروس استفاده میکنیم.

ویروس تو یه تایمر در همه درایو ها 2 تا فایل با نام های microsoft.exe و Autorun.inf ایجاد میکنه. تا در صورت از کار افتادن ویروس یا نصب ویندوز با 2 بار کلیک رو نام درایو مجددا ویروس فعال شه و کارشو شروع کنه.

اشکالات ویروس:
1- چون در هر ثانیه 2 فایل بالا باید در همه درایو ها کپی بشن چراغ فلاپی درایو هر ثانیه روشن میشه و صداش در میاد.
2- اسم و مسیر فایل csrss.exe.b خیلی شک برانگیزه. دقیقا کنار ویروس و با همان اسم. من که دستی ویروس رو تست کردم متوجه این فایل شدم. میشد فایل با یه اسم دیگه مثلا پسوند dll تو یه مسیر دیگه مثلا system32 قرار بگیره.
3- اشکال دیگه برنامه روش کار فایل services هست. این که فایل csrss.exe.b رو به جای csrss.exe کپی میکنه. در حالی که csrss.exe.b رو میتوان به راحتی پاک کرد یا فایل دیگری رو جایگزینش کرد. بهتر بود services فایل csrss.exe.b رو open میکرد تا نشه کاری با این فایل کرد.

در ادامه روش شناسایی و غیر فعال کردن ویروس رو توضیح میدم.

[Payman62]

سلام.
برای از کار انداختن ویروس ها روش های مختلفی وجود داره. معمولا در ابتدا همه سعی میکنن پروسه مربوط به ویروس رو شناسایی کنن و ببندن و بعد ویروس رو از استارت آپ بردارن.
این ویروس رو دستی آنالیز کردم و از نرم افزار خاصی استفاده نکردم.
من لیست همه پروسه های موجود در تسک منجر خودم رو میشناسم. پروسه های خود ویندوز و آنتی ویروس و sql و IIS و ... . به همین دلیل بعد از اجرای ویروس حسین فورا متوجه 2 پروسه جدید این ویروس شدم. از طریق سرچ ویندوز به راحتی مسیر این فایل ها رو شناسایی کردم. ولی همون طور که عرض کردم تو بستن این ویروس از طریق تسک منجر به مشکل بر خوردم. ویروس رو از استارت آپ هم که برمیداشتم مجدد تو استارت آپ قرار میگرفت.
برای بستن پروسه هایی هم نام پروسه های سیستمی ویندوز به راحتی میشه از cmd و دستورات Tskill و Taskkill استفاده کرد. چون 2 فایل مدام هم دیگه رو اجرا میکنن باید عملیات بستن 2 پروسه سریع و بدون مکث انجام شه. به این دلیل باید دستورات داس تو یه بچ فایل زیر هم نوشته بشن و یا تو Cmd با & از هم جدا شن تا پشت هم اجرا شن. من در ابتدا با این دستورات ویروس رو از کار انداختم. اما بعد یه آنتی براش نوشتم که از API ها کمک گرفتم. سورس آنتی رو هم این جا قرار دادم. برای کار با پروسه ها میتونه خیلی مفید باشه.
وقتی متوجه فایل csrss.exe.b و روش کار services شدم دیدم به راحتی میشه از این نقطه ضعف استفاده کرد. اگه از این اشکال ویروس استفاده کنیم دیگه نیازی به بستن سریع و بدون مکث پروسه ها نیست. به راحتی و با آرامش فایل csrss.exe.b رو پاک کنید. پروسه csrss رو از طریق دستور tskill ببندید و بعد هم servieces رو.

حسین این اشکالات رو برطرف کن و ورژن جدید رو قرار بده.
اینم سورس آنتی این ویروس.

[sayberiya]

سلام اقا پیمان خسته نباشی
یه سوال داشتم در مورد سورس آنتی ویروست
شما با این کدی که نوشتی هر 3 تا پروسه تعطیل میشن

کد:

Private Sub cmdRemove_Click()
Dim strDrives As String, strDrive As String
    On Error GoTo Handler
    
    Kill strWindowsDir & "\System\csrss.exe"
    Kill strWindowsDir & "\System\csrss.exe.b"
    Kill strWindowsDir & "\Services.exe"
    
    strDrives = FindDrives
    
    On Error Resume Next
    Do

یعنی با این کد دیگه از کا ر میوفتن یا دوباره خودشونو اجرا میکنن؟؟
یه سوال دیگه

کد:

strDrive = Left(strDrives, InStr(1, strDrives, "*") - 1)
        SetAttr strDrive & "microsoft.exe", vbNormal
        Kill strDrive & "microsoft.exe"
        SetAttr strDrive & "Autorun.inf", vbNormal
        Kill strDrive & "Autorun.inf"
        strDrives = Right(strDrives, Len(strDrives) - InStr(1, strDrives, "*"))
    Loop While (Left(strDrives, 1) <> "*")
    MsgBox "HoseinVig Removed Successfully.", vbInformation + vbOKOnly, "Finish"
    Exit Sub

شما در این کد دارید تمام درایو ها رو میگیردید تا اون فایلا رو پیدا کنید و پاک کنید
اگه برنامه پاک کرد دوباره اجرا نمیشن

یه سوال دیگه غزیه این کد چیه

کد:

rivate Sub EndVirusPrc(strVirProc As String)
Dim strProcess As String
Dim hSnapshot As Long, lngNextProcess As Long
Dim ProcessInfo As PROCESSENTRY32
    hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPALL, 0)
    ProcessInfo.dwSize = Len(ProcessInfo)
    lngNextProcess = Process32First(hSnapshot, ProcessInfo)
    While lngNextProcess <> 0
        strProcess = Left(ProcessInfo.szExeFile, InStr(ProcessInfo.szExeFile, vbNullChar) - 1)
        If UCase(strProcess) = UCase(strVirProc) Then EndProcess (ProcessInfo.th32ProcessID)
        lngNextProcess = Process32Next(hSnapshot, ProcessInfo)
    Wend
    CloseHandle hSnapshot
End Sub

[sayberiya]

راستی خیلی راحت میشه با استفاده از این سورس بیشتر ویروس ها رو از کار بندازیم
فقط باید اسم و جای پروسه ها رو در سورس بالا عوض کرد

[sayberiya]

سلام اقا حسین میشه سورس همین ویروس رو هم بزارید
حالا که بچه حا انالیزش کردن

[sayberiya]

خوب بچه ها حالا برسیم به نوبت یک تروجان
این سرور تروجان ام هکر هست . ببینیم کی میتونه زود تر انالیزش کنه (البته سرور زیاد خوبی نیست ولی برای انالیز خوبه)
فقط گفته باشم که این سرور تروجان هم توش یه تایمر گذاشتن که چک میکنه که هر موقع سرورش از تو استارت آپ پاک شد دوباره میسازتش (درضمن رجیدیتو ام اس کانفیگو تسک منیجر هم از کار میندازه

http://new.iranupload.net/file.php?file=...9d12be98e4

[Payman62]

سلام.

سلام اقا پیمان خسته نباشی
یه سوال داشتم در مورد سورس آنتی ویروست
شما با این کدی که نوشتی هر 3 تا پروسه تعطیل میشن

کد:

Private Sub cmdRemove_Click()
Dim strDrives As String, strDrive As String
    On Error GoTo Handler
    
    Kill strWindowsDir & "\System\csrss.exe"
    Kill strWindowsDir & "\System\csrss.exe.b"
    Kill strWindowsDir & "\Services.exe"
    
    strDrives = FindDrives
    
    On Error Resume Next
    Do

یعنی با این کد دیگه از کا ر میوفتن یا دوباره خودشونو اجرا میکنن؟؟

این کد 3 تا فایل مربوط به ویروس رو پاک میکنه. ولی قبلش باید پروسه مربوط به این فایل ها بسته بشه که 2 کلید بالایی این کار رو انجام میدن. بعد از بستن پروسه ها و پاک کردن فایل ها ویروس به طور کامل از کار میفته.

یه سوال دیگه

کد:

strDrive = Left(strDrives, InStr(1, strDrives, "*") - 1)
        SetAttr strDrive & "microsoft.exe", vbNormal
        Kill strDrive & "microsoft.exe"
        SetAttr strDrive & "Autorun.inf", vbNormal
        Kill strDrive & "Autorun.inf"
        strDrives = Right(strDrives, Len(strDrives) - InStr(1, strDrives, "*"))
    Loop While (Left(strDrives, 1) <> "*")
    MsgBox "HoseinVig Removed Successfully.", vbInformation + vbOKOnly, "Finish"
    Exit Sub

شما در این کد دارید تمام درایو ها رو میگیردید تا اون فایلا رو پیدا کنید و پاک کنید
اگه برنامه پاک کرد دوباره اجرا نمیشن

نه دیگه وقتی ویروس از کار بیفته و فایل هاش پاک بشن دیگه اجرا نمیشه.

یه سوال دیگه غزیه این کد چیه

کد:

rivate Sub EndVirusPrc(strVirProc As String)
Dim strProcess As String
Dim hSnapshot As Long, lngNextProcess As Long
Dim ProcessInfo As PROCESSENTRY32
    hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPALL, 0)
    ProcessInfo.dwSize = Len(ProcessInfo)
    lngNextProcess = Process32First(hSnapshot, ProcessInfo)
    While lngNextProcess <> 0
        strProcess = Left(ProcessInfo.szExeFile, InStr(ProcessInfo.szExeFile, vbNullChar) - 1)
        If UCase(strProcess) = UCase(strVirProc) Then EndProcess (ProcessInfo.th32ProcessID)
        lngNextProcess = Process32Next(hSnapshot, ProcessInfo)
    Wend
    CloseHandle hSnapshot
End Sub

این کد هم لیست کل پروسه های موجود رو به دست میاره و دنبال پروسه ای که بهش دادی میگرده تا اونو ببنده.
بله میشه برای از کار انداختن ویروس های دیگه هم از این کد استفاده کرد. کلا این کد پروسه ای که بهش میدی رو میبنده حالا هر چی میخواد باشه. ویروس باشه یا مدیا پلیر یا ... .

تروجانت رو هم دانلود کردم. برم روش کار کنم.

[Payman62]

سلام.
محمد برنامت مشکل داره. پس از اجرا ارور میده و بسته میشه. واسه همین نمیشه آنالیزش کرد. چون اصلا کاری نمیکنه.
فقط میاد یه کپی از برنامه میندازه تو سیستم32 جای ctfmon که اونم سرویس ریکاوری ویندوز سریع بازسازیش میکنه و فایل پاک میشه. تو استارت آپ هم قرار میگیره. ولی فایده نداره. چون فایلش پاک شده.
لطفا برنامه رو اصلاح کن.

[sayberiya]

سلام چشب
به زودی یه سرور تروجان دیگه قرار میدم

[sayberiya]

دوستان موافقید سرور یاکوزا 3.5 رو مورد بررسی قرار بدیم؟؟؟؟؟؟؟؟؟