حالت موضوعی | حالت خطی

**Di Di**

دوستان گرامي
عنوان اين تاپيك مشكل فني داره و باعث شده تا تمام پستها به صورت Bold در بيان. من تمام اونها رو درست كردم اما خودتون هم لطف كنيد از اين به بعد پستهايي كه مي زنيد رو با عنوان صحيح ارسال كنيد تا اين مشكل كلا رفع بشه.

**godvb**

سلام . چیز جالبیه . لطفا اگه میشه اروم اروم کاره رو انجام بدین . چون همه همیشه دسترسی به اینترنت ندارن بعدش هم الان موقع امتحانات هست و کنکور هم در پیشه و تازه کارها یه خورده دیر یاد میگیرن و هزاران بد بختی دیگه .همینطور که دارین پیش میرین خیلی خوبه .
ممنون . موفق باشین

**HoseinVig**

آقا پیمان خسته نباشید دیگه فکر کنم کله ویروسمو شناختی همشو گفتی
من بزودی ورژن جدیدشو میزارم اشکالاتشم رفع میکنم.
فقط به من مهلت بدین . درکم کنید من میام کافی نت واسه پیگیری .... فلش مموری هم بعضی موقه ها ندارم

**Payman62**

Di Di نوشته است:دوستان گرامي
عنوان اين تاپيك مشكل فني داره و باعث شده تا تمام پستها به صورت Bold در بيان. من تمام اونها رو درست كردم اما خودتون هم لطف كنيد از اين به بعد پستهايي كه مي زنيد رو با عنوان صحيح ارسال كنيد تا اين مشكل كلا رفع بشه.

سلام.
مشکل عنوان تاپیک حل شد. دیگه به اون صورت که فرمودی در نمیاد. ممنون از توجهت.

حسین منتظر ورژن جدید ویروست هستیم.

اگه موافقید ویروس new folder رو بررسی کنیم. کسی اگه دارتش بذاره.

sayberiya

سلام
آقا پیمان اگه موافقید بیاید سرور یاکوزا 3.5 رو مورد برسی قرار بدیم
موافقید؟؟

**Payman62**

سلام.
اوکی بذارش روش کار کنیم.

sayberiya

سلام دوستان
اینم سرور یاکوزا 3.5 البته اپدیتش
در آپدیتش حجم برنامه کم شده و تغیراتی درش ایجاد اومد
هرکی میتونه یا علی
البته سرور خالی رو پیدا نکردم از یکی از دوستام گرفتم که یا عکس بیند شده
http://www.persianupload.com/files/guw3o...m8rilf.exe

**Di Di**

حجم سرور 88.1 كيلو بايت هست و پك هم نشده( كلا نمي تونه سرور رو پك كنه )
به زبان وي بي نوشته شده و داراي يك فرم و يك تايمر هم هست.
پس از اجرا خودش رو داخل شاخه Temp‌يوزر كپي مي كنه و فايل عكس بايند شده رو هم همونجا اكستركتش مي كنه .
تو اين نسخه از روش هاي بهتري براي بايند كردن عكس استفاد شده كه حجم سرور رو كمتر كرده ( البته ممكنه چيزهاي بيشتري هم كم و زياد شده باشه )
برنامه پس از نمايش عكس ، فايل سروري كه تو شاخه Temp و با نام file3.exe كپي كرده رو اجرا مي كنه و سپس شروع به ساخت چند فايل در روت اصلي ويندوز مي كنه.

Windir\Lsas.exe
Windir\syctask.exe
system32\servics.exe
UserProfile\Local Settings\Temp\File3.exe

و كليدهاي رجيستري كه براي اجرا كردن اونها استفاده مي شن.

نكته : با اينكه علي معظمي كلي كد نويسي براي حذف پروسس از تسك منيجر انجام داده ولي اين كدها اصلا تاثيري ندارن و پروسه رو خيلي راحت مي شه با تسك منيجر ديد!!!

sayberiya

سلام
آقا مهدی من هرچی گشتم file3.exe رو پیدا نکردم
راستی به جر اونا یه پروسه هم اضافه میشه به اسم

ymsgr_tray.exe

میشه یه بار دیگه روش کار کنید

راستی اقا مهدی اون چیزی که فرستدی برام فقط service.exe رو پیدا میکنه بقیه رو پیدا نمیکنه و حتی پاکم نمیکنه
حالا خودتون یه بار دیگه نگاه بندازید

XSS

منم بازی بدید Clap

قبل از هر چیز، کسی با برنامه Cyber Anti Yakoza کار کرده؟
این برنامه 500 سال قبل از میلاد مسیح نوشته شد و به گفته برنامه نویسش حتی ویروس های آینده سایت نفوذگر رو هم میتونه برنامش شناسایی و پاکسازی کنه، بدون اینکه آنتی ویروسش نیازی به آپدیت داشته باشه
الان که این سرور یاکوزا 3.5 رو گذاشتید ایمان قلبیم نسبت به این آنتی ویروس بیشتر شد، آخه این سرور توسط Cyber Anti Yakoza شناسایی میشه
البته اون موقعی که ورژن جدید Spy Yahoo و BajGir و Spy Archive اومد من با این با آنتی ویروس ذکر شده تست کردم و دیدم که آنتی ویروس شناساییش کرد ولی پیش خودم گفتم چون اینا برنامه های رایگانه، شاید علی معظمی روش کار نکرده و برای همین آنتی ویروس Cyb Anti Yaokza شناساییش میکنه؛ ولی حالا که سرور برنامه پولیش مخصوصا آپدیت شدش رو شناسایی کرد جای تعجب داره که چرا علی معظمی یه فکری به حال این آنتی ویروس نمیکنه، چون اگر اجرا باشه هیچ کدوم از برنامه های علی معظمی نمیتونه کار خودش رو انجام بده و به سرعت پاک میشه.

بگذریم، با اجازه اساتید بزرگ من هم آنالیزی روی این کیلاگر داشتم:
==========================================
بعد از اجرا عکس رو در مسیر TempDir/file1.jpg اکسترکت و اجرا میشه
سپس در مسیر زیر TempDir/file3.exe سرور کیلاگر رو اکسترکت میکنه که این فایل فقط فایل کیلاگر هست و دیگه عکس توی اون بایند نشده و حجم فایل 90305 بایت معادل 88 کیلوبایت هست
صفت پوشه System32/Setup رو به Hidden تغییر میده
خودش رو به اسم Lsasss.exe در پوشه System32 کپی میکنه و سپس این فایل رو به servics.exe تغییر نام میده
و یک بار دیگه خودشو کپی میکنه اما اینبار به اسم Lsast.exe در پوشه WINDOWS
---------------------------------------------------------------------------
کلیدهای رجیستریی هم که برای استارت آپ میسازه ایناست:
1. در مسیر HKCU\Software\Microsoft\Windows\CurrentVersion\Run مقداری به نام SystemFile و با Dataی syctask.exe

2. در مسیر HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components کلیدی به نام {z6B2445-1963-9142-A0DB-DBDB9E15FB9z; ایجاد میکنه که مقدار StubPath دارای Dataی systask.exe AutoRun هست.

3. در مسیر HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVerion\Winlogon اطلاعات کلید Shell رو به explorer.exe servics.exe تغییر میده
---------------------------------------------------------------------------
این کیلاگر همینطور مقدار ShowSuperHidden در رجیستری رو تغییر میده تا فایل های سیستمی قابل نمایش نباشند
همچنین با تغییر اطلاعات مقدار ShowPassword تیک Remember My ID & Pass... رو در یاهو مسنجر برمیداره
----------------------------------------------------------------------------
از نکات دیگه هم اینکه در برنامه از شونصد تا تایمر استفاده شده و خدا پدر مادر کسیو که تایمر رو ساخت رو حفظ کنه، وگرنه برنامه نویسا چطوری میخواستن برنامه بنویسن خدا میدونه
از ایرادات برنامه هم اینکه همانطور که گفتم کلیدی که برنامه برای استارت آپ میسازه اسمش {z6B2445-1963-9142-A0DB-DBDB9E15FB9z; که اگر دقت کنید میبینید که آخرش بجای اینکه از } استفاده بشه از ; استفاده شده که بی دقتی برنامه نویس رو نشون میده
************************************************
این تا زمان قبل از ری استارت سیستم بود
الان سیستممو ری استارت میکنم بقیشم مینویسم Biggrin

XSS

عجب ویروس اعصاب خورد کنیه
هی زرت و زرت خودشو رو کپی میکنه، حوصلم سر رفت اینقدر خودشو کپی کرد
یه اینجکتی چیزی هم نمیکنه یه خورده پر هیجان بشه Angry

علی معظمی هم با این ویروساش واقعا ترکونده

یادتونه گفتم پوشه Setup رو مخفی میکنه؟
علت این بود فایل های Log خودش رو اونجا قرار میده
فایل های لاگ در فایل های Setup.html و setup.txt واقع در پوشه System32\Setup دخیره شده
بعد از ری استارت شدن سیستم کی لاگر بطور خیلی تابلو سعی میکنه با اینترنت ارتباط برقرار کنه که اولین بار چنین کار تابلویی رو از سوی ویروسی میبینم
خلاصه اینکه فایل های Systask.exe و syctask.exe هم کپی میشن

به نظرم دیگه ارزش نداره وقتمو روش بذارم، چشام درد گرفت
بقیشو دوستان دیگه لطفا انجام بدن
این کیلاگر همش کپی میکنه و با استفاده از شونصد تا تایمری که داره چک میکنه اگر خدایی نکرده یکی از پروسس ها بسته شد دوباره اجراش کنه
یا اگر یکی از این هزاران کپی پاک شد دوباره ساخته بشه
و نذاره کلیدهایی که تو رجیستری تنظیم کرده تغییر کنه یا پاک بشه

برای پیچوندن پسورد یاهو طرف هم از روش اینجکت کردن تکست باکس پسورد استفاده میکنه که دیگه قدیمی شده و از سوی یکی از دوستان هم فکر میکنم تو سایت ایران ویج نمونه ای از این کار قرار داده شده

با معذرت از اساتید بخاطر اینکه یه دفعه پریدم تو بحثتون

موضوعات مرتبط با این موضوع...
موضوع		نویسنده	پاسخ	بازدید	آخرین ارسال
	ویروس Indian grl.avi.exe	salehjg	6	19,801	۰۴-آذر-۱۳۹۴, ۱۷:۵۶:۴۹ آخرین ارسال: alimogmov
	ویروس	aleas	26	24,327	۰۵-مهر-۱۳۹۳, ۲۱:۲۳:۵۱ آخرین ارسال: STR_virus
	ویروس جدید!!!	hadikh73	9	7,298	۰۴-اسفند-۱۳۹۲, ۱۳:۰۸:۵۶ آخرین ارسال: godvb
	درخواست سورس چند تا ویروس به زبان c	jaber	9	11,122	۲۲-شهریور-۱۳۹۲, ۱۲:۳۷:۱۴ آخرین ارسال: Ghoghnus
	ویروس الوده کننده فایل های اجرایی	elsecret	3	5,547	۱۹-شهریور-۱۳۹۲, ۱۱:۵۲:۰۱ آخرین ارسال: kogo
	[پروژه] سورس چند ویروس	Fery666	6	6,587	۰۷-شهریور-۱۳۹۲, ۱۷:۵۷:۴۲ آخرین ارسال: Ghoghnus
	درخواست سورس ویروس زمانی	rap0661	3	5,221	۳۰-اردیبهشت-۱۳۹۲, ۱۰:۴۳:۳۲ آخرین ارسال: A.P-H@ck3r
	ویروس نویسی با چی؟	mohamadpk	13	16,816	۳۰-اردیبهشت-۱۳۹۲, ۱۰:۰۷:۱۸ آخرین ارسال: A.P-H@ck3r
	ویروس funny.exe	abbasalifix	23	23,891	۲۸-اردیبهشت-۱۳۹۲, ۱۴:۴۰:۳۷ آخرین ارسال: A.P-H@ck3r
	ویروس چندریخت	حمزه 327	5	5,863	۰۹-فروردین-۱۳۹۲, ۲۳:۵۴:۲۱ آخرین ارسال: A.P-H@ck3r

حالت موضوعی \| حالت خطی آنالیز انواع بدافزارها(ویروس،کرم،تروجان،کیلاگر،پس سندر،اسپای)
نویسنده	پیام