حالت موضوعی | حالت خطی

**Payman62**

سلام.
رفته بودم پست خونه لشگر. اکثر سیستماشون ویروسی بود. جالب بود که حتی سرور هم ویروس داشت.
خلاصه فلش خودمم ویروسی شد. ویروسارو کپی کردم رو هارد که بذارم این جا واسه آنالیز. 3 تا ویروس کپی شده بود رو فلشم که گذاشتم این جا. البته شاید 3 تاشون یه ویروس باشن.

**godvb**

سلام .
من يك زماني يك كدي از تو نت گرفتم كه پروسس برنامتو از تو تسك منيجر مخفي ميكرد . 100 درصد تست شده .
من انتي ويروسم نود32 هستش ، نميدونم چطوري غيرفعالش كنم يعني كلا درشو تخته كنم ، تو تسك منيجر 2تا پروسس داره كه يكي شو اصلا نتونستم ببندم بنابراين هميشه فعال ميمونه ، اگه كسي راهي پيدا كرد بگه .
ينابراين منم مجبور شدم از تو سيف مد كارامو انجام بدم هرچند كه regmonitor و filemonitor باز نشد و دستي كار ها رو انجام دادم .
بهرحال اينا رو بدست اوردم :
3 تا فايل وجود داره به اسم هاي : 1. recycler .3 , EXPLORER.exe .2 , sal.xls.exe . هردوتا فايل exe ها با ويژوال بيسيك نوشته شده و پك هم نشدن .
1. ايكونش مال فايل هاي اكسل هستش ، وقتي اجرا بشه شماره 2 رو هم اجرا ميكنه ، اسمش تو تسك منيجر algssl.exe هستش و به همين اسم هم تو درايو ها كپي ميشه . بنابر گفته نود 32 از مدل win32/vb.EL هستش . دوتا تايمر داره . يكي اتوران هاشو توي درايو ها چك ميكنه و يكي ديگه هم مقدارهاشو تو رجيستري. به اين اسم هاتو سيستم 32 هستش كه با همين اسم ها تو رجيستري هم مقدار ساخته : msfir80.exe كه internal name فايل 1 هست ؛ msime80.exe كه orginal filename هست .يك اتوران با اسم msime80 تو local machin ميسازه و چندتا هم با اسم هاي مختلف تو current_user .
يك مقدار ديگه هم تو رجيستري به اسم wsctf.exe ميسازه كه من فايلي براش پيدا نكردم .

2. اسمش EXPLORER.exe هست با ايكن my computer . خودشو تو سيستم32 ميندازه و برخلاف 1 كه چندين اسم داشت اين يكي همش هم با EXPLORER.exe كار ميكنه . راهي كه من تونستم تشخيص بدم اين بود كه با حروف بزرگه .بنابر گفته نود32 هم از مدل win32/vb.HNZ هست .

3. نود32 اونو win32/Autorun.FH تشخيص ميده .

زياد نتونستم روش كار كنم . شرمنده Sad

شما ها تكميلش كنين . بهترين چيزش اينه كه يك يروسه بيشتر ندارن و براحتي بسته ميشن .
اينها هم براساس سيستم من بود تو سيف مد .

**godvb**

چي شد كسي جوابي واسه مشكل ما پيدا نكرد ؟
كسي ديگه اي هم تا حالا اناليزش نكرده ؟

**lord_viper**

معمولا انتی ها رو میتونی با غیر فعال کردن سرویسشون از کار بندازی البته بعضی ها هم راههای ساده تری دارن مثلا اونهایی که مال یه بازه زمانی هستن فقط کافیه که تاریه سیستم رو یه چند سالی جابجا کنی تا برای همیشه راحت بشی
(بهتره برای صریعتر گرفتن هر سوال رو تو تو تاپیکهای مجزا مطرح کنین)

**Payman62**

سلام.
باز یه ویروس دیگه به پستم خورد. اوردم واسه آنالیز. رو فلش یکی از بچه ها بود. همراه اتوران.

**lord_viper**

اینو تو ollydbg باز کن ببین توش چه خبره اینم که autorun میزنه که
(البته ور نرفتم محض کنجکاوی بود)

**Di Di**

يه جورايي پك شده ( بود! )
به زبان دلفي نوشته شده.
مانند بقيه ويروس هاي خانواده اتوران ها خودش را با نام هاي فريب دهنده در داخل ويندوز كپي مي كنه مثل :

Software\Microsoft\Windows\CurrentVersion\App Paths\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

خودش رو با نام sxs.exe‌ داخل روت اصلي درايوها كپي مي كنه و فايل اتوراني كه مي سازه قادره سيستم رو با دابل كليك بر روي درايو يا حتي باز شدن درياو توسط دستور Open آلوده كنه.

در ابتدا آنتي ويروس هاي مختلف رو از طريق بستن سرويسشون از كار مي ندازه. ليست آنتي ويروس هايي كه از كار مي ندازه رو اگه نگاه كنيد مختون سوت مي كشه!! ( عجب حوصله اي داشته )

خودش رو با نام هاي :
SoundMan
SVoHost
Winscok
داخل شاخه ويندوز كپي مي كنه و از طريق كليد رجيستري زير اجرا مي شه :
Software\Microsoft\Windows\CurrentVersion\Run
البته ممكنه خودش رو با مقادير زير هم داخل همون كليد رجيستري ذخيره كنه :
RavTask
KVMonXP
Ylive
yassistes
Kavpersonal50
Jqbgu

arsanhacker

اینم یک فایل برای آنالیز
کارش ارسال پسوردهای یاهو هست
خیلی هم ساده است

فقط بگید با چی Unpack کردید.

http://www.persianupload.com/files/53s6h...r2gbwg.exe

**lord_viper**

خب من یه سیخی دادم بهش و با olly ice که جناب didi زحمت قرار دادنشو تو سایت کشیده بودن به صورت دستی تو سیم ثانیه انپک شد(چون برنامه های انپکر نمیتونستن انپکش کنن)

**Payman62**

سلام.
امروزم یه ویروس دیگه گرفته بودم. میخواستم بیارم امشب بذارم. ولی تو شرکت فلشم رو وصل کردم آنتی زد پاکش کرد.
واسه فردا یکی دیگه میارم.
ولی من بیشتر دوست داشتم ویروس هایی که خودمون مینویسیم رو آنالیز کنیم. این جام که ماشالا همه ویروس نویس. خوب بذارین کاراتونو.

**lord_viper**

والا ویروس نویسی که به همین سادگی نیست یه مقدار کار میبره (ویروسهای ماستکی که نیومده انتیها دخلشونو میارن فراوونه)
واسه این جور چیزا باید بخش خصوصی بوجود بیاد برای جلوگیری از سوء استفاده

موضوعات مرتبط با این موضوع...
موضوع		نویسنده	پاسخ	بازدید	آخرین ارسال
	ویروس Indian grl.avi.exe	salehjg	6	19,801	۰۴-آذر-۱۳۹۴, ۱۷:۵۶:۴۹ آخرین ارسال: alimogmov
	ویروس	aleas	26	24,327	۰۵-مهر-۱۳۹۳, ۲۱:۲۳:۵۱ آخرین ارسال: STR_virus
	ویروس جدید!!!	hadikh73	9	7,298	۰۴-اسفند-۱۳۹۲, ۱۳:۰۸:۵۶ آخرین ارسال: godvb
	درخواست سورس چند تا ویروس به زبان c	jaber	9	11,122	۲۲-شهریور-۱۳۹۲, ۱۲:۳۷:۱۴ آخرین ارسال: Ghoghnus
	ویروس الوده کننده فایل های اجرایی	elsecret	3	5,547	۱۹-شهریور-۱۳۹۲, ۱۱:۵۲:۰۱ آخرین ارسال: kogo
	[پروژه] سورس چند ویروس	Fery666	6	6,587	۰۷-شهریور-۱۳۹۲, ۱۷:۵۷:۴۲ آخرین ارسال: Ghoghnus
	درخواست سورس ویروس زمانی	rap0661	3	5,221	۳۰-اردیبهشت-۱۳۹۲, ۱۰:۴۳:۳۲ آخرین ارسال: A.P-H@ck3r
	ویروس نویسی با چی؟	mohamadpk	13	16,816	۳۰-اردیبهشت-۱۳۹۲, ۱۰:۰۷:۱۸ آخرین ارسال: A.P-H@ck3r
	ویروس funny.exe	abbasalifix	23	23,891	۲۸-اردیبهشت-۱۳۹۲, ۱۴:۴۰:۳۷ آخرین ارسال: A.P-H@ck3r
	ویروس چندریخت	حمزه 327	5	5,863	۰۹-فروردین-۱۳۹۲, ۲۳:۵۴:۲۱ آخرین ارسال: A.P-H@ck3r

حالت موضوعی \| حالت خطی آنالیز انواع بدافزارها(ویروس،کرم،تروجان،کیلاگر،پس سندر،اسپای)
نویسنده	پیام