دانلود ویروس، تروجان، بررسی مخرب ها و تست آنتی‌ویروس ╣══ مقررات پست اول حتما مطالعه شود ══╠

[M E H R A N]

همون که Exe را شناسایی کرد عالیه.



درسته مهران جان لونه بود جالب یه چیز بگم بعد از پاکسازی این سیستم یک عکس دیدم که فرمتش jpg بود خیلی عادی اما آویرا عکس رو به عنوان ویروس پاک کرده بود. میتونه فرمت jpg مخرب باشه ؟ البته عکس خلاف شئونات بود

راستش برای فایل های JPEG دو نوع آلوده شدن داریم.
یکیش استفاده کردن از باگهای ویندوز جهت نشون دادن فایل exe بصورت JPEG هست. به این صورت که در اصل شما فقط آیکون یک عکس را میبینید اما در اصل اون فایل یک فایل اجرایی میتونه باشه.

نوع دومش رو اینطوری فرض کن. یک برنامه داریم که کارش فقط extract کردن کدها و فایل ها از داخل فایل های آرشیو شده است. مثلا Winrar میتونه یک فایل exe را هم از آرشیو در بیاره و هم میتونه اون رو اتوماتیک اجرا کنه.
ر اینجا Winrar به تنهایی فایل مخربی نیست و هیچ کاری رو نمیتونه انجام بده. فایل exe که آرشیو شده هم درسته که آلوده است و مخرب شناخته میشه اما چون آرشیو شده و برای اجرا شدن به winrar احتیاج داره بنابراین نمیتونه بدون Winrar کاری را انجام بده.

قضیه نوع دوم JPEG ها به اینصورته که بعضی وقتها JPEG ها میتونند حاوی کدهای آلوده ای باشند اما برای به اجرا در آوردن این کدها در قالب یک عکس مخفی شدند به یک extractor احتیاج دارند تا قابلیت اجرا شدن را پیدا کنند. extractor ها همیشه .exe هستند و ممکنه توسط آنتی ویروسها بعنوان فایل آلوده شناخته نشند اما چیزی که معلومه اینه که نمیتونند امضای دیجیتالی داشته باشند.

دو نمونه از این مخربها که یکی کرم و اون یکی اکسپلویت هست و برای اجرا شدن به extractor احتیاج دارند در سایت های زیر بحث شده.

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

در ضمن extractor ها گاهی اوقات میتونند برنامه هایی مانند Photoshop باشند و کد های اکسپلویت را اجرا کنند. یا مثلا میتونند Adobe Reader باشه تا بتونه کدهای آلوده ای که داخل PDF وجود داره را اجرا کنه و یا میتونه Java Script باشه و کدهاشو از طریق مرورگر های IE یا Firefox اجرا کنه.

یا حتی میتونه با فرمت فلش باشه و از طریق Flash Player کدها را اجرا کنه. حتی میتونه با فرمت HTML یا DOC باشه و اونها رو توسط Microsoft Office اجرا کنه.

همه اینها بنوعی خودشون میتونند Extractro باشند و برای همینه که با آپدیت ویندوز و یا برنامه ها میتونیم از اجرا شدن این نوع کدها جلوگیری کنیم. مثلا یک ویندوز آپدیت نشده سوراخهای خیلی بیشتری برای اجرا شدن Exploit ها داره تا یک ویندوز آپدیت شده.

[Dr Hannibal]

نه داداش اون عکس در اصل exe هست
که وقتی اجرا کنی عکسه ویندوزxp میاد درسته؟

نه عزیز عکس کاملا درسته و بازش هم کنی عکس هست عکس معمولی

قضیه نوع دوم JPEG ها به اینصورته که بعضی وقتها JPEG ها میتونند حاوی کدهای آلوده ای باشند

مهران جان فکر کنم اینجا این قضیه درست باشه. من خودم مشتاق تر شدم عکس رو توی وتال آپلود کردم و این نتیجه اش بود:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

چیزی که مشخصه عکس مثل یه عکس معمولی باز میشه و حتما به قول شما حاوی کد مخرب باشه.الان که فکر کردم دیدم چه قدر راحت میشه این رو توی سایت یا حتی یه وبلاگ گذاشت و آلودگی رو پخش کرد.

دانلود:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

پسورد : dr

-------------------
البته عکس از لحاظ محتوا خوب نیست ببخشید که می ذارم

[wordship]

نه عزیز عکس کاملا درسته و بازش هم کنی عکس هست عکس معمولی



مهران جان فکر کنم اینجا این قضیه درست باشه. من خودم مشتاق تر شدم عکس رو توی وتال آپلود کردم و این نتیجه اش بود:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

چیزی که مشخصه عکس مثل یه عکس معمولی باز میشه و حتما به قول شما حاوی کد مخرب باشه.الان که فکر کردم دیدم چه قدر راحت میشه این رو توی سایت یا حتی یه وبلاگ گذاشت و آلودگی رو پخش کرد.

دانلود:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

پسورد : dr

-------------------
البته عکس از لحاظ محتوا خوب نیست ببخشید که می ذارم

دکتر این عکسو رو که تویه هر فروم یا انحمنی بزاریم ..........
به هر حال کسپر که نمیشناستش .

[mohsenpj]

این هم یک ویروس که بعضی آنتی ویروسای مشهور نمیشناسنش

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

pass: mohsen

[M E H R A N]

نه عزیز عکس کاملا درسته و بازش هم کنی عکس هست عکس معمولی



مهران جان فکر کنم اینجا این قضیه درست باشه. من خودم مشتاق تر شدم عکس رو توی وتال آپلود کردم و این نتیجه اش بود:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

چیزی که مشخصه عکس مثل یه عکس معمولی باز میشه و حتما به قول شما حاوی کد مخرب باشه.الان که فکر کردم دیدم چه قدر راحت میشه این رو توی سایت یا حتی یه وبلاگ گذاشت و آلودگی رو پخش کرد.

دانلود:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

پسورد : dr

-------------------
البته عکس از لحاظ محتوا خوب نیست ببخشید که می ذارم

آره عزیز میشه این کار رو کرد. اما مشکلی که هست اینه که ما نمیدونیم این کدهایی که در JPEG قرار داره با کدام extractor میتونه حالت اجرایی پیدا کنه. ممکنه یک Extractor مخصوص خودش را براش نوشته باشند و برای اینکه اجرا بشه طرف باید هم فایل exe و هم JPEG را داشته باشه تا سیستم آلوده بشه.اگر exe اصلی پیدا نشه خود عکس نمیتونه کاری بکنه.

[wordship]

اقا مهران نظرت درباره اینیکی چی هست؟

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

پسوردش 1 هست

[mohsenpj]

اقا مهران نظرت درباره اینیکی چی هست؟

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

پسوردش 1 هست

نود32 شناخت و حذف کرد

[M E H R A N]

اقا مهران نظرت درباره اینیکی چی هست؟

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

پسوردش 1 هست

این عکس نیست و خودش یک فایل اجرایی هست. پسوردش رو نزاشتی یادت رفته.

پسوند فایل exe هست و نشون دهنده ی اجرایی بودن اون هست. یک exe میتونه حتی فیلم و صدا را هم پخش کنه و فقط مختص به عکس نمیشه.

اوکی پسورد رو گذاشتی

[mohsenpj]

این هم یک ویروس دیگه

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

pass: mohsen

[wordship]

این عکس نیست و خودش یک فایل اجرایی هست. پسوردش رو نزاشتی یادت رفته.

پسوند فایل exe هست و نشون دهنده ی اجرایی بودن اون هست. یک exe میتونه حتی فیلم و صدا را هم پخش کنه و فقط مختص به عکس نمیشه.

اوکی پسورد رو گذاشتی

اره یه اهنگ هم داشت
البته خیلی قدیمیه
گفتم اگه نداشته باشی به بانک ویروستون اضافه نمایین

.