من فکر می کردم ویروسه خوفیه اما اینجوری که کسی چیزی نمیزاره فهمیدم ویرسه زیادم مالی نیست.
آکوستیک ، فوم شانه تخم مرغی، صداگیر ماینر ، یونولیت
دستگاه جوجه کشی حرفه ای
فروش آنلاین لباس کودک
خرید فالوور ایرانی
خرید فالوور اینستاگرام
خرید ممبر تلگرام
[ + افزودن آگهی متنی جدید ]
من فکر می کردم ویروسه خوفیه اما اینجوری که کسی چیزی نمیزاره فهمیدم ویرسه زیادم مالی نیست.
سلامسلام به همه .
این چند وقت خیلی از بچه ها در مورد این ویروس سوال پرسیدن گفتم بهتره یه پست بهش اختصاص بدیم تا همه بیان و مشکلاتشون رو بیان کنن.
ویروس sality یه pe appendه که این روزها خیلی شیوع پیدا کرده.
ویروسهایی که خوشون رو به فایلهای exe میچسبونن تا اینجایی که من میدونم trendmicro بهشون pe append میگه. وقتی شما می خواهید فایلی رو که به این ویروس مبتلا شده است رو اجرا کنید این ویروس خودش رو از فایل آلوده جدا و در مسیر های متفاوتی مثل windir یا temp می ندازه (drop) بعد فایل الوده رو اجرا میکنه طوری که انگار ویروسی در کار نبوده! برای این ویروس در سایتهای مختلف موارد متفاوتی گفته شده :
it drops the following files in the windows system folder:tren micro:
- vcmgcd32.dll - detected by trend micro as [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
- vcmgcd32.dl_ - compressed version of vcmgcd32.dll
و
symantec :ay drop a .dll file the %system% or %temp% folders. The following are some examples of the filenames:
- syslib32.dll
- oledsp32.dll
- sysdll.dll
- olemdb32.dll
bitdefender:
Win32.sality.m is a polymorphic file infector that affects pe executable files. When an infected executable has been run, it drops the following files:
%system%\vcmgcd32.dll
%system%\vcmgcd32.dl_
eset:کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
When executed the virus drops in folder %system%\drivers\ the following file:%variable%.sys (5941 b)%variable% stands for a random text.
برای فهم بهتر موضوع برا بچه های که کمی برنامه نویسی خوندن سورس پاسکال تابع append و drop ویروس virus.win32.delf.b که یه pe append است رو در زیر گذاشتم :کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
procedure prepend(destinationfilename:string);vardestinationfile : File;fileattribute : Integer;destinationfilesize : Longint;buf : Ansistring;begintryfileattribute:=getfileattributes(pansichar(destina tionfilename));setfileattributes(pansichar(destinationfilename), 80);{$i-}assignfile(destinationfile,destinationfilename);filemode:=2;reset(destinationfile,1);destinationfilesize:=filesize(destinationfile);setlength(buf,destinationfilesize);blockread(destinationfile,buf[1],destinationfilesize);if pos(virusendsignature,buf)=0 then beginseek(destinationfile,0);blockwrite(destinationfile,virusbuffer[1],virussize);blockwrite(destinationfile,virusendsignature[1],length(virusendsignature));blockwrite(destinationfile,buf[1],destinationfilesize);closefile(destinationfile);end;{$i+}setfileattributes(pansichar(destinationfilename), fileattribute);finallyend;end;//----procedure dropfile;varg : File;s : String;t : Longint;begin{$i-}t:=viruspositon+length(virusendsignature);if viruspositon>0 then begin// working as a classic prepender if can not execute the original file in// the memory.if(not isntbasedos)or(not createprocessex(@virusbuffer[t])) then begintrys:=temppath+extractfilename(paramstr(0));assignfile(g,s);rewrite(g,1);blockwrite(g,virusbuffer[t],length(virusbuffer)-t+1);closefile(g);winexec(pchar(s+' '+commandlineparameters),sw_show);exceptend;end;end;{$i+}end;ویروس sality مثل بقیه pe append ها از این نحوه کد نویسی پیروی میکنه و خودش رو با حجم 56کیلو به exe های سیستم اضافه میکنه.
به گفته trendmicro این ویروس فایلهای
it infects files of the following type(s):
- .exe
- .scr
it avoids folders with the following strings:
- ahead
- system
برگرفته از مسیر [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
و symantec
may infect executable files by prepending its code to the host file. However, not all the variants of this virus are able to spread in this way. Any infected files will be detected as [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] . may delete the files which have the following extensions when searching for files to infect:
- .vdb
- .avc
- .key
بر گرفته از مسیر http://www.symantec.com/security_response/writeup.jsp?docid=2006-011714-3948-99&tabid=2
تحت تاثیر قرار میده.
این ویروس به آنتی ویروس اجازه نصب سرویسش رو نمی ده که در نتیجه انتی ویروس نمی
تواند به درستی نصب گردد.
قبلا در راه حل مقابله با این ویروس گفته بودم هاردتون رو جدا کنید و officescan از trenmicro رو روی یه سیستم دیگه نصب کنید و جستجو کنید....
این ویروس مدل های متفاوتی داره که مدل جدیدش با اپدیت 8.2008 به گفته trendmicro حل میشه.
آقای مهندس الیاس ملکی معاف در مسیر
http://www.acs.ir/post-48.aspx
اطلاعات جالبی از این ویروس رو قرار داده اند.
avg انتی برای sality انتشار داده که متاسفانه این مدلی که تو بحثمونه رو نمی تونه شناسایی و پاک کنه آخه خودم تست کردم.
اما امروز می خوام یه روش باحال از دوستم trenmicroبگم.
پاک کردن ویروس sality ( removal sality )
به مسیرهای زیر رفته و فایلها را دونلود کرده سپس extract کنید.
http://www.trendmicro.com/ftp/products/pattern/spyware/fixtool/sysclean-pe_sality.zip
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
فایل اول یه برنامه اجرایی عالی از trendmicroست و فایل دوم که pattern file برنامه اجرایی قبلیست و لیست کلیه ویروسهایی رو داره که تا اکنون توسط trendmicro شناخته شده و راه حل انها ارایه شده است، می باشد.
داخل فایل lpt791.zip فایلی با نام lpt$vpn791 وجود دارد که باید ان را در مسیر
sysclean-pe_sality\sysclean_pe_sality\system\sysclean
از فایل extract شده اول قرار دهید.
اکنون فایل fix.bat را اجرا کنید تا از قدرت trendmicro آگاه بشید.
اکنون شما در سیستمتون یه آنتی ویروس اپدیت trendmicroبدون realtime سرویس دارید.
موفق و پیروز باشید.
مسیر دومتون باز نمیشه ؟!!!
URL]http://www.trendmicro.com/ftp/products/pattern/lpt791.zip[/URL
سلام پیجر جان
این آدرس لود نمیشه ؟!!!!
سلام به سایت trend رفتم و از مسیر
ویروس پترن فایل و spyware پترن رو گرفتمکد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
همون دو گزینه اول که تو آدرس بالا هست
فقط یه سوال
اول ویروس پترن رو دانلود کردم با حجم 14 مگا به نام lpt811.zip
و اسکن کردم
یه چیزایی پیدا کرد ولی پاک نکرد
بهد به سراغ spyware pattern file رفتم و فایل tma730 رو گرفتم
حالا یه سوال
چطوری میتونم این فایل رو بشناسونم ، طوری که اون پیغام اولیه موقع لود کردن برنامه داده نشه و تو برنامه بتونم spyware ها رو اسکن کنم
مرسی
رو سیستم قبلی منم این ویروسه هنوز هست ،task manager رو میبنده بعلاوه ریجستری
سلام به همه دوستان
همونطوری که آقای پیچر گفته بودند
با trend micro میشه این ویروس رو پاک کرد
من الان سیستم رو با safe mode اوردم بالا
کل سیستم رو چک کردم
و الان با حالت عادی کار می کنم
خبری هم فعلا از autorun نیست
کسایی که اینترنت پرسرعت دارن ، فایل های مورد نظر رو دانلود کنن ، انشاالله مشکلشون حل شه
فقط من یه ویندوز باید عوض کنم ببینم 100% مشکل حل شده یا نه
ولی تا اینجا به راهنمایی های جناب picher تونستم بگیرمش ویروس رو.........
نگارش جدید Pattern
سلام.
عزیز اون لینک مال وقتی بود که نگارش Pattern 791 بود و همیشه نگارش جدید رو میزارن به همین خاطر لینک قدیم کار نمیکنه.
اینم لینک Pattern فایل های جدید
موفق باشید.کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید.gif "N Aggressive (4)")
ای خدا....
بچه ها اول این تاپیک نوشتم که لطفا هر که هر چی در مورد این ویروس میبینه اینجا بزاره تا اطلاعاتمون رو جامع کنیم...
خواهشا دوباره تاپیک نزنید آخه باعث سردرگمی دیگران میشه...
!!!کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
سلام دوست منای خدا....
بچه ها اول این تاپیک نوشتم که لطفا هر که هر چی در مورد این ویروس میبینه اینجا بزاره تا اطلاعاتمون رو جامع کنیم...
خواهشا دوباره تاپیک نزنید آخه باعث سردرگمی دیگران میشه...
ممنون هم از تاپیکت و هم از پ.خ
این sality که من دارم دقیقآ همون sality ه ولی کارهایی که میکنه اینه:
سیسیتم بسیار کند میشه
درایوهایی که داری فایل های exe هستن رو حجمشون رو میبره بالا(به خاطر اون 56 کیلویی که میچسبه به فایلهای exe)
از اجرا شدن درست آنتی ویروسها جلوگیری میکنه
SafeMode و Regedit رو غیر فعال میکنه
دسترسی های ادمین رو قطع میکنه
سلام دوست منای خدا....
بچه ها اول این تاپیک نوشتم که لطفا هر که هر چی در مورد این ویروس میبینه اینجا بزاره تا اطلاعاتمون رو جامع کنیم...
خواهشا دوباره تاپیک نزنید آخه باعث سردرگمی دیگران میشه...
ممنون هم از تاپیکت و هم از پ.خ
این sality که من دارم دقیقآ همون sality ه ولی کارهایی که میکنه اینه:
سیسیتم بسیار کند میشه
درایوهایی که داری فایل های exe هستن رو حجمشون رو میبره بالا(به خاطر اون 56 کیلویی که میچسبه به فایلهای exe)
از اجرا شدن درست آنتی ویروسها جلوگیری میکنه
SafeMode و Regedit رو غیر فعال میکنه
دسترسی های ادمین رو قطع میکنه
Nod32 فایلهای exe رو به خاطر این ویروس قرنطینه میکنه و اجازه اجرا بهشون میده
هم اکنون 1 کاربر در حال مشاهده این تاپیک میباشد. (0 کاربر عضو شده و 1 مهمان)
قوانين ايجاد تاپيک در انجمن
جواب بصورت نقل قول
نوشته شده توسط picher_s
.gif "N Aggressive (33)")
