ورود

نسخه کامل مشاهده نسخه کامل : تحلیل ویروس(کرم) خطرناک و هوشمند win32/bagle (باگل) و یافتن راه حل( Remove Bagle )


picher_s
17-02-2009, 08:01
سلام
یه کرم خطرناک با نام win32/bagle.pw(به گفته نود و Trojan-Downloader.Win32.Bagle.cu به گفته Kasper
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید) از سری کرم های باگل (
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید )و سایز 1,019,912 چند روزه بدستم رسیده. نود میگه با update ، تاریخ 2008/10/18 اگه سیستمتون ویروس رو نگرفته باشه میتونید اون رو پاک کنید!
این کرمه خیلی هوشمنده:18::18::27::21:!!!

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید)

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنیداز طریق e-mail و کول دیسک ... انتشار پیدا میکنه و انواع متفاوتی هم داره!

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید بعد از اجراشدن و نصب درایورش و از کارانداتن همه انتی ها خودش رو در مسیر Windir\sys32\driver\hldrrr.Exe (که در Exe اش نام کمپانیش رو میگه Biosoft) کپی و اجرا میکنه!! (ایکونش شکل یه فولدره) با themida کد شه.
سرعت سیستم رو به شدت پایین میاره.
قبل از ریست شدن سیستم میشه پروسزش( با نام های Soundman , Regedit و همنام فایلهایی که تو Startup هستند... ) رو دید و kill کرد.
اگه سیستم ریسارت بشه دیگه شما نه پروزسز و نه تسکی از این ویروس میتونید ببینید و نه خود فایل رو که در مسیر بالا داره اجرا میشه ، و مسیر های رجیستریش رو هم نمی تونید ببینید!!
خودش رو هم رو CoolDisk با نام متغییر (گاهی nideiect.com)کپی میکنه...
اینم متن Autorun این ویروس که روی کول دیسک ایجاد میکنه

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید فایل درایورش WINDOWS\system32\drivers\srosa.sys (با حجم 88 کیلو )با کلید HKLM\SYSTEM\CurrentControlSet\Services\srosa رو به رجیستری اضافه میکنه.
کلید زیر را برای ذخیره تنظیماتش ایجاد میکنه. و پوشه exefqdرا در مسیر ویندوز ایجاد تا فایلهای مخرب از اینترنت دونلود کنه.
HKEY_CURRENT_USER\Software\FirstRRRun
و در مسیر startup کاربر فعلی کلید زیر را با مسیر Windir\sys32\driver\hldrrr.Exe ایجاد میکنه.

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنیدHKCU\Software\Microsoft\Windows\CurrentVer sion\Run\ "drvsyskit"
راه حل :
با انتی َMalwareی که مایکروسافت ارایه داده به راحتی کشته میشه.

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
اینم یه انتی دیگه براش

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
اگه کسی ویروس رو برای تحلیل بیشتر خواست بخبره.:31:
موفق و پیروز باشید.
ehsankalak
17-02-2009, 08:08
خیلی جدید نیست مال یه سال پیشه ! البته شایدم نسخه جدید از خانواده باگل هست که release شده باشه! راستی سورسشو میخوام!
ehsankalak
17-02-2009, 08:33
لینک سومی رو دیدم خیلی مطالب خنده داری نوشته بود ممنون!
ehsankalak
17-02-2009, 08:52
باگل یه mass-mailing computer worm ( کرمی که بعد از اجرا روی سیستم از طریق پروتکل SMTP شروع به فرستادن ایمل میکنه که یه کپی از خودشو ضمیمه ایمیل می کنه) هست که اولین سریش Bagle.A بود که تو 2004/1/18 گزارش شد و یه فایل به اسم bbeagle.exe تو دایرکتوری ویندوز ایجاد میکرد و یه بکدور از نوع TCP روی پورت 6777 باز میکرد و ورژن بعدیش Bagle.B بود که ایندفعه با اسم au.exe تو دایرکتوری ویندوز ایجاد میشد و بکدور روی پورت 8866 باز میکرد ووو.... این تاریخچه ویروس بود حالا نمیدونم این یکی چه کوفتیه !! البته دیگه مثل قدیما اینجور چیزا نمیتونن به سرعت تکثیر بشن چون الان همه حداقل روی سیستم هاشون فایروال xp رو دارن ولی به هرحال آدم باید حواسش جمع باشه !
خوشم میاد هر دفعه مدل تاپیک اولی یه طور دیگه میشه ( چپ و راست ویرایش میشه منظورم جابجایی لینک ها و حذف و اضافه کردن بعضیاشونه!!)
hoax3r
18-02-2009, 08:29
سلام picher_s جان

ممنون بابت ویروس، ولی عجب ویروس خفنیه بعد رستارت همه چیش ناپدید میشه:18::18:
برای آنتی ساختن منم بتونم کمک میکنم، اگه نخایم برای از بین بردنش درایور بنویسیم
فکر کنم اول باید کلیدهایی که تو رجیستری ساخته خصوصا قسمت Run و Services
رو پاک کنیم بعد یه رستارت کنیم بعد بقیه هسمت هاشو پاک کنیم

در مورد خارج کردن پروسس البته قبل رستارت که گفتی دنبال SeDebugPrivilege بگرد به نتیجه میرسی
من یه نمونه برنامه با سورس میزارم این با سی نوشته شده


برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

البته فکر کنم شما با دلفی کار میکنید ولی فکر نکنم تبدیلش براتون سخت باشه

شاد باشید
picher_s
18-02-2009, 18:13
ممنون hoax3r جان.
ممنون از بابت سورس.ببین اگه میتونی یه تست بزن ببین جواب میگیری؟
این کلیدای رجیستریش اصلان دیده نمیشن!!! اصلا دسترسی نداریم بهشون!!!
فرض ما اینه که کامپیوتر بعد از گرفتن خانم ویروسه ریستارت شده.منتظر کمک های بعدیتم.
ممنون از کمکت رفیق.
hoax3r
18-02-2009, 23:03
سلام

کلیدهای رجیستری رو اگه اشتباه نکنم با همون درایورش(یا درایوراش) مخفی می کنه
اگه با API های عادی قابل دسترسی بود همون regedit باید نشون میاد.
توابع سطح پایین تر هم که باید درایور نوشت که من بلد نیستم:19:
شما گفتی اگه فایل hldrrr.exe رو پاکش کنیم یا یجوری از کار بندازیمش بعد رستارت
فایلها و کلید های ریجیستری که مخفین نشون داده میشن
به نظرم یجوری دخل این فایلو بیاریم، نظر شما چیه؟

آخرش باید خانم ویروسه رو شوهرش بدیم، شوهرش بیاد جمش کنه


اگه میتونی یه تست بزن ببین جواب میگیری؟
راستی منظورت چی بود که تست کنم؟
picher_s
19-02-2009, 07:43
سلام
نظر من هم همینه رفیق. بنظرت MichaelQwerty مرد خوبیه براش؟؟!!
ولی هر کار میکنم نمی تونم از تو حافظه بیرون بندازمش.
منظورم این بود با سورسی که برام فرستادی ببین میتونی از کار بندازیش!!
برای بدست آوردن PIDش هم میتونی از process Monitor کمک بگیری.

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
من منتظر راه حلتم.
موفق و پیروز باشی.
MichaelQwerty
19-02-2009, 12:32
سلام من هنوز عروس خانم ندیدم
لینک عکسشو که برام گفتی فرستادم نیومد یه بار دیگه میفرستی
یه جا آپلود کنی لینکشو بزاری اینجا بهتره
picher_s
19-02-2009, 12:39
سلام من هنوز عروس خانم ندیدم
لینک عکسشو که برام گفتی فرستادم نیومد یه بار دیگه میفرستی
یه جا آپلود کنی لینکشو بزاری اینجا بهتره

بابا برات :1:e-mailش کردم.
یه سر به میلت بزن و نظرت رو بده.
آخه اینم خیلی خوفه.
منتظره نظرتم.
به پای هم پیر بشید...:31::7::36::35:
hoax3r
20-02-2009, 00:24
بنظرت michaelqwerty مرد خوبیه براش؟؟!!

خوبه، پس به سلامتی ....:26::26:

-------
من با همون سورسه که گزاشتم تونستم پروسه رو خارج کنم.
MichaelQwerty
25-02-2009, 17:27
سلام دوستان
ویروس تقریبا جالبی اگه کاربر ی که دچار این ویروس میشه اطلاعی از طرز کار ویروس نداشته باشه دچار توهم میشه
هر فایلی یا فولدری که نامش hldrrr.exe یا srosa.sys باشه اوا غیر قابل پاک شدن و غیر قابل رویت میشه  
فایل های ویروس مخفی یا سیستمی نمیشن بلکه از یه الگو که خود ویندوز برای مخفی کردن پوشه های درون فولدر Temporary Internet Files استفاده میشه ویروس استفاده میکنه
من وقتی فایل hldrrr.exe را از پوشه drivers پاک کردم ویروس از کار نیفتاد باید حتما درایور رو هم از کار مینداختم
اگه فقط مشکل hldrrr.exe بود میشد باستفاده از permissions for run جلوی اجرا شدن فایل رو در هنگام بالا آمدن ویندوز گرفت
ولی srosa.sys همه کاره هست
hoax3r
27-02-2009, 00:20
اشتباهی snapshot ای که از VMware گرفته بودم پاک کردم هر چی تنظیمت توش دادیم رفت هوا:19:
حالا درست شد دوباره تونستم یه نگاهی به این ویروس بندازم.

نمیدونم چرا اصلا حواسم به فایل srosa.sys نبود که همچین فایلیم هست، MichaelQwerty حق با شماست همه کارارو srosa.sys انجام میده
اون پوشه ویندوز که گفتی رو نمیدونم ولی این ویروس تابع NtQueryDirectoryFile رو هوک میکنه که از دیدwindows explorer مخفی بمونه
به اضافه ی هوک کردن این توابع

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

برای از کار انداختنش هم فعلا نظری ندارم:31:
picher_s
27-02-2009, 09:20
اگه با Process Monitor نگاه کنید میبینید که این ویروسه هر فایلی رو که شما میخواهید باز کنید اون براتون باز میکنه!!!
یه چیزه جالب تر بگم:
من یه سری نرم افزار خودم با سورس های اینترنت سر هم کردم و باهاشون کار میکنم. آقا این ویروسه اینقد باحاله که بعد از اجرای این نرم افزار سریع اونو میبنده!!! یعنی میاد سورس فایل شما(مثل آنتی ها) رو برای بررسی دستور ها می خونه!
من که تستیدم hldrr رو اگه بتونیم پاک کنیم مشکل حل میشه و میتونیم بقیه کار ها رو هم انجام بدیم.
یه چیزه دیگه ام اینه که دلیل پایین اوردن سیستم اینه(از رو Process Monitor) همش داره کلید Safeboot در رجیستری رو پاک میکنه.
My Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlS et\Control\SafeBoot
Trojan Remover از روی عملکردش تشخیصش میده (از رو درایور مخفی و کلید رجیستری مخفی که به RUN اضافه میکنه) اما هر چی تلاش میکنه نمی تونه کاری از پیش ببره.
هنوز هیچ راه حلی ازش توسط آنتی ها ندیدم!!!
hoax3r
27-02-2009, 11:01
picher_s جان شما فایل hldrrr.exe رو با Process Monitor مونیتور کردین چون من وقتی می خوام برسیش کنم یه اررور میده که
داری برنامه رو مونیتور میکنه و خارج میشه البته به خاطر اون پروتکتور لعنتیشه همون Themida :41:

با RootKit Unhooker میشه راحت پاکش کرد بدون اینکه نیاز به رستارت سیستم باشه
اگه بتونیم کاری مثل این نرم افزار کنیم، پرونده این ویروس رو برای همیشه میتونیم ببندیم:31:
picher_s
27-02-2009, 18:30
picher_s جان شما فایل hldrrr.exe رو با Process Monitor مونیتور کردین چون من وقتی می خوام برسیش کنم یه اررور میده که
داری برنامه رو مونیتور میکنه و خارج میشه البته به خاطر اون پروتکتور لعنتیشه همون Themida :41:

با RootKit Unhooker میشه راحت پاکش کرد بدون اینکه نیاز به رستارت سیستم باشه
اگه بتونیم کاری مثل این نرم افزار کنیم، پرونده این ویروس رو برای همیشه میتونیم ببندیم:31:

سلام رفیق گفته شما درسته.
منم با RootKit Unhooker تونستم.اما حالا این برنامه چکار میکنه معلوم نیست!!
اینم تحلیل همون نرم افزار (RootKit Unhooker )شماست

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
جالب بود میگفت از Api برای پنهان کردن پروسزش استفاده کرده!!