تحلیل ویروس(کرم) خطرناک و هوشمند win32/bagle (باگل) و یافتن راه حل( Remove Bagle )

سلام
یه کرم خطرناک با نام win32/bagle.pw(به گفته نود و Trojan-Downloader.Win32.Bagle.cu به گفته Kasper

کد:

---

http://www.viruslist.com/en/viruses/encyclopedia?virusid=21780028#doc2

---

) از سری کرم های باگل (

کد:

---

http://www.eset.com/threat-center/encyclopedia/index/b

---

)و سایز 1,019,912 چند روزه بدستم رسیده. نود میگه با update ، تاریخ 2008/10/18 اگه سیستمتون ویروس رو نگرفته باشه میتونید اون رو پاک کنید!
این کرمه خیلی هوشمنده:18::18::27::21:!!!

کد:

---

http://yadmane.org/forum_posts.asp?TID=495

---

کد:

---

http://www.barnamenevis.org/forum/showthread.php?t=18722(http://www.sgnec.net/Articledet-f.asp?number=73

---

)

کد:

---

http://www.iritn.com/index.php?action=show&type=news&id=4131

---

کد:

---

http://www.winbeta.net/print.php?shownews=488

---

از طریق e-mail و کول دیسک ... انتشار پیدا میکنه و انواع متفاوتی هم داره!

کد:

---

http://www.eset.com/threat-center/encyclopedia/index/b

---

بعد از اجراشدن و نصب درایورش و از کارانداتن همه انتی ها خودش رو در مسیر Windir\sys32\driver\hldrrr.Exe (که در Exe اش نام کمپانیش رو میگه Biosoft) کپی و اجرا میکنه!! (ایکونش شکل یه فولدره) با themida کد شه.
سرعت سیستم رو به شدت پایین میاره.
قبل از ریست شدن سیستم میشه پروسزش( با نام های Soundman , Regedit و همنام فایلهایی که تو Startup هستند... ) رو دید و kill کرد.
اگه سیستم ریسارت بشه دیگه شما نه پروزسز و نه تسکی از این ویروس میتونید ببینید و نه خود فایل رو که در مسیر بالا داره اجرا میشه ، و مسیر های رجیستریش رو هم نمی تونید ببینید!!
خودش رو هم رو CoolDisk با نام متغییر (گاهی nideiect.com)کپی میکنه...
اینم متن Autorun این ویروس که روی کول دیسک ایجاد میکنه

کد:

---

[AutoRun]
open=nideiect.com
;shell\open=Open(&O)
shell\open\Command=nideiect.com
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=nideiect.com

---

فایل درایورش WINDOWS\system32\drivers\srosa.sys (با حجم 88 کیلو )با کلید HKLM\SYSTEM\CurrentControlSet\Services\srosa رو به رجیستری اضافه میکنه.
کلید زیر را برای ذخیره تنظیماتش ایجاد میکنه. و پوشه exefqdرا در مسیر ویندوز ایجاد تا فایلهای مخرب از اینترنت دونلود کنه.
HKEY_CURRENT_USER\Software\FirstRRRun
و در مسیر startup کاربر فعلی کلید زیر را با مسیر Windir\sys32\driver\hldrrr.Exe ایجاد میکنه.

کد:

---

  "drvsyskit"="C:\\WINDOWS\\system32\\drivers\\hldrrr.exe"

---

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \ "drvsyskit"
راه حل :
با انتی َMalwareی که مایکروسافت ارایه داده به راحتی کشته میشه.

کد:

---

http://download.microsoft.com/download/4/A/A/4AA524C6-239D-47FF-860B-5B397199CBF8/windows-kb890830-v2.8.exe

---

اینم یه انتی دیگه براش

کد:

---

http://rapidshare.com/files/217967647/ComboFix.rar.html

---

اگه کسی ویروس رو برای تحلیل بیشتر خواست بخبره.:31:
موفق و پیروز باشید.

خیلی جدید نیست مال یه سال پیشه ! البته شایدم نسخه جدید از خانواده باگل هست که release شده باشه! راستی سورسشو میخوام!

لینک سومی رو دیدم خیلی مطالب خنده داری نوشته بود ممنون!

باگل یه mass-mailing computer worm ( کرمی که بعد از اجرا روی سیستم از طریق پروتکل SMTP شروع به فرستادن ایمل میکنه که یه کپی از خودشو ضمیمه ایمیل می کنه) هست که اولین سریش Bagle.A بود که تو 2004/1/18 گزارش شد و یه فایل به اسم bbeagle.exe تو دایرکتوری ویندوز ایجاد میکرد و یه بکدور از نوع TCP روی پورت 6777 باز میکرد و ورژن بعدیش Bagle.B بود که ایندفعه با اسم au.exe تو دایرکتوری ویندوز ایجاد میشد و بکدور روی پورت 8866 باز میکرد ووو.... این تاریخچه ویروس بود حالا نمیدونم این یکی چه کوفتیه !! البته دیگه مثل قدیما اینجور چیزا نمیتونن به سرعت تکثیر بشن چون الان همه حداقل روی سیستم هاشون فایروال xp رو دارن ولی به هرحال آدم باید حواسش جمع باشه !
خوشم میاد هر دفعه مدل تاپیک اولی یه طور دیگه میشه ( چپ و راست ویرایش میشه منظورم جابجایی لینک ها و حذف و اضافه کردن بعضیاشونه!!)

سلام picher_s جان

ممنون بابت ویروس، ولی عجب ویروس خفنیه بعد رستارت همه چیش ناپدید میشه:18::18:
برای آنتی ساختن منم بتونم کمک میکنم، اگه نخایم برای از بین بردنش درایور بنویسیم
فکر کنم اول باید کلیدهایی که تو رجیستری ساخته خصوصا قسمت Run و Services
رو پاک کنیم بعد یه رستارت کنیم بعد بقیه هسمت هاشو پاک کنیم

در مورد خارج کردن پروسس البته قبل رستارت که گفتی دنبال SeDebugPrivilege بگرد به نتیجه میرسی
من یه نمونه برنامه با سورس میزارم این با سی نوشته شده

کد:

---

http://hoax3r.persiangig.com/Other/process_killer.zip

---

البته فکر کنم شما با دلفی کار میکنید ولی فکر نکنم تبدیلش براتون سخت باشه

شاد باشید

ممنون hoax3r جان.
ممنون از بابت سورس.ببین اگه میتونی یه تست بزن ببین جواب میگیری؟
این کلیدای رجیستریش اصلان دیده نمیشن!!! اصلا دسترسی نداریم بهشون!!!
فرض ما اینه که کامپیوتر بعد از گرفتن خانم ویروسه ریستارت شده.منتظر کمک های بعدیتم.
ممنون از کمکت رفیق.

سلام

کلیدهای رجیستری رو اگه اشتباه نکنم با همون درایورش(یا درایوراش) مخفی می کنه
اگه با API های عادی قابل دسترسی بود همون regedit باید نشون میاد.
توابع سطح پایین تر هم که باید درایور نوشت که من بلد نیستم:19:
شما گفتی اگه فایل hldrrr.exe رو پاکش کنیم یا یجوری از کار بندازیمش بعد رستارت
فایلها و کلید های ریجیستری که مخفین نشون داده میشن
به نظرم یجوری دخل این فایلو بیاریم، نظر شما چیه؟

آخرش باید خانم ویروسه رو شوهرش بدیم، شوهرش بیاد جمش کنه

نقل قول:

---

اگه میتونی یه تست بزن ببین جواب میگیری؟

---

راستی منظورت چی بود که تست کنم؟

سلام
نظر من هم همینه رفیق. بنظرت MichaelQwerty مرد خوبیه براش؟؟!!
ولی هر کار میکنم نمی تونم از تو حافظه بیرون بندازمش.
منظورم این بود با سورسی که برام فرستادی ببین میتونی از کار بندازیش!!
برای بدست آوردن PIDش هم میتونی از process Monitor کمک بگیری.

کد:

---

http://download.sysinternals.com/Files/ProcessMonitor.zip

---

من منتظر راه حلتم.
موفق و پیروز باشی.

سلام من هنوز عروس خانم ندیدم
لینک عکسشو که برام گفتی فرستادم نیومد یه بار دیگه میفرستی
یه جا آپلود کنی لینکشو بزاری اینجا بهتره

نقل قول:

---

نوشته شده توسط MichaelQwerty [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

سلام من هنوز عروس خانم ندیدم
لینک عکسشو که برام گفتی فرستادم نیومد یه بار دیگه میفرستی
یه جا آپلود کنی لینکشو بزاری اینجا بهتره

---

بابا برات :1:e-mailش کردم.
یه سر به میلت بزن و نظرت رو بده.
آخه اینم خیلی خوفه.
منتظره نظرتم.
به پای هم پیر بشید...:31::7::36::35: