تبلیغات :
ماهان سرور
آکوستیک ، فوم شانه تخم مرغی ، پنل صداگیر ، یونولیت
فروش آنلاین لباس کودک
خرید فالوور ایرانی
خرید فالوور اینستاگرام
خرید ممبر تلگرام

[ + افزودن آگهی متنی جدید ]




صفحه 2 از 2 اولاول 12
نمايش نتايج 11 به 16 از 16

نام تاپيک: تحلیل ویروس(کرم) خطرناک و هوشمند win32/bagle (باگل) و یافتن راه حل( Remove Bagle )

  1. #11
    پروفشنال hoax3r's Avatar
    تاريخ عضويت
    Oct 2007
    پست ها
    699

    پيش فرض

    بنظرت michaelqwerty مرد خوبیه براش؟؟!!
    خوبه، پس به سلامتی ....

    -------
    من با همون سورسه که گزاشتم تونستم پروسه رو خارج کنم.

  2. #12
    پروفشنال MichaelQwerty's Avatar
    تاريخ عضويت
    Apr 2007
    محل سكونت
    روبروی مانیتور کامپیوترم
    پست ها
    770

    پيش فرض

    سلام دوستان
    ویروس تقریبا جالبی اگه کاربر ی که دچار این ویروس میشه اطلاعی از طرز کار ویروس نداشته باشه دچار توهم میشه
    هر فایلی یا فولدری که نامش hldrrr.exe یا srosa.sys باشه اوا غیر قابل پاک شدن و غیر قابل رویت میشه  
    فایل های ویروس مخفی یا سیستمی نمیشن بلکه از یه الگو که خود ویندوز برای مخفی کردن پوشه های درون فولدر Temporary Internet Files استفاده میشه ویروس استفاده میکنه
    من وقتی فایل hldrrr.exe را از پوشه drivers پاک کردم ویروس از کار نیفتاد باید حتما درایور رو هم از کار مینداختم
    اگه فقط مشکل hldrrr.exe بود میشد باستفاده از permissions for run جلوی اجرا شدن فایل رو در هنگام بالا آمدن ویندوز گرفت
    ولی srosa.sys همه کاره هست

  3. 2 کاربر از MichaelQwerty بخاطر این مطلب مفید تشکر کرده اند


  4. #13
    پروفشنال hoax3r's Avatar
    تاريخ عضويت
    Oct 2007
    پست ها
    699

    پيش فرض

    اشتباهی snapshot ای که از VMware گرفته بودم پاک کردم هر چی تنظیمت توش دادیم رفت هوا
    حالا درست شد دوباره تونستم یه نگاهی به این ویروس بندازم.

    نمیدونم چرا اصلا حواسم به فایل srosa.sys نبود که همچین فایلیم هست، MichaelQwerty حق با شماست همه کارارو srosa.sys انجام میده
    اون پوشه ویندوز که گفتی رو نمیدونم ولی این ویروس تابع NtQueryDirectoryFile رو هوک میکنه که از دیدwindows explorer مخفی بمونه
    به اضافه ی هوک کردن این توابع
    کد:
    برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
    برای از کار انداختنش هم فعلا نظری ندارم

  5. #14
    کاربر فعال انجمن نرم افزار picher_s's Avatar
    تاريخ عضويت
    Dec 2008
    محل سكونت
    زیر چتر اویرا در تفریج!
    پست ها
    1,453

    پيش فرض

    اگه با Process Monitor نگاه کنید میبینید که این ویروسه هر فایلی رو که شما میخواهید باز کنید اون براتون باز میکنه!!!
    یه چیزه جالب تر بگم:
    من یه سری نرم افزار خودم با سورس های اینترنت سر هم کردم و باهاشون کار میکنم. آقا این ویروسه اینقد باحاله که بعد از اجرای این نرم افزار سریع اونو میبنده!!! یعنی میاد سورس فایل شما(مثل آنتی ها) رو برای بررسی دستور ها می خونه!
    من که تستیدم hldrr رو اگه بتونیم پاک کنیم مشکل حل میشه و میتونیم بقیه کار ها رو هم انجام بدیم.
    یه چیزه دیگه ام اینه که دلیل پایین اوردن سیستم اینه(از رو Process Monitor) همش داره کلید Safeboot در رجیستری رو پاک میکنه.
    My Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlS et\Control\SafeBoot
    Trojan Remover از روی عملکردش تشخیصش میده (از رو درایور مخفی و کلید رجیستری مخفی که به RUN اضافه میکنه) اما هر چی تلاش میکنه نمی تونه کاری از پیش ببره.
    هنوز هیچ راه حلی ازش توسط آنتی ها ندیدم!!!
    Last edited by picher_s; 27-02-2009 at 09:24.

  6. این کاربر از picher_s بخاطر این مطلب مفید تشکر کرده است


  7. #15
    پروفشنال hoax3r's Avatar
    تاريخ عضويت
    Oct 2007
    پست ها
    699

    پيش فرض

    picher_s جان شما فایل hldrrr.exe رو با Process Monitor مونیتور کردین چون من وقتی می خوام برسیش کنم یه اررور میده که
    داری برنامه رو مونیتور میکنه و خارج میشه البته به خاطر اون پروتکتور لعنتیشه همون Themida

    با RootKit Unhooker میشه راحت پاکش کرد بدون اینکه نیاز به رستارت سیستم باشه
    اگه بتونیم کاری مثل این نرم افزار کنیم، پرونده این ویروس رو برای همیشه میتونیم ببندیم

  8. #16
    کاربر فعال انجمن نرم افزار picher_s's Avatar
    تاريخ عضويت
    Dec 2008
    محل سكونت
    زیر چتر اویرا در تفریج!
    پست ها
    1,453

    13

    picher_s جان شما فایل hldrrr.exe رو با Process Monitor مونیتور کردین چون من وقتی می خوام برسیش کنم یه اررور میده که
    داری برنامه رو مونیتور میکنه و خارج میشه البته به خاطر اون پروتکتور لعنتیشه همون Themida

    با RootKit Unhooker میشه راحت پاکش کرد بدون اینکه نیاز به رستارت سیستم باشه
    اگه بتونیم کاری مثل این نرم افزار کنیم، پرونده این ویروس رو برای همیشه میتونیم ببندیم
    سلام رفیق گفته شما درسته.
    منم با RootKit Unhooker تونستم.اما حالا این برنامه چکار میکنه معلوم نیست!!
    اینم تحلیل همون نرم افزار (RootKit Unhooker )شماست
    کد:
    برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
    جالب بود میگفت از Api برای پنهان کردن پروسزش استفاده کرده!!

صفحه 2 از 2 اولاول 12

Thread Information

Users Browsing this Thread

هم اکنون 1 کاربر در حال مشاهده این تاپیک میباشد. (0 کاربر عضو شده و 1 مهمان)

User Tag List

برچسب های این موضوع

قوانين ايجاد تاپيک در انجمن

  • شما نمی توانید تاپیک ایحاد کنید
  • شما نمی توانید پاسخی ارسال کنید
  • شما نمی توانید فایل پیوست کنید
  • شما نمی توانید پاسخ خود را ویرایش کنید
  •