VTN جان از اين فايلهايي كه گفتي 3 تاش رو پيدا كردم
playmovie.exe frmsystem.exe xmlscript.exe تو همون فولدر Temp بود
ولي چيزي توي Task manager و حتي Tuneup Process Manager پيدا نكردم
راستي اين Remover هم كه به نظر نمي ياد كاره خاصي بكنه
ماهان سرور
آکوستیک ، فوم شانه تخم مرغی ، پنل صداگیر ، یونولیت
دستگاه جوجه کشی حرفه ای
فروش آنلاین لباس کودک
خرید فالوور ایرانی
خرید فالوور اینستاگرام
خرید ممبر تلگرام
[ + افزودن آگهی متنی جدید ]
VTN جان از اين فايلهايي كه گفتي 3 تاش رو پيدا كردم
playmovie.exe frmsystem.exe xmlscript.exe تو همون فولدر Temp بود
ولي چيزي توي Task manager و حتي Tuneup Process Manager پيدا نكردم
راستي اين Remover هم كه به نظر نمي ياد كاره خاصي بكنه
سلام ...
من دیشب متاسفانه چون محیط آزمایشگاهم دچار مشکل شده بود به ناچار به صورت real این کار رو انجام دادم ...
فیلمی شده بود دیشب تو کامپیوتر من ...
و بابت این تاپیک کلی از vtn جان تشکر میکنم ...
دیشب من spyware doctor و norton داشتم ...
به محض اینکه فایل رو فعال کردم spyware doctor پیغام داد چند فایل رو پیدا کرده ....
بعد هم با نورتون اسکن کردم چند فایل رو پیدا کرد ....
خدایا یادم نیست نوزتون بود یا AVG Rootkit killer یه روت کیت تشخیص داد .... نمیدونم اسمش چی بود ...
از همشون عکس گرفتم موقع حمله کلا 12 تا عکس گرفتم نمیدونم کجا گذاشتم ولی به محض اینکه پیدا کردم میذارم یا همین الان محیط آزمایشگاه رو راه میندازم تست میکنم .
موفق باشین و تشکر بابت تاپیک .
کارهایی که هر کدام از این پنج فایل انجام می دهند :
1.اولین فایلی که آغاز به کار می کند projector.exe است که اقدام به غیر فعال کردن برنامه های امنیتی سیستم می
کند و در صورت امکان frmsystem.exe را جایگزین آنها می کند و حتی ممکن است آیکون برنامه امنیتی مزبور را
شبیه سازی کند تا کاربر متوجه غیرفعال شدن برنامه مزبور نشود. سپس winllogon.exe و بعد playmovie.exe را
راه می اندازد.
2.فایل بعدی xmlscript.exe است که یک شبیه ساز کیبورد و ماوس است و در غیرفعال کردن نرم افزارهای امنیتی به
projector.exe کمک می کند .یعنی اگر برنامه امنیتی در مقابل projector.exe مقاومت کرد xmlscript.exe کارهایی را
که برای غیرفعال کردن نرم افزار امنیتی مذکور لازم است طوری شبیه سازی می کند که سیستم تصور می کند خود کاربر
اقدام به این کار کرده است.
3.فایل بعدی frmsystem.exe یک اکانت دارای پسورد با اختیارات Administrator به نام DFKTS ایجاد می کند و از این
طریق سیستم را به طور کامل در اختیار مهاجم قرار می دهد.
4.winllogon.exe باقیمانده نرم افزارهای امنیتی را از کار می اندازد .
5.بالاخره وقتی مهاجم از شر نرم افزارهای امنیتی مزاحم خلاص شد و سیستم را در چنگ خود گرفت فایل
playmovie.exe وارد عمل می شود که حاوی چندین کد مخرب به نامهای :
می باشد و آنها را روی سیستم آزاد می کند تا هرچه دلشان بخواهد به سر سیستم بیاورند.Vanquish rootkit (vanquish.exe & vanquish.dll), Windows denial of service exploit (Win32e.exe), QuickTime denial of service exploit (Win32e.mov), Nopey trojan (Win32t.exe), Eicar test virus (Win32v.com), WhenU spyware (Win32s.exe), an alternate data stream (Eicar attached to calc.exe), Thermite leaktest (Win32l.exe), SpyEx 1.0 keylogger (Win32k.exe)
متاسفانه این تست مربوط بله سال 2005 است و پس از آن آپدیت نشده است و بنابراین ممکن است فایلهای مذکور
در مقابل نسخه جدید نرم افزارهای امنیتی دچار مشکل شوند به ویژه قسمت اول که مربوط به غیر فعال کردن برنامه های
امنیتی است ممکن است روی نسخه جدید این برنامه ها کاری از پیش نبرد.ولی با توجه به کارهایی که این برنامه
فسقلی انجام می دهد می توان فهمید که ویروسهای امروزی چقدر پیچیده و خطرناک هستند .
دوست من اگر این فایلها در پوشه Temp باشند احتمال آلودگی وجود دارد و چون این برنامه از یک روت کیت برای پنهان
کردن خود و فایلهایش استفاده می کند شما نمی توانید در Task Manager چیزی مشاهده کنید و آنتی ویروس هم در
اسکن چیزی پیدا نمی کند .کار اصلی این Remover از کار انداختن این روت کیت است .بنابراین فکر می کنم برای
اطمینان خاطر بیشتر آن را اجرا کن و بعد سیستمت را با AVG به طور کامل اسکن کن.
من که نتونستم دانلود کنم اگه یه جا دیگه آپلود بشه ممنون میشم
دوست من
لینک قبلا مشکل داشت که من آن را دوباره در رپید شیر آپلود کرده ام و اکنون کار می کند ولی باز اگر در داونلود مشکل
داشتی بگو تا جای دیگر آپلود کنم.
vtn جان سایت خاصی در رابطه با threat simulator سراغ دارین ؟
هم اکنون 1 کاربر در حال مشاهده این تاپیک میباشد. (0 کاربر عضو شده و 1 مهمان)
قوانين ايجاد تاپيک در انجمن
جواب بصورت نقل قول
نوشته شده توسط toadstool