تبلیغات :
ماهان سرور
آکوستیک ، فوم شانه تخم مرغی ، پنل صداگیر ، یونولیت
فروش آنلاین لباس کودک
خرید فالوور ایرانی
خرید فالوور اینستاگرام
خرید ممبر تلگرام

[ + افزودن آگهی متنی جدید ]




صفحه 1 از 2 12 آخرآخر
نمايش نتايج 1 به 10 از 16

نام تاپيک: تحلیل ویروس(کرم) خطرناک و هوشمند win32/bagle (باگل) و یافتن راه حل( Remove Bagle )

  1. #1
    کاربر فعال انجمن نرم افزار picher_s's Avatar
    تاريخ عضويت
    Dec 2008
    محل سكونت
    زیر چتر اویرا در تفریج!
    پست ها
    1,453

    13 تحلیل ویروس(کرم) خطرناک و هوشمند win32/bagle (باگل) و یافتن راه حل( Remove Bagle )

    سلام
    یه کرم خطرناک با نام win32/bagle.pw(به گفته نود و Trojan-Downloader.Win32.Bagle.cu به گفته Kasper
    کد:
    برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
    ) از سری کرم های باگل (
    کد:
    برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
    )و سایز 1,019,912 چند روزه بدستم رسیده. نود میگه با update ، تاریخ 2008/10/18 اگه سیستمتون ویروس رو نگرفته باشه میتونید اون رو پاک کنید!
    این کرمه خیلی هوشمنده!!!
    کد:
    برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
    کد:
    برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
    )
    کد:
    برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
    کد:
    برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
    از طریق e-mail و کول دیسک ... انتشار پیدا میکنه و انواع متفاوتی هم داره!
    کد:
    برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
    بعد از اجراشدن و نصب درایورش و از کارانداتن همه انتی ها خودش رو در مسیر Windir\sys32\driver\hldrrr.Exe (که در Exe اش نام کمپانیش رو میگه Biosoft) کپی و اجرا میکنه!! (ایکونش شکل یه فولدره) با themida کد شه.
    سرعت سیستم رو به شدت پایین میاره.
    قبل از ریست شدن سیستم میشه پروسزش( با نام های Soundman , Regedit و همنام فایلهایی که تو Startup هستند... ) رو دید و kill کرد.
    اگه سیستم ریسارت بشه دیگه شما نه پروزسز و نه تسکی از این ویروس میتونید ببینید و نه خود فایل رو که در مسیر بالا داره اجرا میشه ، و مسیر های رجیستریش رو هم نمی تونید ببینید!!
    خودش رو هم رو CoolDisk با نام متغییر (گاهی nideiect.com)کپی میکنه...
    اینم متن Autorun این ویروس که روی کول دیسک ایجاد میکنه
    کد:
    برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
    فایل درایورش WINDOWS\system32\drivers\srosa.sys (با حجم 88 کیلو )با کلید HKLM\SYSTEM\CurrentControlSet\Services\srosa رو به رجیستری اضافه میکنه.
    کلید زیر را برای ذخیره تنظیماتش ایجاد میکنه. و پوشه exefqdرا در مسیر ویندوز ایجاد تا فایلهای مخرب از اینترنت دونلود کنه.
    HKEY_CURRENT_USER\Software\FirstRRRun
    و در مسیر startup کاربر فعلی کلید زیر را با مسیر Windir\sys32\driver\hldrrr.Exe ایجاد میکنه.
    کد:
    برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run \ "drvsyskit"
    راه حل :
    با انتی َMalwareی که مایکروسافت ارایه داده به راحتی کشته میشه.
    کد:
    برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
    اینم یه انتی دیگه براش
    کد:
    برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
    اگه کسی ویروس رو برای تحلیل بیشتر خواست بخبره.
    موفق و پیروز باشید.
    Last edited by picher_s; 06-04-2009 at 09:17.

  2. این کاربر از picher_s بخاطر این مطلب مفید تشکر کرده است


  3. #2
    آخر فروم باز ehsankalak's Avatar
    تاريخ عضويت
    May 2007
    پست ها
    1,082

    پيش فرض

    خیلی جدید نیست مال یه سال پیشه ! البته شایدم نسخه جدید از خانواده باگل هست که release شده باشه! راستی سورسشو میخوام!
    Last edited by ehsankalak; 17-02-2009 at 08:26.

  4. #3
    آخر فروم باز ehsankalak's Avatar
    تاريخ عضويت
    May 2007
    پست ها
    1,082

    پيش فرض

    لینک سومی رو دیدم خیلی مطالب خنده داری نوشته بود ممنون!
    Last edited by ehsankalak; 18-02-2009 at 02:11.

  5. #4
    آخر فروم باز ehsankalak's Avatar
    تاريخ عضويت
    May 2007
    پست ها
    1,082

    پيش فرض

    باگل یه mass-mailing computer worm ( کرمی که بعد از اجرا روی سیستم از طریق پروتکل SMTP شروع به فرستادن ایمل میکنه که یه کپی از خودشو ضمیمه ایمیل می کنه) هست که اولین سریش Bagle.A بود که تو 2004/1/18 گزارش شد و یه فایل به اسم bbeagle.exe تو دایرکتوری ویندوز ایجاد میکرد و یه بکدور از نوع TCP روی پورت 6777 باز میکرد و ورژن بعدیش Bagle.B بود که ایندفعه با اسم au.exe تو دایرکتوری ویندوز ایجاد میشد و بکدور روی پورت 8866 باز میکرد ووو.... این تاریخچه ویروس بود حالا نمیدونم این یکی چه کوفتیه !! البته دیگه مثل قدیما اینجور چیزا نمیتونن به سرعت تکثیر بشن چون الان همه حداقل روی سیستم هاشون فایروال xp رو دارن ولی به هرحال آدم باید حواسش جمع باشه !
    خوشم میاد هر دفعه مدل تاپیک اولی یه طور دیگه میشه ( چپ و راست ویرایش میشه منظورم جابجایی لینک ها و حذف و اضافه کردن بعضیاشونه!!)
    Last edited by ehsankalak; 18-02-2009 at 02:14.

  6. 3 کاربر از ehsankalak بخاطر این مطلب مفید تشکر کرده اند


  7. #5
    پروفشنال hoax3r's Avatar
    تاريخ عضويت
    Oct 2007
    پست ها
    699

    پيش فرض

    سلام picher_s جان

    ممنون بابت ویروس، ولی عجب ویروس خفنیه بعد رستارت همه چیش ناپدید میشه
    برای آنتی ساختن منم بتونم کمک میکنم، اگه نخایم برای از بین بردنش درایور بنویسیم
    فکر کنم اول باید کلیدهایی که تو رجیستری ساخته خصوصا قسمت Run و Services
    رو پاک کنیم بعد یه رستارت کنیم بعد بقیه هسمت هاشو پاک کنیم

    در مورد خارج کردن پروسس البته قبل رستارت که گفتی دنبال SeDebugPrivilege بگرد به نتیجه میرسی
    من یه نمونه برنامه با سورس میزارم این با سی نوشته شده

    کد:
    برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
    البته فکر کنم شما با دلفی کار میکنید ولی فکر نکنم تبدیلش براتون سخت باشه

    شاد باشید

  8. این کاربر از hoax3r بخاطر این مطلب مفید تشکر کرده است


  9. #6
    کاربر فعال انجمن نرم افزار picher_s's Avatar
    تاريخ عضويت
    Dec 2008
    محل سكونت
    زیر چتر اویرا در تفریج!
    پست ها
    1,453

    پيش فرض

    ممنون hoax3r جان.
    ممنون از بابت سورس.ببین اگه میتونی یه تست بزن ببین جواب میگیری؟
    این کلیدای رجیستریش اصلان دیده نمیشن!!! اصلا دسترسی نداریم بهشون!!!
    فرض ما اینه که کامپیوتر بعد از گرفتن خانم ویروسه ریستارت شده.منتظر کمک های بعدیتم.
    ممنون از کمکت رفیق.

  10. #7
    پروفشنال hoax3r's Avatar
    تاريخ عضويت
    Oct 2007
    پست ها
    699

    پيش فرض

    سلام

    کلیدهای رجیستری رو اگه اشتباه نکنم با همون درایورش(یا درایوراش) مخفی می کنه
    اگه با API های عادی قابل دسترسی بود همون regedit باید نشون میاد.
    توابع سطح پایین تر هم که باید درایور نوشت که من بلد نیستم
    شما گفتی اگه فایل hldrrr.exe رو پاکش کنیم یا یجوری از کار بندازیمش بعد رستارت
    فایلها و کلید های ریجیستری که مخفین نشون داده میشن
    به نظرم یجوری دخل این فایلو بیاریم، نظر شما چیه؟

    آخرش باید خانم ویروسه رو شوهرش بدیم، شوهرش بیاد جمش کنه

    اگه میتونی یه تست بزن ببین جواب میگیری؟
    راستی منظورت چی بود که تست کنم؟

  11. #8
    کاربر فعال انجمن نرم افزار picher_s's Avatar
    تاريخ عضويت
    Dec 2008
    محل سكونت
    زیر چتر اویرا در تفریج!
    پست ها
    1,453

    پيش فرض

    سلام
    نظر من هم همینه رفیق. بنظرت MichaelQwerty مرد خوبیه براش؟؟!!
    ولی هر کار میکنم نمی تونم از تو حافظه بیرون بندازمش.
    منظورم این بود با سورسی که برام فرستادی ببین میتونی از کار بندازیش!!
    برای بدست آوردن PIDش هم میتونی از process Monitor کمک بگیری.
    کد:
    برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
    من منتظر راه حلتم.
    موفق و پیروز باشی.

  12. #9
    پروفشنال MichaelQwerty's Avatar
    تاريخ عضويت
    Apr 2007
    محل سكونت
    روبروی مانیتور کامپیوترم
    پست ها
    770

    پيش فرض

    سلام من هنوز عروس خانم ندیدم
    لینک عکسشو که برام گفتی فرستادم نیومد یه بار دیگه میفرستی
    یه جا آپلود کنی لینکشو بزاری اینجا بهتره

  13. #10
    کاربر فعال انجمن نرم افزار picher_s's Avatar
    تاريخ عضويت
    Dec 2008
    محل سكونت
    زیر چتر اویرا در تفریج!
    پست ها
    1,453

    12

    سلام من هنوز عروس خانم ندیدم
    لینک عکسشو که برام گفتی فرستادم نیومد یه بار دیگه میفرستی
    یه جا آپلود کنی لینکشو بزاری اینجا بهتره
    بابا برات e-mailش کردم.
    یه سر به میلت بزن و نظرت رو بده.
    آخه اینم خیلی خوفه.
    منتظره نظرتم.
    به پای هم پیر بشید...

صفحه 1 از 2 12 آخرآخر

Thread Information

Users Browsing this Thread

هم اکنون 1 کاربر در حال مشاهده این تاپیک میباشد. (0 کاربر عضو شده و 1 مهمان)

User Tag List

برچسب های این موضوع

قوانين ايجاد تاپيک در انجمن

  • شما نمی توانید تاپیک ایحاد کنید
  • شما نمی توانید پاسخی ارسال کنید
  • شما نمی توانید فایل پیوست کنید
  • شما نمی توانید پاسخ خود را ویرایش کنید
  •