فعالیت‌های مشکوک در سیستم

**MrGee** · 03-07-2010, 16:22

سلام

یه چند وقیته که هر وقت به اینترنت وصل می شم پردازش svchost.exe اصلی که اکثر سرویس ها رو اجرا می کنه در هر ثانیه 30 کیلو بایت Read و Write داره و به محض این که از اینترنت بیرون میام دیگه این کار رو نمی کنه
با cports هم که چک می کنم هیچ فعالیت اینترنتی رو با svchost.exe نمی بینم

فایل lsass هم همیشه سه بار اجرا می شه یه یکشون معمولیه ولی دوتای دیگه هر چند با یوز سیستم اجرا می شن سرویس نیستند و به طور یه فایل اجرایی معمولی اجرا شدند که Command Line شون هم این جوریه
"

C:\WINDOWS\\system32\\lsass.exe"

با از بین بردن پردازششون هم هیچ مشکلی پیش نمی یاد.

این جوری اجرا شدن فایل lsass هم به فلشم مربوط می شه و هر وقت فلش رو به یه کامپیوتر می زنم اون کامپیوتر هم اون جوری می شه
البته اینم بگم که به autorun.inf مربوط نمی شه
ممنون

**Dr Hannibal** · 03-07-2010, 16:41

اگه به سیستم مشکوک هستی اسکن با آنتی ویروس دیگه. ( غیر این راه وجود داره ؟ )

برای اسکن میتونی از این برنامه کمکی در کنار انتی ویروس خودت استفاده کنی. اگه دوست نداری انتی ویروس فعلی رو هم پاک کنی میتونی از دیسک بوت آنتی ویروس ها استفاده کنی.

http://www.malwarebytes.org/mbam/program/mbam-setup.exe

**god of war 2** · 03-07-2010, 20:00

داداش MR Cracker چطوره.آقا شما هم ویروسی شدی.امان از دست این برنامه نویسا

!!!
اینجوری که توضیح دادی فکر کنم کرم Sasser گرفتی.این کرم پروسه Lsass رو سرریز بافر میکنه (Buffer Overflow)
.اگر بعد از چند ثانیه یه پیغام روی صفحه میاد که میگه سیستم بعد از 60ثانیه خاموش میشه مطمئنن همین کرم در غیر اینصورت
با یه آنتی ویروس خوب و آبدیت شده سیستمو یه اسکن کلی بکن.
انشاالله که Sasser نباشه وگرنه .....
موفق باشید.

**MrGee** · 03-07-2010, 20:58

برای اسکن میتونی از این برنامه کمکی در کنار انتی ویروس خودت استفاده کنی.

مشکل اینجاست من اصلا از آنتی ویروس استفاده نمی کنم

اینجوری که توضیح دادی فکر کنم کرم Sasser گرفتی.این کرم پروسه Lsass رو سرریز بافر میکنه (Buffer Overflow)
.اگر بعد از چند ثانیه یه پیغام روی صفحه میاد که میگه سیستم بعد از 60ثانیه خاموش میشه مطمئنن همین کرم در غیر اینصورت
با یه آنتی ویروس خوب و آبدیت شده سیستمو یه اسکن کلی بکن.

نه سیستمم هیچ مشکلی نداره و فقط بعضی از فعالیت ها مشکوک هستند.
البته یه مدت پیش سیستمم ویروسی شده بود که با روش دستی(

) پاکش کردم تازگی ها هم ویندوز عوض کردم ولی دوباره همون طور شده احتمال می دم ویروس خودش رو به فایل های اجرایی اتچ کرده که این جوری می شه.
لیست سرویس هایی رو که اجرا می شن رو با یکی از سایت های مربوط به این کار چک کردم و همه سرویس هایی که اجرا می شن تو اون لیست بود.

اسم اون ویروس رو دقیقا یادم نیست ولی یادمه که اول اسمش v بود و آی کن IE رو هم داشت و فایلش رو پوشه ویندوز (نه سیستم 32 ) بود اتوران نداشت و فعالیت مخربی هم نداشت

اون فایل های Lsass رو هم برای بار اول توی لپ تاپ (یا نت بوک) یکی از فامیل هامون دیدم که بعد از این که فلشم رو از اون سیستم به
کامپیوتر خودم آوردم این جوری شد(البته اون سیستم رو با Process Explorer چک کردم و هیچ فعالیت مشکوکی رو مشاهده نکردم

انشاالله که Sasser نباشه وگرنه .....

راستی در مورد Sasser یه کم بیشتر توضیح می دی؟؟
ممنون

**god of war 2** · 03-07-2010, 23:53

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

بعضی از ویروسها برای اینکه بین پروسه های سیستم شناسایی نشند از اسم های خود پروسه های سیستم استفاده میکنند.(مثل: svchost.exe)

راستی در مورد Sasser یه کم بیشتر توضیح می دی؟؟

داستانش مفصله ولی خلاصه شو میگم.
Sasser: این دوست 15 کیلوبایتی از یک آسیب پذیری در پروسه Lsass.exe برای نفوذ و گسترش خودش بر روی شبکه استفاده میکند.این آسیب پذیری مربوط به Lsasrv.dll که توسط Lsass.exe مورد استفاده قرار میگیرد و با Buffer Overflow (سرریز بافر)
سیستم هدف را به مخاطره می اندازد و کنترل کامل سیستم را به شخص نفوذ کننده میدهد.
این کرم بعد از نفوذ به سیستم شما پیغامی مبنی بر Shutdown سیستم ضرف مدت 60 ثانیه نمایش میدهد.
قابل ذکر است که sasser از نسخه های A تا Z به نگارش درآمد که با دستگیری فرد نویسنده این کرم اشخاص دیگری شروع به منتشر کردن انواع دیگری از این کرم نمودند.
البته پچ های مربوط به این آسیب پذیری توسط ماکروسافت عرضه شده و این ویروس در سیستم عامل XP sp1 و پایینتر میتواند نفوذ کند.
موفق باشید.

**Dr Hannibal** · 04-07-2010, 06:41

نه سیستمم هیچ مشکلی نداره و فقط بعضی از فعالیت ها مشکوک هستند.

رفیق گلم سیستم مشکل نداره بعضی فعالیت ها مشکوک هستند این جمله اشتباه هست.

آنتی ویروس ها برای مقابله با مجموع malware طراحی میشند نه فقط ویروس.

اگه خیلی مشکوک بهتره با یه آنتی ویروس با دیتابیس بالا مثل جی دیتا از طریق بوت سیستم رو از لحاظ روت کیت اسکن کنی.

با یه آنتی ویروس با behavior blocker خوب مثل کسپرسکی و نورتون سیستم رو در محیط ویندوز چک کنی.

نام تاپيک: فعالیت‌های مشکوک در سیستم

اختيارات تاپيک

فعالیت‌های مشکوک در سیستم

این کاربر از Dr Hannibal بخاطر این مطلب مفید تشکر کرده است

این کاربر از god of war 2 بخاطر این مطلب مفید تشکر کرده است

2 کاربر از god of war 2 بخاطر این مطلب مفید تشکر کرده اند

این کاربر از Dr Hannibal بخاطر این مطلب مفید تشکر کرده است

Thread Information

Users Browsing this Thread

User Tag List

قوانين ايجاد تاپيک در انجمن