dadvand
سه شنبه 08 مرداد 1387, 16:05 عصر
سلام .
اخیرا سیستم من یک ویروس ظاهرا جدیدی گرفته که Nod آپ دیتی هم نمیشناسش .
رفتارهای این ویروس تا حدی مشابه همون ویروسی هست (اسمش ظاهرا سالدوس) که اخیرا بیشتر کامپیوترهای ایران رو گرفتش . همون که autorun بروی درایوها میساخت و folderOption رو ناپدید میکرد ... ولی nod اون رو شناسایی میکرد .
مشخصات مشاهده شده در طی ای 1-2 روز آلوده شدن سیستم توسط این ویروس
:
1-ساخت فایل autorun.inf در root هر رایو با محتویات زیر
;L2qU64rrskkaowik4lsdl
[AutoRun]
;swdaIsL12pJaa7A57CrKlr4i2kd20iXlrdeL4046Kf222rksa K2Ko4owarjkLqf3cDa42a0oalo3iwdwj30ilaiJw12KKkokkjf 5wDD30l1L33oe
open=kdxdweli.cmd
;sLlAaLk5D0k455riKaZaJfUsl3IowiwiJ99Ofi7sk4ALkXejK faK
shell\open\Command=kdxdweli.cmd
;4fe0iieA40epJA4SK2as
shell\open\Default=1
;0jlkcm7oo38rdk2skoiiLfoawlJjqi5dsLdls9k01Lesl8Ziw LdkJKqCjisKLKL3F7Dose2Ze2dw
shell\explore\Command=kdxdweli.cmd
;6saiqeXww
2-ساخت فایلی با نام kdxdweli.cmd و حجم 86 کیلو بروی root هر درایو . البته ممکنه پسوند واقعیش همون exe باشه.
این دو فایل از نوع hidden است و از طرفی در folderoption نمیتوان show hidden file را فعال ساخت البته میتوان انخاب کرد و ok نمود ولی مجدد که وارد folderoption میشویم غیر انتخاب است .
3-ظاهرا این ویروس هیچ پروسسی در لیست چه از نوع پروسس های user و چه نوع سیستمی ندارد و ظاهرا از process injection استفاده میکند . در تزریق پروسس ، پروسس را نمیتوان به بعضی نرم افزار ها تزریق کرد و موقع تزریق، آن نرم افزار نابود میشود . و این 1-2 روز که دچار این ویروس شدم خطا دادن سیستمی و سپس بسته شدن بعضی برنامه ها رو بروی سیستمم رو مشاهده کردم . البته هنوز از kaspersky جهت شناسایی استفاده نکردم چون 7 kasper بدون اجرا شدن فایل ، از محتویات فایل اجرایی تشخیص وجود کد مربوط به تزریق میده ، به هر زبانی که بنویسین (من خودم ، دلفی ، vc++ ، کد اسمبلی در دلفی هر چند هیچ فرقی نداره ، استفاده از کدهای پیچیده جهت فریب دادن حتی با پارامترهای رندوم و زمانی ... ) .
4-باز نشدن یاهو مسنجر حتی با نصب مجدد
5-عدم امکان استفاده از سیستم ریستور
دوستان اگه اطلاعی از این ویروس دارن بدن و با چی آنتی ویروسی میشه از بین بردش .
مرسی :چشمک:
اگه این تاپیک مربوط به این بخش نیست ببخشید ، بخش مناسب تری ندیدم
اخیرا سیستم من یک ویروس ظاهرا جدیدی گرفته که Nod آپ دیتی هم نمیشناسش .
رفتارهای این ویروس تا حدی مشابه همون ویروسی هست (اسمش ظاهرا سالدوس) که اخیرا بیشتر کامپیوترهای ایران رو گرفتش . همون که autorun بروی درایوها میساخت و folderOption رو ناپدید میکرد ... ولی nod اون رو شناسایی میکرد .
مشخصات مشاهده شده در طی ای 1-2 روز آلوده شدن سیستم توسط این ویروس
:
1-ساخت فایل autorun.inf در root هر رایو با محتویات زیر
;L2qU64rrskkaowik4lsdl
[AutoRun]
;swdaIsL12pJaa7A57CrKlr4i2kd20iXlrdeL4046Kf222rksa K2Ko4owarjkLqf3cDa42a0oalo3iwdwj30ilaiJw12KKkokkjf 5wDD30l1L33oe
open=kdxdweli.cmd
;sLlAaLk5D0k455riKaZaJfUsl3IowiwiJ99Ofi7sk4ALkXejK faK
shell\open\Command=kdxdweli.cmd
;4fe0iieA40epJA4SK2as
shell\open\Default=1
;0jlkcm7oo38rdk2skoiiLfoawlJjqi5dsLdls9k01Lesl8Ziw LdkJKqCjisKLKL3F7Dose2Ze2dw
shell\explore\Command=kdxdweli.cmd
;6saiqeXww
2-ساخت فایلی با نام kdxdweli.cmd و حجم 86 کیلو بروی root هر درایو . البته ممکنه پسوند واقعیش همون exe باشه.
این دو فایل از نوع hidden است و از طرفی در folderoption نمیتوان show hidden file را فعال ساخت البته میتوان انخاب کرد و ok نمود ولی مجدد که وارد folderoption میشویم غیر انتخاب است .
3-ظاهرا این ویروس هیچ پروسسی در لیست چه از نوع پروسس های user و چه نوع سیستمی ندارد و ظاهرا از process injection استفاده میکند . در تزریق پروسس ، پروسس را نمیتوان به بعضی نرم افزار ها تزریق کرد و موقع تزریق، آن نرم افزار نابود میشود . و این 1-2 روز که دچار این ویروس شدم خطا دادن سیستمی و سپس بسته شدن بعضی برنامه ها رو بروی سیستمم رو مشاهده کردم . البته هنوز از kaspersky جهت شناسایی استفاده نکردم چون 7 kasper بدون اجرا شدن فایل ، از محتویات فایل اجرایی تشخیص وجود کد مربوط به تزریق میده ، به هر زبانی که بنویسین (من خودم ، دلفی ، vc++ ، کد اسمبلی در دلفی هر چند هیچ فرقی نداره ، استفاده از کدهای پیچیده جهت فریب دادن حتی با پارامترهای رندوم و زمانی ... ) .
4-باز نشدن یاهو مسنجر حتی با نصب مجدد
5-عدم امکان استفاده از سیستم ریستور
دوستان اگه اطلاعی از این ویروس دارن بدن و با چی آنتی ویروسی میشه از بین بردش .
مرسی :چشمک:
اگه این تاپیک مربوط به این بخش نیست ببخشید ، بخش مناسب تری ندیدم