تحلیل ویروس(کرم) خطرناک و هوشمند win32/bagle (باگل) و یافتن راه حل( Remove Bagle )

واضح آرشیو وب فارسی:سایت ریسک: picher_s17-02-2009, 08:01 AMسلام یه کرم خطرناک با نام win32/bagle.pw(به گفته نود و Trojan-Downloader.Win32.Bagle.cu به گفته Kasper !!!! برای مشاهده محتوا ، لطفا ثبت نام کنید / وارد شوید !!!!) از سری کرم های باگل ( !!!! برای مشاهده محتوا ، لطفا ثبت نام کنید / وارد شوید !!!! )و سایز 1,019,912 چند روزه بدستم رسیده. نود میگه با update ، تاریخ 2008/10/18 اگه سیستمتون ویروس رو نگرفته باشه میتونید اون رو پاک کنید! این کرمه خیلی هوشمنده:18::18::27::21:!!! !!!! برای مشاهده محتوا ، لطفا ثبت نام کنید / وارد شوید !!!! !!!! برای مشاهده محتوا ، لطفا ثبت نام کنید / وارد شوید !!!!) !!!! برای مشاهده محتوا ، لطفا ثبت نام کنید / وارد شوید !!!!!!!! برای مشاهده محتوا ، لطفا ثبت نام کنید / وارد شوید !!!!از طریق e-mail و کول دیسک ... انتشار پیدا میکنه و انواع متفاوتی هم داره! !!!! برای مشاهده محتوا ، لطفا ثبت نام کنید / وارد شوید !!!! بعد از اجراشدن و نصب درایورش و از کارانداتن همه انتی ها خودش رو در مسیر Windirsys32driverhldrrr.Exe (که در Exe اش نام کمپانیش رو میگه Biosoft) کپی و اجرا میکنه!! (ایکونش شکل یه فولدره) با themida کد شه. سرعت سیستم رو به شدت پایین میاره. قبل از ریست شدن سیستم میشه پروسزش( با نام های Soundman , Regedit و همنام فایلهایی که تو Startup هستند... ) رو دید و kill کرد. اگه سیستم ریسارت بشه دیگه شما نه پروزسز و نه تسکی از این ویروس میتونید ببینید و نه خود فایل رو که در مسیر بالا داره اجرا میشه ، و مسیر های رجیستریش رو هم نمی تونید ببینید!! خودش رو هم رو CoolDisk با نام متغییر (گاهی nideiect.com)کپی میکنه... اینم متن Autorun این ویروس که روی کول دیسک ایجاد میکنه !!!! برای مشاهده محتوا ، لطفا ثبت نام کنید / وارد شوید !!!! فایل درایورش WINDOWSsystem32driverssrosa.sys (با حجم 88 کیلو )با کلید HKLMSYSTEMCurrentControlSetServicessrosa رو به رجیستری اضافه میکنه. کلید زیر را برای ذخیره تنظیماتش ایجاد میکنه. و پوشه exefqdرا در مسیر ویندوز ایجاد تا فایلهای مخرب از اینترنت دونلود کنه. HKEY_CURRENT_USERSoftwareFirstRRRun و در مسیر startup کاربر فعلی کلید زیر را با مسیر Windirsys32driverhldrrr.Exe ایجاد میکنه. !!!! برای مشاهده محتوا ، لطفا ثبت نام کنید / وارد شوید !!!!HKCUSoftwareMicrosoftWindowsCurrentVersion Run "drvsyskit" راه حل : با انتی َMalwareی که مایکروسافت ارایه داده به راحتی کشته میشه. !!!! برای مشاهده محتوا ، لطفا ثبت نام کنید / وارد شوید !!!! اینم یه انتی دیگه براش !!!! برای مشاهده محتوا ، لطفا ثبت نام کنید / وارد شوید !!!! اگه کسی ویروس رو برای تحلیل بیشتر خواست بخبره.:31: موفق و پیروز باشید. ehsankalak17-02-2009, 08:08 AMخیلی جدید نیست مال یه سال پیشه ! البته شایدم نسخه جدید از خانواده باگل هست که release شده باشه! راستی سورسشو میخوام! ehsankalak17-02-2009, 08:33 AMلینک سومی رو دیدم خیلی مطالب خنده داری نوشته بود ممنون! ehsankalak17-02-2009, 08:52 AMباگل یه mass-mailing computer worm ( کرمی که بعد از اجرا روی سیستم از طریق پروتکل SMTP شروع به فرستادن ایمل میکنه که یه کپی از خودشو ضمیمه ایمیل می کنه) هست که اولین سریش Bagle.A بود که تو 2004/1/18 گزارش شد و یه فایل به اسم bbeagle.exe تو دایرکتوری ویندوز ایجاد میکرد و یه بکدور از نوع TCP روی پورت 6777 باز میکرد و ورژن بعدیش Bagle.B بود که ایندفعه با اسم au.exe تو دایرکتوری ویندوز ایجاد میشد و بکدور روی پورت 8866 باز میکرد ووو.... این تاریخچه ویروس بود حالا نمیدونم این یکی چه کوفتیه !! البته دیگه مثل قدیما اینجور چیزا نمیتونن به سرعت تکثیر بشن چون الان همه حداقل روی سیستم هاشون فایروال xp رو دارن ولی به هرحال آدم باید حواسش جمع باشه ! خوشم میاد هر دفعه مدل تاپیک اولی یه طور دیگه میشه ( چپ و راست ویرایش میشه منظورم جابجایی لینک ها و حذف و اضافه کردن بعضیاشونه!!) hoax3r18-02-2009, 08:29 AMسلام picher_s جان ممنون بابت ویروس، ولی عجب ویروس خفنیه بعد رستارت همه چیش ناپدید میشه:18::18: برای آنتی ساختن منم بتونم کمک میکنم، اگه نخایم برای از بین بردنش درایور بنویسیم فکر کنم اول باید کلیدهایی که تو رجیستری ساخته خصوصا قسمت Run و Services رو پاک کنیم بعد یه رستارت کنیم بعد بقیه هسمت هاشو پاک کنیم در مورد خارج کردن پروسس البته قبل رستارت که گفتی دنبال SeDebugPrivilege بگرد به نتیجه میرسی من یه نمونه برنامه با سورس میزارم این با سی نوشته شده !!!! برای مشاهده محتوا ، لطفا ثبت نام کنید / وارد شوید !!!! البته فکر کنم شما با دلفی کار میکنید ولی فکر نکنم تبدیلش براتون سخت باشه شاد باشید picher_s18-02-2009, 06:13 PMممنون hoax3r جان. ممنون از بابت سورس.ببین اگه میتونی یه تست بزن ببین جواب میگیری؟ این کلیدای رجیستریش اصلان دیده نمیشن!!! اصلا دسترسی نداریم بهشون!!! فرض ما اینه که کامپیوتر بعد از گرفتن خانم ویروسه ریستارت شده.منتظر کمک های بعدیتم. ممنون از کمکت رفیق. hoax3r18-02-2009, 11:03 PMسلام کلیدهای رجیستری رو اگه اشتباه نکنم با همون درایورش(یا درایوراش) مخفی می کنه اگه با API های عادی قابل دسترسی بود همون regedit باید نشون میاد. توابع سطح پایین تر هم که باید درایور نوشت که من بلد نیستم:19: شما گفتی اگه فایل hldrrr.exe رو پاکش کنیم یا یجوری از کار بندازیمش بعد رستارت فایلها و کلید های ریجیستری که مخفین نشون داده میشن به نظرم یجوری دخل این فایلو بیاریم، نظر شما چیه؟ آخرش باید خانم ویروسه رو شوهرش بدیم، شوهرش بیاد جمش کنه اگه میتونی یه تست بزن ببین جواب میگیری؟ راستی منظورت چی بود که تست کنم؟ picher_s19-02-2009, 07:43 AMسلام نظر من هم همینه رفیق. بنظرت MichaelQwerty مرد خوبیه براش؟؟!! ولی هر کار میکنم نمی تونم از تو حافظه بیرون بندازمش. منظورم این بود با سورسی که برام فرستادی ببین میتونی از کار بندازیش!! برای بدست آوردن PIDش هم میتونی از process Monitor کمک بگیری. !!!! برای مشاهده محتوا ، لطفا ثبت نام کنید / وارد شوید !!!! من منتظر راه حلتم. موفق و پیروز باشی. MichaelQwerty19-02-2009, 12:32 PMسلام من هنوز عروس خانم ندیدم لینک عکسشو که برام گفتی فرستادم نیومد یه بار دیگه میفرستی یه جا آپلود کنی لینکشو بزاری اینجا بهتره picher_s19-02-2009, 12:39 PMسلام من هنوز عروس خانم ندیدم لینک عکسشو که برام گفتی فرستادم نیومد یه بار دیگه میفرستی یه جا آپلود کنی لینکشو بزاری اینجا بهتره بابا برات :1:e-mailش کردم. یه سر به میلت بزن و نظرت رو بده. آخه اینم خیلی خوفه. منتظره نظرتم. به پای هم پیر بشید...:31::7::36::35: hoax3r20-02-2009, 12:24 AMبنظرت michaelqwerty مرد خوبیه براش؟؟!! خوبه، پس به سلامتی ....:26::26: ------- من با همون سورسه که گزاشتم تونستم پروسه رو خارج کنم. MichaelQwerty25-02-2009, 05:27 PMسلام دوستان ویروس تقریبا جالبی اگه کاربر ی که دچار این ویروس میشه اطلاعی از طرز کار ویروس نداشته باشه دچار توهم میشه هر فایلی یا فولدری که نامش hldrrr.exe یا srosa.sys باشه اوا غیر قابل پاک شدن و غیر قابل رویت میشه فایل های ویروس مخفی یا سیستمی نمیشن بلکه از یه الگو که خود ویندوز برای مخفی کردن پوشه های درون فولدر Temporary Internet Files استفاده میشه ویروس استفاده میکنه من وقتی فایل hldrrr.exe را از پوشه drivers پاک کردم ویروس از کار نیفتاد باید حتما درایور رو هم از کار مینداختم اگه فقط مشکل hldrrr.exe بود میشد باستفاده از permissions for run جلوی اجرا شدن فایل رو در هنگام بالا آمدن ویندوز گرفت ولی srosa.sys همه کاره هست hoax3r27-02-2009, 12:20 AMاشتباهی snapshot ای که از VMware گرفته بودم پاک کردم هر چی تنظیمت توش دادیم رفت هوا:19: حالا درست شد دوباره تونستم یه نگاهی به این ویروس بندازم. نمیدونم چرا اصلا حواسم به فایل srosa.sys نبود که همچین فایلیم هست، MichaelQwerty حق با شماست همه کارارو srosa.sys انجام میده اون پوشه ویندوز که گفتی رو نمیدونم ولی این ویروس تابع NtQueryDirectoryFile رو هوک میکنه که از دیدwindows explorer مخفی بمونه به اضافه ی هوک کردن این توابع !!!! برای مشاهده محتوا ، لطفا ثبت نام کنید / وارد شوید !!!! برای از کار انداختنش هم فعلا نظری ندارم:31: picher_s27-02-2009, 09:20 AMاگه با Process Monitor نگاه کنید میبینید که این ویروسه هر فایلی رو که شما میخواهید باز کنید اون براتون باز میکنه!!! یه چیزه جالب تر بگم: من یه سری نرم افزار خودم با سورس های اینترنت سر هم کردم و باهاشون کار میکنم. آقا این ویروسه اینقد باحاله که بعد از اجرای این نرم افزار سریع اونو میبنده!!! یعنی میاد سورس فایل شما(مثل آنتی ها) رو برای بررسی دستور ها می خونه! من که تستیدم hldrr رو اگه بتونیم پاک کنیم مشکل حل میشه و میتونیم بقیه کار ها رو هم انجام بدیم. یه چیزه دیگه ام اینه که دلیل پایین اوردن سیستم اینه(از رو Process Monitor) همش داره کلید Safeboot در رجیستری رو پاک میکنه. My ComputerHKEY_LOCAL_MACHINESYSTEMCurrentControlS etControlSafeBoot Trojan Remover از روی عملکردش تشخیصش میده (از رو درایور مخفی و کلید رجیستری مخفی که به RUN اضافه میکنه) اما هر چی تلاش میکنه نمی تونه کاری از پیش ببره. هنوز هیچ راه حلی ازش توسط آنتی ها ندیدم!!! hoax3r27-02-2009, 11:01 AMpicher_s جان شما فایل hldrrr.exe رو با Process Monitor مونیتور کردین چون من وقتی می خوام برسیش کنم یه اررور میده که داری برنامه رو مونیتور میکنه و خارج میشه البته به خاطر اون پروتکتور لعنتیشه همون Themida :41: با RootKit Unhooker میشه راحت پاکش کرد بدون اینکه نیاز به رستارت سیستم باشه اگه بتونیم کاری مثل این نرم افزار کنیم، پرونده این ویروس رو برای همیشه میتونیم ببندیم:31: picher_s27-02-2009, 06:30 PMpicher_s جان شما فایل hldrrr.exe رو با Process Monitor مونیتور کردین چون من وقتی می خوام برسیش کنم یه اررور میده که داری برنامه رو مونیتور میکنه و خارج میشه البته به خاطر اون پروتکتور لعنتیشه همون Themida :41: با RootKit Unhooker میشه راحت پاکش کرد بدون اینکه نیاز به رستارت سیستم باشه اگه بتونیم کاری مثل این نرم افزار کنیم، پرونده این ویروس رو برای همیشه میتونیم ببندیم:31: سلام رفیق گفته شما درسته. منم با RootKit Unhooker تونستم.اما حالا این برنامه چکار میکنه معلوم نیست!! اینم تحلیل همون نرم افزار (RootKit Unhooker )شماست !!!! برای مشاهده محتوا ، لطفا ثبت نام کنید / وارد شوید !!!! جالب بود میگفت از Api برای پنهان کردن پروسزش استفاده کرده!! سایت ما را در گوگل محبوب کنید با کلیک روی دکمه ای که در سمت چپ این منو با عنوان +1 قرار داده شده شما به این سایت مهر تأیید میزنید و به دوستانتان در صفحه جستجوی گوگل دیدن این سایت را پیشنهاد میکنید که این امر خود باعث افزایش رتبه سایت در گوگل میشود

این صفحه را در گوگل محبوب کنید

[ارسال شده از: سایت ریسک]

[مشاهده در: www.ri3k.eu]

[تعداد بازديد از اين مطلب: 1637]