منو
 صفحه های تصادفی
گرافهای k - مکعب
آنتروپی
علی از زبان پیامبر
مسالک الافهام
نجوم اسلامی
برش دهنده های پلاسمایی چگونه کار می کنند؟
اسلاوی کیت
اصول طبقه بندی جانوری
ویتامین B3
سم شناسی صنعتی
 کاربر Online
919 کاربر online
 : کامپیوتر
برای پاسخ دادن به این ارسال باید از صفحه قبلی اقدام کنید.   کاربر offline پژمان-رحیمی-صادق 3 ستاره ها ارسال ها: 607   در :  دوشنبه 15 آبان 1385 [14:24 ]
  معرفی برنامه مخرب W32/Maslan-C
 

معرفی برنامه مخرب W32/Maslan-C :

مقدمه : این ویروسی که می خواهم امروز به شما معرفی کنم در شبکه رشد بسیار شایع است و تقریباً هر 15 تا 30 روز یک بار به صندوق میل کاربران شبکه ارسال می شود . و خوشبختانه صندوق میل رشد آن را شناسایی می کند اما بازم این ویروس در کشور ما بسیار شایع است و افراد بسیاری را آلوده می کند . چه از طریق ایمیل و چه از طریق کپی شدن بر روی فلاپی ، سی دی رام ، و حافظه های فلش و...

شناسنامه ویروس :
این برنامه مخرب را در بعضی از سایتهای امنیتی ویروس (McAfee) و در بعضی کرم (Sophos) معرفی می کنند . این برنامه از خانواده سری ویروس و کرم های Win32.Maslan است. درجه خطر این ویروس در بعضی سایتها LOW و در بعضی MEDIUM می باشد. این ویروس در اواخر سال 2004 کشف شد . و بعد از یک ماه به سایتهای :
kavkazcenter.com
kavkazcenter.net
kavkazcenter.info
kavkaz.uk.com
kavkaz.org.uk
kavkaz.tv
chechenpress.com
chechenpress.info
حمله کرد.

طریقه آلوده شدن :
در کامپیوتر آلوده :
ویروس خود را به تمامی آدرس های ایمیلی که پیدا کرده ارسال می کند . و خود را به درون پوشه های به اشتراک گذاشته شده در سیستم هم کپی می کند .

در کامپیوتری که قراره آلوده بشه:
شما نامه ای که از آدرس یکی آز دوستان یا یکی از افرادی که آدرس ایمیل شما رو داشته و آلوده شده است بدین مضموم دریافت می کنید :
در قسمت
From:
آدرس ایمیلی که آدرس ایمیل شما رو پیدا کرده
در قسمت :
Subject:
12345
و در خود نامه :
نوشته
Hello و بعد از آن یک اسم بصورت random
و در خط بعد نوشته :
Best regards,
بعد از آن یک اسم بصورت random
و فایل ضمیمه به نام Playgirls2.exe

شما اگر اشتباه کرده و فایل ضمیمه رو باز کنید آلوده می شوید.
یا فایلی مشابه در قسمت فایل های اشتراکی شبکه و در سی دی یا فلاپی اجرا می کنید و آلوده می شوید .

بعد از اجرای ویروس به هر نحو ویروس ابتدا خود را با نام های زیر تو پوشه System32 کپی می کند :
r.exe___
N.EXE___
J.DLL___
SYNMGR.EXE___
فایل اولی را W32/Maslan.c@MM است یعنی خود ویروس با حجم 49.445 بایت فایل دومی با حجم 15.872 یک dropped IRC bot می باشد که با نام W32/Maslan!irc معرفی می شود که یا یک ترمینال شبکه است یا یک برنامه که اجازه اجرای برنامه های دیگر را می گیرد یا از نوشتن اطلاعات در هارد جلوگیری می کند ، فایل سومی با نام کامل W32/Maslan.dll.gen با حجم 21.504 بایت مسئول ساخت فایل های DLL است و فایل چهارم که در بعضی از نسخه های این ویروس دیده شده کرمی از خانواده W32/Sdbot.worm است. بعد از آن که ویروس خود را کامل کرد و اجرا شد فایل J را توسط برنامه SVCHOST.EXE ویندوز لود می کند و بعد از آن ممکن است آن را پاک کند . و فایل N را با فایل SYNMGR ادغام یا جایگزین می کند. و اطلاعات زیر را به رجیستری اضافه می کند :
×××××××××××××××××××××××××××××××××××××××××××××××××
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run `Microsoft Windows DHCP` = %SysDir%___r.exe
×××××××××××××××××××××××××××××××××××××××××××××××××
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
Run `Microsoft Synchronization Manager` = %SysDir%___synmgr.exe
×××××××××××××××××××××××××××××××××××××××××××××××××
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run `Microsoft Synchronization Manager` = %SysDir%___synmgr.exe
×××××××××××××××××××××××××××××××××××××××××××××××××
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
RunServices `Microsoft Synchronization Manager` = %SysDir%___synmgr.exe
×××××××××××××××××××××××××××××××××××××××××××××××××
با کدهای بالا ویروس خود را با بالا آمدن ویندوز به عنوان برنامه و یکی از سرویسهای ویندوز اجرا می کند.

خوب حالا ویروس خودش رو تو سیستم جا انداخته و کاملا در سیستم مستقر شده است .
بعد از این کار برای افزایش گستردگی خودش شروع به جستوجوی هارد برای یافتن آدرس های ایمیل جدید می کند . برای این کار فایلهایی با پسوندهای زیر را جستوجو می کند :
xml
xls
wsh
mmf
mht
mdx
mbx
jsp
htm
eml
dhtm
dbx
cgi
cfg
asp
adb
wab
uin
txt
tbb
stm
shtm
sht
pl
php
oft
ods
nch
msg

بعد از اینکه آدرس های ایمیل رو جمع آوری کرد با ساختن یک سرور میل smtp خود را برای همه آدرس ها ارسال می کند . اما خود را به آدرس هایی که در خودشون از عبارات :
mozilla
utgers.ed
tanford.e
pgp
acketst
secur
isc.o
isi.e
ripe.
arin.
sendmail
rfc-ed
ietf
iana
usenet
fido
linux
kernel
google
ibm.com
fsf.
gnu
mit.e
bsd
math
unix
berkeley
foo.
mysqlruslis
nodomai
mydomai
example
inpris
borlan
sopho
panda
syma
avp
abuse
www
spam
spm
test
page
the.bat
gold-certs
ca
feste
submit
not
help
service
privacy
somebody
no
soft
contact
site
rating
bugs
me
you
your
someone
anyone
nothing
nobody
noone
webmaster
postmaster
samples
info
root
mail.com
freemail.com
hotmail.com
yahoo.com
msn.com
aol.com
subscribe
accoun
certific
listserv
ntivi
admin

باشد ارسال نمی کند .
همچنین بعد از ارسال نامه ها خود را در تمامی پوشه های به اشتراک گذاشته شده در شبکه کپی می کند .

در ضمن این ویروس یک قسمت جاسوسی نیز دارد که تمامی پنجره هایی که دارای عنوان های :
paypal
trade
bank
mail
e-gold
e-bullion
evocash
باشند را نگاه می کنه (Monitoring) و تمامی حروف تایپ شده در این صفحات را برای سازندش ارسال می کنه .

خوب اینم تمام کار هایی که این ویروس ، کرم انجام می دهد .


پاک کردن ویروس :
بهترین راه حل برای خلاصی از شر این ویروس کرم این است که یک آنتی ویروس خوب که تاریخ آخرین به روز آن از 12/09/2004 به بعد باشد .
من روس پاک کردن دستی را توصیه نمی کنم .

امیدوارم از این مطلب خوشتان آمده باشه و از این مطالب من فقط با ذکر منبع یعنی WWW.PRS-LAND.TK کپی برداری کنید .

  امتیاز: 0.00     
برای پاسخ دادن به این ارسال باید از صفحه قبلی اقدام کنید.   کاربر offline گوگول خان 3 ستاره ها ارسال ها: 222   در :  چهارشنبه 17 آبان 1385 [07:02 ]
  عزیز دل این ویروس نیست یه نوع هکه
 

سلام دوست من
عزیز دل این ویروس نیست یه نوع هکه cool
ساختنش زیاد سخت نیست mrgreen
اما خوب درموردش اطلاعات جمع کردین و به بچه ها ی انجمن توضیح دادین wink
فعلا....

  امتیاز: 0.00     
برای پاسخ دادن به این ارسال باید از صفحه قبلی اقدام کنید.   کاربر offline پژمان-رحیمی-صادق 3 ستاره ها ارسال ها: 607   در :  چهارشنبه 17 آبان 1385 [07:51 ]
  آقای گوگولی شما که در این موارد چیزی نمی دانید ...
 

آقای گوگولی شما که در این موارد چیزی نمی دانید ...
این برنامه بک ویروس چند منظوره است که هم یک spy و هم یک worm و هم یک trojan و یک حمله کننده از نوع dos به سایتهای دیگه است .
بعد من این ویروس ها رو معرفی می کنم چون در ایران شایع هستند و الا ماشا الله تو کشور ما کسی از آنتی ویروس استفاده نمی کنه و هرکی هم استفاده می کنه ورژن های قدیمی رو استفاده می کنه . که اونا این ویروس رو شناسایی نمی کنند . در ضمن این ویروس ضمیمه ویروس جدیدی است که در یاهو مسنجر پخش شده است و همچنید هم دو یا یک ماه به صندوق میل کاربران رشد ارسال می شد و...
در ضمن نوشتن یک ویروس کار راحتی است اما پیدا کردن یک راه خوب برای گسترس و آلوده کردن کار بسیار سختی است ...

  امتیاز: 0.00     
برای پاسخ دادن به این ارسال باید از صفحه قبلی اقدام کنید.   کاربر offline گوگول خان 3 ستاره ها ارسال ها: 222   در :  یکشنبه 21 آبان 1385 [06:59 ]
  دست شما درنکنه !
 

دست شما درنکنه !
این حرفتون یعنی چی ؟!
شما اصلا با HACK MODERN آشنایی دارین یا هک گرافیکی ؟
پس بهتره یه مطلب هم در مورد این موشوع جمع کنین ؟!
در ضمن الان دیگه زیاد نمیشه به هیچ آنتی ویروسی امیدوار بود
چون که ( بعضی ها ) هک و ویروس هایی که می سازند که کارشون در کامپیوتر منطقی است ولی خرابکارانه wink
و هیچ نوع آنتی ویروسی اگر هم Update شده باشد کاری نمی توانند کنند

  امتیاز: 0.00