مرکز انجمنهای تخصصی

بچه ها میخوام از این به بعد تروجان ها و ویرس ها رو معرفی کنم فکر کنم کار قشنگی باشه


تروجان Slate-A
توضیحات :

Slate-A تروجانی برای سیستم های ویندوزی است ، که می تواند به اینترنت متصل شود و از طریق پورت 80(HTTP ) با سرور راه دور ارتباط برقرار کند .

این تروجان با اولین اجرا در <System>\kernels88.exe کپی می شود .

زمانی که کاربر وارد سیستم می شود ، تروجان Slate-A اجرا می شود و مدخل زیر را در رجیستری ایجاد می کند :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
System
<System>\kernels88.exe



فایل <System>\dlh9jkd1q8.exe که شامل یک یا چندینIP address می باشد نیز ایجاد می شود.



توصیه ها :

1 به روز كردن آنتي ويروس

2 . دريافت Removal از سايت Kaspersky

3 . روش پاك سازي به صورت دستي :

ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه"''''Export Registry File و در پنل''''''''Export range'''''''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.

حال در مدخل HKEY_LOCAL_MACHINEرجيستري زير مدخلهاي:



HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
System
<System>\kernels88.exe

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد

كرم Rbot-FZE

Rbot-FZE يك كرم با قابليت درپشتي IRC براي سيستم هاي ويندوزي مي باشد .



اين كرم از طرق زير منتشر مي شود :

- كامپيوترهايي با آسيب پذيري هاي LSASS (MS04-011), SRVSVC (MS06-040), RPC-DCOM (MS04-012), PNP (MS05-039), ASN.1 (MS04-007) and RealVNC (CVE-2006-2369)

- شبكه هايي با پسوردهاي ضعيف



كرم Rbot-FZE دائما در پيش زمينه ويندوز اجرا مي شود و دز پشتي را مهيا مي كند تا مهاجم بتواند از طريق كانال هاي IRC به سيستم آلوده دسترسي داشته باشد .كرم خودش را در <System>\winlogz2.exe كپي مي كند و با اولين اجرا مدخل هاي زير را در رجيستري تغيير مي دهد :

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Windows Services Layer
<System>\winlogz2.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Windows Services Layer
<System>\winlogz2.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows Services Layer
<System>\winlogz2.exe



همچنين Rbot-FZE با اجراي خود مدخل زير را تغيير مي دهد :



HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
<System>\winlogz2.exe
<System>\winlogz2.exe:*:Enabled:Windows Services Layer





Rbot-FZE كرم قابليت هاي زير را نيز دارد :



- به اينترنت متصل مي شود و از طريق HTTP با سرور راه دور ارتباط برقرار مي كند .

- نصب يك سرور SOCKS4

- ثبت كليدهاي فشرده ي صفحه كليد

- اجراي حمله ي DDoS

- برداشتن اطلاعات





توصيه ها :

1 . به روز كردن آنتي ويروس

2 . دريافت Removal از سايت Kaspersky

3 . روش پاك سازي به صورت دستي :



ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه"''Export Registry File و در پنل''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.

حال در مدخل HKEY_CURRENT_USERوHKEY_LOCAL_MACHINEرجيستري زير مدخلهاي:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Windows Services Layer
<System>\winlogz2.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Windows Services Layer
<System>\winlogz2.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows Services Layer
<System>\winlogz2.exe

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
<System>\winlogz2.exe
<System>\winlogz2.exe:*:Enabled:Windows Services Layer

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

Morihacker, عزيز
مطمئن هستي اين كار شما با قوانين سايت همخواني دارد

توضيحات :
تروجان StraDl-B

StraDl-B تروجاني براي سيستم هاي ويندوزي مي باشد .

اين تروجان مي تواند فايلي را از وب سايت دور دانلود و اجرا كند .

اين فايل مانند كرم Strati-Gen تشخيص داده مي شود .



توصيه ها :

1 . به روز كردن آنتي ويروس

2 . دريافت Removal از سايت Kaspersky

akhavan_a جان ايشان فقط معرفي ميکنند و راه مقابله و حذف را پيشنهاد ميدهند و مشکلي براي ادامه دادن ايشون وجود نداره چون کار ايشون ويروس و يا فيل مخرب را منتشر نميکند و آموزش انتشار را هم ندارند

Morihacker جان لطفا ادامه بديد کار جالبي شروع کرديد

با سلام خدمت تمام کسايي که به ما لطف دارندو اين موضوعاتو دنبال ميکننند
akhavan_a عزيز
قوانين سايت اين مطلب را گوش زد مي کنه که:

مباحث مربوط به Hack (از ديد منفي) و مسائلی که باعث آزار و اذیت دیگران شود اکیداً در سایت ممنوع می باشد. فقط موارد مثبت مانند c r 4c k برنامه ها و آموزش موارد امنیتی سیستم و مقابله با هكران و مشابه که برای کاربران مفید واقع شود، مجاز است. در صورتی که غیر از این عمل شود آن اكانت در اولین فرصت حذف خواهد شد.

حال با توجه به مطالب گفته شده اين تاپيک خيلي ميتونه به بچه ها در مورد امنيت پي سي خود کمک کنه
با توجه به فرمايش مدير محترم اقا فرهاد اين موضوع دنبال ميشه انشالله مورد کارايي شما دوستان باشه

کرم Bagle-RB :
توضیحات :
Bagle-RB کرمی است که از طریق میل منتشر می شود .

این کرم می تواند به اینترنت متصل شود و از طریق پورت 80 (HTTP ) با سرور راه دور ارتباط برقرار کند .,میلی که توسط Bagle-RB ارسال می شود دارای خصوصیات زیر می باشد :

Subject:


new <date>
price<date>
price_ <date>
price_new<date>



متن پیغام ممکن است ،خالی باشد .همجنین دارای یک فایل الحاقی با یکی از نام های زیر می باشد:



new_price<date>.zip
price<date>.zip
latest_price<date>.zip



(<date> تاریخ روزی می باد که میل ارسال شده است و دارای فرمت 12-Dec-2006 می باشد .)



کرم Bagle-RB با اولین اجرا در مکان های زیر کپی می شود :



<User>\Application Data\hidn\hidn2.exe
<User>\Application Data\hidn\hldrrr.exe

و فایل های زیر را ایجاد می کند :

<Root>\temp.zip - detected as W32/Bagle-RB
<Root>\error.txt - harmless file



همچنین با اجرای این کرم مدخل زیر در رجیستری ایجاد می شود :

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
drv_st_key
<User>\Application Data\hidn\hidn2.exe



کرم Bagle-RB با تغییر مدخل زیر ، نرم افزارهای دیگر را از کار می اندازد :

HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
Start
4



مدخل زیر نیز ایجاد می شود :

HKCU\Software\FirstRun

توصیه ها :

1 . به روز كردن آنتي ويروس

2 . دريافت Removal از سايت Kaspersky

3 . روش پاك سازي به صورت دستي :

ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه"''''Export Registry File و در پنل''''Export range'' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.

حال در مدخل HKEY_CURRENT_USERوHKEY_LOCAL_MACHINE رجيستري زير مدخلهاي:



HKCU\Software\Microsoft\Windows\CurrentVersion\Run
drv_st_key
<User>\Application Data\hidn\hidn2.exe

HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
Start
4

HKCU\Software\FirstRun


هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

تشکر از مطالب جالب و کاربردي شما در صورت امکان متن هاي مربوط به دستورات را در تگ هاي Code بنويسيد که ترتيب ارسالشون بهم نخوره

ممنون از شما
موفق باشيد

سلام دوباره منو پذيرا باشيد
چشم چشم از اين تاپيک به بع حتما رعايت ميشه ممنون که اهميت ميديد
خالي از وجه نباشه که اينا مقاله يکي از دوستانمه که بنده هم در پيدايش اين مقاله کمک حال ايشون بودم


کرم Rbot-FZD
Rbot-FZD کرمی است که دائما در پیش زمینه ویندوز اجرا می شود و در پشتی را مهیا می کند تا مهاجم بتواند از طریق کانال های IRC به سیستم آلوده دسترسی داشته باشد
این کرم می تواند به اینترنت متصل شود و از طریق پورت (80) با سرور راه دور ارتباط برقرار می کند .
.همچنین کرم Rbot-FZD با اولین اجرادر <Windows>\netsvc.exe کپی می شود
netsvc.exe مانند یک سرویس درایور جدید با نام ظاهری "Net Service Monitor"که "Net Service Monitor", نامیده می شود در سیستم ثبت می شود . این سرویس به طور اتوماتیک اجرا می شود .مدخل زیر نیز در رجیستری ایجاد می شود :
HKLM\SYSTEM\CurrentControlSet\Services\Net Service Monitor
توصیه ها :

1 . به روز كردن آنتي ويروس

2 . دريافت Removal از سايت Kaspersky

3 . روش پاك سازي به صورت دستي :

ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه"''''Export Registry File و در پنل''''''''Export range'''''''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.

حال در مدخل HKEY_LOCAL_MACHINEرجيستري زير مدخلهاي:

HKLM\SYSTEM\CurrentControlSet\Services\Net Service Monitor
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد

كرم VB-CVK
كرمي براي سيستم هاي ويندوزي مي باشد كه از طريق درايو هاي قابل دسترس منتشر مي شود .

زماني كه كرم VB-CVKدر سيستم نصب مي شود يك كپي از خود رادر فايل هاي زير قرار مي دهد :

<System>\COMCTL32.PID

<System>\sysconf.dlI
<System>\system.dlI

همچنين با اجراي اوليه اين كرم مدخل هاي زير در رجيستري تغيير مي كنند :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Sysdata
<System>\moviex.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Sysconf
<System>\sysconf.dlI>

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\
OpenSaveMRU\exe\a

و با اجراي system.dlI مدخل زير تغيير مي كند :

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell
Explorer.exe "<System>\system.dlI"

(the default value for this registry entry is "Explorer.exe" which causes the Microsoft file <Windows folder>\Explorer.exe to be run on startup)

مدخل هاي زير نيز به رجيستري اضافه مي شوند :

HKCR\.mp3\DefaultIcon\
<Program Files>\Winamp\Winamp.exe,1

HKCR\.mp3\shell\open\command\
<System>\COMCTL32.PID" "%1"

HKCR\.dlI\shell\open\command\
"%1" %*

HKCR\.dlI\DefaultIcon\
<System>\shell32.dll,-154

HKCR\.dlI\
Application Extension

HKCR\.PID\shell\open\command\
"%1" %*

HKCR\.PID\DefaultIcon\
<System>\app.sys,-154

HKCR\.PID\
PID file

توصيه ها :
1. به روز كردن آنتي ويروس

2 . دريافت Removal از سايت Kaspersky

3 . روش پاك سازي به صورت دستي :

ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه"''''Export Registry File و در پنل''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.

حال در مدخل, HKEY_CURRENT_USERو HKEY_CLASSES_ROOTوHKEY_LOCAL_MACHINE

رجيستري زير مدخلهاي:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Sysdata
<System>\moviex.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Sysconf
<System>\sysconf.dlI>

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\
OpenSaveMRU\exe\a

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell
Explorer.exe "<System>\system.dlI"



HKCR\.mp3\DefaultIcon\
<Program Files>\Winamp\Winamp.exe,1

HKCR\.mp3\shell\open\command\
<System>\COMCTL32.PID" "%1"

HKCR\.dlI\shell\open\command\
"%1" %*

HKCR\.dlI\DefaultIcon\
<System>\shell32.dll,-154

HKCR\.dlI\
Application Extension

HKCR\.PID\shell\open\command\
"%1" %*

HKCR\.PID\DefaultIcon\
<System>\app.sys,-154

HKCR\.PID\
PID file
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

ويروس Dref-V

توضيحات :



Dref-V ويروسي است كه از طريق ميل و كامپيوتر هاي شبكه منتشر مي شود .

subject ميلي كه توسط اين ويروس فرستاده مي شود "Happy New Year!" مي باشد ، همچنين داراي يك فايل الحاقي به نام postcard.exe مي باشد .



ويروس Dref-V مي تواند به اينترنت متصل شود و از طريق پورت 80 (HTTP) با سرور راه دور ارتباط برقرار كند .

همچنين اين ويروس با اولين اجرا در <System>\alsys.exe كپي مي شود و مدخل هاي زير رادر رجيستري ايجاد مي كند :

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Agent
<System>\alsys.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Agent
<System>\alsys.exe

W32/Dref-V sets the following registry entries, disabling the automatic startup of other software:

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Start
4



توصيه ها :

1 . به روز كردن آنتي ويروس

2 . دريافت Removal از سايت Kaspersky

3 . روش پاك سازي به صورت دستي :

ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه"''''Export Registry File و در پنل''''''Export range''''گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.

حال در مدخل HKEY_CURRENT_USERوHKEY_LOCAL_MACHINEرجيستري زير مدخلهاي:



HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Agent
<System>\alsys.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Agent
<System>\alsys.exe

W32/Dref-V sets the following registry entries, disabling the automatic startup of other software:

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Start
4

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد

تروجان Agent-DYG

توضیحات :
Agent-DYG تروجانی برای سیستم های ویندوزی می باشد که در <System>\logmen.exe کپی می شود .و با اجرای اولیه logmen.exe مدخل زیر در رجیستری ایجاد می شود :
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\(32E79AE2-96C6-7A4B-0407-050408030200)
StubPath
<System>\logmen.exe
توصیه ها :
1 . به روز كردن آنتي ويروس
2 . دريافت Removal از سايت Kaspersky
3 . روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه"''''Export Registry File و در پنل''''''''Export range'''''''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINEرجيستري زير مدخلهاي:
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\(32E79AE2-96C6-7A4B-0407-050408030200)
StubPath
<System>\logmen.exe
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.