نمایش نتایج: از شماره 1 تا 11 , از مجموع 11

موضوع: هويج آلوده

  1. #1
    تاریخ عضویت
    Dec 2005
    محل سکونت
    اصفهان
    نوشته ها
    4,931
    تشکر از ارسال
    1,770
    Thanked 1,401 Times in 345 Posts

    هويج آلوده

    يادم نيست قبلا هم نوشته بودم يا نه يادمه نوشته بودم ولي يه گشتي زدم ديدم مطلبي ندارم در اين مورد ، در هر حال گفتن مجددش ضرري نداره ، ديروز يه تستي ميخواستم بزنم اينو اجراش كردم
    يه نسخه هويج تحت عنوان 1.14 pro داشتم كه ظاهرا بعد از اون كنفرانس كذائي منتشر شده بود
    اين پراپرتيس فايل ست آپش
    چون از يه نفر ديگه بدستم رسيده مطمئن نيستم واقعا كار خودشون بوده يا نه ( به پيوست مراجعه شود )

    کد PHP:
    ;The comment below contains SFX ****** commands

    Path
    =%temp%
    SavePath
    Setup
    =setup-lib.exe
    Silent
    =1
    Overwrite
    =
    و نتيجه اش هم يك راس گوسفند كيلاگر در شاخه Temp
    اگه كسي قبلا اينو اجرا كرده در شاخه temp سيستمش ببينه فايلي به نام Lib_setup.exe داره؟ حذفش كنه
    يك فولدر ديگه هم كنارش ميسازه isp5Sx.tmp كه فايل اجرائي ويروس از اونجا در ريستارت بعدي اجرا ميشه
    توي رجيستري هم به آدرس
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    برويد اون پائين ببينيد SoundMan.exe را لود نكرده باشه

    لينك دانلود فايل ست آپ آلوده به ويروس
    http://uplod.ir/ytrbze73yt3v/Havij1.14Pro-virus.zip.htm


    پيوست

  2. #2
    تاریخ عضویت
    May 2009
    نوشته ها
    672
    تشکر از ارسال
    357
    Thanked 65 Times in 34 Posts
    یک نسخه ی کرک شده توی اینترنت هست ، فکر کنم اون آلوده بود که گزارش شده!

    انگار این نسخه ی جدیده که با SFX ، آرشیو شده ، میتونید از extract کنید و keylogger دیلیت کنید....
    دارم روش کار میکنم نتایج رو میزارم اینجا


    ---------------------


    کد:
    ----------------------------------
    Files added:1
    ----------------------------------
    C:\WINDOWS\Prefetch\SETUP-LIB.EXE
    البته TEMP هم هست که جوکر اشاره کرد....

    و ازهمه جالب تر

    کد:
    P:\Qbphzragf naq Frggvatf\Nqzvavfgengbe\Qrfxgbc\frghc-yvo.rkr
    که میشه

    کد:
    C:\Document and Settings\Administrator\Desktop\Setup-lib.exe
    ویرایش توسط BioHazard : 02-28-2012 در ساعت 06:29 AM
    Shabgard становится полностью дерьмо

  3. #3
    تاریخ عضویت
    Nov 2007
    محل سکونت
    yyy
    نوشته ها
    195
    تشکر از ارسال
    499
    Thanked 205 Times in 69 Posts
    البته از اونجایی که طرز کار این ویروس مال زمان بوق هست بید میدونم کار خودشون باشه

  4. #4
    تاریخ عضویت
    May 2009
    نوشته ها
    672
    تشکر از ارسال
    357
    Thanked 65 Times in 34 Posts
    ادیت واسه پست بالا: چرا بعید میدونی !؟ malware هایی که دهن ملت رو سرویس کرده ، اتفاقا خیلی ساده کد زده میشن بعضی اوقات ، نمونش Rammnit که اطلاعات خیلی از کاربرهای ژاپنی رو دزدید ! اکثر روش هاش توی workshop ام توضیح دادم.
    یخورده دیگه هم روش کار کردم ،کلی timer داره و انگار result رو upload میکنه توی یک ftp. اصلا از VB بدم میاد ولی روش امشب یا فردا کار میکنم تا یک report خوب بنویسم ، تارگت خوبیه واسه workshop.


    خوب timer ها ! از رو اسمشون معلومه چیکارن

    کد:
      0000C119: 3.   TDelReg "60000 ms" 				[Timer]
      0000C15F: 5.   TloadFirst "Disabled 10000 ms" 	[Timer]
      0000C185: 6.   TUpload "Disabled 10000 ms" 		[Timer]
      0000C1A8: 7.   TDLALL "Disabled 10000 ms" 		[Timer]
      0000C280: 9.   TTime "Disabled 1000 ms" 			[Timer]
      0000C520: 29.  TCHK "Disabled 10000 ms" 			[Timer]
      0000C540: 30.  TRun "4000 ms" 					[Timer]
      0000C55E: 31.  TMailPic "3000 ms" 				[Timer]
      0000C657: 39.  Timer7 "Disabled 20000 ms" 		[Timer]
      0000C698: 41.  TRunStart "Disabled 19000 ms"		[Timer]
      0000C703: 44.  TCONFTP "20000 ms" 				[Timer]
      0000C740: 46.  TOne "Disabled 5000 ms" 			[Timer]

    نحوه ی هوک کردن


    کد:
    /*	Hook Proc */  
    .text:0040DAEB                 push    0 ;Global hook
    .text:0040DAED                 push    eax ;Handle to the dll
    .text:0040DAEE                 push    offset Hook_Function ; Hook Function
    .text:0040DAF3                 push    0Dh ; WM_KEYBOARD
    .text:0040DAF5                 call    SetWindowHookEx

    و یکسری چیز جالب دیگه.


    کد:
    ADVAPI32.RegCloseKey
    ADVAPI32.RegCreateKeyA
    ADVAPI32.RegEnumKeyExA
    ADVAPI32.RegOpenKeyExA
    ADVAPI32.RegQueryValueExA
    ADVAPI32.RegSetValueExA
    
    GDI32.BitBlt
    GDI32.CreateCompatibleBitmap
    
    KERNEL32.GetDriveTypeA
    KERNEL32.GetLocaleInfoA
    
    USER32.CallNextHookEx
    
    USER32.SetWindowsHookExA
    USER32.UnhookWindowsHookEx
    
    WININET.InternetCloseHandle
    WININET.InternetOpenA
    WININET.InternetOpenUrlA
    WININET.InternetReadFile

    پیوست : اگر واقعا فایلی که خود شرکت میده رو احتمال میدید آلوده هست ، فایل رو برام بفرستید تا چک کنم !
    پیوست: طرف خیلی ناشی بوده که از VB استفاده کرده!!!
    ویرایش توسط BioHazard : 02-28-2012 در ساعت 09:07 AM
    Shabgard становится полностью дерьмо

  5. #5
    تاریخ عضویت
    Dec 2005
    محل سکونت
    اصفهان
    نوشته ها
    4,931
    تشکر از ارسال
    1,770
    Thanked 1,401 Times in 345 Posts
    هركي بوده با توجه به اين وضع sfx معلومه خيلي عجله داشته براي جوين كردن اين كيلاگر

    منم بعيد ميدونم كار خودشون باشه ، آبرو كه شوخي نيست... مگه اينكه يكي از بچه هايي كه توي اون مسابقات بوده و فايل هديه را گرفته الان اين وضعيت را با اون چك كنه ( بازم احتمال نزديك به صفر درصدي ميدم كار خودشون بوده باشه )

  6. #6
    تاریخ عضویت
    May 2009
    نوشته ها
    672
    تشکر از ارسال
    357
    Thanked 65 Times in 34 Posts
    آره خوب ، معلومه که یارو یا عجله داشته ، یا خیلی ناشیانه عمل کرده ! من که بعد از همون کنفرانس هم نصب نکردم havij رو اصلا نمیدونم cd ایش چی شد.

    ولی syntax این کیلاگر واسم خیلی آشناس ، شبیه دست خط یکیه!
    Shabgard становится полностью дерьмо

  7. #7
    تاریخ عضویت
    Jul 2004
    نوشته ها
    36
    تشکر از ارسال
    83
    Thanked 45 Times in 10 Posts
    به نظر من دلیل استفاده از ویبی اینه که: برنامه هویچ با وی بی نوشته شده بنابراین با توجه به آدیتکت بودن فایل آلوده جوین شده به هویج زیاد تابلو نمیشه ضمن اینکه سورس پَکر !!! هرچی که اسمشو میزارین به این زبان به وفور یافت میشه... کار شرکت هم نیست، محصولشون مشتری زیاد داره، اعتبارشون مهمتره یا مثلاً بات جمع کردن!

  8. #8
    تاریخ عضویت
    Feb 2012
    نوشته ها
    1
    تشکر از ارسال
    0
    Thanked 0 Times in 0 Posts
    نقل قول نوشته اصلی توسط joker نمایش پست ها
    يادم نيست قبلا هم نوشته بودم يا نه يادمه نوشته بودم ولي يه گشتي زدم ديدم مطلبي ندارم در اين مورد ، در هر حال گفتن مجددش ضرري نداره ، ديروز يه تستي ميخواستم بزنم اينو اجراش كردم
    يه نسخه هويج تحت عنوان 1.14 pro داشتم كه ظاهرا بعد از اون كنفرانس كذائي منتشر شده بود
    اين پراپرتيس فايل ست آپش
    چون از يه نفر ديگه بدستم رسيده مطمئن نيستم واقعا كار خودشون بوده يا نه ( به پيوست مراجعه شود )

    کد PHP:
    ;the comment below contains sfx ****** commands

    path
    =%temp%
    savepath
    setup
    =setup-lib.exe
    silent
    =1
    overwrite
    =
    و نتيجه اش هم يك راس گوسفند كيلاگر در شاخه temp
    اگه كسي قبلا اينو اجرا كرده در شاخه temp سيستمش ببينه فايلي به نام lib_setup.exe داره؟ حذفش كنه
    يك فولدر ديگه هم كنارش ميسازه isp5sx.tmp كه فايل اجرائي ويروس از اونجا در ريستارت بعدي اجرا ميشه
    توي رجيستري هم به آدرس
    hkey_local_machine\software\microsoft\windows nt\currentversion\winlogon
    برويد اون پائين ببينيد soundman.exe را لود نكرده باشه

    لينك دانلود فايل ست آپ آلوده به ويروس
    http://uplod.ir/ytrbze73yt3v/havij1.14pro-virus.zip.htm


    پيوست

    جوکر عزیز نسخه ای که در کنفرانس هدیه داده شد ورژن 1.15 و لاینس چهار ماهه بود و الان قابل استفاده نیست
    هویچ هیچ دیتایی ارسال نمیکنه و در صورت اثبات این ادعا حاضر به پرداخت مبلغ قابل توجهی به دوستان هستم

    اکثر نسخه های کرک مشکل دارن و دیتای شما رو ارسال میکنن و توصیه میکنم حتما از نسخه پرو استفاده کنید ( برای بچه های شبگرد تخفیف ویژه هم شامل میشه )

    موفق باشید

  9. #9
    تاریخ عضویت
    Feb 2007
    محل سکونت
    odnoklassniki
    نوشته ها
    1,141
    تشکر از ارسال
    784
    Thanked 228 Times in 117 Posts
    ( بازم احتمال نزديك به صفر درصدي ميدم كار خودشون بوده باشه )

    جوکر هم گفتش که بعید میدونه itsecteam عزیز

    حالا تخفیف چقدر شامل میشه ؟

  10. #10
    تاریخ عضویت
    May 2009
    نوشته ها
    672
    تشکر از ارسال
    357
    Thanked 65 Times in 34 Posts
    نقل قول نوشته اصلی توسط CsT نمایش پست ها
    به نظر من دلیل استفاده از ویبی اینه که: برنامه هویچ با وی بی نوشته شده بنابراین با توجه به آدیتکت بودن فایل آلوده جوین شده به هویج زیاد تابلو نمیشه ضمن اینکه سورس پَکر !!! هرچی که اسمشو میزارین به این زبان به وفور یافت میشه... کار شرکت هم نیست، محصولشون مشتری زیاد داره، اعتبارشون مهمتره یا مثلاً بات جمع کردن!
    سورس پکر!؟ کدوم پکر!؟

    الان بچه های itsec که منو میشناسن بعضی هاشون ناراحت میشن ، ولی خوب یکی از دلایلی که شک کردم کار خودتونه vb بودن جفت برنامه هاس ،هم کیلاگر و هم جناب هویج ! حتی میگم دست خط هم آشناس !....
    Shabgard становится полностью дерьмо

  11. #11
    تاریخ عضویت
    Jan 2004
    محل سکونت
    IRAN
    نوشته ها
    4,999
    تشکر از ارسال
    831
    Thanked 586 Times in 225 Posts
    مال من که مشکل نداره
    به نظرم نسخه هایی که به اسم کرک شده منتشر شدن یحتمل دارای کیلاگر هستند
    Emperor Hacking Team

    سکوت در جای جای مکتوبات مقدسشان به چشم می خورد و خیانتها در پی هم. اگر با آنها باشی چه خوب است.
    عاشقانه تو را بر مکتوباتشان می پذیرند و هنگامی که می خواهی با آنان نباشی ، خون تو را از آب چشمه های کوهستان گوارا تر می پندارند!

    آدرس توئیتر من:https://twitter.com/#!/iM4n_

    به صفحه شبگرد در فیسبوک بپیوندید
    http://www.facebook.com/groups/shabgard

    تیم Emperor عضو جدید میپذیرد ! برای اطلاعات بیشتر با خودم تماس بگیرید


 

 

مجوز های ارسال و ویرایش

  • شما نمیتوانید موضوع جدیدی ارسال کنید
  • شما امکان ارسال پاسخ را ندارید
  • شما نمیتوانید فایل پیوست کنید.
  • شما نمیتوانید پست های خود را ویرایش کنید
  •