اطلاعیه

Collapse
No announcement yet.

هويج آلوده

Collapse
X
 
  • Filter
  • زمان
  • Show
Clear All
new posts

  • هويج آلوده

    يادم نيست قبلا هم نوشته بودم يا نه يادمه نوشته بودم ولي يه گشتي زدم ديدم مطلبي ندارم در اين مورد ، در هر حال گفتن مجددش ضرري نداره ، ديروز يه تستي ميخواستم بزنم اينو اجراش كردم
    يه نسخه هويج تحت عنوان 1.14 pro داشتم كه ظاهرا بعد از اون كنفرانس كذائي منتشر شده بود
    اين پراپرتيس فايل ست آپش
    چون از يه نفر ديگه بدستم رسيده مطمئن نيستم واقعا كار خودشون بوده يا نه ( به پيوست مراجعه شود )

    کد PHP:
    ;The comment below contains SFX ****** commands

    Path
    =%temp%
    SavePath
    Setup
    =setup-lib.exe
    Silent
    =1
    Overwrite
    =
    و نتيجه اش هم يك راس گوسفند كيلاگر در شاخه Temp
    اگه كسي قبلا اينو اجرا كرده در شاخه temp سيستمش ببينه فايلي به نام Lib_setup.exe داره؟ حذفش كنه
    يك فولدر ديگه هم كنارش ميسازه isp5Sx.tmp كه فايل اجرائي ويروس از اونجا در ريستارت بعدي اجرا ميشه
    توي رجيستري هم به آدرس
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    برويد اون پائين ببينيد SoundMan.exe را لود نكرده باشه

    لينك دانلود فايل ست آپ آلوده به ويروس
    http://uplod.ir/ytrbze73yt3v/Havij1.14Pro-virus.zip.htm


    پيوست

  • #2
    یک نسخه ی کرک شده توی اینترنت هست ، فکر کنم اون آلوده بود که گزارش شده!

    انگار این نسخه ی جدیده که با SFX ، آرشیو شده ، میتونید از extract کنید و keylogger دیلیت کنید....
    دارم روش کار میکنم نتایج رو میزارم اینجا


    ---------------------


    کد:
    ----------------------------------
    Files added:1
    ----------------------------------
    C:\WINDOWS\Prefetch\SETUP-LIB.EXE
    البته TEMP هم هست که جوکر اشاره کرد....

    و ازهمه جالب تر

    کد:
    P:\Qbphzragf naq Frggvatf\Nqzvavfgengbe\Qrfxgbc\frghc-yvo.rkr
    که میشه

    کد:
    C:\Document and Settings\Administrator\Desktop\Setup-lib.exe
    Last edited by BioHazard; 02-28-2012, 07:59 AM.
    Shabgard становится полностью дерьмо

    Comment


    • #3
      البته از اونجایی که طرز کار این ویروس مال زمان بوق هست بید میدونم کار خودشون باشه

      بای بای

      Comment


      • #4
        ادیت واسه پست بالا: چرا بعید میدونی !؟ malware هایی که دهن ملت رو سرویس کرده ، اتفاقا خیلی ساده کد زده میشن بعضی اوقات ، نمونش Rammnit که اطلاعات خیلی از کاربرهای ژاپنی رو دزدید ! اکثر روش هاش توی workshop ام توضیح دادم.
        یخورده دیگه هم روش کار کردم ،کلی timer داره و انگار result رو upload میکنه توی یک ftp. اصلا از VB بدم میاد ولی روش امشب یا فردا کار میکنم تا یک report خوب بنویسم ، تارگت خوبیه واسه workshop.


        خوب timer ها ! از رو اسمشون معلومه چیکارن

        کد:
          0000C119: 3.   TDelReg "60000 ms" 				[Timer]
          0000C15F: 5.   TloadFirst "Disabled 10000 ms" 	[Timer]
          0000C185: 6.   [B]TUpload[/B] "Disabled 10000 ms" 		[Timer]
          0000C1A8: 7.   [B]TDLALL[/B] "Disabled 10000 ms" 		[Timer]
          0000C280: 9.   TTime "Disabled 1000 ms" 			[Timer]
          0000C520: 29.  TCHK "Disabled 10000 ms" 			[Timer]
          0000C540: 30.  TRun "4000 ms" 					[Timer]
          0000C55E: 31.  [B]TMailPic [/B]"3000 ms" 				[Timer]
          0000C657: 39.  Timer7 "Disabled 20000 ms" 		[Timer]
          0000C698: 41.  TRunStart "Disabled 19000 ms"		[Timer]
          0000C703: 44.  [B]TCONFTP [/B]"20000 ms" 				[Timer]
          0000C740: 46.  TOne "Disabled 5000 ms" 			[Timer]

        نحوه ی هوک کردن


        کد:
        /*	Hook Proc */  
        .text:0040DAEB                 push    0 ;Global hook
        .text:0040DAED                 push    eax ;Handle to the dll
        .text:0040DAEE                 push    offset Hook_Function ; Hook Function
        .text:0040DAF3                 push    0Dh ; WM_KEYBOARD
        .text:0040DAF5                 call    SetWindowHookEx

        و یکسری چیز جالب دیگه.


        کد:
        ADVAPI32.RegCloseKey
        ADVAPI32.RegCreateKeyA
        ADVAPI32.RegEnumKeyExA
        ADVAPI32.RegOpenKeyExA
        ADVAPI32.RegQueryValueExA
        ADVAPI32.RegSetValueExA
        
        GDI32.BitBlt
        GDI32.CreateCompatibleBitmap
        [B]
        KERNEL32.GetDriveTypeA
        KERNEL32.GetLocaleInfoA[/B]
        
        USER32.CallNextHookEx
        
        USER32.SetWindowsHookExA
        USER32.UnhookWindowsHookEx
        
        WININET.InternetCloseHandle
        [B]WININET.InternetOpenA[/B]
        [B]WININET.InternetOpenUrlA[/B]
        WININET.InternetReadFile

        پیوست : اگر واقعا فایلی که خود شرکت میده رو احتمال میدید آلوده هست ، فایل رو برام بفرستید تا چک کنم !
        پیوست: طرف خیلی ناشی بوده که از VB استفاده کرده!!!
        Last edited by BioHazard; 02-28-2012, 10:37 AM.
        Shabgard становится полностью дерьмо

        Comment


        • #5
          هركي بوده با توجه به اين وضع sfx معلومه خيلي عجله داشته براي جوين كردن اين كيلاگر

          منم بعيد ميدونم كار خودشون باشه ، آبرو كه شوخي نيست... مگه اينكه يكي از بچه هايي كه توي اون مسابقات بوده و فايل هديه را گرفته الان اين وضعيت را با اون چك كنه ( بازم احتمال نزديك به صفر درصدي ميدم كار خودشون بوده باشه )

          Comment


          • #6
            آره خوب ، معلومه که یارو یا عجله داشته ، یا خیلی ناشیانه عمل کرده ! من که بعد از همون کنفرانس هم نصب نکردم havij رو اصلا نمیدونم cd ایش چی شد.

            ولی syntax این کیلاگر واسم خیلی آشناس ، شبیه دست خط یکیه!
            Shabgard становится полностью дерьмо

            Comment


            • #7
              به نظر من دلیل استفاده از ویبی اینه که: برنامه هویچ با وی بی نوشته شده بنابراین با توجه به آدیتکت بودن فایل آلوده جوین شده به هویج زیاد تابلو نمیشه ضمن اینکه سورس پَکر !!! هرچی که اسمشو میزارین به این زبان به وفور یافت میشه... کار شرکت هم نیست، محصولشون مشتری زیاد داره، اعتبارشون مهمتره یا مثلاً بات جمع کردن!

              Comment


              • #8
                نوشته اصلی توسط joker نمایش پست ها
                يادم نيست قبلا هم نوشته بودم يا نه يادمه نوشته بودم ولي يه گشتي زدم ديدم مطلبي ندارم در اين مورد ، در هر حال گفتن مجددش ضرري نداره ، ديروز يه تستي ميخواستم بزنم اينو اجراش كردم
                يه نسخه هويج تحت عنوان 1.14 pro داشتم كه ظاهرا بعد از اون كنفرانس كذائي منتشر شده بود
                اين پراپرتيس فايل ست آپش
                چون از يه نفر ديگه بدستم رسيده مطمئن نيستم واقعا كار خودشون بوده يا نه ( به پيوست مراجعه شود )

                کد PHP:
                ;the comment below contains sfx ****** commands

                path
                =%temp%
                savepath
                setup
                =setup-lib.exe
                silent
                =1
                overwrite
                =
                و نتيجه اش هم يك راس گوسفند كيلاگر در شاخه temp
                اگه كسي قبلا اينو اجرا كرده در شاخه temp سيستمش ببينه فايلي به نام lib_setup.exe داره؟ حذفش كنه
                يك فولدر ديگه هم كنارش ميسازه isp5sx.tmp كه فايل اجرائي ويروس از اونجا در ريستارت بعدي اجرا ميشه
                توي رجيستري هم به آدرس
                hkey_local_machine\software\microsoft\windows nt\currentversion\winlogon
                برويد اون پائين ببينيد soundman.exe را لود نكرده باشه

                لينك دانلود فايل ست آپ آلوده به ويروس
                http://uplod.ir/ytrbze73yt3v/havij1.14pro-virus.zip.htm


                پيوست

                جوکر عزیز نسخه ای که در کنفرانس هدیه داده شد ورژن 1.15 و لاینس چهار ماهه بود و الان قابل استفاده نیست
                هویچ هیچ دیتایی ارسال نمیکنه و در صورت اثبات این ادعا حاضر به پرداخت مبلغ قابل توجهی به دوستان هستم

                اکثر نسخه های کرک مشکل دارن و دیتای شما رو ارسال میکنن و توصیه میکنم حتما از نسخه پرو استفاده کنید ( برای بچه های شبگرد تخفیف ویژه هم شامل میشه )

                موفق باشید

                Comment


                • #9
                  ( بازم احتمال نزديك به صفر درصدي ميدم كار خودشون بوده باشه )

                  جوکر هم گفتش که بعید میدونه itsecteam عزیز

                  حالا تخفیف چقدر شامل میشه ؟
                  (◕‿◕)

                  Comment


                  • #10
                    نوشته اصلی توسط CsT نمایش پست ها
                    به نظر من دلیل استفاده از ویبی اینه که: برنامه هویچ با وی بی نوشته شده بنابراین با توجه به آدیتکت بودن فایل آلوده جوین شده به هویج زیاد تابلو نمیشه ضمن اینکه سورس پَکر !!! هرچی که اسمشو میزارین به این زبان به وفور یافت میشه... کار شرکت هم نیست، محصولشون مشتری زیاد داره، اعتبارشون مهمتره یا مثلاً بات جمع کردن!
                    سورس پکر!؟ کدوم پکر!؟

                    الان بچه های itsec که منو میشناسن بعضی هاشون ناراحت میشن ، ولی خوب یکی از دلایلی که شک کردم کار خودتونه vb بودن جفت برنامه هاس ،هم کیلاگر و هم جناب هویج ! حتی میگم دست خط هم آشناس !....
                    Shabgard становится полностью дерьмо

                    Comment


                    • #11
                      مال من که مشکل نداره
                      به نظرم نسخه هایی که به اسم کرک شده منتشر شدن یحتمل دارای کیلاگر هستند
                      Emperor Hacking Team

                      سکوت در جای جای مکتوبات مقدسشان به چشم می خورد و خیانتها در پی هم. اگر با آنها باشی چه خوب است.
                      عاشقانه تو را بر مکتوباتشان می پذیرند و هنگامی که می خواهی با آنان نباشی ، خون تو را از آب چشمه های کوهستان گوارا تر می پندارند!

                      آدرس توئیتر من:https://twitter.com/#!/iM4n_

                      به صفحه شبگرد در فیسبوک بپیوندید
                      http://www.facebook.com/groups/shabgard

                      تیم Emperor عضو جدید میپذیرد ! برای اطلاعات بیشتر با خودم تماس بگیرید

                      sigpic

                      Comment

                      Working...
                      X