Info
نوشته های بعدی
خوش به حال اونی که کشته شد
تكمله نشانگر یاهو
راهنمای ساخت قالب برای ام تی
نوشته های قبلی
1-سکوت
2-دختران انتظار
3-عشق است
دونفر و يك بلاگ
شب احیا

عجب شبی بود دیشب،
یكی از دوستان قدیمی قربانی (Magic PS) این تروجان معروف، شده بود. (قابل توجه نویسنده آن)
این دوست عزیز در منطقه‌ای كه بودند نمیتونستند با خیال راحت از كافی‌نت هم استفاده كنند چون تمام كافی‌نت‌ها و حتی سایت اینترنت دانشگاه هم به این تروجان آلوده بود.
سعی كردم یجوری كمك كنم.
برای همین دیشب كه مثلا شب احیا بود من هم تا صبح احیا داشتم و داشتم این ضد ویروس رو مینوشتم. در كل چیز بدی از آب در نیومد. لااقل تا اونجا كه تست كردم مشكل خاصی نداره، ولی این فقط نسخه آلفای برنامه است (یعنی نویسنده اون رو به همكاراش و دوستای نزدیكش میده كه اشكالات و ایراداش برطرف بشه)

اینم از ویروس یاب ما (دامت بركاته) حجم تنها 75 كیلو بایت
Magic

خصوصیات ویروس‌یاب:
زبان برنامه نویسی: ویژوال بیسیك (نسخه 6)
با استفاده از كدهای API به میزان وفور
حجم برنامه: تنها 75K
قابل اجرا در: ویندوز XP، ME، 2000 و - (ویندوزهای 98 در صورتی كه فایلهای مخصوص ویژوال بیسیك (MSVBVM06.DLL) را در شاخه سیستم خود داشته باشید.)
تنها یه نكته برای استفاده در ویندوز اكس پی و شاید هم 2000 اینه كه باید یه بار این برنامه رو اجرا كنید و بزارین بگرده. بعد كامپیوتر رو ریست كنید و دوباره بگردین كه كامل ویروس از بین بره. (توی ملنیوم یا 98 اتومات كار میكنه و ریست هم نمیخواد)
نویسنده: خودم
مدت زمان نگارش: حدود 3 ساعت
قیافه: بی‌ریخت
كارایی: این برنامه با شناسایی ویروس در حافظه آن را از اجرا خارج كرده و سپس به شناسایی محل قرار گرفتن فایل اجرایی آن بر روی هارد دیسك می‌پردازد كه در مرحله بعد این فایل نیز پاك میگردد. سپس تمامی رد پاهای برنامه از رجیستری نیز حذف میگردد تا تمامی توانایی اجرای ویروس از بین برود.
قابلیت شناسایی: Magic PS نسخه 1.41 به قبل با این برنامه قابل شناسایی و حذف میباشد.

اصلا این كه میگی چی هست؟
اینی كه داریم دربارش صحبت میكنیم یه برنامه جاسوسه
برنامه - جاسوس - مگه میشه؟
بابام جان، برنامه جاسوس به برنامه‌ای میگن كه اطلاعات كامپیوتر شما رو میدزده و به یه نفر دیگه كه میتونه ازشون استفاده كنه میفرسته
اوا خاك بر سرم ننه، حالا چی میدزده این بی‌مروت؟
وقتی میگیم اطلاعات منظور هرچی تو كامپیوترتونه دیگه. یه وقت یكی میاد اكانت اینترنت شما رو میدزده، یكی میاد رمز ایمیل شما رو برمیداره، اگه خارجكی هم باشین و از كارت اعتباری برای خرید تو اینترنت استفاده میكنین، این برنامه میتونه رمز كارت شما رو لو بده.
وای این كه خیلی ترسناكه. یعنی میگی مسریه؟ همه میگیرن؟ مثل ایدز میمونه؟
معلومه كه ترسناكه، البته همیشه آلوده شدن شخص تقصیر خودشه (تقریبا مثل ایدز). معمولا ما ها كه كمتر اطلاعات داریم میایم و هرچی از این و اون به دستمون رسید رو اجرا می‌كنیم(كاملا مثل ایدز)، چه از طریق ایمیل، چه از طریق دوستای ناباب، چه CD و چه انتقال اطلاعات از هر طریق ممكن این اطلاعات به دستمون رسیده باشه. پس مواظب خودتون باشین و هركی بهتون هر چی داد زود اجراش نكنین، هرچند اسمی داشته باشه كه نتونین طاقت بیارین و بازش نكنین.
حالا ما چیكار كنیم كه آلوده نشیم؟
همونطور كه گفتم سعی كنید هر چی به دستتون رسید فوری باز نكنید. اگه یه Email دریافت كردید و دیدید یه پیوست (Attachment) داره به اسم Love یا نمیدونم Beauty Screen Saver یا هر اسم جالب دیگه یهویی حول نكنید كه وای ببین كدوم عزیزی برام اینو فرستاده و زودی بازش كنید. خوب اینجوری درجا ویروس میگیرن. یادتونه مامانتون كوچیكتر كه بودین همیشه بهتون میگفت از دست غریبه‌ها چیزی نگیرین؟ اینم همینطوریه. از ناشناس چیز نگیرین حتی اگه ادای عاشقای حرفه‌ای رو در آورد.
راه پیشگیری چیزی داره؟
بهترین راه حل همیشه داشتن یه ضد ویروس قوی و جدیده. من كه خودم شخصا Norton AntiVirus رو پیشنهاد میدم. با كلی ضد ویروس دیگه هم كار كردم ولی هیچكدوم به اطمینان و قدرت این نمیرسه.
برین از دوستی، فامیلی، كسی كه میشناسین یه CD بگیرین كه توش نورتون داشته باشه. هر ورژنی (Version) هم بود مهم نیست. بعد یه سر بزنید سایت خود نورتون قسمت Update مشخصات ویروس‌ها كه هر روز آپدیت میشه و از اونجا این فایل 4 مگابایتی رو دانلود كنید. (فایل 7 مگیه یا فایل 1.5 مگیا رو دانلود نكنید ها) توصیه من اینه كه حداقل ماهی یه بار این كار رو بكنید. (نكردید هر 2 ماه یه بار آپدیت كنید، نخواستین 3 ماه یه بار،نشد 4 ماه یه‌بار، اصلا به من چه كه چند ماه یه بار) و بعد اجراش كنید كه ویروس‌یابتون به روز بشه. اینجوری احتمال گرفتن ویروس خیلی كمتر میشه.
اینجوری كه گفتی هوس كردم منم یه بار از این برنامه بد، بدا استفاده كنم.
میل خودتونه. ببینین معمولا این برنامه‌های دزد و جاسوس رو یه سری برنامه‌نویس حرفه‌ای مینویسن، اونام كه نمیان به خاطر چشم و ابروی من مفت و مجانی برنامه بنویسن، حتما یه چیزی توش داره كه همچین جونورایی درست میكنن. معمولا این برنامه‌های دزد هم برای شما دزدی میكنن هم برای نویسنده، یعنی وقتی شما اجرا میكنیدشون اطلاعات شما رو كش میرن و میبرن میدن به صاحابش و اطلاعات اون بنده خدایی هم كه شما خواستین آلوده كنین رو میدن به شما. در اصل یه جاسوس دو جانبه هستن.

حالا راجب ضد ویروست بگو! اصلا بگو ببینیم برای چی این كارو كردی؟ مگه بیكاری؟
نه بیكار نیستم ولی اول كه گفتم این دوستمون آقا آرش اینو از ما خواست ما هم اجابت كردیم، گفتیم صواب داره.
در ضمن من از اینجور كارها بدم نمیاد، میشه یه امتحان برای خودم. برنامه نویسی سیستمی رو خیلی دوست دارم. مخصوصا وقتی به كارهای امنیتی و شبكه مربوط بشه. اینم اولین نوع ضد ویروس من بود كه نوشم. خودم كلی كیف كردم.

اینجاهاش دیگه یخورده تخصصیه اگه نخواستین نخونین:
1- ویروس رو اول یه چك كردم ولی چون زیاد از تو مایه‌های كرك وارد نیستم نتونستم خیلی وارد فایل اجراییش بشم. با یه Trace مشخص شد كه از UPX برای فشرده كردن EXE استفاده كرده ولی با یه برنامه دیگه كه نتونستم بفهمم چیه روش یه Protection گذاشته بود كه خلاصه بیخیال شدم و نتونستم بازش كنم.
حتی ممكنه از یه نسخه UPX تغییر كرده استفاده كرده باشه؟! چون این برنامه Open Source است. (Open Source به برنامه‌هایی میگن كه نویسنده كد اصلی برنامه رو بصورت رایگان در اختیار دیگران قرار میده تا اونها هم بتونن كد رو ببینن و یاد بگیرن، ولی اگه كسی تغییری توی كد اصلی داد باید بالاش بنویسه كه این كد رو از كجا ورداشتم و مال كیه.)

2- با یه نگاه تو فایل اجرایی Server (همون فایلی كه برای مقتول فرستاده میشه) یه چیزای عجیبی دیدم: مثل اینكه این جناب اسب تروا كه قراره برای شما كار كنه و ID و رمز مسنجر طرف رو برای شما ارسال كنه كارهای دیگه‌ای هم انجام میدن. فكر كنم اگه درست فهمیده باشم اكانت اینترنت ایشون رو برای سازنده ارسال میكنه. اینجوری اگه فرض كنیم هر شب 10 نفر جدید از این برنامه در كل ایران استفاده كنن و هر كدوم یه كارت 30 ساعته داشته باشن، میكنه از قرار شبی 300 ساعت اینترنت مفت و مجانی در همه جای ایران كه سرای من است.

3- اولش میترسیدم فایل Server رو اجرا كنم ولی بعد یواش یواش دل شیر پیدا كردم و فكر كنم تا حالا بیش از 200 مرتبه اجراش كردم. كلا برنامه بی آزاری به نظرم رسید. (البته نه برای همه: حتی شما دوست عزیز) كافیه یه بار این برنامه خوشگل و هوس انگیز رو اجرا كنید تا اكانت شما هم لو بره. در كل كد قشنگی داشت. با دلفی نوشته بودنش و منم از دلفی زیاد سر در نمیارم. با این حال استفاده ماهرانه از API توش واضح بود كه به نظرم جالب اومد.

4- از نویسندش خوشم اومد. یه مهندس اجتماعی حرفه‌ای بوده، میدونسته مردم ایران از چه چیزایی خوششون میاد و دنبال چه چیزایی هستن. مخصوصا اسمهایی كه برای Server انتخاب كرده بود برام جالب بود مثلا:
Scooter.exe Khafan.exe MyPic.jpg.scr Love.exe Yahoo_Cracker.exe Boos.exe Hediye_tehrani.exe Arian.exe Googoosh.exe
بابا طرف روانشناسه. والا اگه برای منم خیلی از این فایلها بیاد شاید باز كنم :)

5- روش فرستادن اطلاعاتش هم فكر نو بود. تا حالا ندیده بودم. معمولا تروجان ها از یه پورت استفاده میكنن و برای همین هم زود به دام FireWall ها و برنامه‌های مشابه میوفتن ولی این یكی از مسنجر استفاده میكنه كه خیلی هم بی سر و صدا و آب زیر كاهانه كارش رو میكنه.

6- در آخر هم از نویسنده یا نویسندگان محترم این برنامه خواهش میكنم این بنده حقیر رو اعدام نكنن. بابا شما یه برنامه نوشتین مردم رو بیچاره كنین، ما هم یه برنامه نوشتیم اون بیچاره‌ها رو با چاره كنیم. یه وقت به سرتون نزنه از این گناهای كبیره بكنین و بیاین همگی بریزین سر ماها. این دفعه رو بی خیال شین. حتی جرات نكردم اسم خودم رو توی برنامه بنویسم ;)

نوشته جناب lost در تاریخ: November 14, 2003 8:22 AM
لینک دنبالک: http://www.lostlord.com/cgi-bin/mt4rc2/mt-tb.cgi/240