فيروس يصيب ملفات Delphi فقط
#11
جزاك الله خيرا ،و حفظنا الله و إياكم من كل سوء
الرد
#12
السلام عليكم و رحمة الله
المرفق يحتوي على اداة بدائية تكشف الكود الخبيث للفيروس...

اسم الأداة : SlugMRT :happy:

هذا الاصدار يكشف الملفات الملوثة الغير مضغوطة ... يعمل على النسخة الحالية للفيروس و لا يقوم بالتنظيف...

بالتوفيق ان شاء الله


الملفات المرفقة
.rar   SlugMRT.rar (الحجم : 151.36 KB / التحميلات : 214)
الرد
#13
نعم وللاسف هذا الفيروس اصاب لي ملفات تنفيذية مصنوعة بدلفي 07 ومنها النسخة التي في هذا المنتدى
فقانم مصاد الفيروسات avast 4.8 مع آخر التحديثات بحذفها كلها

وللمزيد لمعرفة هذا الفيروس انظر ما كتب في موقع لشركة ميكروسوفت

كود :
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Virus%3AWin32%2FInduc.A&ThreatID=-2147339668
وشكرا
الرد
#14
واليكم مواقع لمضادات الفيروسات تتكلم عن هذا الفيروس المكتشف حديثا
كود :
[COLOR=blue]http://news.bitdefender.com/NW1116-en--BitDefender-Finds-Win32.Induc.A-Puts-Delphi-Compilers-at-Risk-and-Compromises-Legitimate-Applications.html[/COLOR]
[COLOR=blue]http://blog.avast.com/2009/08/19/win32induc-new-concept-of-file-infector/[/COLOR]
[COLOR=blue]http://www.viruslist.com/en/weblog?weblogid=208187826[/COLOR]
وكأن المستهدف هو المبرمجين بلغة دلفي خاصة بعد بيع شركة بورلندا كمااعلن في احد المواقع على ذلك
وشكرا
الرد
#15
إقتباس :وكأن المستهدف هو المبرمجين بلغة دلفي خاصة بعد بيع شركة بورلندا كمااعلن في احد المواقع على ذلك
لا اظن ذلك لان الفيروس لا يعمل اي شئ ضار، حتى انه يترك الملف الأصلي دون اي تلويث...
الشئ المهم هو ان مصمم الفيروس اكتشف ثغرة و استغلها في تكاثر الفيروس فقط و تلويث اجهزة اخرى بهذه الطريقة الفعالة...

صادفت شركة اجنبية خاصة قامت بتحديث مكوناتها الملوثة بصمت بعد اصابتها بهذا الفيروس امس مساءا دون اعلام زبائنها...

الفيروس بهذه الصورة لم يعمل اي شئ يضر الجهاز الملوث، لانه كان باستطاعته اضافة امر بسيط يقوم بحذف كل الملفات المصدرية في الجهاز المصاب...

دراسة طريقة انتشاره فرصة يجب على كل مبرمج اغتنامها لانه بعد ايام يكون الموضوع منتهي Smile
الرد
#16
ياخي STRELiTZIA اظنك تستعمل هاته البصمة في اداتك :

كود :
43726561746546696c6528706368617228642b2462616b24292c302c302c302c332c302c3029

اذن حظر نفسك لاستعمال ال WildCards في الايام المقبلة ....
جيد جدا انك قمت ببرمجة هاته الاداة و التي كنت سوف ابرمجها بعد طلب من بعض الاخوة الان سوف ارسلهم الى هذا الرابط لتحميلها و استعمالها ....
**
سوف ارسل لك على الخاص شئ مهم يمكن ان تظيفه لاداتك وسوف تساعد باذن الله..

اخوك محمد
الرد
#17
STRELiTZIA كتب :السلام عليكم و رحمة الله

التنظيف يكون على مرحلتين :
المرحلة الأولى :
1- حذف ملف SysConst.dcu من المجلد bin
2- نسخ ملف SysConst.bak و اعادة تسمية النسخة الى SysConst.dcu
3- الاحتفاظ بالنسخة SysConst.bak لكي لا يتم اعادة تلويث المجلد من جديد.

بالتوفيق ان شاء الله

هذه الملفات موجودة عندي في مجلد Lib وليس bin .. فهل هي ملفات مختلفة عن الملفات التي يصيبها الفايروس ؟؟
الرد
#18
السلام عليكم و رحمة الله
إقتباس :هذه الملفات موجودة عندي في مجلد Lib وليس bin .. فهل هي ملفات مختلفة عن الملفات التي يصيبها الفايروس ؟؟

المجلد الذي اتحدث عنه هو Lib و ليس bin خطأ مطبعي :monster2:

افحص بالأداة ملف SysConst.dcu او اي ملف تنفيذي قمت بعمله و اخبرنا بالنتيجة...

بالتوفيق ان شاء الله
الرد
#19
او يمكن استعمال الاداة التالية
ماتقوم به الاداة هو عمل حماية قبل التلويث ...
بحيث تقوم بتالي :
عمل Backup لملف ال SysConst.pas في نفس المجلد :
كود :
\Source\RTL\Sys\
وهو SysConst.pas_bak ..

فاذا تم تلويث ملف ال SysConst.pas فانه في كل مرة يتم عمل Compile باستعمال هاته الوحدة الملوثة ستظهر رسالة تخبرك بانه يتم استعمال الوجدة الملوثة و ليست ال Clean .

المتطلبات : يجب ان تكون الوجدة SysConst.pas نظيفة .

****
ملاحظة هامة : الاداة تنشئ وحدة جديدة اسمها SysConst_Chk.pas تكون في المسار :
Lib\
****

والله المستعان .


الملفات المرفقة
.rar   W32.Induc.a_DIde_Protector.rar (الحجم : 44.06 KB / التحميلات : 64)
الرد
#20
السلام عليكم و رحمة الله
اداة جميلة اخي mohfa بارك الله فيك Smile

----
سياسة شركات مضادات الفيروسات في محاولة السبق في تصنيف البرامج الضارة.

تقول شركة Sophos انها اكتشفت نسخة جديدة من الفيروس و تم تسميتها : Mal/Induc-B
و الغريب ان النسخة المتحدث عنها هي الملف الأصلي SysConst.pas بعد التلويث و قبل الــ compilation الذي تم اضافة الكود الخبيث اليه... لينتج الملف SysConst.dcu المصنف : Mal/Induc-A
يعني لا يوجد جديد فعلا... هي فقط مراوغة و تشهير للشركة...

و هذه نتيجة التحليل الذي ارسلته الي Virus Total
و العجيب ان 3 من 41 شركة تكتشف الملف الملوث في هذه الدقيقة... مع انه ملف نشأ في نفس الوقت مع الفيروس...

كود :
http://www.virustotal.com/fr/analisis/62164e6ae8d4c65b09a3f8a88b9be5969012cc3b40d11747646e3bf5a22e4668-1250917575

يعني بهذه السياسة سنحصل على ثلاثة تصنيفات في الأيام القادمة...
تصنيف ملف DCU
تصنيف ملف PAS
تصنيف ملف PE EXECUTABLE

عدم تحدث شركات الحماية على ملف PAS الملوث من قبل راجع الى ان الفيروس يحذف الملف المعدل - الملوث - بعد عمل الــ Compilation

حدث نفس الشئ من قبل مع فيروس Tazebama حيث ان الملف المصنف و الذي تكشفه برامج الحماية مضغوط و Polymorphic Packed و بعد عمل Unpacking للملف المضغوط لم يتم التعرف عليه حينها، حتى تم ارسال النسخة لشركة Kaspersky Lab و بعدها تم اضافة بصمته مع التحديثات...

المرفق ملف SysConst.pas الملوث... جربوا عليه مضادات البرامج الضارة التي تحبون

ملاحظة : اداة SlugMRT تتعرف على ملف PAS الملوث دون اضافة اي بصمة اضافية...

بالتوفيق ان شاء الله


الملفات المرفقة
.rar   SysConst.rar (الحجم : 3.46 KB / التحميلات : 60)
الرد


التنقل السريع :


مستخدمين يتصفحوا هذا الموضوع: 1 ضيف