فيروس يصيب ملفات Delphi فقط
#31
اخي محمد هل جربتها على ملف مصاب بهذا الفيروس .
انا عن نفسي جربتها و نجحت , لكنني لم اجربها على البرنامج نفسه اقصد cleaner ...
سوف ارى ان شاء الله .
على كل حال الملف المصدري موجود يمكن لمن اراد ان يطورها .
الرد
#32
التخريب يكون على البرنامج نفسه اقصد Cleaner .
لان البرنامج او بالاحرى الروتين الذي سيقوم بالتنظيف سيبحث اولا عن
' uses windows; ' اذا و جدها في الملف الراد تنظيفه فسيبداء بعملية التنظيف و الا فالملف نظيف .
لماذا يخرب ملف Cleaner لان هذا الاخير يحوي ' uses windows; '
على شكل Plain .

انظر المرفق


الملفات المرفقة
.rar   Cleaner_Hex_dumped.rar (الحجم : 272 bytes / التحميلات : 25)
الرد
#33
السلام عليكم و رحمة الله

إقتباس :لماذا يخرب ملف Cleaner لان هذا الاخير يحوي ' uses windows; '

بعض الملاحظات اخي mohfa :tong:

drag and drop files
يحدث عندي مشكل عند محاولة فحص ملفات تسميتها بهذه الضيغة : sysconst_Infected
لا يتم فحصه و الأداة تخرج رسالة تقول ان الملف غير موجود...

المشكل في طول اسم الملف عند عمل drag and drop.

Cleaning

يعتبر كل ملف يحتوي في قسم الــ uses على وحدة Windows فقط، و مكتوبة في سطر واحد على ضيغة البصمة التي استعملت و خاصة الوحدات المستقلة التي يتم اضافتها الى المشاريع على انها positive و يتم تنظيفها مما يؤدي الى تخريبها.

مثال :

الملف الأصلي مكتوب بهذه الطريقة :

كود :
uses
    [COLOR=red]W[/COLOR]indows;
التعاريف ليست في نفس السطر و Windows الحرف الأول كبير...


بعد تغيير طفيف Big Grin
كود :
(******************************************************************************
*                                                                            *
*  RunOnce - Prevents application for being launched more than once          *
*                                                                            *
*  Copyright (c) 2006 Michael Puff  http://www.michael-puff.de               *
*                                                                            *
******************************************************************************)

{
   Usage:
   - Add unit to project
   - Call RunOnceInit after Application.Initialize;
   - Use for the first parameter an unique string.
     For example a GUID (Globally Unique Identifier).
     (Delphi IDE: Strg+Shift+G)
}

unit MpuRunOnce;

interface

[COLOR=red]uses windows;[/COLOR]

procedure RunOnceInit(GUID: String; ShowMessage: Boolean; Handle: THandle; Caption, MsgText: String; MsgBoxFlags: DWORD = 0);

implementation

var
  hMutex: THandle;

procedure RunOnceInit(GUID: String; ShowMessage: Boolean; Handle: THandle; Caption, MsgText: String; MsgBoxFlags: DWORD = 0);
begin
  hMutex := CreateMutex(nil, True, PChar(GUID));
  if GetLastError = ERROR_ALREADY_EXISTS then
  begin
    if ShowMessage then
    begin
      MessageBox(Handle, PChar(MsgText), PChar(Caption), MsgBoxFlags);
      Halt;
    end;
  end;
end;

Initialization

Finalization
  if hMutex <> 0 then
    CloseHandle(hMutex);

end.

Portable Executable Cleaning

الملفات التنفيذية التي يتم تنظيفها تعمل بنجاح و لكن عند تنقيحها نلاحظ وجود خوارزمية التلويث ما زالت موجودة في الملف...لان الأداة حذفت فقط الــ Strings و ليس الخوارزمية النشطة التي تقوم بالتلويث..


SysConst.dcu Cleaning result

بعد تنظيف ملف SysConst.dcu و انشاء مشروع جديد في دلفي على النسخة المنظفة..
الملف project .exe اي الملف التنفيذي المنتج لا يعمل... لانه تم حذف الــ Strings فقط من ملف SysConst.dcu و بقيت خوارزمية التلويث.
و اصبح الملف الناتج عند تشغيله يشغل الخوارزمية التي تحاول التلويث من جديد... مع ان الملف نظيف الا انها استطاعت نسخ ملف SysConst.pas و كتبت فيه خزعبلات لانها لم تجد الــ Strings المحذوفة...
الخطا يحدث فقط في حالة عدم وجود SysConst.bak في مجلد Lib لان الخوارزمية تقوم بفحص وحود نسخة احتياطية SysConst.bak ان وجدتها البرنامج يكمل تنفيذه عادي و ان لم تجدها البرنامج يتعطل و يخرج رسالة خطأ ثم يغلق...



ملخص لما سبق :
- طريقة الكشف من حيث البصمة تعمل بنسبة 70% حيث يوجد فيها كثير من الــ False positive.
- تنظيف الملفات التنفيذية يعمل بنجاح الا ان الملف المنظف يحتوي دائما على خوارزمية التلويث.
- تنظيف ملف SysConst.dcu غير ناجح، حيث الملفات المنتجة من دلفي تعمل فقط ان وجدت ملف SysConst.bak في مجلد Lib.


التجربة سرقت مني ساعتين، ان شاء الله تعود بالفائدة للجميع Smile
تقبل مروري :monster1:
الرد
#34
خوارزمية التلويث من المنقح OllyDbg :
تكملة للملفات المصدرية الخاصة بالبرنامج الضار... في المشاركة :
http://www.delphi4arab.net/forum/showthr...p?tid=1733


كود :
00408560   /.  55                            PUSH EBP
00408561   |.  8BEC                          MOV EBP,ESP
00408563   |.  81C4 DCFEFFFF                 ADD ESP,-124
00408569   |.  53                            PUSH EBX
0040856A   |.  56                            PUSH ESI
0040856B   |.  33C0                          XOR EAX,EAX
0040856D   |.  8985 E4FEFFFF                 MOV DWORD PTR SS:[EBP-11C],EAX
00408573   |.  8985 E0FEFFFF                 MOV DWORD PTR SS:[EBP-120],EAX
00408579   |.  8985 DCFEFFFF                 MOV DWORD PTR SS:[EBP-124],EAX
0040857F   |.  8985 E8FEFFFF                 MOV DWORD PTR SS:[EBP-118],EAX
00408585   |.  8985 F0FEFFFF                 MOV DWORD PTR SS:[EBP-110],EAX
0040858B   |.  8985 ECFEFFFF                 MOV DWORD PTR SS:[EBP-114],EAX
00408591   |.  8945 F4                       MOV DWORD PTR SS:[EBP-C],EAX
00408594   |.  8D75 F8                       LEA ESI,DWORD PTR SS:[EBP-8]
00408597   |.  33C0                          XOR EAX,EAX
00408599   |.  55                            PUSH EBP
0040859A   |.  68 05874000                   PUSH Test.00408705
0040859F   |.  64:FF30                       PUSH DWORD PTR FS:[EAX]
004085A2   |.  64:8920                       MOV DWORD PTR FS:[EAX],ESP
004085A5   |.  B3 34                         MOV BL,34
004085A7   |>  8D45 FC                       /LEA EAX,DWORD PTR SS:[EBP-4]
004085AA   |.  50                            |PUSH EAX
004085AB   |.  68 19000200                   |PUSH 20019
004085B0   |.  6A 00                         |PUSH 0
004085B2   |.  68 1C874000                   |PUSH Test.0040871C                               ;  ASCII "Software\Borland\Delphi\"
004085B7   |.  8D85 ECFEFFFF                 |LEA EAX,DWORD PTR SS:[EBP-114]
004085BD   |.  8BD3                          |MOV EDX,EBX
004085BF   |.  E8 F0C4FFFF                   |CALL Test.00404AB4
004085C4   |.  FFB5 ECFEFFFF                 |PUSH DWORD PTR SS:[EBP-114]
004085CA   |.  68 40874000                   |PUSH Test.00408740                               ;  ASCII ".0"
004085CF   |.  8D85 F0FEFFFF                 |LEA EAX,DWORD PTR SS:[EBP-110]
004085D5   |.  BA 03000000                   |MOV EDX,3
004085DA   |.  E8 6DC6FFFF                   |CALL Test.00404C4C
004085DF   |.  8B85 F0FEFFFF                 |MOV EAX,DWORD PTR SS:[EBP-110]
004085E5   |.  E8 A2C7FFFF                   |CALL Test.00404D8C
004085EA   |.  50                            |PUSH EAX                                         ; |Subkey
004085EB   |.  68 02000080                   |PUSH 80000002                                    ; |hKey = HKEY_LOCAL_MACHINE
004085F0   |.  E8 77E3FFFF                   |CALL <JMP.&advapi32.RegOpenKeyExA>               ; \RegOpenKeyExA
004085F5   |.  85C0                          |TEST EAX,EAX
004085F7   |.  0F85 D8000000                 |JNZ Test.004086D5
004085FD   |.  C706 FF000000                 |MOV DWORD PTR DS:[ESI],0FF
00408603   |.  56                            |PUSH ESI                                         ; /pBufSize
00408604   |.  8D85 F5FEFFFF                 |LEA EAX,DWORD PTR SS:[EBP-10B]                   ; |
0040860A   |.  50                            |PUSH EAX                                         ; |Buffer
0040860B   |.  56                            |PUSH ESI                                         ; |pValueType
0040860C   |.  6A 00                         |PUSH 0                                           ; |Reserved = NULL
0040860E   |.  68 44874000                   |PUSH Test.00408744                               ; |ValueName = "RootDir"
00408613   |.  8B45 FC                       |MOV EAX,DWORD PTR SS:[EBP-4]                     ; |
00408616   |.  50                            |PUSH EAX                                         ; |hKey
00408617   |.  E8 58E3FFFF                   |CALL <JMP.&advapi32.RegQueryValueExA>            ; \RegQueryValueExA
0040861C   |.  85C0                          |TEST EAX,EAX
0040861E   |.  0F85 A8000000                 |JNZ Test.004086CC
00408624   |.  8D45 F4                       |LEA EAX,DWORD PTR SS:[EBP-C]
00408627   |.  E8 A0C2FFFF                   |CALL Test.004048CC
0040862C   |.  C706 01000000                 |MOV DWORD PTR DS:[ESI],1
00408632   |.  EB 24                         |JMP SHORT Test.00408658
00408634   |>  8D85 E8FEFFFF                 |/LEA EAX,DWORD PTR SS:[EBP-118]
0040863A   |.  8B16                          ||MOV EDX,DWORD PTR DS:[ESI]
0040863C   |.  8A9415 F4FEFFFF               ||MOV DL,BYTE PTR SS:[EBP+EDX-10C]
00408643   |.  E8 6CC4FFFF                   ||CALL Test.00404AB4
00408648   |.  8B95 E8FEFFFF                 ||MOV EDX,DWORD PTR SS:[EBP-118]
0040864E   |.  8D45 F4                       ||LEA EAX,DWORD PTR SS:[EBP-C]
00408651   |.  E8 3EC5FFFF                   ||CALL Test.00404B94
00408656   |.  FF06                          ||INC DWORD PTR DS:[ESI]
00408658   |>  8B06                          | MOV EAX,DWORD PTR DS:[ESI]
0040865A   |.  80BC05 F4FEFFFF 00            ||CMP BYTE PTR SS:[EBP+EAX-10C],0
00408662   |.^ 75 D0                         |\JNZ SHORT Test.00408634
00408664   |.  68 54874000                   |PUSH Test.00408754
00408669   |.  FF75 F4                       |PUSH DWORD PTR SS:[EBP-C]
0040866C   |.  68 60874000                   |PUSH Test.00408760                               ;  ASCII "\bin\dcc32.exe"" "
00408671   |.  8D85 E4FEFFFF                 |LEA EAX,DWORD PTR SS:[EBP-11C]
00408677   |.  BA 03000000                   |MOV EDX,3
0040867C   |.  E8 CBC5FFFF                   |CALL Test.00404C4C
00408681   |.  8B85 E4FEFFFF                 |MOV EAX,DWORD PTR SS:[EBP-11C]
00408687   |.  50                            |PUSH EAX
00408688   |.  8D85 E0FEFFFF                 |LEA EAX,DWORD PTR SS:[EBP-120]
0040868E   |.  B9 7C874000                   |MOV ECX,Test.0040877C                            ;  ASCII "\lib\sysconst."
00408693   |.  8B55 F4                       |MOV EDX,DWORD PTR SS:[EBP-C]
00408696   |.  E8 3DC5FFFF                   |CALL Test.00404BD8
0040869B   |.  8B85 E0FEFFFF                 |MOV EAX,DWORD PTR SS:[EBP-120]
004086A1   |.  50                            |PUSH EAX
004086A2   |.  FF75 F4                       |PUSH DWORD PTR SS:[EBP-C]
004086A5   |.  68 94874000                   |PUSH Test.00408794                               ;  ASCII "\source\rtl\sys\SysConst"
004086AA   |.  68 B8874000                   |PUSH Test.004087B8                               ;  ASCII ".pas"
004086AF   |.  8D85 DCFEFFFF                 |LEA EAX,DWORD PTR SS:[EBP-124]
004086B5   |.  BA 03000000                   |MOV EDX,3
004086BA   |.  E8 8DC5FFFF                   |CALL Test.00404C4C
004086BF   |.  8B85 DCFEFFFF                 |MOV EAX,DWORD PTR SS:[EBP-124]
004086C5   |.  5A                            |POP EDX
004086C6   |.  59                            |POP ECX
004086C7   |.  E8 B8F9FFFF                   |CALL Test.00408084
004086CC   |>  8B45 FC                       |MOV EAX,DWORD PTR SS:[EBP-4]
004086CF   |.  50                            |PUSH EAX                                         ; /hKey
004086D0   |.  E8 8FE2FFFF                   |CALL <JMP.&advapi32.RegCloseKey>                 ; \RegCloseKey
004086D5   |>  43                            |INC EBX
004086D6   |.  80FB 38                       |CMP BL,38
004086D9   |.^ 0F85 C8FEFFFF                 \JNZ Test.004085A7
004086DF   |.  33C0                          XOR EAX,EAX
004086E1   |.  5A                            POP EDX
004086E2   |.  59                            POP ECX
004086E3   |.  59                            POP ECX
004086E4   |.  64:8910                       MOV DWORD PTR FS:[EAX],EDX
004086E7   |.  68 0C874000                   PUSH Test.0040870C
004086EC   |>  8D85 DCFEFFFF                 LEA EAX,DWORD PTR SS:[EBP-124]
004086F2   |.  BA 06000000                   MOV EDX,6
004086F7   |.  E8 F4C1FFFF                   CALL Test.004048F0
004086FC   |.  8D45 F4                       LEA EAX,DWORD PTR SS:[EBP-C]
004086FF   |.  E8 C8C1FFFF                   CALL Test.004048CC
00408704   \.  C3                            RET
الرد
#35
كود :
00408084   /$  55                            PUSH EBP
00408085   |.  8BEC                          MOV EBP,ESP
00408087   |.  51                            PUSH ECX
00408088   |.  B9 88000000                   MOV ECX,88
0040808D   |>  6A 00                         /PUSH 0
0040808F   |.  6A 00                         |PUSH 0
00408091   |.  49                            |DEC ECX
00408092   |.^ 75 F9                         \JNZ SHORT Test.0040808D
00408094   |.  874D FC                       XCHG DWORD PTR SS:[EBP-4],ECX
00408097   |.  53                            PUSH EBX
00408098   |.  56                            PUSH ESI
00408099   |.  57                            PUSH EDI
0040809A   |.  894D F4                       MOV DWORD PTR SS:[EBP-C],ECX
0040809D   |.  8955 F8                       MOV DWORD PTR SS:[EBP-8],EDX
004080A0   |.  8945 FC                       MOV DWORD PTR SS:[EBP-4],EAX
004080A3   |.  8B45 FC                       MOV EAX,DWORD PTR SS:[EBP-4]
004080A6   |.  E8 D1CCFFFF                   CALL Test.00404D7C
004080AB   |.  8B45 F8                       MOV EAX,DWORD PTR SS:[EBP-8]
004080AE   |.  E8 C9CCFFFF                   CALL Test.00404D7C
004080B3   |.  8B45 F4                       MOV EAX,DWORD PTR SS:[EBP-C]
004080B6   |.  E8 C1CCFFFF                   CALL Test.00404D7C
004080BB   |.  8DBD 44FCFFFF                 LEA EDI,DWORD PTR SS:[EBP-3BC]
004080C1   |.  33C0                          XOR EAX,EAX
004080C3   |.  55                            PUSH EBP
004080C4   |.  68 D4844000                   PUSH Test.004084D4
004080C9   |.  64:FF30                       PUSH DWORD PTR FS:[EAX]
004080CC   |.  64:8920                       MOV DWORD PTR FS:[EAX],ESP
004080CF   |.  6A 00                         PUSH 0
004080D1   |.  6A 00                         PUSH 0
004080D3   |.  6A 03                         PUSH 3
004080D5   |.  6A 00                         PUSH 0
004080D7   |.  6A 00                         PUSH 0
004080D9   |.  6A 00                         PUSH 0
004080DB   |.  8D85 ECFBFFFF                 LEA EAX,DWORD PTR SS:[EBP-414]
004080E1   |.  B9 EC844000                   MOV ECX,Test.004084EC                             ;  ASCII "bak"
004080E6   |.  8B55 F8                       MOV EDX,DWORD PTR SS:[EBP-8]
004080E9   |.  E8 EACAFFFF                   CALL Test.00404BD8
004080EE   |.  8B85 ECFBFFFF                 MOV EAX,DWORD PTR SS:[EBP-414]
004080F4   |.  E8 93CCFFFF                   CALL Test.00404D8C
004080F9   |.  50                            PUSH EAX                                          ; |FileName
004080FA   |.  E8 95E8FFFF                   CALL <JMP.&kernel32.CreateFileA>                  ; \CreateFileA
004080FF   |.  8BD8                          MOV EBX,EAX
00408101   |.  83FB FF                       CMP EBX,-1
00408104   |.  74 0B                         JE SHORT Test.00408111
00408106   |.  53                            PUSH EBX                                          ; /hObject
00408107   |.  E8 70E8FFFF                   CALL <JMP.&kernel32.CloseHandle>                  ; \CloseHandle
0040810C   |.  E9 98030000                   JMP Test.004084A9
00408111   |>  8B55 FC                       MOV EDX,DWORD PTR SS:[EBP-4]
00408114   |.  8D85 10FEFFFF                 LEA EAX,DWORD PTR SS:[EBP-1F0]
0040811A   |.  E8 B1AEFFFF                   CALL Test.00402FD0
0040811F   |.  8D85 10FEFFFF                 LEA EAX,DWORD PTR SS:[EBP-1F0]
00408125   |.  E8 36ACFFFF                   CALL Test.00402D60
0040812A   |.  E8 C5AAFFFF                   CALL Test.00402BF4
0040812F   |.  E8 34ABFFFF                   CALL Test.00402C68
00408134   |.  85C0                          TEST EAX,EAX
00408136   |.  0F85 6D030000                 JNZ Test.004084A9
0040813C   |.  8D85 E8FBFFFF                 LEA EAX,DWORD PTR SS:[EBP-418]
00408142   |.  B9 F8844000                   MOV ECX,Test.004084F8                             ;  ASCII "pas"
00408147   |.  8B55 F8                       MOV EDX,DWORD PTR SS:[EBP-8]
0040814A   |.  E8 89CAFFFF                   CALL Test.00404BD8
0040814F   |.  8B95 E8FBFFFF                 MOV EDX,DWORD PTR SS:[EBP-418]
00408155   |.  8BC7                          MOV EAX,EDI
00408157   |.  E8 74AEFFFF                   CALL Test.00402FD0
0040815C   |.  8BC7                          MOV EAX,EDI
0040815E   |.  E8 09ACFFFF                   CALL Test.00402D6C
00408163   |.  E8 8CAAFFFF                   CALL Test.00402BF4
00408168   |.  E8 FBAAFFFF                   CALL Test.00402C68
0040816D   |.  85C0                          TEST EAX,EAX
0040816F   |.  74 58                         JE SHORT Test.004081C9
00408171   |.  8D85 10FEFFFF                 LEA EAX,DWORD PTR SS:[EBP-1F0]
00408177   |.  E8 1CAFFFFF                   CALL Test.00403098
0040817C   |.  E8 73AAFFFF                   CALL Test.00402BF4
00408181   |.  E9 23030000                   JMP Test.004084A9
00408186   |>  8D55 FC                       /LEA EDX,DWORD PTR SS:[EBP-4]
00408189   |.  8D85 10FEFFFF                 |LEA EAX,DWORD PTR SS:[EBP-1F0]
0040818F   |.  E8 F8B1FFFF                   |CALL Test.0040338C
00408194   |.  8D85 10FEFFFF                 |LEA EAX,DWORD PTR SS:[EBP-1F0]
0040819A   |.  E8 59B2FFFF                   |CALL Test.004033F8
0040819F   |.  E8 50AAFFFF                   |CALL Test.00402BF4
004081A4   |.  8B55 FC                       |MOV EDX,DWORD PTR SS:[EBP-4]
004081A7   |.  8BC7                          |MOV EAX,EDI
004081A9   |.  E8 CECDFFFF                   |CALL Test.00404F7C
004081AE   |.  E8 5DB4FFFF                   |CALL Test.00403610
004081B3   |.  E8 3CAAFFFF                   |CALL Test.00402BF4
004081B8   |.  8B55 FC                       |MOV EDX,DWORD PTR SS:[EBP-4]
004081BB   |.  B8 04854000                   |MOV EAX,Test.00408504                            ;  ASCII "implementation"
004081C0   |.  E8 0BCDFFFF                   |CALL Test.00404ED0
004081C5   |.  85C0                          |TEST EAX,EAX
004081C7   |.  75 14                         |JNZ SHORT Test.004081DD
004081C9   |>  8D85 10FEFFFF                  LEA EAX,DWORD PTR SS:[EBP-1F0]
004081CF   |.  E8 2CB0FFFF                   |CALL Test.00403200
004081D4   |.  E8 1BAAFFFF                   |CALL Test.00402BF4
004081D9   |.  84C0                          |TEST AL,AL
004081DB   |.^ 74 A9                         \JE SHORT Test.00408186
004081DD   |>  BB 01000000                   MOV EBX,1
004081E2   |.  BE C0F04400                   MOV ESI,Test.0044F0C0
004081E7   |>  8B16                          /MOV EDX,DWORD PTR DS:[ESI]
004081E9   |.  8BC7                          |MOV EAX,EDI
004081EB   |.  E8 8CCDFFFF                   |CALL Test.00404F7C
004081F0   |.  E8 1BB4FFFF                   |CALL Test.00403610
004081F5   |.  E8 FAA9FFFF                   |CALL Test.00402BF4
004081FA   |.  83C6 04                       |ADD ESI,4
004081FD   |.  4B                            |DEC EBX
004081FE   |.^ 75 E7                         \JNZ SHORT Test.004081E7
00408200   |.  BB 17000000                   MOV EBX,17
00408205   |.  BE C0F04400                   MOV ESI,Test.0044F0C0
0040820A   |>  8B0E                          /MOV ECX,DWORD PTR DS:[ESI]
0040820C   |.  8D85 E4FBFFFF                 |LEA EAX,DWORD PTR SS:[EBP-41C]
00408212   |.  BA 1C854000                   |MOV EDX,Test.0040851C
00408217   |.  E8 BCC9FFFF                   |CALL Test.00404BD8
0040821C   |.  8B95 E4FBFFFF                 |MOV EDX,DWORD PTR SS:[EBP-41C]
00408222   |.  8BC7                          |MOV EAX,EDI
00408224   |.  E8 53CDFFFF                   |CALL Test.00404F7C
00408229   |.  BA 28854000                   |MOV EDX,Test.00408528                            ;  ASCII "',"
0040822E   |.  E8 49CDFFFF                   |CALL Test.00404F7C
00408233   |.  E8 D8B3FFFF                   |CALL Test.00403610
00408238   |.  E8 B7A9FFFF                   |CALL Test.00402BF4
الرد
#36
كود :
0040823D   |.  83C6 04                       |ADD ESI,4
00408240   |.  4B                            |DEC EBX
00408241   |.^ 75 C7                         \JNZ SHORT Test.0040820A
00408243   |.  68 1C854000                   PUSH Test.0040851C
00408248   |.  FF35 1CF14400                 PUSH DWORD PTR DS:[44F11C]                        ;  Test.00407FF4
0040824E   |.  68 34854000                   PUSH Test.00408534                                ;  ASCII "');"
00408253   |.  8D85 E0FBFFFF                 LEA EAX,DWORD PTR SS:[EBP-420]
00408259   |.  BA 03000000                   MOV EDX,3
0040825E   |.  E8 E9C9FFFF                   CALL Test.00404C4C
00408263   |.  8B95 E0FBFFFF                 MOV EDX,DWORD PTR SS:[EBP-420]
00408269   |.  8BC7                          MOV EAX,EDI
0040826B   |.  E8 0CCDFFFF                   CALL Test.00404F7C
00408270   |.  E8 9BB3FFFF                   CALL Test.00403610
00408275   |.  E8 7AA9FFFF                   CALL Test.00402BF4
0040827A   |.  BB 17000000                   MOV EBX,17
0040827F   |.  BE C4F04400                   MOV ESI,Test.0044F0C4
00408284   |>  8D95 DCFBFFFF                 /LEA EDX,DWORD PTR SS:[EBP-424]
0040828A   |.  8B06                          |MOV EAX,DWORD PTR DS:[ESI]
0040828C   |.  E8 73FDFFFF                   |CALL Test.00408004
00408291   |.  8B95 DCFBFFFF                 |MOV EDX,DWORD PTR SS:[EBP-424]
00408297   |.  8BC7                          |MOV EAX,EDI
00408299   |.  E8 DECCFFFF                   |CALL Test.00404F7C
0040829E   |.  E8 6DB3FFFF                   |CALL Test.00403610
004082A3   |.  E8 4CA9FFFF                   |CALL Test.00402BF4
004082A8   |.  83C6 04                       |ADD ESI,4
004082AB   |.  4B                            |DEC EBX
004082AC   |.^ 75 D6                         \JNZ SHORT Test.00408284
004082AE   |.  8D85 10FEFFFF                 LEA EAX,DWORD PTR SS:[EBP-1F0]
004082B4   |.  E8 DFADFFFF                   CALL Test.00403098
004082B9   |.  E8 36A9FFFF                   CALL Test.00402BF4
004082BE   |.  8BC7                          MOV EAX,EDI
004082C0   |.  E8 D3ADFFFF                   CALL Test.00403098
004082C5   |.  E8 2AA9FFFF                   CALL Test.00402BF4
004082CA   |.  8D85 D8FBFFFF                 LEA EAX,DWORD PTR SS:[EBP-428]
004082D0   |.  B9 EC844000                   MOV ECX,Test.004084EC                             ;  ASCII "bak"
004082D5   |.  8B55 F8                       MOV EDX,DWORD PTR SS:[EBP-8]
004082D8   |.  E8 FBC8FFFF                   CALL Test.00404BD8
004082DD   |.  8B85 D8FBFFFF                 MOV EAX,DWORD PTR SS:[EBP-428]
004082E3   |.  E8 A4CAFFFF                   CALL Test.00404D8C
004082E8   |.  50                            PUSH EAX
004082E9   |.  8D85 D4FBFFFF                 LEA EAX,DWORD PTR SS:[EBP-42C]
004082EF   |.  B9 40854000                   MOV ECX,Test.00408540                             ;  ASCII "dcu"
004082F4   |.  8B55 F8                       MOV EDX,DWORD PTR SS:[EBP-8]
004082F7   |.  E8 DCC8FFFF                   CALL Test.00404BD8
004082FC   |.  8B85 D4FBFFFF                 MOV EAX,DWORD PTR SS:[EBP-42C]
00408302   |.  E8 85CAFFFF                   CALL Test.00404D8C
00408307   |.  50                            PUSH EAX                                          ; |ExistingName
00408308   |.  E8 07E8FFFF                   CALL <JMP.&kernel32.MoveFileA>                    ; \MoveFileA
0040830D   |.  8D85 00FCFFFF                 LEA EAX,DWORD PTR SS:[EBP-400]
00408313   |.  33C9                          XOR ECX,ECX
00408315   |.  BA 44000000                   MOV EDX,44
0040831A   |.  E8 19AFFFFF                   CALL Test.00403238
0040831F   |.  C785 00FCFFFF 44000000        MOV DWORD PTR SS:[EBP-400],44
00408329   |.  C785 2CFCFFFF 01000000        MOV DWORD PTR SS:[EBP-3D4],1
00408333   |.  66:C785 30FCFFFF 0000         MOV WORD PTR SS:[EBP-3D0],0
0040833C   |.  8D85 F0FBFFFF                 LEA EAX,DWORD PTR SS:[EBP-410]
00408342   |.  50                            PUSH EAX
00408343   |.  8D85 00FCFFFF                 LEA EAX,DWORD PTR SS:[EBP-400]
00408349   |.  50                            PUSH EAX
0040834A   |.  6A 00                         PUSH 0
0040834C   |.  6A 00                         PUSH 0
0040834E   |.  6A 00                         PUSH 0
00408350   |.  6A 00                         PUSH 0
00408352   |.  6A 00                         PUSH 0
00408354   |.  6A 00                         PUSH 0
00408356   |.  FF75 F4                       PUSH DWORD PTR SS:[EBP-C]
00408359   |.  68 4C854000                   PUSH Test.0040854C
0040835E   |.  FF75 F8                       PUSH DWORD PTR SS:[EBP-8]
00408361   |.  68 58854000                   PUSH Test.00408558                                ;  ASCII "pas"""
00408366   |.  8D85 D0FBFFFF                 LEA EAX,DWORD PTR SS:[EBP-430]
0040836C   |.  BA 04000000                   MOV EDX,4
00408371   |.  E8 D6C8FFFF                   CALL Test.00404C4C
00408376   |.  8B85 D0FBFFFF                 MOV EAX,DWORD PTR SS:[EBP-430]
0040837C   |.  E8 0BCAFFFF                   CALL Test.00404D8C
00408381   |.  50                            PUSH EAX                                          ; |CommandLine
00408382   |.  6A 00                         PUSH 0                                            ; |ModuleFileName = NULL
00408384   |.  E8 13E6FFFF                   CALL <JMP.&kernel32.CreateProcessA>               ; \CreateProcessA
00408389   |.  83F8 01                       CMP EAX,1
0040838C   |.  1BC0                          SBB EAX,EAX
0040838E   |.  40                            INC EAX
0040838F   |.  84C0                          TEST AL,AL
00408391   |.  74 0E                         JE SHORT Test.004083A1
00408393   |.  6A FF                         PUSH -1                                           ; /Timeout = INFINITE
00408395   |.  8B85 F0FBFFFF                 MOV EAX,DWORD PTR SS:[EBP-410]                    ; |
0040839B   |.  50                            PUSH EAX                                          ; |hObject
0040839C   |.  E8 E3E7FFFF                   CALL <JMP.&kernel32.WaitForSingleObject>          ; \WaitForSingleObject
004083A1   |>  8D85 CCFBFFFF                 LEA EAX,DWORD PTR SS:[EBP-434]
004083A7   |.  B9 40854000                   MOV ECX,Test.00408540                             ;  ASCII "dcu"
004083AC   |.  8B55 F8                       MOV EDX,DWORD PTR SS:[EBP-8]
004083AF   |.  E8 24C8FFFF                   CALL Test.00404BD8
004083B4   |.  8B85 CCFBFFFF                 MOV EAX,DWORD PTR SS:[EBP-434]
004083BA   |.  E8 CDC9FFFF                   CALL Test.00404D8C
004083BF   |.  50                            PUSH EAX
004083C0   |.  8D85 C8FBFFFF                 LEA EAX,DWORD PTR SS:[EBP-438]
004083C6   |.  B9 EC844000                   MOV ECX,Test.004084EC                             ;  ASCII "bak"
004083CB   |.  8B55 F8                       MOV EDX,DWORD PTR SS:[EBP-8]
004083CE   |.  E8 05C8FFFF                   CALL Test.00404BD8
004083D3   |.  8B85 C8FBFFFF                 MOV EAX,DWORD PTR SS:[EBP-438]
004083D9   |.  E8 AEC9FFFF                   CALL Test.00404D8C
004083DE   |.  50                            PUSH EAX                                          ; |ExistingName
004083DF   |.  E8 30E7FFFF                   CALL <JMP.&kernel32.MoveFileA>                    ; \MoveFileA
004083E4   |.  8D85 C4FBFFFF                 LEA EAX,DWORD PTR SS:[EBP-43C]
004083EA   |.  B9 F8844000                   MOV ECX,Test.004084F8                             ;  ASCII "pas"
004083EF   |.  8B55 F8                       MOV EDX,DWORD PTR SS:[EBP-8]
004083F2   |.  E8 E1C7FFFF                   CALL Test.00404BD8
004083F7   |.  8B85 C4FBFFFF                 MOV EAX,DWORD PTR SS:[EBP-43C]
004083FD   |.  E8 8AC9FFFF                   CALL Test.00404D8C
00408402   |.  50                            PUSH EAX                                          ; /FileName
00408403   |.  E8 ACE5FFFF                   CALL <JMP.&kernel32.DeleteFileA>                  ; \DeleteFileA
00408408   |.  6A 00                         PUSH 0
الرد
#37
كود :
0040840A   |.  6A 00                         PUSH 0
0040840C   |.  6A 03                         PUSH 3
0040840E   |.  6A 00                         PUSH 0
00408410   |.  6A 00                         PUSH 0
00408412   |.  6A 00                         PUSH 0
00408414   |.  8D85 C0FBFFFF                 LEA EAX,DWORD PTR SS:[EBP-440]
0040841A   |.  B9 EC844000                   MOV ECX,Test.004084EC                             ;  ASCII "bak"
0040841F   |.  8B55 F8                       MOV EDX,DWORD PTR SS:[EBP-8]
00408422   |.  E8 B1C7FFFF                   CALL Test.00404BD8
00408427   |.  8B85 C0FBFFFF                 MOV EAX,DWORD PTR SS:[EBP-440]
0040842D   |.  E8 5AC9FFFF                   CALL Test.00404D8C
00408432   |.  50                            PUSH EAX                                          ; |FileName
00408433   |.  E8 5CE5FFFF                   CALL <JMP.&kernel32.CreateFileA>                  ; \CreateFileA
00408438   |.  8BD8                          MOV EBX,EAX
0040843A   |.  83FB FF                       CMP EBX,-1
0040843D   |.  74 6A                         JE SHORT Test.004084A9
0040843F   |.  8D45 DC                       LEA EAX,DWORD PTR SS:[EBP-24]
00408442   |.  50                            PUSH EAX                                          ; /pLastWrite
00408443   |.  8D45 E4                       LEA EAX,DWORD PTR SS:[EBP-1C]                     ; |
00408446   |.  50                            PUSH EAX                                          ; |pLastAccess
00408447   |.  8D45 EC                       LEA EAX,DWORD PTR SS:[EBP-14]                     ; |
0040844A   |.  50                            PUSH EAX                                          ; |pCreationTime
0040844B   |.  53                            PUSH EBX                                          ; |hFile
0040844C   |.  E8 D3E5FFFF                   CALL <JMP.&kernel32.GetFileTime>                  ; \GetFileTime
00408451   |.  53                            PUSH EBX                                          ; /hObject
00408452   |.  E8 25E5FFFF                   CALL <JMP.&kernel32.CloseHandle>                  ; \CloseHandle
00408457   |.  6A 00                         PUSH 0
00408459   |.  6A 00                         PUSH 0
0040845B   |.  6A 03                         PUSH 3
0040845D   |.  6A 00                         PUSH 0
0040845F   |.  6A 00                         PUSH 0
00408461   |.  68 00010000                   PUSH 100
00408466   |.  8D85 BCFBFFFF                 LEA EAX,DWORD PTR SS:[EBP-444]
0040846C   |.  B9 40854000                   MOV ECX,Test.00408540                             ;  ASCII "dcu"
00408471   |.  8B55 F8                       MOV EDX,DWORD PTR SS:[EBP-8]
00408474   |.  E8 5FC7FFFF                   CALL Test.00404BD8
00408479   |.  8B85 BCFBFFFF                 MOV EAX,DWORD PTR SS:[EBP-444]
0040847F   |.  E8 08C9FFFF                   CALL Test.00404D8C
00408484   |.  50                            PUSH EAX                                          ; |FileName
00408485   |.  E8 0AE5FFFF                   CALL <JMP.&kernel32.CreateFileA>                  ; \CreateFileA
0040848A   |.  8BD8                          MOV EBX,EAX
0040848C   |.  83FB FF                       CMP EBX,-1
0040848F   |.  74 18                         JE SHORT Test.004084A9
00408491   |.  8D45 DC                       LEA EAX,DWORD PTR SS:[EBP-24]
00408494   |.  50                            PUSH EAX                                          ; /pLastWrite
00408495   |.  8D45 E4                       LEA EAX,DWORD PTR SS:[EBP-1C]                     ; |
00408498   |.  50                            PUSH EAX                                          ; |pLastAccess
00408499   |.  8D45 EC                       LEA EAX,DWORD PTR SS:[EBP-14]                     ; |
0040849C   |.  50                            PUSH EAX                                          ; |pCreationTime
0040849D   |.  53                            PUSH EBX                                          ; |hFile
0040849E   |.  E8 B1E6FFFF                   CALL <JMP.&kernel32.SetFileTime>                  ; \SetFileTime
004084A3   |.  53                            PUSH EBX                                          ; /hObject
004084A4   |.  E8 D3E4FFFF                   CALL <JMP.&kernel32.CloseHandle>                  ; \CloseHandle
004084A9   |>  33C0                          XOR EAX,EAX
004084AB   |.  5A                            POP EDX
004084AC   |.  59                            POP ECX
004084AD   |.  59                            POP ECX
004084AE   |.  64:8910                       MOV DWORD PTR FS:[EAX],EDX
004084B1   |.  68 DB844000                   PUSH Test.004084DB
004084B6   |>  8D85 BCFBFFFF                 LEA EAX,DWORD PTR SS:[EBP-444]
004084BC   |.  BA 0D000000                   MOV EDX,0D
004084C1   |.  E8 2AC4FFFF                   CALL Test.004048F0
004084C6   |.  8D45 F4                       LEA EAX,DWORD PTR SS:[EBP-C]
004084C9   |.  BA 03000000                   MOV EDX,3
004084CE   |.  E8 1DC4FFFF                   CALL Test.004048F0
004084D3   \.  C3                            RET
004084D4    .^ E9 CFBDFFFF                   JMP Test.004042A8
004084D9    .^ EB DB                         JMP SHORT Test.004084B6
004084DB    .  5F                            POP EDI
004084DC    .  5E                            POP ESI
004084DD    .  5B                            POP EBX
004084DE    .  8BE5                          MOV ESP,EBP
004084E0    .  5D                            POP EBP
004084E1    .  C3                            RET

انتهى Smile
الرد
#38
اخي :monster1: نعم عملية التنظيف للملفات الملوثة مهمة صعبة وغير موثوق فيها 100 ب 100
**
اعجبني يوما رد Tomasz من ClamAV عندما سؤل لماذا لاتضيفوا خاصية التنظيف مع ال ClamAV فاجاب :
وهل تثق فيها ...!

بارك الله فيك وكل اخواننا اعظاء المنتدى
الرد
#39
اخوآني الكرآم سلام الله عليكم اجمعين,,

لي سؤآل بارك الله لكم,,

الآن عملت فورمات للجهآز ولله الحمد,, وموجود الآن عليه ويندوز 7 و الدلفي 7 و الدلفي 2010 + عندي الحمآية هي برنآمج الأفست,,

لكن كل نآتج من برنامج الدلفي 7 يعتبره فيروس,, ؟؟؟
علما انني لا اظن انني قد اصبت بهذا الفيروس لآن وصف الفيروس في الأفست ليس W32/Induc-A وإنما كما تشآهدون في الصورة اسفل ,,

[صورة مرفقة: avast1.jpg]

هل من احد عنده علم بما هو الخلل ؟ علما انه لا يحدث نفس الشئ مع الدلفي 2010 ؟

بارك الله لكم جميعا,,
فرّج همّ المهمومين يا الله
اللهم فك قيد اسرانا و اسرى المسلمين
الرد
#40
و عليكم السلام و رحمة الله

إقتباس :علما انني لا اظن انني قد اصبت بهذا الفيروس لآن وصف الفيروس في الأفست ليس W32/Induc-A وإنما كما تشآهدون في الصورة اسفل
شركات الحماية لا تعطي نفس التصنيف للبرامج الضارة...

عندك حلين لتتاكد. مع ان تصنيف Avast في هذه الرسالة : يعتبر تصنيف عام...

اما ان تعطل مضاد البرامج الضارة و تضغط الملف بكلمة سر : malware و ترفعه هنا...
او ترسله و تحصل على النتيجة في ثوان... التحليل السريع على Virus Total...

تحقق ايضا من اعراض التلويث التي تحدثنا عنها في المشاركات السابقة و جرب اداة : SlugMRT.

اخبرنا بالتطورات...

بالتوفيق ان شاء الله
الرد


التنقل السريع :


مستخدمين يتصفحوا هذا الموضوع: 1 ضيف