ویروسی که یک نوار زرد رنگ با جملات زشت در آن نوشته می شود.

این ویروس که به ویروس نوار زرد و یا ویروس بی ادب مشهور است تنها به منظور نشر جملات زشت و زننده در ادارات و مراکز عمومی ساخته شده است و یک ویروس ایرانی است و تاکنون (شهریور 87) آنتی ویروس های رایج دنیا توانایی شناسایی آن را ندارند و خطر زیادی هم ندارد. نام نسخه های پیشین این ویروس ، سالدوست (W32/saldost) و سمازاد (W32/samazad) است و فقط آنتی ویروس McAfee این ویروس ها را با نام W32/Bindo.Worm شناسایی می کند و از آن ها به کرم های اینترنتی یاد می کند.

ویروس نوار زرد با ایجاد پوشه ای به اسم XPCode در Drive های سیستم سبب آلوده شدن فایل های درون آن Drive می شود. در صورت شبکه بودن چند سیستم (در ادارات) این ویروس تحت عنوان New_Soft آلودگی را افزایش داده و سبب راه اندازی خودکار دستگاه Printer شده و همان جملات زشت را مرتباً چاپ می کند. عملکرد دیگر این ویروس که نام آن نیز بر اساس همین عملکرد گذاشته شده است ایجاد نوار زرد رنگی است که با جملات قرمز مطالب ناپسندی را تکرار می کند. اغلب گزینه Folder Options را غیر فعال نموده و یک فایل از جنس HTML با نام Important بر روی Desktop ایجاد می نماید که همان مطالب ناشایست در این فایل عنوان شده است. گاهاً ممکن است Drive ها قفل شده و دسترسی به مطالب درون آنها غیر ممکن شود.

برای این ویروس ایرانی یک آنتی ویروس کوچک و کم حجم ایرانی نیز ساخته شده است که می توانید از اینجا دریافت نمائید. توجه داشته باشید در صورتی که هنگام اجرای این آنتی ویروس با یک Error با عنوان Microsoft .Net Framework 1.1 مواجه شدید ضروریست ابتدا Microsoft .Net Framework 1.1 را دانلود و نصب نمائید که این برنامه را می توانید از اینجا دریافت کنید.

+ نوشته شده در شنبه ۱۳۸۸/۰۳/۰۹ ساعت 11:39 توسط majid  | 

چرا هر گاه برای باز کردن Task Manager از Ctrl + Alt + Del استفاده می کنم با Error مواجه می شوم و باز

 

مشکل شما با یک نرم افزار بسیار کم حجم برطرف خواهد شد. ابتدا این نرم افزار را از اینجا دانلود کنید.

اینگونه مشکلات در اثر دستکاری Registry توسط بعضی ویروس هایی که زیاد هم خطرناک نیستند به وجود می آید.

البته اگر شما وقتی به My Computer می روید و از منوی View قادر به مشاهده گزینه Folder Options نیستید ، مشکل شما ویروس خطرناکی است که البته قابل نابودی می باشد. اگر چنین مشکلی دارید به اینجا مراجعه کنید.

در مورد Task Manager مشکلی که به وجود آمده تغییری است که در ارزش گذاری Registry رخ داده و این پنجره را از حالت Enable به حالت Disable تغییر داده است. کافیست برنامه را اجرا کنید و تیک مربوط به Task Manager را زده و سپس Apply کنید. بد نیست یک بار هم سیستم را Restart کنید و بعد سلامت این پنجره را امتحان کنید.

این کار را می توان از شیوه های دستی نیز انجام داد که البته از آنجایی که بسیاری از دوستان با اساس کار Registry آشنا نیستند توصیه می شود دستکاری نکنند. چرا که تغییرات نادرست در اعداد و ارقام این فایل ، می تواند باعث تغییر دستورات خطوط فرمان ویندوز هنگام بالا آمدن ویندوز شده و بعید نیست شما را مجبور به نصب مجدد ویندوز کند.

+ نوشته شده در شنبه ۱۳۸۸/۰۳/۰۹ ساعت 11:36 توسط majid  | 

روش حذف ویروس Jeefo

 

ویروسی که شما نام بردید W32.Jeefo.A است. یک ویروس قدیمی و مربوط به اواسط سال 2006 است. جزء خطرناک ترین ویروس هایی است که در ایران به سرعت منتشر شد و شاید یکی از دلایل مهم آن باز شدن ایمیل های نا آشنا و همچنین سایت های آلوده توسط کاربران بود.

دلیل خطرناک بودن آن این است که بسیار بی سر و صدا و بدون جلب توجه کاربر ، شروع به آلوده نمودن فایل های EXE می کند و وقتی شما آنتی ویروسی بر روی سیستم نصب می کنید فایل های EXE شما که فایل های Setup یا اجرایی برنامه ها و بازی ها هستند را ویروس تلقی کرده و ناتوان در درمان آن هاست و در نتیجه آن ها را پاک می کند. وقتی هم فایل EXE یک برنامه یا بازی موجود نباشد اجرا شدن آن محال است.

بسیار پیش آمده است که Internet Explorer را نیز از کار انداخته است چرا که آن نیز مانند سایر نرم افزار ها برای اجرا به یک فایل EXE متوسل است.

علیرغم گذشت نزدیک به دو سال از تولد این ویروس هنوز شاهد آلوده شدن صد ها سیستم کامپیوتری در ایران هستیم که البته پادزهر آن نیز ساخته شده است. نرم افزاری کم حجم با قدرت بسیار خوب. این نرم افزار را می توانید از اینجا دانلود کنید. پس از دانلود آن را اجرا و سپس دکمه Accept را بزنید. با فشردن دکمه Start Scan جستجو برای یافتن این ویروس در سیستم شما آغاز خواهد شد.

توجه کنید حتماً از یک آنتی ویروس قوی برای جلوگیری از به وقوع پیوستن چنین خطرات احتمالی استفاده کنید.

 

برگرفته از iransetup

+ نوشته شده در شنبه ۱۳۸۸/۰۳/۰۹ ساعت 11:34 توسط majid  | 

ویوروسی به  اسم Funny UST Scandal AVI

 

این ویروس بسیار خطرناک است و دامنه گسترش آن نیز زیاد می باشد و در زمان کوتاهی می تواند به همه نقاط ویندوز رسیده و عملکرد مخرّب خود را نمایش دهد. Icon نارنجی رنگی دارد  که  شبیه به یک بمب است. این یک Worm یا کرم اینترنتی محسوب می شود که بعضی آنتی ویروس ها آن را با کد W32/Sdbot-DIQ شناسایی می کنند. عملکرد آن در سیستم های مختلف ، متفاوت است. در بعضی سیستم ها می تواند عملکرد Show/Hide files and folders را از کار بیاندازد و مانع از باز شدن Task Manager شود. در بعضی سیستم ها ، به سرعت خود را در همه Drive ها کپی می کند و مانع نصب نرم افزارها می شود. دسترسی به پوشه System32 در Windows را غیر ممکن می سازد. این ویروس در November 2007 نمایان شد و می تواند بر روی Yahoo! Messenger نیز تأثیر گذارد ، بدین شکل که فایل ویروس را برای لیست دوستان شما ارسال کرده و Status مقابل ID شما را به sino gusto funny scandal ust pm nio ko تغییر دهد.

روش حذف این ویروس ، مشکل نیست و کافیست پادزهر آن را از اینجا دریافت کنید. دوستانی که سیستم آن ها در اثر حضور این ویروس آلوده شده و با کلیک کردن بر روی Drive ها ، در پنجره ای جدید شاهد باز شدن آن ها هستند لازم است این برنامه را نیز دریافت و اجرا کنند که مشکل برطرف شود.

+ نوشته شده در شنبه ۱۳۸۸/۰۳/۰۹ ساعت 11:8 توسط majid  | 

تروجان یک جاسوس کامپیوتری

تروجان یك فایل جاسوسی می باشد كه توسط هكر با توجه به نیاز به اطلاعات قربانی آماده می شود و برای قربانی فرستاده می شود با كمی دقت در تعریف تروجان در می‌یابیم كه تروجان هیچ وقت نمی‌تواند یك ویروس باشد

اگر اهل گشت و گذار در اینترنت مخصوصا سایتهای امنیتی و یا هكری باشید حتماً با واژه تروجان آشنا هستید. شاید برداشت اكثریت ما از این واژه همان ویروس اینترنتی باشد.ولی تروجان چیست؟
اگر بخواهیم برای تروجان یك تعریف ساده بیان كنیم می توانیم بگوییم:تروجان یك فایل جاسوسی می باشد كه توسط هكر با توجه به نیاز به اطلاعات قربانی آماده می شود و برای قربانی فرستاده می شود با كمی دقت در تعریف تروجان در می یابیم كه تروجان هیچ وقت نمی تواند یك ویروس باشد.هكر با توجه بهنیاز های خود به اطلاعات قربانی كه می تواند این اطلاعات:پسورد ایمیل یا ایدی قربانی،اشتراك اینترنت(اكانت)،نام و پسورد كامپیوتر قربانی و... است تنظیم كند. معمولا تروجانها به دو قسمت تقسیم می شوند:
۱) كلاینت:
كه تنظیمات را انجام داده و آن را با توجه به نیازهایی كه بیانكردیم تنظیم می نمایند
۲) سرور:
كه بعد از تنظیمات باید این سرور برای قربانی فرستاده شود تا قربانی بعد از دریافت آن را اجرا كند.
با توجه به تحقیقات می توانیم بگوییم هر هكری كار خود را با این نوع كارها شروع می كند.یعنی با تنظیم تروجان،فرستادن تروجان برای قربانی،هك كردن ایدی و اكانت اینترنت و...در اوایل ورود این نوع جاسوسها به اینترنت فقط كارایی محدودی داشتند.همه كارایی آن نوع تروجانها به فرستادن پسورد یاهو ختم می شد.با گذشت زمان و علاقه برنامه نویسان به این نوع جاسوس ها كم كم امكانات آن را افزایش دادند تا به امروز.
● ولی امكانات یك تروجان امروزی چیست؟
تروجانهای امروزی دیگر رشد كامل خود را تا حد زیادی طی نموده اند امكان دارد با ورود یك تروجان به كامپیوتر شما:
۱) فرستاده شدن پسورد ای دی مخصوصا ایدی و پسورد مسنجر شما برای هكر(به ایمیل هكر یا ایدی یا یك اف تی پی مشخص شده توسط هكر)
۲) فرستاده شدن اكانت اینترنت شما برای هكر
۳) فرستاده شدن نام كامپیوتر شما همراه با پسورد ویندوز برای هكر
۴) محدود كردن كارهای شما با كامپیوتر(قفل شدن Task Manager یاMscoing یا Rigistry و) كامپیوتر شما توسط هكر
۵) از كار انداختن ویروس كش و فایروال كامپیوتر شما
۶) در اختیار داشتن هارد شما توسط هكر(پاك كردن فایل از كامپیوتر شما و یا اضافه كردن فایل توسط هكر)بله همه اینها امكان دارد. فقط كافیست یك تروجان روی كامپیوتر شما توسط هكر فعال شود.
● ولی چگونه امكان دارد كه تروجان وارد كامپیوتر ما شود:
۱) در حال چت كردن هستید فرد مقابل برایتان می خواهد عكس خودش یا نرم افزاری را سند كند .شما آن را می گیرید ولی آیا این فایل سالم است.از كجا مطمئن هستید كه حاوی تروجان نیست ؟
۲) در حال گشت در یك سایت آموزش هك هستید می خواهید یك نرم افزار دانلود كنید از كجا مطمئن هستید كه این نرم افزار سالم است؟
۳) برایتان یك ایمیل می آید.ایمیلی كه فرستنده آن نامشخص است آیا ایمیل سالم است ؟
و تروجان ها بر خلاف ویروس ها كه فقط شامل چند شكل محدود می شوند دارای اشكال خیلی زیادی هستند.یك تروجان می تواند خود را به شكلهای: عكس،یك فایل صوتی،یك فایل نقاشی،یك فایل Setup و...پس می بینید تروجان یك شكل مخصوص ندارد .
● چگونه متوجه شویم كه در كامپیوتر ما تروجان فعال است:
۱) در صورت از كار افتادن Task Manager و Msconfig
۲) از كار افتادن ویروس كش
۳) تغییر در شكل توپی پسورد در مسنجر ویا سیو نشدن آن
۴) در صورت دیدن علائم مشكوك در مسنجر(باز و بسته شدن یك پنجره پی ام)
۵) فعال بودن نرم افزار های مشكوك مثل Task Manager و Msconfig
۶) خوانده شدن ایمیل هایی كه ما آنها را قبلا نخوانده ایم در ایمیلمان ولی ما برای مقابله با این نوع جاسوسها چه كارهایی باید انجام دهیم؟
۱) داشتن یك ویروس كش قوی و به روز
۲) داشتن یك فایروال خوب یا فعال كردن فایروال خود ویندوز
۳) این را بدانید همی شه پسوند عكس jpgءgif..، می باشد و هیچ وقت یك عكس دارای پسوند exe نمی باشد و همیشه اگر فایل(عكس،نوشته و) را گرفتید كه دارای پسوند مشكوك بود هرگز باز نكنید.
۴) همی شه Task Manager و Msconfig خود را چك كنید اگر چیزی مشكوك دیدید مثل sender.exeبروید و در درایو ویندوز پوشه windows/system۳۲دنباله چنین فایلی باشید كه مشكوك بود و آن را پاك كنید
۵) هرگز از كسی كه شناخت كافی ندارید فایلی دریافت نكنید
۶) سعی كنید اگر می خواهید نرم افزار دانلود كنید از سایتهای معتبر دانلود كنید.
۷) در صورت مشكوك شدن به وجود تروجان سریع اطلاعات خود را عوض كنید(پسورد ای دی،پسورد ویندوز و)
۸) سعی كنید ویندوز خود را عوض كنید و درایو ویندوز قبلی را فرمت كنید.

منبع: روزنامه ابرار

+ نوشته شده در چهارشنبه ۱۳۸۸/۰۳/۰۶ ساعت 23:31 توسط majid  | 

ویروس موبایلی SymbOS.Worm.Beselo.A + روش حذف و پاکسازی

یکی از ویروسهایی که نظر من را جلب کرد و گوشی یکی از دوستانم را نیز آلوده و او را کلافه کرده بود ویروسی بود که مانند بسیاری از ویروسهای موبایل اقدام به ارسال پیاپی فایل از طریق بلوتوس و ام ام اس می نمود .


یکی از ویروسهایی که نظر من را جلب کرد و گوشی یکی از دوستانم را نیز آلوده و او را کلافه کرده بود ویروسی بود که مانند بسیاری از ویروسهای موبایل اقدام به ارسال پیاپی فایل از طریق بلوتوس و ام ام اس می نمود .
لذا لازم دانستم درباره این ویروس اطلاعاتی را در سایت قرار داده و روش حذفش را نیز آموزش دهم .
این ویروس دستگاههای دارای سیستم عامل Symbian OS/S۶۰ ۲nd Edition را آلوده می کند .
از مشخصه های این ویروس ارسال خودکار بلوتوس به دستگاههای مجاور میباشد .
این ویروس فایلهایی با نامهای Sex.mp۳ و Love.rm و نیز beauty.jpg را از طریق ضمیمه کردن به فایلهای MMS و نیز از طریق بلوتوس ارسال می کند .
همچنین با استفاده از ارسال فایلی با پسوند .SIS فایل آلوده قابل نصب را نیز به دیگر گوشیها ارسال می کند .
این ویروس گوشیهای زیر را آلوده می کند :

Nokia ۶۶۰۰ ـ
Nokia ۶۶۳۰ ـ
Nokia ۶۶۸۰ ـ
Nokia ۷۶۱۰ـ
N۷۰ ـ
N۷۲ ـ

این ویروس فالیهای زیر را در حافظه گوشی و کارت ایجاد می کند :

C:\System\Apps\dxxnnnr.exe ـ
C:\System\Apps\dxxnnnr.sis ـ
C:\System\Data\dxxnnnr.dat ـ
C:\System\Data\dxxnnnr.exe ـ
C:\System\Install\DVLMPPI.SIS ـ
C:\System ecogs\dxxn.mdl ـ
E:\system\Apps\dxxnnnr.exe ـ
E:\system ecogs\dxxn.mdl ـ

که درایو C همان حافظه گوشی و E هم همان کارت حافظه گوشی است .
فایلهای مربوط به این ویروس که با پسوند EXE هستند به عنوان فایل آلوده توسط انتی ویروسها شناخته می شوند .
این ویروس توسط آنتی ویروسهای تحت ویندوز و معتبر به صورت زیر شناخته می شود :

Antivirus / Result
Avast / Other:Malware-gen
BitDefender/ SymbOS.Worm.Beselo.A
CAT-QuickHeal/ SymbOS.Worm.Beselo.a
eSafe / SymbOS.Beselo.b
F-Secure / Worm.SymbOS.Beselo.a
Fortinet / SymbOS/Beselo.A!worm
GData / Worm.SymbOS.Beselo.a
Ikarus / Worm.SymbOS.Beselo.a
Kaspersky / Worm.SymbOS.Beselo.a
Norman / SymbOS/Beselo.D
Panda / SymbOS/Beselo.A
Rising / Worm.SymbOS.Beselo.b
TrendMicro / SYMBOS_BESELO.A

اما آنتی ویروسهای AntiVir ,AVG , McAfee , NOD۳۲v۲ ,Sophos , Symantec البته نسخه ویندوزی آن این ویروس را شناسایی نمی کند لذا در صورت اسکن مموری کارت در محیط ویندوز ا این آنتی ویروسها نخواهید توانست ویروس را ناسایی و حذف کنید .
● روش دستی حذف و پاکسازی ویروس SymbOS.Worm.Beselo
۱) یک برنامه مدیریت فایل (File Manager) مانند Fexplorer یا X-Plore بر روی گوشی نصب کنید .
۲) حالت نمایش فایلهای مخفی و سیستمی در آن را فعال کنید .
این گزینه در برنامه X-Plore در منوی Configuration قرار دارد .
۳) فایلهای زیر را حذف نمایید :

beauty.jpg
sex.mp۳
love.rm

و همچنین فایلهایی که دارای ۷ حرف و پسوند exe هستند .
۴) به مسیر c:\system\data\ رفته و فایلهایی که اسامی تصادفی و دارای پسوندهای ini , dat , exe را حذف نمایید.
۵) همچنین فایلهای موجود در مسیر
c:\system\apps\system\install
که دارای نام ۷ حرفی و پسوند exe هستند را پاک کنید .
۶) در مسیر C:\system ecogs\ نیز درصورتیکه فایلی با نامی همچون gsnp.mdl را یافتید بایستی آن را حذف کنید .
۷) از برنامه مدیریت فایل خارج شده و یکبار گوشی را خاموش و مجددا روشن نمایید .
● روش حذف ویروس Beselo.a با استفاده از ابزار Deleting By Removal Tool
فایل ISO-۸۸۵۹-۱__Beselo_۱.zip را دانلود کرده و از حالت فشرده خارج کنید و بر روی گوشی نصب نمایید .
● لینک دانلود برنامه حذف ویروس SymbOS.Beselo.a or beselo.b Remover
سپس برنامه را اجرا کرده و عملیات اسکن را با آن انجام دهید و ویروس را حذف کنید .
البته میتوانید با استفاده از فرمت کردن گوشی و کارت حافظه نیز از شر این ویروس خلاص شوید! برای مطالعه روش فرمت گوشی به این مقاله مراجعه کنید .
● کلمات کلیدی :
ویروس موبایل ویروسی که فایلهای رو خودبخود بلوتوس می کند ویروس Sex.mp۳ و Love.rm و نیز beauty.jpg ام ام اس MMS Bluetooth symbOS SymbOS.Worm.Beselo.A Virus Mobile Symbian Nokia
Nokia ۶۶۰۰ Nokia ۶۶۳۰ Nokia ۶۶۸۰ Nokia ۷۶۱۰ N۷۰ N۷۲ فایل لاو دات آر ام بیتوی دات جی پی جی ویروس بلوتوسی ارسال کننده فایل ویروسی شدن گوشی موبایل Mobile Phone Sis Infected
Removal tools How to Remove malware how to delete beselo بیسلو بسلو ویروس Worm کرم Disinfect

الیاس ملکی معاف
مقالات ارسالی به آفتاب

+ نوشته شده در چهارشنبه ۱۳۸۸/۰۳/۰۶ ساعت 23:16 توسط majid  | 

چگونه خود را در برابر ويروس Confiker واكسينه كنيم؟

در نخستين لحظات آغاز سال 2009 ميلادي، شرکت‌هاي امنيتي از رديابي يک ويروس رايانه‌اي جديد با عنوانConfiker خبر دادند. اين کرم رايانه‌اي بعدها به نام‌هاي ديگري مثلDownup ياKido نيز خوانده شد و تنها کد مخربي بود که در ماه‌هاي اخير بازتاب بسيار وسيعي در رسانه‌هاي معتبر و بزرگ جهان پيدا کرد.

دليل اين موضوع انتشار ناگهاني، سريع و گسترده اين کرم اعلام شد که با سو‌استفاده از يک حفره امنيتي مهم در سيستم‌عامل ويندوز،کاربران خانگي و از آن مهم‌تر، مديران شبکه را غافلگير کرد. جالب اين بود که حتي سيستم‌عامل پيشرفته Windows server 2008 و نسخه آزمايشي Windows 7 نيز در برابر حملات اين ويروس خطرناک آسيب پذير بودند.

در اين بين بسياري از کارشناسان امنيتي ازConfiker به عنوان شايع‌ترين و مهم‌ترين کرم رايانه‌اي تاريخ البته پس از SQL Slammer که در سال 2003 ميلادي منتشر شد، ياد مي‌کنند.

شرکت امنيتي Panda Security تنها پس از گذشت 3 هفته از آغاز شيوع Confiker اعلام کرد که دست کم 6 درصد از رايانه‌هاي جهان به اين کرم آلوده شده است. درخبري ديگر عنوان شد که با وجود اتخاذ سياست‌هاي کلان حفاظتي براي محدود کردن انتشار اين کد مخرب تا پايان ژانويه 2009 تعداد رايانه‌هاي آلوده به 6 تا 10 ميليون دستگاه در سرتا‌سر جهان رسيده است.

در همين ماه، مراکز حساسي چون نيروي دريايي فرانسه، ستاد مشترک ارتش آلمان، وزارت دفاع و اتاق بازرگاني بريتانيا به شکل گسترده‌اي آلوده شدند و بسياري از فرآيند‌هاي حساس آنها مختل شد. اين در حالي‌ است که برخي از موسسات مالي و اعتباري و شرکت‌هاي نفتي ايران نيز با مشکلات ناشي از حمله اين کرم مواجه شدند.

تا ابتداي ماه مارس، سه گونه متفاوت از اين ويروس ثبت شده است که مشهورترين آنها با عنوان Confiker.C خسارت‌هاي به مراتب بيش‌تري به بار آورد. با اين وجود که اغلب شرکت‌هاي امنيتي در مبارزه با اين کد مخرب و ايجاد محدويت در انتشار آن موفق بوده‌اند، اما هنوز هم شرايط براي انتشار و فعاليت آن مساعد است.

مشکل اساسي، حفره امنيتي ترميم نشده ويندوز است که مانند يک کانال امن براي نفوذ Confiker عمل مي‌کند و در اين صورت ضد ويروس‌هاي به روز نشده به هيچ وجه قادر به کنترل آلودگي نيستند.

با وجود کاهش نسبي فعاليت اين ويروس در ماه گذشته ميلادي برخي از شرکت‌هاي امنيتي پيش‌بيني کرده بودند که رايانه‌هاي خانگي و شبکه‌هاي سازماني با موج تازه‌اي از حملاتConfiker مواجه خواهند شد. اين پيش‌بيني هنگامي محقق شد که چهارمين گونه اين ويروس خطرناک نيز در نخستين روزهاي ماه آوريل و در بخش اصلي اخبار بزرگ‌ترين رسانه‌هاي جهان منعکس شد.

شيوع Conficker.D به حدي ناگهاني و غافلگير کننده بود که شرکت‌هاي امنيتي را مجبور کرد براي جلوگيري از انتشار بيش‌تر

بي وقفه آن، کميته مشترک بحران تشکيل دهند.

Conficker.D به محض آغاز فعاليت خود در سيستم، ابزار امنيتي نصب شده در آن را غير فعال و از آغاز هر گونه پردازش حفاظتي ديگر نيز جلوگيري مي‌كند تا تخريب و انتشار مجدد آلودگي به سيستم‌هاي ديگر را بدون هيچ گونه مزاحمتي پي‌گيري کند.

اما با تمام اين تفاسير و با وجود بزرگنمايي‌هاي رسانه‌اي در خصوص اين کد مخرب، هيچ دليلي وجود ندارد تا آن را شکست‌ناپذير و غير قابل کنترل بدانيم.

نخستين موضوع اين است که خانواده Conficker به هيچ وجه خطرناک‌تر از ساير کدهاي مخرب نيست. بلکه تنها نقطه قوت آن انتشار بسيار سريع از طريق حفره‌هاي امنيتي ويندوز و نيز حافظه‌هاي جانبي قابل اتصال به صدها ميليون رايانه در سرتاسر جهان است.

نکته اميدوار کننده بعدي اينکه اکنون اغلب شرکت‌هاي مطرح امنيتي برنامه‌هاي خود را مجهز به ابزار شناسايي، کشف و پاکسازيConficker كرده‌اند. بنابراين کاربران اينترنت يا مديران شبکه با به‌کارگيري جديدترين گونه‌هاي يکي از اين برنامه‌هاي قابل به روزرساني، نصب اصلاحيه‌هاي ضروري براي ترميم نقص‌هاي ويندوز و نيز امن نگاه داشتن فعاليت‌هاي اينترنتي و توجه به امنيت حافظه‌هاي جانبي قابل اتصال به رايانه‌ها احتمال مواجه شدن با Conficker را به صفر مي‌رسانند. به نظر مي‌رسد تنها موفقيت منتشر کنندگان اين کد مخرب احساس کاذب امنيت و يا بي توجهي کاربران به امن نگاه داشتن محيط مجازي آنها است.

براساس اطلاعات جديدي که توسط لابراتوارهاي امنيتي پاندا (PandaLabs)، منتشر شده، روش انتشار Conficker به سرعت در حال تغيير است. اکنون پس از اطلاع رساني‌هاي وسيع، به روز شدن نرم افزارهاي ضدويروس و ترميم بسياري از حفره‌هاي موجود در برنامه‌هاي مختلف ويندوز، نقش اينترنت و شبکه در شيوع اين کرم قدرتمند کم رنگ‌تر شده و در عوض اهميت پورت‌هاي USB افزايش يافته است.

Conficker، تبحر عجيبي در انتشار از طريق حافظه‌هاي جانبي (حافظه‌هاي ذخيره و انتقال فايل، پخش کننده‌هاي موسيقي، تلفن‌هاي همراه و ...) را در اختيار دارد. اين قابليت به علت استفاده از خصوصيت اجراي خودکار (Autorun) به محض اتصال به سيستم‌هاي جديد است.

برخي از شرکت‌هاي امنيتي براي غيرفعال کردن ويروس‌هايي که از قابليت Autorun استفاده مي‌کنند، راهکارهاي موثري را ارايه داده‌اند. يکي از جديدترين و پيشرفته‌ترين آنها ابزار ساده‌اي به نام Panda USBVaccine است که قادر است کليه فايل‌هايي که داراي قابليت اجراي خودکار هستند را غيرفعال کند.

بنا‌بر ادعاي شرکت توليد کننده اين ابزار، Panda Security، کاربران با استفاده از اين برنامه کم حجم و رايگان، رايانه‌هاي خود را در برابر حملات کدهاي مخرب داراي Autorun بيمه مي‌کنند.

در نهايت راهکار مبارزه موثر با Conficker را دوباره مرور مي‌کنيم:

- استفاده از يک ضد ويروس قدرتمند و به روز با لايسنس معتبر

- دانلود و نصب اصلاحيه‌هاي امنيتي مايکروسافت براي ترميم آسيب‌پذيري‌هاي ويندوز

- توجه به امنيت فعاليت‌ها و تبادلات اينترنتي

- و مهم‌تر از همه اطمينان از امنيت حافظه‌هاي جانبي و يا دست کم غيرفعال کردن برنامه هايAutorun در آنها

تهیه و تنظیم : ابراهیم ذبیعی

شبکه فن اوری ایران

+ نوشته شده در چهارشنبه ۱۳۸۸/۰۳/۰۶ ساعت 22:58 توسط majid  | 

آشنای با ویروس های رایانه ایی

virus.jpg

ویروس های پنهان

این ویروس ها تغییراتی که روی فایل یا رکورد های راه اندازی انجام می دهند،مخفی می کنند. بدین ترتیب که سیستم عالم را وادار به خواندن فایل ها کرده تغییراتی روی آن ها به وجود می آورند که طبیعی به نظر رسند و سپس آن ها را نمایش می دهند . در نتیجه کاربر متوجه تغییری نمی شود . بدین ترتیب برنامه ویروس یاب نیز تا حدی فریب می خورد .
ویروس برای محافظت خود در برابر ویروس یاب در هنگام جستجو باید درون حافظه قرار گیرد . اولین ویروس ثبت شده از این نوع ،Brain می باشد که یک ویروس تحت Dos است . این ویروس اعمال خروجی و ورودی Dos را کنترل کرده و هر بار که تقاضایی مطرح می شود آن را به ناحیه ای از دیسک که قبلا boot سالم را در آنجا ذخیره کرده است هدایت می کند . از دیدگاه برنامه نویسی ، ویروس وقفه شمار 21H از Dos را تسخیر کرده و نتایج فرامین Dos را به ناحیه دلخواه خود معطوف می کند .

ویروس های کند

شناسایی این ویروس ها نیز سخت است ،زیرا آن ها فایل های مورد استفاده سیستم عامل را آلوده می کنند . به عبارت دیگر یک ویروس کند ، تنها فایلی که در حال حاضر مورد استفاده کاربر است را آلوده می سازد . به عنوان مثال ، یک ویروس کند ممکن است فقط ناحیه boot یک فلاپی را در حین اجرای فرمان هایی نظیر FORMAT یا SYS آلوده سازد . یکی از متداول ترین این ویروس ها Darth-Vader می باشد که فقط فایل هایی از نوع COM را آن هم در هنگام نوشتن آنها توسط سیستم عامل آلوده می سازد

ویروس های پس رو

یک ویروس پس رو با حمله مستقیم به ویروس یاب سعی می کند از عملیات جستجو برای آشکار شدن خود عبور کند . حرفه ای ها از ویروس پس رو به عنوان ضد ویروس یاب یاد می کنند .
ساخت چنین ویروسی مشکل نیست . زیرا طراحان ویروس تقریبا به نام ویروس یاب های موجود در بازار دسترسی دارند . تنها کاری که باید انجام گیرد این است که کلیه ی توانایی ها و ویژگی ها ی ویروس یاب مورد بررسی قرار گرفته و با یافتن نقطه ی ضعف آن عمل نوشتن ویروس آغاز می شود .
متداول ترین روش عملکرد یک ویروس پس رو این است که فایل داده موجود در برنامه ضد ویروس را مورد باز بینی قرار داده و با ذخیره کردن امضای ویروس آن فایل را پاک می کند . بدین ترتیب ویروس یاب قادر به شناسایی آن نوع ویروس خاص نیست.

ویروس های چند بخشی

این ویروس ها هم فایل های اجرایی و هم سکتور های راه انداز را آلوده می سازند . عنوان چند بخشی برای این ویروس ها به خاطر توا نایی آلوده سازی به روش های متعدد می باشد . وقتی یک برنامه آلوده به چنین ویروسی را اجرا می کنید ، سکتور راه انداز دیسک سخت کامپیوتر آلوده شده و بدین ترتیب با هر بار اجرای یک برنامه آلودگی گسترش پیدا می کند .
یکی از مشهورترین ویروس های این گروه ، ویروس One-Half می باشد . در شکل 7-14 نحوه عملکرد این ویروس را مشاهده می کنید .

ویروس های زره پوش

ویروس های زره پوش خود را با قطعه برنامه ای مسلح می کنند که به واسطه عمل رد یابی ، شناسایی و تخریب بدنه ویروس مشکل می شود . ویروس زره پوش ممکن است با استفاده از "کد پوششی " که حواس نظاره گر را از بدنه ویروس پرت می کند خود را استتار نماید . یکی از مشهورترین این ویروس ها ویروس وال می باشد .

ویروس های بدل

ویروس های بدل با ایجاد یک نسخه دیگر از یک فایل اجرایی فعالیت می کنند . به عنوان مثال یک ویروس بدل ، ممکن خود را با عنوان winword.com ذخیره کند . بدین ترتیب با هر بار اجرای winword .exe سیستم عامل ابتدا به سراغ winword .com رفته و با اجرای ویروس سیستم را آلوده کند .


ویروس های Phage

آخرین گروه از ویروس ها ، ویروس های Phage هستند که برنامه ها یا پایگاه داده ها را به شکلی غیر مجاز تخریب کرده و تغییر می دهند . حرفه ای ها این دسته از ویروس ها را پس از ویروس پزشکی Phage انتخاب کرده اند . در چنین ویروسی یک سلول آلوده با کد ژنتیک آن تعویض می شود (در پزشکی ) به طور مشابه ویروس Phage در کامپیوتر یک برنامه اجرایی را با بدنه خود عوض می کند.

روش آلوده سازی سیستم

مکان هایی که ویروس از آنجا وارد سیستم شما می شود متنوع می باشند . این مکان ها اگر یک فایل آلوده روی فلاپی ،یا یک email یا download کردن یک فایل آلوده از اینترنت باشد ، نتیجه یکسان است و به آلودگی سیستم می انجامد (شکل 8-14 ).
پس از آلوده شدن سرویس دهنده هر کاربری که برنامه های آلوده را اجرا کند باعث آلودگی درایو ها و فایل های ناحیه ی خود می شود. سرویس دهنده مکانی مناسب برای تکثیر ویروس ها هستند ، زیرا بسیاری از برنامه ها و فایل های راه انداز در آنجا قرار می گیرند.
شبکه های نقطه به نقطه حتی از شبکه های اینترنتی نیز سریع تر آلوده می شوند . زیرا ، ساختار امنیتی موجود در این شبکه ها بسیار پایین تر از الگوهای دیگر است.علاوه براین به خاطر معماری شبکه های نقطه به نقطه ، ویروس ها به راحتی در طول شبکه جریان پیدا می کنند .


ویروس های ماکرویی

در حال حاضر، رشد این دسته از ویروس ها نسبت به سایر ویروس ها بسیار چشمگیر است . این ویروس ها علاوه بر کامپیوتر های شخصی روی هر شبکه ای قابل رشد و توسعه می باشند . بزرگترین خطر ویروس های ماکرویی عدم وابستگی آن ها به سخت افزار و سیستم عامل می باشد . علاوه بر این،ویروس ماکرویی به فایل های اجرایی کاری ندارد بلکه مستقیما به داده ها حمله می کند .
تنوع و گونه های ویروس ماکرویی به شدت در حال افزایش هستند.در اکتبر سال 1996 تنها 100 ویروس ثبت شده از این نوع شناسایی شدند.
در ماه مه 1997 تعداد آن ها به 700 عدد رسید و اکنون این رقم اصلا قابل مقایسه با قبل نیست .این ویروس ها با یک زبان داخلی (1) و در درون برنامه های کاربردی نوشته می شوند . نمونه هایی از این برنامه عبارتند از :برنامه های حروفچینی ،صفحه ی گسترده و گرافیکی نویسندگان ویروس برای آلوده سازی فایل هایی که توسط این نوع برنامه ها ایجاد می شوند ،ماکروها را طراحی می کنند .بدین ترتیب با مبادله ی فایل های آلوده ی دیگر کامپیوتر ها نیز آلوده خواهند شد .اکثر اوقات ،ماکروها طوری فایل ها را پاک می کنند که غیر قابل بازگشت باشد.هر سیستمی که قادر به خواندن این نوع فایل های آلوده باشد مورد تهاجم این ویروس خواهد بود (شکل14-10).
زبان داخلی برنامه ها ، غالبا از قدرت های زیادی برخوردار است و می تواند اعمالی نظیر حذف و تغییر نام فایل ها و شاخه ها را انجام دهد.همچنین می تواند محتویات یک فایل را عوض کند . بسیاری از ویروس های ماکرویی با استفاده از Word basic و Visual Basic for Application (2) نوشته می شوند . یک ویروس ماکرویی نوشته شده در VBA قادر به آلوده سازی یک فایل Excle یک پایگاه داده Access با یک طرح PowerPoint می باشد .
یک ویروس ماکرویی باید روی گزینه های save ،New و saveAse از منوی File باز نویسی شوند تا عملکردشان تضمین گردد.

برخی از ویروس های ماکرویی مشهور

ویروس WordMacro/Concept که با عنوان Word Prank Macro یا www6 Macro نیزشناخته می شود ، ماکرویی است که با زبان ماکرو MS Word 6.0 نوشته شده است . این ویروس از چند ماکرو به نام های Payload,FilesaveAs,AutoOpen,AAAZFS,AAAZAO تشکیل شده است . این ویروس سعی می کند صفحه عمومی Word یعنی فایل normal.dot را آلوده کند .اگردر حین آلوده سازی normal.dot ، وجود ماکروهای Payload یا File Save As در صفحه تایید شود ،ویروس فرض را بر این می گذارد که صفحه ی آلوده شده و از ادامه کار دست می کشد . پس از آلوده شدن صفحه ، کلید فایل هایی که توسط گزینه ی Save As ذخیره می شوند ، آلوده خواهند شد . با انتخاب گزینه ی Tools>Macro می توانید به وجود این این ویروس پی ببرید . اگر در لیست ماکروها نام AAAZFS مشاهده شود ، ویروس concept احتمالا سیستم شما را آلوده کرده است (شکل 11-14).
با ایجاد ماکروهایی به نام Payload که حاوی هیچ نوع دستوری نباشد می توانید از آلوده شدن سیستم خود جلوگیری کنید . این ماکرو روی ویروسی بازنویسی خواهد شد ، و ویروس تصور می کند یک بار سیستم را آلوده کرده است و از ادامه کار صرف نظر می کند .ایجاد ماکروpayload راه حلی موقتی است. شاید شخصی دیگر بدون اهمیت دادن به این که آیا فایل normal.dot حاوی ماکروهای FileSaveAs یا Payload است با استفاده از بدنه ی Concept ویروسی دیگر طراحی کند . از دیگر ویروس های ماکرویی مشهور عبارتند از WordMacro/Nuclear, WordMacro/DMDA, WordMacro/Hot, WordMacro/Colors, WordMacro/Bandung,WordMacro/Atom و WordMacro/Wzzu,.

بهترین راه حل برای مقابله با ویروس های ماکرویی

ازMS Word 97 به بعد با بازکردن فایل حاوی ویروس پیامی نشان داده می شود .علاوه بر این بهتر است کلیه ی فایل های Word را که در قالب email از اینترنت دریافت می شود یا به صورت ذخیره شده روی دیسک تحویل می گیرید ، با استفاده از نرم افزارهای ویروس کش مورد بررسی قرار دهید .
علاوه بر این در نگارش جدید VBA ، مکانیزمی امنیتی در نظر گرفته شده است که با استفاذه از آن می توان کلیه ماکروهای ویروسی را بی اثر ساخت . زبان VBA در زبان های درونی بسیاری از برنامه ها نظیر AutoCAD,Photoshop,Chameleon کاربرد دارد . در صورت نیاز به کسب اطلاعات بیشتر در رابطه با ویروس های ماکرویی به آدرس زیر مراجعه کنید .

+ نوشته شده در شنبه ۱۳۸۸/۰۳/۰۲ ساعت 20:18 توسط majid  | 

رخی موارد ممکن است با این مشکل مواجه شده باشید  که وقتی بر روی درایوی دابل کلیک میکنید ، آن درایو با

برخی موارد ممکن است با این مشکل مواجه شده باشید  که وقتی بر روی درایوی دابل کلیک میکنید ، آن درایو باز نمی شود و پنجره ای با عنوان Open With  به شما نمایش داده میشود .

مشکل چیست ؟ و از کجا ناشی میشود ؟

این اتفاق معمولا بعد از ویروس یابی های شما رخ میدهد .

دلیل این امر این است که در ریشه درایوی که میخواهید آنرا باز کنید یک فایل متنی به نام Autorun.inf  وجود دارد همانطور که میدانید و ظیفه این فایل اجرای اتوماتیک یک سری دستورات مشخص است .

بسیاری از ویروس ها از این روش برای اجرای اوتوماتیک خود بر روی کامپیوتر قربانی استفاده میکنند به اینصورت که مسیر اجرای فایل اصلی ویروس را درون فایل Autorun.inf   قرار میدهند . با اینکار هر بار که شما بر روی درایو مربوطه کلیک کنید درحقیقت ( پشت پرده ) باعث اجرای ویروس میشوید .

برخی از آنتی ویروسها پس از شناسایی ویروس ،  فایل Autorun.inf ای که به ویروس اشاره میکند را تشخیص نداده و به حال خود رها میکنند . بنابراین مسیر اجرای ویروس پس از پاک شدن آن از بین خواهد رفت یعنی وقتی بر روی درایو  خود کلیلک میکنید فایل Autorun.inf میخواهد ویروس را اجرا کند درحالی که چنین فایلی و چنین مسیری دیگر وجود ندارد و قبلا توسط ویروس یاب پاک شده است . در این هنگام است که شما با پنجره Open With مواجه میشوید .

 

راه حل :

برای اینکه بتوانید وارد درایو مربوطه شوید میتوانید بجای دابل کلیک کردن بر روی نام درایو ، اسم درایو را به همراه علامت " : " در نوار آدرس تایپ کنید . مثال

 C:

اما این کار به درد نمیخورد چون هر بار که میخواهید وارد درایو شوید باید از طرق منوی آدرس این دستور را اجرا کنید .

برای رهایی از این مشکل بصورت اساسی کافی  است مراحل زیر را دنبال کنید :

در منوی Start  گزینه Run  را انتخاب کنید

سپس دستور CMD را تایپ کرده و با زدن کلید Enter  آنرا اجرا کنید

حالا فرض میکنیم درایو D  را میخواهیم از فایل Autorun.inf پاک کنیم

دستور زیر را تایپ کرده و با زدن کلید  Enterآنرا اجرا کنید

del D:\autorun.* /f /a /s /q

 

منبع : http://ariaclick.com

 

+ نوشته شده در شنبه ۱۳۸۸/۰۳/۰۲ ساعت 20:17 توسط majid  | 

مشکل باز شدن درایوها با Open with ‌، مخفی شدن Folder options  

 احتمالا برای شما هم پیش اومده که وقتی روی درایوهاتون کلیلک می‌کنید بجای باز شدن درایو، پنجره open with باز میشه و یا گزینه Folder options بطور کلی از منوی Tools پاک میشه . این مشکل بخاطر ویروسی شدن سیستم و دستکاری رجیستری توسط ویروس می‌باشد ، برای رفع این مشکل مراحل زیر رو به ترتیب انجام بدید .

۱ - آپدیت کردن آنتی ویروس سیستمتون و اسکن کامل تمام درایوها

۲ - دریافت و اجرای نرم افزار Flash-Disinfector

 

دانلود نرم‌افزار

+ نوشته شده در شنبه ۱۳۸۸/۰۳/۰۲ ساعت 19:32 توسط majid  | 

با اين ترفند هرگز از ديسك هاي Flash ويروسي نمي شويد (Autorun Virus) (با تصوير)

تا قبل از اينكه بازار FlashDisk ها اينقدر گرم شود، عمده ويروس ها از طريق Email و فايل هاي آلوده وارد كامپيوتر مي شدند ولي با افزايش محبوبيت Flash ها به علت اينكه اكثر ويروس كش ها(AntiVirus) توانايي كشتن سريع فايل هاي Autorun ويروسي (Virus) در اين نوع ديسك ها را ندارند، بهترين راه انتقال ويروس بدون متوجه شدن حتي كاربر هاي حرفه اي( باوجوداينكه ويروس كش ها Update مي باشند) همين FlashDisk ها مي‌باشند كه بعد از مدتي كامپيوتر با مشكلات عجيب و غريب و كندي مواجه خواهد شد. در ادامه با راه حلي بسيار ساده، چگونگي پيشگيري از ورود اين نوع ويروس ها را بدون هيچ نوع نرم افزاري و با ابزارهاي خود ويندوزxp و Vista مي بينيد.


1-براي اينكار قبل از اينكه Flash را داخل كامپيوترتان بگذاريد واردMy Computer شويد .











2- و سپس دكمه شيفت (Shift ) را فشار دهيد.





3-

در حالي كه دكمه شيفت را نگه داشته ايد Flash را داخل كامپيوتر بگذاريد.





· با اين كار Autorun ويندوز كه به طور خودكار اجرا مي‌شود، (كه باعث اجرا شدن فايل Autorun داخل فلاش كه حاوي ويروس است) اجرا نخواهد شد.



توجه: اين دكمه را تا زماني كه درايو Flash در My Computer ظاهر شود نگه داريد.









4- عجله نكنيد، پس از اين مرحله حتما بايد به جاي كليك روي درايو براي باز كردن آن، از دكمه Folder در بالاي همين پنجره استفاده كنيد و سپس درايوFlash را از پنجره كناري انتخاب كنيد.

· زيرا با كليك بر روي درايو به صورت عادي، اتوران حاوي ويروس فعال خواهد شد

توجه: در ويندوز ويستا(Vista) پنجره كناري معمولا به طور اتواتيك باز است.







حال مي توانيد از اطلاعات داخل فلاش استفاده كنيد. فقط فايلهاي مشكوك را اجرا نكنيد.

اين روش پايه‌ي كار بود اما پس تكرار آن راه هاي سريعتري بر اساس همين روش مي توانيد به كار بگيريد و حتي فايلهاي ويروسي را بدون ويروس كش، شناسايي و پاك كنيد.
+ نوشته شده در شنبه ۱۳۸۸/۰۳/۰۲ ساعت 19:30 توسط majid  | 

نسخه جديد ويروس " كظم غيض" و درماندگي Nod32 , Kaspersky,McAfee,Bitdefender,AVG !

نسخه جديد ويروس " كظم غيض" و درماندگي Nod32 , Kaspersky,McAfee,Bitdefender,AVG !

عملكرد تروجان Kazme_gheyz.exe بهمراه روش حذف و ازبين بردن اين ويروس
( اختصاصي )

ويروس W32/Nahkos.E.worm (نامگذاری پاندا ) یا TR/Crypt.CFI.Gen (نامگذاری آنتی وایر) كه با ايجاد فايلي به نام Kazme__gheyz.exe در تمامي درايوها شناخته مي شود اخيرا با تغييراتي دروني مجددا انتشار يافته است . ( اين ويروس توسط يك ايراني ساخته شده )



تقريبا تمامي انتي ويروسهاي معروف (به جز Panda و Avira AntiVir ) از شناخت و حذف كامل اين ويروس عاجزند .
نسخه قبلی این ویروس که با نام P2P-Worm.Win32.Malas.d شناخته میشد در حال حاضر تقریبا توسط تمام آنتی ویروسهای معروف قابل شناسایی و حذف است .
آنتی ویروس Panda هر دو نسخه جدید و قبلی را با نام W32/Nahkos.E.worm می شناسد .

لینک پاندا در مورد اين ویروس :

من نسخه ای از فایل اصلی این ویروس را که 65 کیلوبایت حجم داشت را در سایت www.Virustotal.com آپلود کردم كه جدول زیر نتیجه بررسی آن توسط آنتی ویروسهای معروف جهان را نشان می دهد :





با نگاهي به نتيجه بررسي و اسكن فايل Kazme__gheyz.exe توسط لابراتوار VirusTotal متوجه خواهيد شد كه Kaspersky Internet Security , McAfee , Bitdefender , Nod32 و همچنين AVG قادر به شناسايي اين فايل آلوده نيستند !

اين ويروس دقيقا مانند ويروس مالاس (يا سالدوست) در كليه درايوها كامپيوتر فايلي به نام Autorun.inf ايجاد مي كند و با دابل كليك روي هر درايو مجددا فعال و اجرا مي شود .

در صورتیکه این دو فایل را حذف کنیم در عرض چند ثانیه مجددا ایجاد می شود و دوباره نسخه ای از خود را در کلیه درایوها کپی می کند !

همچنین به محض اتصال فلش دیسک یا کارت مموری به سیستم ، نسخه اي از ویروس به این حافظه ها منتقل می شوند .

از جمله نکات جالبی که در مورد این ویروس باید به آن اشاره کردن اینست که به محض اجرا شدن در سیستم ، آنتی ویروس موجود در سیستم را ازکار می اندازد .

من فایل Kazme__gheyz.exe را در سیستم خودم که روی آن NOD32 آپدیت شده نصب بود ، اجرا کردم و با کمال تعجب نه تنها NOD32 نتوانست این ویروس را شناسایی کند بلکه سیستم پس از چند لحظه ری استارت شد و NOD32 نیز كاملا از کار افتاد ! و با اجرای مجدد آن با پیام زیر مواجه شدم :



همچنين بر روي سيستم ديگري كه كسپرسكي اينترنت سكيوريتي 7 آپديت شده نصب بود نيز اين ويروس موجب از كارافتادن ويروس كش شد !

فايل Autorun.inf ايجاد شده توسط اين ويروس (Malas.D.1 ) تقريبا توسط همه آنتي ويروسها شناخته ميشود ولي بدليل ذخيره فايلهاي پشتيبان اين ويروس در مسيرهاي مختلف سيستم ، اين فايل نيز مجددا ايجاد مي شود .
اين فايل حاوي عبارات زير است :
OPEN=kazme_gheyz.exe
shell\AutoPlay=Open Safely...
shell\AutoPlay\Command=kazme__gheyz.exe /open
shell\open=Open
shell\open\Command=kazme__gheyz.exe /open
shell\open\Default=1
shell\explore=Explore
shell\explore\Command=kazme__gheyz.exe /Explore


توجه كنيد كه تمام فايلهاي ايجاد شده توسط اين ويروس خصوصيت مخفي (Hidden) و سيستمي (System) دارند و در حالت عادي قابل مشاهده نيستند .

نكته : براي مشاهد كليه فايلهاي مخفي و همچنين سيستمي ميبايست وارد My computer‌ شده و به مسير زير برويد :
Tools=>Folder Option=>View

سپس گزينه Show Hidden Files And folders‌ را تيكدار
و گزينه Hide Protected Operating System Files‌ را از حالت انتخاب خارج نماييد .



طریقه حذف :

 از آنجایی که این نسخه نسبت به نسخه قبلی تغییر کرده است ، اطلاعات دقیقی از روش حذف و عملکرد آن توسط لابراتوارهای امنیتی ارائه نشده و به نکاتی ساده بسنده شده است و موارد گفته شده نتيجه تجربيات خودم ميباشد .
در نسخه قبلی می توانستید با پیدا کردن فایل Kazme__gheyz.exe در TaskManager و بستن آن و حذف دستی کلیه فایلهایي كه مشابه آن هستند و همچنین حذف مدخلهای رجیستری ایجاد شده ( با جستجوی کلمه Kazm در رجيستري ) این ویروس را حذف کنید .

نسخه قبلی در مواردی رجیستری و TaskManager را از کار می انداخت که برای رفع مشکلات فوق میتوانید به مقالات دیگر من مراجعه کنید .

برای حذف کامل نسخه جدید این ویروس ( كه 65 كيلوبايت حجم دارد ) بهترین توصیه من استفاده از آنتی ویروس Avira Antivir میباشد ( البته باید بروز شده باشد ).
اما نسخه جدید به جز کپی فایل Kazme__gheyz.exe و Autorun.inf در کلیه درایوها ، دو فایل با نام Service.exe و FSP32.exe را در Windows\System32 و نيز فايلي با نام Virus.exe‌را در پوشه Windows ايجاد می کند .

 لذا هربار که فایلها را از درایوها پاک کنید ، دوباره ایجاد می شوند .
در بعضي از سيستمها فايل ديگري نيز در مسير windows\system32\drivers توسط اين ويروس ايجاد مي شود كه باز 65 كيلوبايت است و hideproc.sys نام دارد اما با نام TR/Click.VB.QJ.9 كه يك نوع تروجان است شناخته مي شود (نامگذاري آنتي واير‌)
اين ويروس همچنين در رجيستري ويندوز در مسير
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

متغيري به نام Shell ايجاد مي كند كه موجب مي شود تا با هربار اجراي Explorer.exe اين ويروس مجددا ايجاد و فعال گردد.

این ویروس صفحه خانگی و شروع (HomePage) اینترنت اکسپلورر را به آدرس
http://www.kazemjoon.mihanblog.com که آدرس یکی از توزیع کنندگان ایرانی این تروجان است تغییر می دهد .

با حذف فايلهاي گفته شده و همچنين حذف مسير رجيستري فوق ويروس ازبين مي رود .

نکته بسیار مهم : در طی انجام عمل پاکسازی هیچ درایوی را با دابل کلیک باز نکنید و تنها از طریق نوشتن نام درایو به همراه دونقطه در پنجره RUN درایو مورد نظر را باز کنید .

برگرفته از

p30forums  
+ نوشته شده در شنبه ۱۳۸۸/۰۳/۰۲ ساعت 19:20 توسط majid  | 

ک کردن ویروس ضد انقلاب از سیستم

کرم W32/Saldost.b


این کرم اینترنتی که ایرانی بوده و پس از اجرای فایل آن بر روی سیستم کاربر، ابتدا خودش را به صورت زیر بر روی سیستم کپی می‌نماید:

%TEMP%\svchost.exe
%PROGRAMFILES%\Sound Utility\Soundmax.exe
%PROGRAMFILES%\Common Files\Microsoft Shared\MSshare.exe
%WINDIR%\Web\OfficeUpdate.exe

در صورتی که داخل نام فایل اجرایی کلمه ScreenSaver وجود داشته باشد پیامی به شکل زیر نمایش می‌دهد.

The application failed to initialize properly (0x0000005). Click on OK to terminate the application.

سپس فایل خود با نام svchost.exe در مسیر %TEMP% را اجرا کرده و برای اینکه با هر بار راه‌اندازی سیستم آلوده به طور خودکار اجرا گردد، خود را به شکل زیر در رجیستری ثبت می‌نماید:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SoundMax = %PROGRAMFILES%\Sound Utility\Soundmax.exe

سپس کلیدهایی در رجیستری را به شکل زیر تغییر می‌دهد:

HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced
Hidden = 2
HideFileExt = 2

ShowSuperHidden = 2
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer
Nofolderoptions = 1

HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer
Nofolderoptions = 1

HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
DisableConfig = 0
DisableSR = 1

تغییرات فوق باعث بروز مشکلاتی از جمله باز نشدن FolderOption و مخفی نگه داشتن فایلهای مخفی می‌گردد که برای برطرف کردن این مشکلات می‌توانید برنامه زیر را از سایت ایمن دانلود کرده و رجیستری خود را پاکسازی نمایید:


همچنین کلید IsShortCut را از مسیرهای زیر در رجیستری پاک می‌کند:

HKEY_CLASSES_ROOT\lnkfile
HKEY_CLASSES_ROOT\piffile
HKEY_CLASSES_ROOT\InternetShortcut

و کلیدی با نام Wintek در مسیر زیر ایجاد می‌کند:

HKEY_CURRENT_USER\Software\

و کلید زیر را در آن ایجاد می‌نماید:

Install = b2ed3 (Dword ? Value is in hex)

بعد از انجام کارهای فوق تمام برنامه‌های موجود در زمانبند ویندوز (دستور at) را پاک کرده و با استفاده از زمانبند ویندوز فایل خود را که با نام OfficeUpdate.exe در مسیر WINDIR%\Web% وجود دارد هر روز در ساعات 11:30 و 20:30 اجرا می‌نماید.

یکی دیگر از کارهای این کرم این است که خود را در مسیرهای زیر با نام‌های فریبنده کپی می‌کند و از آنجایی که برخی از این مسیرها مخصوص برنامه‌های شبکه‌های اشتراک‌گذاری فایل (یا P2P) هستند، با این کار امکان انتشار آن در سراسر دنیا از طریق اینگونه برنامه‌ها فراهم می‌گردد:

%PROGRAMFILES%\Kazaa Lite\My Shared Folder\
%PROGRAMFILES%\Kazaa\My Shared Folder\
%PROGRAMFILES%\Icq\Shared Files\
%PROGRAMFILES%\emule\incoming\
%PROGRAMFILES%\Gnucleus\Downloads\Incoming\
%PROGRAMFILES%\KMD\My Shared Folder\
%PROGRAMFILES%\Limewire\Shared\
%PROGRAMFILES%\XPCode\
C:\Inetpub\ftproot\

به علاوه در مسیرهایی که در آنها فایل‌های از نوع MP3 ، JPG یا EXE وجود داشته باشد، خود را با نام zfile.exe کپی می‌کند. همچنین خود را با نام setup.exe و setlib.exe در مسیرهای زیر کپی می‌کند:

\WINDOWS\system32\config\systemprofile\My Documents\
\WINDOWS\system32\config\systemprofile\Start Menu\Programs\
\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Accessories\

\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Accessories\Entertainment\

\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\...

\WINDOWS\system32\drivers\
\WINDOWS\system32\spool\drivers\
\WINDOWS\system32\spool\drivers\w32x86\3\

این کرم برای اینکه بتواند خود را درون شبکه تکثیر کند، کامپیوترهای موجود در آن را جستجو کرده و با استفاده از درایوهای به اشتراک گذاشته شده، سعی می‌کند خودش را به شکل زیر بر روی آن سیستم‌ها کپی کند:

C$\Documents and Settings\All Users\Start Menu\Programs\Startup\AdobeUpdate.exe

این کار باعث می‌شود که پس از راه‌اندازی آن سیستم‌ها، ویروس به طور خودکار اجرا شده و عملیات تکثیری خود را بر روی آنها انجام دهد.

از جمله کارهای جالب این ویروس این است که خودش را در ریشه همه درایوها با نام autoply.exe کپی کرده و در کنار آن فایلی با نام Autorun.inf ایجاد می‌کند. این عمل باعث می‌شود که هر گاه کاربر بخواهد به هر شکلی وارد هر درایوی شود، فایل مربوط به کرم اجرا گردد. نوع Autorun ایجاد شده به گونه‌ایست که اگر فایل autoply.exe که خود کرم است از روی سیستم پاک شده ولی فایل Autorun.inf باقی بماند، با دوبار کلیک کردن بر روی نام درایو پنجره Open with نمایش داده می‌شود و کاربر نمی‌تواند وارد درایو شود. در این حالت با کلیک راست نمودن بر روی نام درایو و انتخاب گزینه Open نیز نمی‌توان وارد درایو شد. برای برطرف نمودن این مشکل بایستی فایل زیر را از روی سایت ایمن دانلود نموده و آن را بر روی سیستم خود اجرا نمایید:


این کرم فایلی با نام Important.htm را در مسیرهای زیر بر روی سیستم کاربر کپی می‌نماید که حاوی جملاتی به زبان فارسی است:

%USERPROFILE%\Desktop\
%USERPROFILE%\My Documents\

همان جملات را درون فایلی با نام print.txt در مسیر %TEMP% کپی کرده و بعد آن اجرا می‌کند.

در انتها میانبر (Shortcut) های برنامه های Paint و Calculator و Notepad و Cmd را به گونه ای تغییر می دهد که قبل از اجرای برنامه اصلی ویروس اجرا شود که بعد از پاکسازی میانبر برنامه اصلی اجرا نمی‌شود

یکی از نشانه‌های ویروس به نمایش درآوردن نواری زرد رنگ در بالای صفحه همراه با جملاتی فارسی با رنگ قرمز است

تصاویری از عمل کرد این ویروس

http://i26.tinypic.com/281gfhv.jpg


http://i25.tinypic.com/2edb979.jpg


http://i30.tinypic.com/2qvz60l.jpg

+ نوشته شده در شنبه ۱۳۸۸/۰۳/۰۲ ساعت 19:17 توسط majid  | 

معرفی و روش از بین بردن ویروس kazme__gheyz.exe


معرفی و روش از بین بردن ویروس kazme__gheyz.exe

این ویروس به صورت دو فایل در درایوها قرار میگیرد و TaskManager,Registry,command dos,gpeditرا از کار می اندازه و نام فایل ویروس به نامهای kazme__gheyz.exe و autorun.inf هست.كه توسط فردي ايراني و براي معرفي وبللاگش ساخته شده


مراحل از بین بردن ویروس kazme__gheyz.exe

1- یک کپی از فایل Taskmgr.exe گرفته و نام آن را تغییر دهید (مثلاً Taskmgr1.exe).آدرس اون C:\Windows\System32 هست

2-Taskmgr1.exe را اجرا کرده و از قسمت Process پروسه های Kazme_Gheyz.exe یا Kazme__Gheyz.exe را با دکمه End Task خاتمه دهید.

3- تمام فایلهای Kazme__Gheyz.exe و Kazme_Gheyz.exe و Autorun.inf را از فهرست ریشه تمام درایوها پاک کنید.

4- فایلهای Kazme__Gheyz.exe یا Kazme_Gheyz.exe را از شاخه Windows/system32 هم پاک کنید.

5- از منوی start->Run برنامه Regedit را اجرا کنید.

6-اگه رجیستری هم اجرا نشد از فایلش یه کپی بگیرید و اسمشو عوض کنید(مثلا Regedit1.exe). آدرس اون C:\Windows\System32 هست

7- داخل رجیستری برید و Find رو بزنید و عبارت Kazm در آن نوشته و Enter را کنید. تمامی مواردی که یافت می شود را با دکمه Del پاک کنید. برای یافتن مورد بعدی کلید F3 را بزنید.

8- برنامه Internet Explorer را اجرا کرده از منوی Tools->Internet Option دکمه Use blank را انتخاب کنید.

اکنون کامپیوتر شما از این ویروس پاک شده است.
+ نوشته شده در شنبه ۱۳۸۸/۰۳/۰۲ ساعت 19:15 توسط majid  |