ويروس

[خوبی کن]

پست‌هاي الكترونيك حامل پيام FBI را باز نكنيد، پيام‌ها ويروسي هستند

ايسنا-
كارشناسان رايانه‌اي هشدار دادند كه كاربران اينترنتي پست‌هاي الكترونيكي حامل فايل‌هاي ضميمه كه از سوي FBI فرستاده شده‌اند را باز نكنند چرا كه ممكن است اين پيام‌ها داراي ويروس باشند.

FBI اواخر روز گذشته ضمن اين هشدار به كاربران خاطرنشان كرد كه اين پست‌هاي الكترونيكي از سوي اين سازمان نيستند.

اين اداره در بيانيه‌اي كه از سوي مقر آن در واشنگتن منتشر شد اعلام كرد كه FBI در اقدام براي ارسال پست‌هاي الكترونيكي ناخواسته به طور عمومي دخالتي ندارد.

اين پست‌هاي الكترونيكي به كاربران دريافت كننده مي‌گويد كه فعاليت آنها با اينترنت از سوي مركز شكايات جرايم اينترنتي وابسته به FBI در حال كنترل و بازرسي است.

سپس به گيرنده اعمال مي‌كند كه فايل ضميمه را باز كند و به سوالات فايل پاسخ دهد اما اين فايل در واقع حامل يك ويروس رايانه‌اي است.

اين سازمان در جهت رد اين موضوع اعلام كرده است كه اين صفحه وابسته به FBI وجود دارد اما فعاليت آن بازرسي استفاده‌هاي اينترنتي از سوي شهروندان عادي نيست.

 

[hwt]

Dropper-AA يك تروجان كپي كننده فايل ها مي باشد .

اين تروجان فايل SYSW.DLL را درون پوشه ويندوز قرار مي دهد و آن را اجرا مي كند .

تروجان مدخل هاي زير را در رجيستري قرارمي دهد تا با اجراي ويندوز تروجان نيز اجرا شود:

HKCR\CLSID\(RND-CLSID)\InProcServer32\(default)\sysw.dll

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad\System
(RND-CLSID)

توصيه ها :

1-به روز كردن آنتي ويروس

2- دريافت Removal از سايت Kaspersky

3-روش پاك سازي به صورت دستي :

ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''''''''''''''Export Registry File'''''''''''''''' و در پنل ''''''''''''''''Export range'''''''''''''''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.

حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKCR\CLSID\(RND-CLSID)\InProcServer32\(default)\sysw.dll

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad\System
(RND-CLSID)



هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

 

[hwt]

يك تروجاني است كه كاربر را از طريق مرورگر فريب مي دهد .

اين تروجان وضعيت ظاهري IE را تغيير مي دهد و از نشان دادن صفحه اصلي IE جلوگيري مي كند و به جاي آن صفحه اي را كه تروجان قرار داده است را نمايش مي دهد.

تروجان ممكن است مدخل هاي زير را در رجيستري قرار دهد:

HKCU\Software\Microsoft\Internet Explorer\Main
HOMEOldSP
"about:blank"

HKCU\Software\Microsoft\Internet Explorer\Main
Search Page
"about:blank"

HKCU\Software\Microsoft\Internet Explorer\Main
Search Bar
"res://<Temp>\\se.dll/sp.html"

HKCU\Software\Microsoft\Internet Explorer\Main
Use Custom Search URL
1

HKCU\Software\Microsoft\Internet Explorer\New Windows
PopupMgr
"no"

HKCU\Software\Microsoft\Internet Explorer\Search
SearchAssistant
"about:blank"

HKLM\Software\Microsoft\Internet Explorer\Main
HOMEOldSP
"about:blank"

HKLM\Software\Microsoft\Internet Explorer\Main
Start Page
"about:blank"

HKLM\Software\Microsoft\Internet Explorer\Main
Search Bar
"res://<Temp>\\se.dll/sp.html"

HKLM\Software\Microsoft\Internet Explorer\Search
SearchAssistant
"about:blank"

HKLM\Software\Microsoft\Internet Explorer\Main
Use Search Asst
"no"

HKLM\Software\Microsoft\Internet Explorer\Main
Use Custom Search URL
1

HKLM\Software\Microsoft\Internet Explorer\New Windows
PopupMgr
"no"

همچنين دو مدخل در HKCR\CLSID براي خودش درست مي كند

تروجان فايل se.dll را كپي مي كند و مدخل زير را در رجيستري ايجاد مي كند:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
sp
rundll32 <User_home_folder>\LocalSettings\Temp\se.dll,DllInstall

توصيه ها :

1-به روز كردن آنتي ويروس

2- دريافت Removal از سايت Kaspersky

3-روش پاك سازي به صورت دستي :

ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''''''''''''''Export Registry File'''''''''''''''' و در پنل ''''''''''''''''Export range'''''''''''''''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.

حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKCU\Software\Microsoft\Internet Explorer\Main
HOMEOldSP
"about:blank"

HKCU\Software\Microsoft\Internet Explorer\Main
Search Page
"about:blank"

HKCU\Software\Microsoft\Internet Explorer\Main
Search Bar
"res://<Temp>\\se.dll/sp.html"

HKCU\Software\Microsoft\Internet Explorer\Main
Use Custom Search URL
1

HKCU\Software\Microsoft\Internet Explorer\New Windows
PopupMgr
"no"

HKCU\Software\Microsoft\Internet Explorer\Search
SearchAssistant
"about:blank"

HKLM\Software\Microsoft\Internet Explorer\Main
HOMEOldSP
"about:blank"

HKLM\Software\Microsoft\Internet Explorer\Main
Start Page
"about:blank"

HKLM\Software\Microsoft\Internet Explorer\Main
Search Bar
"res://<Temp>\\se.dll/sp.html"

HKLM\Software\Microsoft\Internet Explorer\Search
SearchAssistant
"about:blank"

HKLM\Software\Microsoft\Internet Explorer\Main
Use Search Asst
"no"

HKLM\Software\Microsoft\Internet Explorer\Main
Use Custom Search URL
1

HKLM\Software\Microsoft\Internet Explorer\New Windows
PopupMgr
"no"

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد

 

[hwt]

Banker-BB تروجاني است از خانواده تروجان هاي Bancban كه سعي مي كند اطلاعات را از كاربراني كه به وب سايتهاي مربوط به بانكهاي از پيش تعين شده متصل مي شوند را بربايد.

اين تروجان يك تروجان چند تركيبي است كه معمولا فايل هايي را شامل مي شود كه با نامهاي explorer.scr و system.exe و svchost.scr در پوشه ويندوز قرار دارند

تروجان مدخل هاي زير را در رجيستري قرار مي دهد تا با اجراي ويندوز تروجان نيز به طور خودكار اجرا شود:



HKLM\Software\Microsoft\Windows\CurrentVersion\Run\system\"system.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\explorer\"svchost.scr"

Banker-BB تعدادي از مدخل ها را در رجيستري زير تغيير مي دهد:

HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\

تروجان با اولين اجرا يك ايميل اخطار دهنده را به مهاجم ارسال مي كند و سپس در پيش زمينه اجرا مي شود و URL هايي را در IE نمايش مي دهد.

زماني كه وب سايت در حال نمايش است ممكن است تروجان يك صفحه جعلي را نمايش دهد تا كاربر را فريب دهد و اطلاعات محرمانه اش را به سرقت ببرد.

رباينده، اطلاعات را به كاربري در دور دست ارسال مي كند.

توصيه ها :

1-به روز كردن آنتي ويروس

2- دريافت Removal از سايت Kaspersky

3-روش پاك سازي به صورت دستي :

ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''''''''''''''Export Registry File'''''''''''''''' و در پنل ''''''''''''''''Export range'''''''''''''''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.

حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\system\"system.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\explorer\"svchost.scr"



هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

 

[hwt]

Sdranck-A كرمي است دراي چندين خصوصيت در شبكه هاي كامپيوتري.

اين كرم دو فايل Sdranck-A و G58S2A1.EXE را در شاخه سيستمي ويندوز كپي مي كند.

DAQUWU32.EXE يك تروجان پروكسي از خانواده تروجان Ranck مي باشد و G58S2A1.EXE عضوي از خانواده كرم Sdbot مي باشد.

Sdranck-A از طريق Share هاي شبكه كه داراي پسورد ضعيف مي باشند و همچنين برخي از آسيب پذيري هاي موجود در شبكه خودش را منتشر مي كند.



توصيه ها :

1-به روز كردن آنتي ويروس

2- دريافت Removal از سايت Kaspersky

3-روش پاك سازي به صورت دستي :

ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''''''''''''''Export Registry File'''''''''''''''' و در پنل ''''''''''''''''Export range'''''''''''''''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.

حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\


هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

 

[hwt]

Goldun-I تروجاني است كه سعي مي كند اطلاعات E-Gold را بربايد.

تروجان پس از اجرا فايل هاي csrss.dll و photo_show1.jpg را در سيستم ويندوز قرار مي دهد و مدخل هاي زير را در رجيستري قرار مي دهد:

HKCR\CLSID\(92617934-9abc-def0-0fed-fad48c654321)\InProcServer32
@
%SYSTEM%\csrss.dll

HKCR\CLSID\(92617934-9abc-def0-0fed-fad48c654321)\InProcServer32
ThreadingModel
Apartment

HKCR\CLSID\(92617934-9abc-def0-0fed-fad48c654321)
script_patch
http://manvestmarketing.com/1/gold.php

photo_show1.jpg عكسي برانگيزنده مي باشد كه به عنوان طعمه استفاده مي شود.

فايل DLL يك Browser Help Object مي باشد كه از درخواست هاي ارسالي به سايت e-gold جلوگيري مي كند و اطلاعات را مي ربايد و آنها را به كاربري در دور دست ارسال مي كند.



توصيه ها :

1-به روز كردن آنتي ويروس

2- دريافت Removal از سايت Kaspersky

3-روش پاك سازي به صورت دستي :

ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''''''''''''''Export Registry File'''''''''''''''' و در پنل ''''''''''''''''Export range'''''''''''''''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.

حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKCR\CLSID\(92617934-9abc-def0-0fed-fad48c654321)\InProcServer32\@\%SYSTEM%\csrss.dll

HKCR\CLSID\(92617934-9abc-def0-0fed-fad48c654321)\InProcServer32\ThreadingModel\
Apartment

HKCR\CLSID\(92617934-9abc-def0-0fed-fad48c654321)\script_patch\
http://manvestmarketing.com/1/gold.php

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

 

[hwt]

Dloader-IE كرمي است كه فايل هايي را از طريق اينترنت دريافت مي كند.

اين كرم فايلي را از يك URL مشخص و از قبل تعريف شده دريافت مي كند و اين فايل را به نام active_url.dll در شاخه سيستمي ويندوز كپي مي كند.در اصل اين فايل يك فايل كمكي براي تروجان مي باشد و نشان مي دهد كه تا الان چه فايل هايي دريافت شده اند.

اين تروجان همچنين خودش را به نام msapp.exe در شاخه سيستمي ويندوز كپي مي كند و مدخل هاي زير را نيز در رجيستري ايجاد مي كند :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

msnmsgs.exe

<Windows system folder>\msapp.exe



توصيه ها :

1-به روز كردن آنتي ويروس

2- دريافت Removal از سايت Kaspersky

3-روش پاك سازي به صورت دستي :

ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''''''''''''''Export Registry File'''''''''''''''' و در پنل ''''''''''''''''Export range'''''''''''''''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.

حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

msnmsgs.exe

<Windows system folder>\msapp.exe



هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

 

[hwt]

DomwisG كرمي است كه از طريق شبكه هاي ويندوزي منتشر مي گردد كه داراي خصوصيات يك تروجان درپشتي مي باشد و به يك كاربر اجازه مي دهد كه به سيستم آلوده ي دسترسي كامل داشته باشد.

در اولين اجرا كرم خودش را به صورت يك فايل مخفي به نام SYSCFG16.EXE در شاخه سيستمي ويندوز كپي مي كند.

براي اينكه Domwis-G به صورت خودكار در سيستم اجرا گردد مدخل هاي زير را در رجيستري ايجاد مي كند :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Windows System Configuration

<Windows system folder>\SYSCFG16.EXE

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Windows DLL Loader

<Windows system folder>\SYSCFG16.EXE

اين كرم مي تواند فايل هايي را از سيستم آلوده حذف كند يا فايل هايي را از شبكه دريافت كند و آنها را در سيستم آلوده اجرا كند.

اين كرم مي تواند اطلاعات بيهوده اي را به سايتهايي در اينترنت ارسال كند و براي مخفي ماندن خود از آدرس هاي IP جعلي استفاده مي كند.

اين درپشتي همچنين مي تواند براي پويش سيستم هاي ديگر و براي به دست آوردن پورت هاي باز سيستم يا آسيب پذيري ا موجود در آنها مورد استفاده قرار گيرد.



توصيه ها :

1-به روز كردن آنتي ويروس

2- دريافت Removal از سايت Kaspersky

3-روش پاك سازي به صورت دستي :

ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''''''''''''''Export Registry File'''''''''''''''' و در پنل ''''''''''''''''Export range'''''''''''''''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.

حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Windows System Configuration

<Windows system folder>\SYSCFG16.EXE

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Windows DLL Loader

<Windows system folder>\SYSCFG16.EXE



هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

 

[hwt]

KelvirA كرمي است كه از طريق پيامهاي مسنجر خودش را منتشر مي كند.

اين كرم پيامي را به تمامي مدخل هاي موجود در مسنجر ارسال مي كند كه اين پيام درخواست مشاهده سايتي را به كاربران مي دهد. پيامي كه توسط اين كرم ارسال مي گردد ب صورت زير است:

*** URGENT *** Download the latest patch from <URL> to prevent getting infected by W32.Bropia.C.

در حال حاضر آدرسي كه اين كرم بدان لينك مي دهد در دسترسنمي باشد.

اين پيام باعث دريافت فايلي به نام PATCH.EXE مي باشد كهدر حال حاضر نيز در دسترس نمي باشد.



توصيه ها :

1-به روز كردن آنتي ويروس

2- دريافت Removal از سايت Kaspersky