ادامه ی قسمت دوم

 

*نحوه پاک کردن ویروس BronTok.A

در زیر به برخی از ویژگی های این ویروس اشاره می کنیم :

1 . Folder Options را حذف می کند !

2 . Registry Tools را قفل می کند !

3 . Task Manager نمی تواند فایل های مربوط به این ویروس را End کند !

4 . پس از اجرا شدن ، محتویات My Documents را نمایش می دهد !

5 . اگر در کادر محاوره ای Run عبارت CMD ، Regedit ، msconfig ، Regedt32 را تایپ کنید ، سیستم بلافاصله Restart می شود !

6 . اگر روی گزینه ی Log Off یا Turn Off Computer کلیک کنید ، سیستم Restart می شود !

7 . آیکون این ویروس شبیه آیکون یه پوشه است !

همانطور که می دانید فایل های lsass.exe ، winlogon.exe و services.exe از فایل های سیستمی بوده و همیشه در حال اجرا هستند ...اگر شما برنامه ی Process Master را اجرا کنید ، می بینید که این فایل ها در پوشه ی System32 قرار دارند.اما اگر ویروس BronTok.A روی سیستم شما نصب باشد ، خواهید دید که سه تا فایل دیگر با همین نام ها در حال اجرا هستند !!

یعنی دو تا winlogon.exe ، دو تا lsass.exe و دو تا services.exe !

اما به راحتی میشود فهمید که کدام ویروسند و کدام فایل اصلی ویندوز ...آن سه تا فایلی که مربوط به ویروس میشوند ، در پوشه ای غیر از System32 قرار دارند .

مسیر دقیقشان میشود :

C:\Documents and Settings\User\Local Settings\Application Data

" C نام همان درایویست که ویندوز در آن نصب گردیده و User نام کاربری است که ویروس در آن اجرا شده ..."

بعد از اینکه با نرم افزار Process Master متوجه شدید که کدام ویروسند ، باید آن ها رو Kill process کنید .اگر احیانا فایل های دیگری با نام های inetinfo.exe ، csrss.exe و smss.exe نیز در حال اجرا بودند آنها را هم Kill process کنید .البته به شرطی که مسیرشان غیر از System32 باشد ...حالا وقت آن است که از نرم افزار Kill BronTok.A استفاده کنید .پس از اینکه نرم افزار Kill BronTok.A کارش تمام شد ، آن را ببندید و به منوی Start برید و روی گزینه ی Search کلیک کنید .در سمت چپ روی گزینه ی All files and folders کلیک کنید .در فیلد All or part of the file name عبارت Empty.pif را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید .اکنون تمام فایل های پیدا شده را پاک کنید .دوباره در فیلد مذکور عبارت زیر را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید .

scr،*.exe.*

اکنون از بین فایل های پیدا شده ، هر فایلی که آیکونش شبیه آیکون پوشه بود رو پاک کنید .مجددا در فیلد All or part of the file name عبارت زیر را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید .

job.*

تمام فایل های پیدا شده را پاک کنید .باز هم در فیلد فوق الذکر عبارت Bron را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید .اکنون تمام فایل ها و پوشه های پیدا شده را پاک کنید .

اکنون با خیال راحت کامپیوترتان را Restart کنید .

نکته : اگر ویندوزتان بیشتر از یک کاربر دارد ، باید تمام عملیات فوق را در همه ی کاربرها انجام دهید.

 

*پاک کردن ويروس New Folder.exe

احتمالا تا حالا با ویروس New Folder.exe مواجه شده اید !

قسمتی از مشخصات این ویروس به شرح زیر است :

1 . آیکون آن شبیه آیکون یک پوشه است .

2 . اندازه ی آن 140 کیلوبایته .

3 . پس از اجرای این ویروس ، محتویات پوشه ی My Documents نمایش داده می شود .

4 . این ویروس تولید مثل هم می کنه !

5 . گزینه ی Turn Off Computer رو از منوی Start حذف می کنه .

6 . از اجرای Registry Tools ، windows Task Manager و System Configuration Utility جلوگیری می کنه .

7 . پس از مدتی Registry Tools و Task Manager رو غیر فعال می کنه .

8 . ظاهرا توسط شخصی به نام علی صادقی نوشته شده ، چون وقتی داشتم کدهای اسمبلی این ویروس رو مشاهده می کردم با جمله ی زیر مواجه شدم :

i am ali sadeghi,master of you

چقدر هم مغرور !

...

خلاصه به درخواست یکی از دوستان ، من نشستم و ضد این ویروس رو نوشتم که می تونید از لینک زیر دانلود کنید:

http://feng1.persiangig.com/Programs/KNF.zip

پس از اینکه برنامه ی Kill New Folder.exe کار خودش رو انجام داد ، باید مابقی ویروس ها رو خودتون به صورت دستی پاک کنید .برای پاک کردن مابقی ویروس ها به شیوه ی زیر عمل کنید :

1 . به منوی Start بروید و روی گزینه ی Search کلیک کنید تا پنجره ی مربوطه نمایش داده شود .

2 . در سمت چپ روی گزینه ی All files and folders کلیک کنید .

3 . در قسمت All or part the file name عبارت New Folder.exe را تایپ کنید و روی گزینه ی Search کلیک نمایید .

حالا تمام فایل های پیدا شده رو پاک کنید .حواستون باشه مجددا یکی از اونا رو اجرا نکنید .

یکی از بهترین انتی ویروس ها برای از بین بردن کرمی که folder option را از بین می برد . این انتی ویروس محصول یکی از بزرگترین و بهترین سازنده انتی ویروس یعنی bitdefender است . حتما ان را دانلود کرده و سیستم خود را بعد از انجام مراحل بالا اسکن کنید. همچنین NOD32 حتی در حالتی که آپدیت هم نبود توانست این ویروس را شناسایی کند.

http://www.bitdefender.com/VIRUS-157247-en--Win32.Brontok.A@mm.html

 

*ویروس Antichrist (virus hoax)0

این ویروس یا کرم با پیغامی که می دهد در واقع شما را به راه راست هدایت می کند و به نام ویروس ستایش نیز معروف است .این ویروس که با نام های Day of Judgmet و Antichrist هم شناخته می شود یک کرم ایرانی است که سیستم عامل های ویندوز ۳۲ بیتی را مورد حمله قرار می دهد.

از مشخصه های بارز این کرم می توان به موارد زیر اشاره کرد:

۱. غیرفعال کردن Folder Option

۲. باز شدن صفحه اینترنتی با عنوان Day of Judgment (به معنی روز داوری) که ترجمه انگلیسی سوره حمد بر روی پس زمینه سبز در آن مشاهده می شود.این صفحه در هر بار بوت شدن ویندوز به شما نشان داده می شود.همچنین در هر بار بوت شدن ویندوز پنجره ای با تیتر Antichrist و با محتوای Day of Judgment نمایش داده می شود.

۳. در بعضی مواقع جلوی اجرای Regedit و Task Manager با آلوده شدن توسط این ویروس گرفته می شود .

۴. سرعت کلی سیستم به شدت پایین می آید و در فهرست پروسس های ویندوز می توانید Sys.exe و در قسمت برنامه های startup نام wma.exe و blank.htm را مشاهده کنید.

۵. و گاهی اوقات هنگام بالا امدن ویندوز یک فایل html در ادرس c:\windows\system32\blank.htm اجرا می گردد .

۶. همچنین ویروس خود را در تمام درایوها با نام Autoplay.exe کپی می کند که با هر بار کلیک روی درایو ها منتشر می شود .

این هم متن AUTORUN این WORM :

[autorun]

open=Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\sys.exe a

shell\open=Open

shell\open\Command=Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\sys.exe o

shell\open\Default=1

shell\explore=Explore

shell\explore\Command=Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\sys.exe e

اين كرم ايراني پس از اجراي فايل آن بر روي سيستم كاربر، ابتدا خودش را به صورت زير بر روي سيستم كپي مي‌نمايد:

%System32%\Sys.exe

%Windows%\Shell.exe

%Windows%\vxds.exe

%Windows%\Help\vxds.exe

%Windows%\media\wma.exe

و براي اينکه با هر بار بالا آمدن سيستم اين فايل‌ها اجرا گردند، آنها را به شکل زير در رجيستري ثبت مي‌کند:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Shell = userinit.exe, sys.exe

Userinit = Explorer.exe shell.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

vxds = %Windows%\vxds.exe

همچنين در مسير System32 فايلي با نام OEMLOGO.BMP به صورت مخفي ايجاد مي‌کند.به علاوه در همين مسير فايلي با نام OEMLOGO.INI به صورت مخفي مي‌سازد که محتويات آن به شکل زير است:

[General]

Manufacturer=[Antichrist]

Model=[Day of judgment]

SupportURL=hxxp://www.antichrist.com/

LocalFile=blank.htm

[Support Information]

Line1=When comes the help of Allah, and victory,.

Line2=And thou dost see the people enter Allah's religion in crowds,.

Line3=Celebrate the praises of thy Lord, and pray for his forgiveness: for he is oft-Returning (in forgiveness)..

فايل ديگري نيز در همين مسير با نام blank.htm به صورت مخفي ايجاد مي‌کند که با اجراي آن صفحه‌ای به نمايش درمي‌آيد که متن انگليسي نمايش داده شده در اين صفحه ترجمه سوره حمد مي‌باشد. آنگاه براي اينکه با هر بار بالا آمدن سيستم اين فايل نمايش داده شود آن را به صورت زير در رجيستري ثبت مي‌کند:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Blank = %System32%\blank.htm

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Blank = %System32%\blank.htm

براي اينکه مقدار Home Page و Search Page نرم‌افزار Internet Explorer را برابر با صفحه مذکور قرار دهد، تغييرات زير را در رجيستري ايجاد مي‌نمايد:

HKCU\Software\Microsoft\Internet Explorer\Main

Start Page = %System32%\blank.htm

Search Page = %System32%\blank.htm

از کارهاي جالب اين ويروس اين است که در همه درايوها در داخل مسير Recycler فولدري مخفي و با نام تصادفي ايجاد کرده و يک کپي از خودش را با نام Sys.exe درون آن قرار مي‌دهد.

همچنين اثرات ديگری به شکل زير دارد:

با ايجاد تغييراتي در رجيستري باعث مي‌شود که قبل از ورود به سيستم صفحه‌اي با تيتر Antichrist و با متن Day of judgment نمايش داده شود. همچنين باعث مي‌شود فايل‌هاي Super Hidden نمايش داده نشود. جلوي اجراي برنامه‌هاي RegEdit و Task Manager را گرفته و رنگ زمينه Windows و صفحه cmd را تغيير مي‌دهد. بعلاوه نام User و Organization ثبت شده براي سيستم را با [Antichrist] تغيير مي‌دهد.

لازم به ذکر است که آخرين نگارش ضدويروس سيمانتك اين کرم اينترنتي را شناخته و به صورت کامل پاکسازي مي‌نمايد.براي پاكسازي اثرات باقي مانده اين ويروس همانند غير فعال شدن Registry يا Folder Option و يا باز نشدن درايوها با دابل كليك بر روي آنها و غيره از ابزار پاكسازي زير استفاده نمایید:

http://www.damsunsecurity.com/files/extract_file.php?file_id=24&20080202

 

*نحوه از بین بردن ویروس Antichrist

متاسفانه فعلا حتی نسخه های بروزشده آنتی ویروس Eset NOD۳۲ قادر به شناسایی و خنثی نمودن این ویروس نمی باشند.اما حداقل سه آنتی ویروس Kaspersky (در نسخه ۷ آزمایش شد) ، McAfee (نسخه ۲۰۰۸) و احتمالا آخرين نگارش ضدويروس سيمانتک (به نقل از سایت امنیتی دمسان) قادر به شناسایی و پاک کردن ویروس مذکور هستند.

من خودم انتی ویروس سیمانتک ( Norton ) را توصیه می کنم چون این انتی ویروس اولین انتی ویروسی بود که این کرم را پیدا و کاملا پاک می کند . حتما سعی کنید به طور کامل این انتی ویروس را اپدیت کنید و بعد تمام درایو ها را اسکن کنید .

برای پاک کردن این ویروس ابتدا آنتی ویروس خودتان را به آخرین بسته های بروزرسانی مجهز کنید سپس اقدام به کنترل سیستم نمایید.توصیه می کنم که تمام هارد را برای یافتن ویروس اسکن نمایید.

نکته : حتما سیستم خودتان را در حالت safe mode ویروس یابی کنید و از کلیک کردن روی درایو ها تا پاک شدن کامل ان خود داری کنید .بعد از پاک شدن ویروس قسمتهای حذف شده را مانند روشهای بالا می توانید برگردانید . و سپس باید به تمام درایو ها رفته و autoplay.exe را پاک کنید .

 

*ویروس Kazme_Gheyz.exe

نحوه تشخیص ویروس Kazme_Gheyz.exe

اگه کامپیوترتان به این ویروس آلوده شده باشد اتفاقات زیر می افتد:

1- Command Prompt ندارید

2- Msconfig , Regedit , Task Manager ,.... کار نمی کند .

در داخل فهرست ریشه همه داریوها فایل Kazme_Gheyz.exe بطور پنهان قرار گرفته تا با کلیک بر روی هر درایو این ویروس از طریق فایل autorun.inf اجرا شود.این ویروس قسمت هاي مهم سيستم شما رو مانند registry و device manager رو غير فعال می کند و homepage اکسپلورر رو هم به سایت خودش تغییر می دهد .

نحوه پاک کردن ویروس kazm_gheyz


ابتدا به قسمت search بروید و دنبال regedit.exe و taskmgr.exe بگردید و بعد نام انها را اینطور تغییر دهید . regedit1.exe و taskmgr1.exe سپس taskmgr1.exe را اجرا کنید و در تب proccesses به دنبال پروسه ای به نام kazm_gheyz ... یا چیزی شبیه به ان بگردید بعد end proccess را بزنید تا بسته شود .

mycomputer را باز کنید و از منوی tools گزینه folder options ا انتخاب کنید و به تب view برید و تیک show hidden files and folders را بزارید و تیک دو تا گزینه پایینیش که با hide شروع میشه را بردارید و apply کنید.از داخل تمام درایوهاتون دو فایل kazm_gheyz.exe و autorun.info را پیدا و پاک کنید (shift - delete )

"نحوه پاک کردن ویروس autorun.info را در ابتدای اموزش ذکر کرده ام"

حالا فایل regedit1 را اجرا کنید و از منوی edit گزینه find را انتخاب کنید و کلمه kazm را سرچ کنید هرجا که پیدا شد کلید delete را بزنید و پاک کنید برای یافت گزینه بعدی F3 را بزنید و بازهم پاک کنید تا همه رجیستری از این نام پاک شود. به internet explorer بروید و از منوی tools گزینه internet options را انتخاب کنید و home page را روی use blanked بزنید.اگه ویروس از بین نرفت این کارها را چند بار تکرار کنید تا دیگر اثری از ان باقی نماند.

 

منبع اصلی:http://www.crso.ir

گردآوری و ویرایش: وبلاگ بستکده