مرکز انجمنهای تخصصی


http://centralclubs.com/

>>>----*تاپيک جامع معرفي ويروس و تروجان*----<<<

http://centralclubs.com/viewtopic.php?t=15726

صفحه 3 از 4

ارسال شده: سه‌شنبه ۳ بهمن ۱۳۸۵, ۱۱:۳۴ ب.ظ
توسط Morihacker
ویروس Pardona-F

توضیحات :
Pardona-F ویروسی برای سیستم های ویندوزی می با شد .
این ویروس می تواند به اینترنت متصل شود و از طریق پورت 80 (HTTP) با سرور راه دور ارتباط برقرار کند .
همچنین ویروس Pardona-F با اولین اجرا در مکان های زیر کپی می شود :
<Temp>\MediaSups.exe
<Windows>\cmd.com
<Windows>\net.com
<Windows>\regedit.com
مدخل زیر نیز ایجاد می شود :
HKCR\.key
توصیه ها :
1 . به روز كردن آنتي ويروس
2 . دريافت Removal از سايت Kaspersky
3 . روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه"''''Export Registry File و در پنل''''''Export range'' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_CLASSES_ROOTرجيستري زير مدخلهاي:
HKCR\.key
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد

ارسال شده: سه‌شنبه ۳ بهمن ۱۳۸۵, ۱۱:۳۵ ب.ظ
توسط Morihacker
کرم SillyFDC-I

توضیحات :
SillyFDC-I کرمی برای سیستم های ویندوزی می با شد که با اولین اجرا در مکان های زیر کپی می شود :
<User>\Documents\Top Pictures.exe
<User>\My Documents\New Folder.exe
<Windows>\Windows Explorer.exe
این کرم ممکن است در درایو های A: ,B: نیز کپی شود .
همچنین با اجرای کرم SillyFDC-I مدخل زیر در رجیستری ایجاد می شود :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Explorer
<Windows>\Windows Explorer.exe
مدخل زیر نیز تغییر می کند :
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HideFileExt
1
توصیه ها :
1 . به روز كردن آنتي ويروس
2 . دريافت Removal از سايت Kaspersky
3 . روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه"''''Export Registry File و در پنل''''''Export range'' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE,HKEY_CURRENT_USERرجيستري زير مدخلهاي:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Explorer
<Windows>\Windows Explorer.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HideFileExt
1
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

ارسال شده: سه‌شنبه ۳ بهمن ۱۳۸۵, ۱۱:۳۸ ب.ظ
توسط Morihacker
تروجان Busky-E

توضیحات :
Busky-E تروجانی برای سیستم های ویندوزی می باشد .
این تروجان با ایجاد مدخل های زیر در رجیستری ، مانند یک شئ COM و Browser Helper Object (BHO) برای مایکروسافت اینترنت اکسپلورر ثبت می شود :
HKCR\CLSID\(41F328E2-5E46-F5B8-0160-020188931F32)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\(41F328E2-5E46-F5B8-0160-020188931F32
توصیه ها :
1 . به روز كردن آنتي ويروس
2 . دريافت Removal از سايت Kaspersky
3 . روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه"''''Export Registry File و در پنل''''''''Export range'''''''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_CLASSES_ROOTو HKEY_LOCAL_MACHINEرجيستري زير مدخلهاي:
HKCR\CLSID\(41F328E2-5E46-F5B8-0160-020188931F32)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\(41F328E2-5E46-F5B8-0160-020188931F32
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

ارسال شده: سه‌شنبه ۳ بهمن ۱۳۸۵, ۱۱:۴۰ ب.ظ
توسط Morihacker
کرم Codbot-EW

توضیحات :
Codbot-EW یک کرم با قابلیت درپشتی IRC برای سیستم های ویندوزی می یاشد .
این کرم از طریق کامپیوترهای شبکه با آسیب پذیری های زیر منتقل می شود :
LSASS (MS04-011), SRVSVC (MS06-040), RPC-DCOM (MS04-012), IMAIL Server and ASN.1 (MS04-007)
کرم Codbot-EWدائما در پیش زمینه ویندوز اجرا می شود و در پشتی را مهیا می کند تا مهاجم بتواند از طریق کانال های IRC به سیستم آلوده دسترسی داشته باشد و با اولین اجرا یک کپی از خود را در <System>\scvhost.exe قرار می دهد .
scvhost.exe نیز مانند یک سرویس درایور جدید با نام ظاهری "Microsoft Print Spooler"که "WINDRIVER", نامیده می شود در سیستم ثبت می شود . این سرویس به طور اتوماتیک اجرا می شود .مدخل زیر نیز در رجیستری ایجاد می شود :
HKLM\SYSTEM\CurrentControlSet\Services\WINDRIVER
توصیه ها :
1 . به روز كردن آنتي ويروس
2 . دريافت Removal از سايت Kaspersky
3 . روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه"''''Export Registry File و در پنل''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINEرجيستري زير مدخلهاي:
HKLM\SYSTEM\CurrentControlSet\Services\WINDRIVER
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

ارسال شده: سه‌شنبه ۳ بهمن ۱۳۸۵, ۱۱:۴۱ ب.ظ
توسط Morihacker
تروجان Krepper-BF

توضیحات :
Krepper-BF یک تروجان دانلود کننده برای سیستم های ویندوزی می باشد .
این تروجان می تواند به اینترنت متصل شود و از طریق پورت HTTP با سرور راه دور ارتباط برقرار کند .
تروجان Krepper-BF با اولین اجرا در <Windows>\inet20126\services.exe کپی می شود .
همچنین با اجرای Krepper-BF مدخل های زیر در رجیستری ایجاد می شوند:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
run
<Windows>\inet20126\services.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
xp_system
<Windows>\inet20126\services.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
xp_system
<Windows>\inet20126\services.exe
توصیه ها :
1 . به روز كردن آنتي ويروس
2 . دريافت Removal از سايت Kaspersky
3 . روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه"''''Export Registry File و در پنل''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINEو HKEY_CURRENT_USERرجيستري زير مدخلهاي:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
run
<Windows>\inet20126\services.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
xp_system
<Windows>\inet20126\services.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
xp_system
<Windows>\inet20126\services.exe
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد

ارسال شده: سه‌شنبه ۳ بهمن ۱۳۸۵, ۱۱:۴۲ ب.ظ
توسط Morihacker
تروجان DwnLdr-FYD


توضیحات :
DwnLdr-FYD یک تروجان دانلود کننده برای سیستم های ویندوزی می باشد .
این تروجان با اولین اجرا فایل های زیر را ایجاد می کند :
<System>\peers.ini

<System>\wincom32.sys
تروجان DwnLdr-FYD مانند یک سرویس درایور جدید با نام ظاهری "wincom32" که "wincom32" نامیده می شود، در کامپیوترآلوده نصب می شود . این سرویس به طور اتوماتیک اجرا می شود . با اجرای این سرویس مدخل های زیر در رجیستری ایجاد می شوند :
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINCOM32\
HKLM\SYSTEM\CurrentControlSet\Services\wincom32\
توصیه ها :
1 . به روز كردن آنتي ويروس
2 . دريافت Removal از سايت Kaspersky
3 . روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه"''''Export Registry File و در پنل''Export range'' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINEرجيستري زير مدخلهاي:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINCOM32\
HKLM\SYSTEM\CurrentControlSet\Services\wincom32\
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد

ارسال شده: سه‌شنبه ۳ بهمن ۱۳۸۵, ۱۱:۴۴ ب.ظ
توسط Morihacker
کرم Brontok-CI

توضیحات :
Brontok-CI کرمی است که از طریق ایمیل منتشر می شود .
این کرم خودش را به آدرس هایی که از سیستم آلوده بر می دارد ، ارسال می کند .
اگر گیرنده این میل آلوده اهل اندونزی باشد ، این میل دارای خصوصیات زیر می باشد :
From:
angelina_19@attglobal.net
ratna_19@rad.net.id
dewi_21@cbn.net.id
Subject:
Foto Liburanku di Bali
Message text:

Halo Sobat,
Ini fotoku saat liburan di Bali.
Semoga kamu jadi ingat aku terus.
Terima kasih,
در غیر این صورت به صورت زیر می باشد :
Subject:
My Photo on Paris

Message text:

This photo was taken from my vacation on Paris, last week.
Wishing you always remember me.
Regards,
Attachment name:
Photo.zip
کرم Brontok-CI بااولین اجرا در خودش را در مکان های زیر کپی می کند:
<User>\Local Settings\Application Data\dv6122400x\yesbron.com
<User>\Local Settings\Application Data\jalak-931224015-bali.com
<Windows>\_default32142.pif
<Windows>\j6321422.exe
<Windows>\o4321427.exe
<Windows>\sa13188\ib6108.exe
<System>\c_32142k.com
<System>\n5817\b6108.exe
<System>\n5817\csrss.exe
<System>\n5817\lsass.exe
<System>\n5817\services.exe
<System>\n5817\smss.exe
<System>\n5817\sv711224030r.exe
<System>\n5817\winlogon.exe
و فایل های زیر را نیز ایجاد می کند :
\Baca Bro !!!.txt
<User>\Application Data\Microsoft\Crypto\rsa\s-1-5-18\ d42cc0c3858a58db2db37658219e6400_b51db6e2-3a90-48f4-b2a9-edf389bedc4b
<Windows>\Tasks\At1.job
<Windows>\Tasks\At2.job
<System>\Microsoft\Protect\s-1-5-18\User\Preferred
<System>\Microsoft\Protect\s-1-5-18\User\b0f5e31a-8ed3-4a48-91a6-8f7f167668a0
<System>\n5817\c.bron.tok.txt
همچنین ، با اجرای فایل های yesbron.com, _default32142.pif, j6321422.exe و sv711224030r.exe مدخل های زیر در رجیستری ایجاد می شوند :
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run
y1959sar
<User>\Local Settings\Application Data\dv6122400x\yesbron.com

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run
A5118r
<Windows>\_default32142.pif

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
y1959sar
<System>\n5817\sv711224030r.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
A5118r
<Windows>\j6321422.exe
و با اجرای j6321422.exe و o4321427.exe مدخل های زیر در رجیستری ایجاد می شوند :
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell
Explorer.exe "<Windows>\o4321427.exe"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit
<System>\userinit.exe,<Windows>\j6321422.exe


مدخل های زیر نیز تغییر می کنند :
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell
Explorer.exe "<Windows>\o4321427.exe"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit
<System>\userinit.exe,<Windows>\j6321422.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools
1

HKCU\Software\Brontok
Message
Look @ "C:\Baca Bro !!!.txt"

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden
0

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HideFileExt
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowSuperHidden
0
توصیه ها :
1 . به روز كردن آنتي ويروس
2 . دريافت Removal از سايت Kaspersky
3 . روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه"''''Export Registry File و در پنل''''Export range''گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_CURRENT_USERو HKEY_LOCAL_MACHINEرجيستري زير مدخلهاي:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run
y1959sar
<User>\Local Settings\Application Data\dv6122400x\yesbron.com

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run
A5118r
<Windows>\_default32142.pif

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
y1959sar
<System>\n5817\sv711224030r.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
A5118r
<Windows>\j6321422.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell
Explorer.exe "<Windows>\o4321427.exe"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit
<System>\userinit.exe,<Windows>\j6321422.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell
Explorer.exe "<Windows>\o4321427.exe"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit
<System>\userinit.exe,<Windows>\j6321422.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools
1

HKCU\Software\Brontok
Message
Look @ "C:\Baca Bro !!!.txt"

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden
0

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HideFileExt
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowSuperHidden
0
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد

ارسال شده: سه‌شنبه ۳ بهمن ۱۳۸۵, ۱۱:۴۵ ب.ظ
توسط Morihacker
تروجان PatchLs-A


شرح :
اين تروجان تلاش مي كند تا آسيب پذيري را در پروسه هاي LSASS/LSASRV به وجود بياورد. PatchLs-A اين كار را به وسيله دستكاري اين پروسه ها در حافظه ايجاد مي كنيد و از همين طريق آسيب پذيري را ايجاد مي كند. بنابراين فايل اصلي اين پروسه هاي در حافظه سخت سيستم سالم مي باشد .( به اين كار Injection مي گويند )
به نظر نمي رسد كه اين تروجان باعث اجراي توابع بدانديشانه در سيستم باشد ولي ممكن است باعث به وجود آمدن آسيب پذيري ديگري در سيستم شود ( مانند كرم ساسر )
هنگاميكه تزريق اين كد پايان پذيريد ، اين كد به همراه پروسه LSASS در حافظه باقي مي ماند تا هنگاميكه اين پروسه دوباره راه اندازي شود. يعني هنگاميكه اين پروسه دوباره اجرا شود سيستم ما از اين تروجان پاك مي شود ولي تا هنگاميكه اصلاحيه هاي مايكروسافت را نصب نكنيم اين تروجان باز مي تواند به سيستم ما نفوذ كند.
اين كد تزريق شده تا زمانيكه درخواستي از آن نشود ، بيكار مي ماند ولي هنگاميكه از پروسه LSASS درخواستي مي شود اين تروجان نيز فعال مي شود.
اين تروجان به خودي خود ، كاري انجام نمي دهد ولي ممكن است باعث به وجود آمدن درهاي پشتي براي حملات بعدي گردد.
توصيه ها :
1- آنتي ويروسهاي خود را به روز كنيد
2- اصلاحيه هاي مايكروسافت را در سيستم هاي خود نصب كنيد.
3- دريافت Removal از سايت Kaspersky

ارسال شده: سه‌شنبه ۳ بهمن ۱۳۸۵, ۱۱:۴۵ ب.ظ
توسط Morihacker
كرم MyDoom-o
شرح :
كرم اينترنتي MyDoom-o جزو آن دسته از كرمهاي مي باشد كه خودش را توسط پست الكترونيكي منتشر مي كند. اين كرم به وسيله موتور SMTP شخصي خودش ، انتشار مي يابد. اين كرم همچنين يك دسترسي بدون اجازه از طريق شبكه روي سيستم قرباني ايجاد مي كند. در اولين اجرا خودش را در شاخه هاي ويندوز و يا شاخه Temp به نام Java.exe كپي مي كند و همچنين در مدخلهاي رجيستري ويندوز نيز بخشي را اضافه مي كند تا مطمئن شود با شروع ويندوز ، اجرا مي شود.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\JavaVM
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\JavaVM
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Services
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Services
اين كرم همچنين يك فايل به نام Service.exe در دايركتوري Windows يا Temp ايجاد مي كند كه در اصل اين فايل در پشتي براي اين ويروس مي باشد.
همچنين ديسك سخت كامپيوتر را براي پيدا كردن آدرس هاي پست الكترونيك و فايلهايي با پسوند PL*, PH*, TX*, HT*, ASP, TBB, SHT*, WAB, ADB و DBX و دفترچه آدرس ويندوز را براي اين منظور جستجو مي كند.
حتي يك جستجوي اينترنتي براي يافتن آدرس هاي پست الكترونيكي انجام مي دهد. اين كرم درخواستهايي را به سمت موتورهاي جستجو مي فرستند تا به وسيله جستجوي نتايج آن در روي ديسك سخت سيستم ، آدرس هاي بيشتري را پيدا كند. سايتهاي جستجويي كه توسط آن استفاده مي شوند به صورت زير مي باشد:
[External Link Removed for Guests] (45%)
search.lycos.com (22.5%)
search.yahoo.com (20%)
[External Link Removed for Guests] (12.5%)
توصيه ها :
1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
شرح کامل تر :
MyDoom-O خود را به ايميل هايي كه شامل كلمات زير باشد ارسال نمي كند :
mailer-d , spam , abuse , master , sample , account , privacycertific , bugs , listserv , submit ,
ntivi , support , admin , page , the.bat , gold-certs , ca , feste , not , help , foo , no , soft , site , rating , me , you , your , someone , anyone , nothing , nobody , noone , info , winrar , winzip , rarsoft , sf.net , sourceforge , ripe. , arin. , google , gnu. , gmail , seclist , secure , bar. , foo.com , trend , update , uslis , domain , example , sophos , yahoo , spersk , panda , hotmail , msn. ,msdn. , Microsoft , sarc. , syma , avp
عنوان اصلي ايميلهايي كه توسط اين كرم ارسال مي گردند به شرح زير مي باشد :
hello
hi
error
status
test
report
delivery failed
Message could not be delivered
Mail System Error - Returned Mail
Delivery reports about your e-mail
Returned mail: see transcript for details
Returned mail: Data format error
Dear user of
Mail server administrator of would like to inform you that
We have detected that your e-mail account has been used to send a large
amount of unsolicited e-mail messages during this recent week.
We suspect that your computer had been compromised by a recent virus and now
runs a trojan Pr o _x y server.
Please follow our instructions in the attachment file
in order to keep your computer safe.
Virtually yours
user support team.
The message could not be delivered
The original message was included as attachment
The original message was received at from

----- The following addresses had permanent fatal errors -----

----- Transcript of the session follows -----
... while talking to host :
>>> MAIL From:

<<< 501 User unknown
Session aborted
>>> RCPT To:

<<< 550 MAILBOX NOT FOUND
فايل الحاق شده به اين ايميل ها به نام هاي زير مي باشد:
readme
instruction
transcript
mail
letter
file
text
attachment
document
message
به همراه پسوند هاي DOC, TXT, HTM, HTML و در انتهاي آن يكي از پسوند هاي COM, BAT, CMD, SCR يا PIF مي باشد.همچنين فايل الحاقي ممكن است به همراه يك فايل Zip شده ارسال شود كه درون آن فايلي به همان نامهاي بالا مي باشد.

ارسال شده: سه‌شنبه ۳ بهمن ۱۳۸۵, ۱۱:۴۷ ب.ظ
توسط Morihacker
كرم Rbot-ET

شرح :
Rbot-ET جز آن دسته از كرمهايي مي باشد كه در شبكه هاي Share شده خودش را منتشر مي كند. اين كرم شامل يك تروجان مي باشد كه داراي قابليتهاي مختلفي است. وقتي اين تروجان به عنوان يكي از پروسه هاي ويندوز اجرا مي شود يك در پشتي ايجاد مي كند كه اجازه مي دهد در يك كانال IRC بدون كسب مجوز به سيستم قرباني متصل شود. اين كرم از طريق شبكه هايي كه داراي Share هايي با پسورد هاي ضعيف هستند و يا با استفاده از آسيب پذيري موجود در سيستم منتشر مي شود و با استفاده از تروجاني كه در اين سيستمهاي آلوده نصب مي كند به يك كاربر راه دور اجازه مي دهد كه دستورات سيستمي را در كامپيوتر آلوده اجرا كند.
Rbot-ET خودش را در دايركتوري ويندوز به نامهايي با هفت كاراكتر كه به صورت تصادفي انتخاب مي شوند ذخيره مي كند و خودش را در مدخل هاي رجيستري به نام هاي Windows Media Player Update ذخيره مي كند. كه اين مدخلها به شرح زير مي باشد:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\OLE
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\OLE
HKCU\SYSTEM\CurrentControlSet\Control\Lsa
توصيه ها :
1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه okرا كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
در مدخل HKEY_LOCAL_MACHINE رجيستري در زير مدخلهاي زير
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
هر گونه فايلي كه به نامهاي بيان شده در بالا اشاره ميكرد را حذف كنيد
هر كاربري يك رجيستري دارد به نام HKEY_USERS\ كه بايد در زيرمدخلهاي زير :
HKU\[code number]\Software\Microsoft\Windows\
CurrentVersion\Run
HKU\[code number]\Software\Microsoft\Windows\
CurrentVersion\RunServices
هر گونه فايلي كه به نامهاي بيان شده در بالا اشاره ميكرد را حذف كنيد
شرح کامل تر :
همچنين Rbot-ET هر دو دقيقه مدخلهاي زير را در رجيستري ذخيره مي كند :
HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N"
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = "1"
Rbot-ET همچنين بخش هاي Share شده C$, D$, ADMIN$ , و RPC$ را حذف مي كند.
اين كرم همچنين فايل HOSTS را در دايركتوري Driver/etc در دايركتوري ويندوز تغيير داده و باعث مي شود سيستم آلوده به سايتهاي زير متصل نگردد.
# Copyright (c) 1993-1999 Microsoft Corp.#
# This is a sample LMHOSTS file used by the Microsoft TCP/IP for Windows #
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 [External Link Removed for Guests]
127.0.0.1 sophos.com
127.0.0.1 [External Link Removed for Guests]
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate
127.0.0.1 [External Link Removed for Guests]
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 [External Link Removed for Guests]
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 [External Link Removed for Guests]
127.0.0.1 [External Link Removed for Guests]
127.0.0.1 avp.com
127.0.0.1 [External Link Removed for Guests]
127.0.0.1 networkassociates.com
127.0.0.1 [External Link Removed for Guests]
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 [External Link Removed for Guests]
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 [External Link Removed for Guests]
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 [External Link Removed for Guests]
127.0.0.1 [External Link Removed for Guests]
اين ويروس خودش را با نامهاي زير در پروسه هاي ويندوز ذخيره مي كند :
ACKWIN32.EXE
ADAWARE.EXE
ADVXDWIN.EXE
AGENTSVR.EXE
AGENTW.EXE
ALERTSVC.EXE
ALEVIR.EXE
ALOGSERV.EXE
AMON9X.EXE
ANTI-TROJAN.EXE
ANTIVIRUS.EXE
ANTS.EXE
APIMONITOR.EXE
APLICA32.EXE
APVXDWIN.EXE
ARR.EXE
ATCON.EXE
ATGUARD.EXE
ATRO55EN.EXE
ATUPDATER.EXE
ATUPDATER.EXE
ATWATCH.EXE
AU.EXE
AUPDATE.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AUTOUPDATE.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCC32.EXE
AVGCTRL.EXE
AVGNT.EXE
در ضمن اين كرم مدخلهاي دايركتوري زير را به منظور حذف برنامه هاي مخرب ديگر پاك مي كند :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\TaskMon
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\PandaAVEngine
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\System MScvb
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\windows auto update
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Inet Xp..
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\sysinfo.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\System MScvb
اين كرم ممكن است يك برنامه ثبت كليد نصب كند كه كليدهاي ثبت شده را در يك فايل به نام NOLOG.TXT در دايركتوري سيستم ويندوز ذخيره كند

ارسال شده: سه‌شنبه ۳ بهمن ۱۳۸۵, ۱۱:۴۷ ب.ظ
توسط Morihacker
كرم Zindos-A


شرح :
كرمي است كه به وسيله در پشتي ايجاد شده توسط كرم MyDoom-O خود را منتشر می كند
اين كرم يكي از مدخلهاي رجيستري زير را ايجاد ميكند كه هنگام اجراي ويندوز آن نيز اجرا شود
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Tray
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Tray
3 دقيقه پس از اين كه كرم شروع به كار كرد يك حمله doS را بر عليه سايت [External Link Removed for Guests] شروع ميكند.
توصيه ها :
1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
در ويندوزهاي NT/2000/XP/2003 شما بايد كه مدخلهاي رجيستري زير را تصحيح كنيد
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه okرا كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد
در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخل
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Tray
اگر وجود داشت حذف گردد
هر كاربري يك رجيستري دارد به نام HKEY_USERS كه بايد در زيرمدخل زير :
HKU\[code number]\Software\Microsoft\Windows\CurrentVersion\Run\Tray
اگر وجود داشت حذف گردد

ارسال شده: سه‌شنبه ۳ بهمن ۱۳۸۵, ۱۱:۴۸ ب.ظ
توسط Morihacker
ويروس Toraja-I

Toraja-I يك ويروس ماكرو مي باشد كه براي Microsoft Office 97 نوشته شده است
اين ويروس يك سند آلوده در دايركتوري ايجاد ميكند كه در هنگام اجراي برنامه Exel مطمئن باشد ويروس اجرا مي شود
C:\Program Files\Microsoft Office\Office\Xlstart\start25.xls
توصيه ها:
1- به روز كردن آنتي ويروس خود
۲- حذف دستی اين فايل
تمام زمان ها براساس UTC+03:30
صفحه 3 از 4

توسعه یافته توسط phpBB® Forum Software © phpBB Limited