[esi2008]

سلام امروز یکی از دوستانم گوشی مبایلشو به کامپیوتر من وصل کرد بعد از چند دقیقه یه پیام زرد که حاوی حرفهای زشتی بود در بالای دسکتاب من ظاهر شد که هر چند وقت یک بار عوض می شه یه فایل html هم تو دسکتابم ریخته شده که همون پیام ها داخلشه پاکش کردم ولی پیاما هنوز هست اسم این فایل important بود حالا اگه کسی در این مورد اطلاعی داره بگه چکار باید بکنم چون الان عیده و کسی بیاد اونو ببینه برام درد سر میشه

[zialem]

كارشناسان امنیت اطلاعات در كشور به كاربران در مورد شیوع یك ویروس اینترنتی با نام (‪ (W32/Saldost‬كه توسط ویروس نویسان ایرانی نوشته شده است، هشدار دادند.

مدیر نرم‌افزار یكی از شركت‌های امنیت اطلاعات با بیان این مطلب گفت: بر اساس مشاهدات، نسخه دوم این ویروس نیز در اینترنت منتشر شده است.

“حمیدرضا سعدی” روز چهارشنبه در گفت وگو با خبرنگار آی تی ایرنا افزود: این ویروس نوشته شده به شكل یك نوار زرد رنگ در ب‌الای صفحه رایانه و همراه با جملات فارسی به رنگ قرمز نمایش داده می‌شود.

این بدافزار اینترنتی پس از اجرای فایل آن بر روی سیستم كاربر، ابتدا خودش را بر روی سیستم كپی می‌كند و سپس با تغییر دادن كلیدهایی در رجیستری باعث بروز مشكلاتی از جمله باز نشدن ‪ Folder Option‬و مخفی نگه داشتن فایل‌های مخفی می‌شود.

از جمله كارهای دیگر این ویروس این است كه خودش را در ریشه همه درایوها با نام ‪ autoply.exe‬كپی كرده و در كنار آن فایلی با نام ‪ Autorun.inf‬ایجاد می‌كند.

این عمل باعث می‌شود كه هر گاه كاربر بخواهد به هر شكلی وارد هر درایوی شود، فایل مربوط به كرم اجرا گردد. نوع ‪ Autorun‬ایجاد شده به گونه‌ای است كه اگر فایل ‪ autoply.exe‬كه خود كرم است از روی سیستم پاك شده ولی فایل ‪ Autorun.inf‬باقی بماند، با دوبار كلیك كردن بر روی نام درایو پنجره ‪ Open with‬نمایش داده می‌شود و كاربر نمی‌تواند وارد درایو شود. در این حالت با كلیك راست نمودن بر روی نام درایو و انتخاب گزینه “‪”open‬ نیز نمی‌توان وارد درایو شد.

این کرم اینترنتی ایرانی بوده که توسط ضدویروس ایمن شناسایی و پاکسازی می شود و پس از اجرای فایل ﺁن بر روی سیستم کاربر، ابتدا خودش را به صورت زیر بر روی سیستم کپی می نماید:

%TEMP%\svchost.exe
%PROGRAMFILES%\Sound Utility\Soundmax.exe
%PROGRAMFILES%\Common Files\Microsoft Shared\MSshare.exe
%WINDIR%\Web\OfficeUpdate.exe

سپس فایل خود با نام svchost.exe در مسیر %TEMP% را اجرا کرده و برای این که با هر بار راه اندازی سیستم ﺁلوده به طور خود کار اجرا گردد، خود را به شکل زیر در رجیستری ثبت می نماید:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVe rsion\Run
SoundMax = %PROGRAMFILES%\Sound Utility\Soundmax.exe

سپس کلیدهای در رجیستری را به شکل زیر تغییر می دهد:

HKCU\Software\Microsoft\Windows\Curr entVersion\Explorer\Advanced
Hidden = ۲
HideFileExt = ۲

ShowSuperHidde n = ۲
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer
Nof olderoptions = ۲

HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\E xplorer
Nofolderoptions = ۱

HKLM\SOFTWARE\Policies\Microsoft\Windows NT\ SystemRestore
DisableConfig = ۱
DisableSR = ۱

تغییرات فوق باعث بروز مشکلاتی از جمله باز نشدن FolderOption و مخفی نگه داشتن فایلهای مخفی می گردد که برای برطرف کردن این مشکلات می توانید برنامه زیر را از سایت ایمن دانلود کرده و ر جیستری خود را پاکسازی نمایید:

[تنها کاربران ثبت نام شده امکان مشاهده لینک ها را دارند. در چند ثانیه مراحل ثبت نام را طی کنید. ]

همچنین کلید IsShortCut را از مسیرهای زیر در رجیستری پاک می کند:

HKEY_CLASSES_ROOT\lnkfile
HKEY_CLASSES_ROOT\piffile
HKEY_CLASSES_ROOT\InternetShortcut

و کلیدی با نام Wintek در مسیر زیر ایجاد می کند:

HKEY_CURRENT_USER\Software \

و کلید زیر را در ﺁن ایجاد می نماید:

Install = b۲ed۳ (Dword - Value i s in hex)

بعد از انجام کارهای فوق تمام برنامه های موجود در زمانبند ویندوز (دستور at) را پا ک کرده و با استفاده از زمانبند ویندوز فایل خود را که با نام OfficeUpdate.exe در مسیر WINDIR%\Web% وجود دارد هر روز در ساعات ۱۱:۳۰ و ۲۰:۳۰ اجرا می نماید.

یکی دیگر از کارهای این کرم این است که خود را در مسیرهای زیر با نام های فریبنده کپی می کند و از ﺁنجایی که برخی از این مسیرها مخصوص برنامه ها ی شبکه های اشتراک گذاری فایل (یا P۲P) هستند، با این کار امکان انتشار ﺁن در سراسر دنیا از طریق اینگونه برنامه ها فراهم می گردد:

%PROGRAMFILES%\Kazaa Lite \My Shared Folder\
%PROGRAMFILES%\Kazaa\My Shared Folder\
%PROGRAMFILES%\I cq\Shared Files\
%PROGRAMFILES%\emule\incoming\
%PROGRAMFILES%\Gnucleus\Do wnloads\Incoming\
%PROGRAMFILES%\KMD\My Shared Folder\
%PROGRAMFILES%\Lime wire\Shared\
%PROGRAMFILES%\XPCode\
C:\Inetpub\ftproot\

به علاوه در مسیرهایی که در ﺁنها فایل های از نوع MP۳ ، JPG یا EXE وجود داشته باشد، خود را با نام zfile.exe کپی می کند. همچنین خود را با نام setup.exe و setlib.exe در مسیرهای زیر کپی می کند:

\WINDOWS\system۳۲\config\systemprofile\My Documents\
\WINDOWS\system۳۲\config\systemprofile\Start Menu\Programs\
\WINDOWS\system۳۲\config\systemprofile\Start Menu\Programs\Accessories\
\WINDOWS\system۳۲\ config\systemprofile\Start Menu\Programs\Accessories\Entertainment\
WINDOWS\system۳۲\config\systemprofile\Start Menu\Programs\Startup\…
\WINDOWS\system۳۲\drivers\
\WINDOWS\system۳۲\spool\drivers\
\WINDOWS\system۳۲\spool\drivers\w۳۲×۸۶\۳\

اين كرم برای اينكه بتواند خود را درون شبكه تكثير كند، كامپيوترهای موجود در آن را جستجو كرده و با استفاده از درايوهای به اشتراك گذاشته شده، سعی می‌كند خودش را به شكل زير بر روی آن سيستم‌ها كپی كند:

C$\Documents and Settings\All Users\Start Menu\Programs\Startup\AdobeUpdate.exe

اين كار باعث می‌شود كه پس از راه‌اندازی آن سيستم‌ها، ويروس به طور خودكار اجرا شده و عمليات تكثيری خود را بر روی آنها انجام دهد.

از جمله كارهای جالب اين ويروس اين است كه خودش را در ريشه همه درايوها با نام autoply.exe كپی كرده و در كنار آن فايلی با نام Autorun.inf ايجاد می‌كند. اين عمل باعث می‌شود كه هر گاه كاربر بخواهد به هر شکلی وارد هر درايوی شود، فايل مربوط به كرم اجرا گردد. نوع Autorun ايجاد شده به گونه‌ايست كه اگر فايل autoply.exe كه خود كرم است از روی سيستم پاك شده ولی فايل Autorun.inf باقی بماند، با دوبار كليك كردن بر روی نام درايو پنجره Open with نمايش داده می‌شود و كاربر نمی‌تواند وارد درايو شود. در اين حالت با كليك راست نمودن بر روی نام درايو و انتخاب گزينه Open نيز نمی‌توان وارد درايو شد. برای برطرف نمودن اين مشكل بايستی فايل زير را از روی سايت ايمن دانلود نموده و آن را بر روی سيستم خود اجرا نماييد:

[تنها کاربران ثبت نام شده امکان مشاهده لینک ها را دارند. در چند ثانیه مراحل ثبت نام را طی کنید. ]

اين كرم فايلی با نام Important.htm را در مسيرهای زير بر روی سيستم كاربر کپی می‌نمايد كه حاوی جملاتی به زبان فارسی است:

%USERPROFILE%\Desktop\
%USERPROFILE%\My Documents\

یکی از نشانه‌های ویروس به نمايش درآوردن نواری زرد رنگ در بالای صفحه همراه با جملاتی فارسی با رنگ قرمز است.

منبع:[تنها کاربران ثبت نام شده امکان مشاهده لینک ها را دارند. در چند ثانیه مراحل ثبت نام را طی کنید. ]

اینا همه رو نوشته اما برای آخری راه حلی نداده .شاید یکی از اون برنامه ها به دردت بخوره.فکر کنم این باشه.([تنها کاربران ثبت نام شده امکان مشاهده لینک ها را دارند. در چند ثانیه مراحل ثبت نام را طی کنید. ])

[esi2008]

دوست عزیز دستتدرد نکنه پاکش کردم و برای خاطر جمعی با بکابی که داشتم ویندوز رو کلا عوض کردم

[mafia5]

با سلام چطوري پاكش كردي؟
به ما هم بگو ياد بگيريم.ممنون مي شيم.

[esi2008]

چیز عجیبی نبود نود 32 پاکش کرد