معرفي كرم ها و تروجان ها ، شناسايي و روش پاكسازي!

[samanvilli]

سلام دوستان عزيز .

در اين تاپيك قصد دارم به معرفي انواع تروجان ها و روش مقابله و پاكسازي اونها بپردازم .

آشنايی با تروجان و انواع آن - تروجان چیست ؟

در دنياي IT ، تروجان به برنامه اي گفته مي شود كه به سيستم قرباني وارد شده ، دسترسي كامل به فايل را ميسر، اطلاعات مهم و شخصي را استخراج و باعث تخريب سيستم عامل مي شود. تروجان ها همپاي پيشرفت دانش كامپيوتر خطرناك تر شده و براي نفوذ از راه هاي جديدتر و متد هاي پيشرفته تري استفاده مي كنند. در باره تروجان ها مطالب و مقالات زيادي نوشته شده ولي در اين مبحث سعي مي كنيم تا به طور خلاصه شما را با انواع تروجان ها آشنا كنيم زيرا دربهاي پشتي ( Back Door ) و تروجان ها هميشه در زمينه هكينگ نقش فعالي داشته اند و چون هدف ما آشنا كردن شما با روش هاي نفوذ و روش هاي مقابله با آن است درباره تروجان ها كه برنامه هايي مخرب هستند نيز توضيحاتي خواهيم داد كه در ادامه آمده است. تروجان ها داراي Function هاي زير مي باشد:

دزديدن شماره كارت هاي اعتباري

دزديدن كد كاربري و كلمه عبور براي Email Accounts Dialup Password Web Services

به سرقت بردن پرونده هاي مهم و فايل هاي اعتباري كامپيوتري

بدست آوردن اطلاعات شخصي قرباني همانند اسم و آدرس

بدست آوردن قرار ملاقات ها

بدتر از همه استفاده از كامپيوتر قرباني براي هك كردن سرورهاي دولتي با آيپي شخصي كامپيوتر هك شده

به طور كلي تروجان ها را مي توان به 7 دسته تقسيم كرد:

1- Remote Access Trojans

معروف ترين نوع تروجان مي باشد كه به هكر كنترل كامل سيستم را هديه كرده و هكر مي تواند هر فعاليتي بر روي كامپيوتر قرباني انجام دهد. از جمله آنها مي توان به Orifice و Netbus و Sub7 اشاره كرد. ويروس BlugBear كه در سال 2002 هزاران كامپيوتر را قرباني كرد در هنگام اجرا بلافاصله تروجاني از اين گروه بر روي سيستم نصب كرده كه دسترسي كامل اطلاعات را به هكر مي فرستد. اين گونه تروجان ها همانند سروري كار مي كنند كه بر روي پورت دلخواه Listen كرده و در هنگامي كه هكر نياز به گرفتن اطلاعات دارد به آن پورت وصل و امكان دسترسي هكر به داخل سيستم را فراهم مي كند. نكته جالب اين تروجان ها در غير فعال ساختن Firewall و Anti-Virus ها در هنگام اجرا مي باشد.

2- Data-Sending Trojans :

اين گروه از ترو جان ها براي فرستادن اطلاعات به هكر استفاده مي شود و از جمله كارهاي آنها مي توان به فرستادن Password و Keystrokes ( كليد هاي تايپ شده توسط كاربر سيستم قرباني ) اشاره كرد. اين تروجان ها از طريق IRC و FTP – TTP – ICQ و يا در هنگام چت كردن اطلاعات را براي هكر ارسال مي كند. از جمله آنها مي توان به Keyloger و Magic-ps اشاره كرد.

3- Destructive Trojans :

تنها استفاده و قابليت اين گروه از تروجان ها پاك كردن فايل هاي اجرايي و سيستمي بر روي كامپيوتر است. مانند فايل هاي exe. Bat . com. اين تروجان ها همانند Logic Bombs مي توانند در روز و ساعت بخصوصي فعال شوند از جمله آنها به VegasDay مي توان اشاره كرد. اين تروجان ها بعد از تخريب مي توانند خود را نيز از ميان ببرند. بنابراين هيچگونه ردپايي از خود به جاي نخواهند داشت.

4- Denial Of Services (DoS) attack Trojans :

اين گونه تروجان ها باعث كند شدن ارتباط ( Connection ) و ايجاد ترافيك بر روي خطوط اتصالي مي شوند ( هم ارتباط اينترنتي و هم ارتباط در شبكه داخلي ) اين تروجان ها كه انواع مختلفي دارند بعد از ورود به سيستم قرباني براي يك سرور خاص شروع به ارسال پي درپي درخواست ( Request ) و يا اطلاعات ( مثلا ايميل هاي خالي ) كنند كه با اين عمل موجب مي شوند سرور نتواند به درخواست واقعي كه از ديگركاربران و كامپيوترهاي ديگر ارسال مي شوند پاسخ وسرويس دهد به همين دليل سرور از كار مي افتد از جمله مي توان به Integrity checking و Tripwire و Jolt2 و Winnuck و معروفترين آنها به Win Trinoo اشاره كرد كه در فوريه سال 2000 ميليارد ها دلار به سايت هاي CNN و Amazon و E-trade خسارت وارد كرد. اينگونه تروجان ها به دليل ساختاري كه دارند قابل شناسايي براي Anti-Virus ها در هنگام اجرا نمي باشند.

5- Proxy Trojans :

يكي از جالبترين نوع تروجان مي باشد كه كامپيوتر قرباني را به يك پراكسي سرور تبديل و آنرا با تمامي كاربران به اشتراك مي گذارد.بعد از فعال شدن اين تروجان كاربران و هكر ها مي توانند به يكي از پورت كامپيوتر ها Telnet‌ ‌ ‌ كرده و كنترل آن را به دست خود بگيرند از جمله اين تروجان ها مي توان به U4ME اشاره نمود.

6- FTP Trojans :

اين تروجان به هكر دسترسي به فايل ها را از طريق پورت 21 توسط FTP Client را ميسر مي سازد كه مي توان به Evil FTP نام برد.

7- Security Software Disablers :

در آخر اين گونه تروجان ها نرم افزار هاي امنيتي را از كار خواهد انداخت اغلب به صورت كرم هاي اينترنتي شناسايي مي شوند ولي به هيچ عنوان ويروس نبوده و ساختار متفاوتي با ويروسها دارند از جمله اين تروجان ها مي توان به Goner اشاره كرد كه در سال 2001 شناسايي گرديد.


بر گرفته از :

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

[samanvilli]

تروجان Pushdo-F



Pushdo-F یک تروجان برای سیستم های ویندوزی است .

با نصب این تروجان در سیستم آلوده فایل <System>\drivers\runtime.sys نیز در کامپیوتر ایجاد می شود .

فایل runtime.sys نیز همچون یک سرویس درایور جدید که "runtime" نامیده می شود در سیستم ثبت می شود . مدخل های زیر نیز در رجیستری ایجاد می شود :


HKLM\SYSTEM\CurrentControlSet\Services\runtime







توصیه ها :

1 . به روز كردن آنتي ويروس



2.روش پاك سازي دستي توسط آنتي ويروس سوفوس براي Windows NT مدل 4.5x و Windows NT/2000/XP/2003 مدل 4.1x و پايين تر :



براي حذف يك تروجان كارهاي زير را انجام دهيد :



· همه ي برنامه هاي خود را ببنديد

· مراحل Start|Programs| SophosAnti-Virus را بگذرانيد وبرنامه آنتي ويروس را اجرا كنيد

· تب ''''Immediate'''' را انتخاب كنيد

· به Options|Configuration رفته و تب ''''Disinfection'''' يا ''''Action'''' را انتخاب كرده سپس ''''Infected files'''' وبعد از آن ''''Delete'''' را انتخاب كنيد و در آخر ''''OK. را بزنيد

· براي اجرا كردن پويش، ''''scan'''' يا دكمه ''''GO'''' را بزنيد

· فايل هاي مورد نظر را پاك كنيد ، سپس يك پويش ديگر را اجرا كنيد تا مطمئن شويد پاك سازي صورت گرفته است

· به Options|Configuration برگرديد و تب ''''Disinfection'''' يا ''''Action'''' انتخاب كرده سپس ''''Infected files'''' وبعد از آن ''''Delete'''' را انتخاب كنيد و در آخر ''''OK. را بزنيد

· كاپيوتر را Reboot كرده و پويش نهايي را اجرا كنيد تا كاملا مطمئن شويد پاك ساري صورت گرفته است



3. روش پاك سازي به صورت دستي :

ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه"''''''''Export Registry File و در پنل''''''''''''''''Export range''''''''''''''''گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.

حال در مدخلHKEY_LOCAL_MACHINE رجيستري زير مدخل:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit
<System>\userinit.exe,<System>\Microsoft\Msmsgs.ex e



هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

[samanvilli]

کرم Autoit-F

توضیحات :

Autoit-F یک کرم برای سیستم های ویندوزی است .

این کرم با اولین اجرا یک کپی از خود را در <System>\Microsoft\msmsgs.exe قرار می دهد .

مدخل زیر نیز در رجیستری ایجاد می شود تا Autoit-F بتواند اجرا شود :

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit
<System>\userinit.exe,<System>\Microsoft\Msmsgs.ex e

همچنین این کد آلوده با تغییر مدخل های زیر نرم افزار سیستم را از کار می اندازد :

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\system
DisableTaskMgr
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\system
DisableRegistryTools
1

مدخل های زیر نیز تغییر می کنند :

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer
NoFind
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer
NoFolderOptions
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced
Hidden
2

HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced
HideFileExt
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced
ShowSuperHidden
0

HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced
SuperHidden
0

توصیه ها :

1 . به روز كردن آنتي ويروس



2.روش پاك سازي دستي توسط آنتي ويروس سوفوس براي Windows NT مدل 4.5x و Windows NT/2000/XP/2003 مدل 4.1x و پايين تر :



براي حذف يك کرم كارهاي زير را انجام دهيد :



· همه ي برنامه هاي خود را ببنديد

· مراحل Start|Programs| SophosAnti-Virus را بگذرانيد وبرنامه آنتي ويروس را اجرا كنيد

· تب ''''Immediate'''' را انتخاب كنيد

· به Options|Configuration رفته و تب ''''Disinfection'''' يا ''''Action'''' را انتخاب كرده سپس ''''Infected files'''' وبعد از آن ''''Delete'''' را انتخاب كنيد و در آخر ''''OK. را بزنيد

· براي اجرا كردن پويش، ''''scan'''' يا دكمه ''''GO'''' را بزنيد

· فايل هاي مورد نظر را پاك كنيد ، سپس يك پويش ديگر را اجرا كنيد تا مطمئن شويد پاك سازي صورت گرفته است

· به Options|Configuration برگرديد و تب ''''Disinfection'''' يا ''''Action'''' انتخاب كرده سپس ''''Infected files'''' وبعد از آن ''''Delete'''' را انتخاب كنيد و در آخر ''''OK. را بزنيد

· كاپيوتر را Reboot كرده و پويش نهايي را اجرا كنيد تا كاملا مطمئن شويد پاك ساري صورت گرفته است



3. روش پاك سازي به صورت دستي :

ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه"''''''''Export Registry File و در پنل''''''''''''''''Export range''''''''''''''''گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.

حال در مدخلHKEY_LOCAL_MACHINE رجيستري زير مدخل:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit
<System>\userinit.exe,<System>\Microsoft\Msmsgs.ex e



هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

[samanvilli]

تروجان Agent-GMC

توضیحات :

Agent-GMC یک تروجان برای سیستم هیا ویندوزی است .



توصیه ها :

1 . به روز كردن آنتي ويروس



2.روش پاك سازي دستي توسط آنتي ويروس سوفوس براي Windows NT مدل 4.5x و Windows NT/2000/XP/2003 مدل 4.1x و پايين تر :



براي حذف يك تروجان كارهاي زير را انجام دهيد :



· همه ي برنامه هاي خود را ببنديد

· مراحل Start|Programs| SophosAnti-Virus را بگذرانيد وبرنامه آنتي ويروس را اجرا كنيد

· تب ''''''''Immediate'''''''' را انتخاب كنيد

· به Options|Configuration رفته و تب ''''''''Disinfection'''''''' يا ''''''''Action'''''''' را انتخاب كرده سپس ''''''''Infected files'''''''' وبعد از آن ''''''''Delete'''''''' را انتخاب كنيد و در آخر ''''''''OK. را بزنيد

· براي اجرا كردن پويش، ''''''''scan'''''''' يا دكمه ''''''''GO'''''''' را بزنيد

· فايل هاي مورد نظر را پاك كنيد ، سپس يك پويش ديگر را اجرا كنيد تا مطمئن شويد پاك سازي صورت گرفته است

· به Options|Configuration برگرديد و تب ''''''''Disinfection'''''''' يا ''''''''Action'''''''' انتخاب كرده سپس ''''''''Infected files'''''''' وبعد از آن ''''''''Delete'''''''' را انتخاب كنيد و در آخر ''''''''OK. را بزنيد

· كاپيوتر را Reboot كرده و پويش نهايي را اجرا كنيد تا كاملا مطمئن شويد پاك ساري صورت گرفته است

[samanvilli]

تروجان Inject-BX

توضیحات :

Inject-BX تروجانی برای سیستم های ویندوزی است .



توصیه ها :

1 . به روز كردن آنتي ويروس



2.روش پاك سازي دستي توسط آنتي ويروس سوفوس براي Windows NT مدل 4.5x و Windows NT/2000/XP/2003 مدل 4.1x و پايين تر :



براي حذف يك تروجان كارهاي زير را انجام دهيد :



· همه ي برنامه هاي خود را ببنديد

· مراحل Start|Programs| SophosAnti-Virus را بگذرانيد وبرنامه آنتي ويروس را اجرا كنيد

· تب ''''Immediate'''' را انتخاب كنيد

· به Options|Configuration رفته و تب ''''Disinfection'''' يا ''''Action'''' را انتخاب كرده سپس ''''Infected files'''' وبعد از آن ''''Delete'''' را انتخاب كنيد و در آخر ''''OK. را بزنيد

· براي اجرا كردن پويش، ''''scan'''' يا دكمه ''''GO'''' را بزنيد

· فايل هاي مورد نظر را پاك كنيد ، سپس يك پويش ديگر را اجرا كنيد تا مطمئن شويد پاك سازي صورت گرفته است

· به Options|Configuration برگرديد و تب ''''Disinfection'''' يا ''''Action'''' انتخاب كرده سپس ''''Infected files'''' وبعد از آن ''''Delete'''' را انتخاب كنيد و در آخر ''''OK. را بزنيد

· كاپيوتر را Reboot كرده و پويش نهايي را اجرا كنيد تا كاملا مطمئن شويد پاك ساري صورت گرفته است

[samanvilli]

کرم Eriv-A

توضیحات :

Eriv-A کرمی برای سیستم های ویندوزی است .

این کرم با اولین اجرا یک کپی از خود را مسیر های زیر قرا می دهد :

<CurrentFolder>\sample1.exe
<Root>\Scan.pif
<Windows>\Check.exe
<Windows>\Desktop.com

سپس فایل <Temp>\~df1ac7.tmp را ایجاد می کند .

مدخل های زیر نیز در رجیستری ایجاد می شوند تا Check.exe بتوان با آغاز سیستم اجرا شود :

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Check
<Windows>\Check.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Desktop
<Windows>\Desktop.com

با تغییر مدخل های زیر نرم افزار سیستم را از کار می اندازد :

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System
DisableRegistryTools
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System
DisableTaskMgr
1

مدخل های زیر نیز تغییر می کنند :

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer
NoFind
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer
NoFolderOptions
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced
Hidden
2

HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced
HideFileExt
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced
ShowSuperHidden
0

توصیه ها :



1 . به روز كردن آنتي ويروس



2.روش پاك سازي دستي توسط آنتي ويروس سوفوس براي Windows NT مدل 4.5x و Windows NT/2000/XP/2003 مدل 4.1x و پايين تر :



براي حذف يك تروجان كارهاي زير را انجام دهيد :



· همه ي برنامه هاي خود را ببنديد

· مراحل Start|Programs| SophosAnti-Virus را بگذرانيد وبرنامه آنتي ويروس را اجرا كنيد

· تب ''''''''Immediate'''''''' و سپس درايو مورد نظر را انتخاب كنيد

· به Options|Configuration رفته و تب ''''''''Disinfection'''''''' يا ''''''''Action'''''''' را انتخاب كرده سپس ''''''''Infected files'''''''' وبعد از آن ''''''''Delete'''''''' را انتخاب كنيد و در آخر ''''''''OK. را بزنيد

· براي اجرا كردن پويش، ''''''''scan'''''''' يا دكمه ''''''''GO'''''''' را بزنيد

· فايل هاي مورد نظر را پاك كنيد ، سپس يك پويش ديگر را اجرا كنيد تا مطمئن شويد پاك سازي صورت گرفته است

· به Options|Configuration برگرديد و تب ''''''''Disinfection'''''''' يا ''''''''Action'''''''' انتخاب كرده سپس ''''''''Infected files'''''''' وبعد از آن ''''''''Delete'''''''' را انتخاب كنيد و در آخر ''''''''OK. را بزنيد

· كاپيوتر را Reboot كرده و پويش نهايي را اجرا كنيد تا كاملا مطمئن شويد پاك ساري صورت گرفته است





3. روش پاك سازي به صورت دستي :

ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه"''''''''Export Registry File و در پنل''''''''''''''''Export range''''''''''''''''گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.

حال در مدخل HKEY_CURRENT_USERو HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Check
<Windows>\Check.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Desktop
<Windows>\Desktop.com

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد

[samanvilli]

کرم Vora-A

توضیحات :

<User>\svfhost.exe یک کرم برای سیستم های ویندوزی است .

این کرم با اولین اجرا یک کپی از خود را در <User>\svfhost.exe قرار داده ، سپس فایل های زیر را ایجاد می کند :

<Program Files>\KaZaA\My Shared Folder\Aim.Hacker.zip
<Program Files>\KaZaA\My Shared Folder\Counterstrike.Source.aimbot.zip
<Program Files>\KaZaA\My Shared Folder\Hotmail.Hacker.zip
<Program Files>\KaZaA\My Shared Folder\MSN.Hacker.zip
<Program Files>\KaZaA\My Shared Folder\Universal-Keygen.zip
<Program Files>\KaZaA\My Shared Folder\Virtua.Girl.Serial.Pack.wih.10.Girls-TorrentZ.zip
<Program Files>\KaZaA\My Shared Folder\Windows.Activation.Crack.Final-ETH0.zip
<Program Files>\KaZaA\My Shared Folder\Windows.Live.Messenger.Beta.Serial.Generato r-PARADOX.zip
<Program Files>\KaZaA\My Shared Folder\XXX.Passes.Juli.2007.zip
<Program Files>\KaZaA\My Shared Folder\Xbox.Live.Serial.Generator.zip

همچنین مدخل های زیر در رجیستری ایجاد می شوند تا svfhost.exe بتواند با آغاز سیستم اجرا شود :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Service Host Manager Windwos w32
<User>\svfhost.exe



توصیه ها:



1 . به روز كردن آنتي ويروس



2.روش پاك سازي دستي توسط آنتي ويروس سوفوس براي Windows NT مدل 4.5x و Windows NT/2000/XP/2003 مدل 4.1x و پايين تر :



براي حذف يك تروجان كارهاي زير را انجام دهيد :



· همه ي برنامه هاي خود را ببنديد

· مراحل Start|Programs| SophosAnti-Virus را بگذرانيد وبرنامه آنتي ويروس را اجرا كنيد

· تب ''''''''Immediate'''''''' و سپس درايو مورد نظر را انتخاب كنيد

· به Options|Configuration رفته و تب ''''''''Disinfection'''''''' يا ''''''''Action'''''''' را انتخاب كرده سپس ''''''''Infected files'''''''' وبعد از آن ''''''''Delete'''''''' را انتخاب كنيد و در آخر ''''''''OK. را بزنيد

· براي اجرا كردن پويش، ''''''''scan'''''''' يا دكمه ''''''''GO'''''''' را بزنيد

· فايل هاي مورد نظر را پاك كنيد ، سپس يك پويش ديگر را اجرا كنيد تا مطمئن شويد پاك سازي صورت گرفته است

· به Options|Configuration برگرديد و تب ''''''''Disinfection'''''''' يا ''''''''Action'''''''' انتخاب كرده سپس ''''''''Infected files'''''''' وبعد از آن ''''''''Delete'''''''' را انتخاب كنيد و در آخر ''''''''OK. را بزنيد

· كاپيوتر را Reboot كرده و پويش نهايي را اجرا كنيد تا كاملا مطمئن شويد پاك ساري صورت گرفته است





3. روش پاك سازي به صورت دستي :

ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه"''''''''Export Registry File و در پنل''''''''''''''''Export range''''''''''''''''گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.

حال در مدخلHKEY_LOCAL_MACHINE رجيستري زير مدخلهاي:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Service Host Manager Windwos w32
<User>\svfhost.exe

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد

[samanvilli]

تروجان Pushu-F

توضیحات :

Pushu-F یک تروجان برای سیستم های ویندوزی است .

این تروجان زمانی که برای اولین بار اجرا می شود فایل <System>\drivers\runtime.sys را در سیستم آلوده ایجاد می کند . این فایل همچون Troj/Pushu-Gen تشخیص داده می شود .



همچنین فایل runtime.sys همچون یک سرویس درایور جدید که "runtime" نامیده می شود در کامپیوتر ثبت می شود . مدخل های زیر نیز در رجیستری ایجاد می شوند :

HKLM\SYSTEM\CurrentControlSet\Services\runtime\
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RUN TIME\





Pushu-F فایل <System>\drivers\secdrv.sys را با یک کپی از خودش جایگزین می کند . این فایل مانند Troj/Pushu-Gen تشخیص داده می شود . مدخل های زیر نیز در رجیستری ایجاد می شوند :



HKLM\SYSTEM\CurrentControlSet\Services\SecDrv\
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SEC DRV\



تروجان Pushu-F فایل <Root>\<random characters>.exe را که مانند Troj/Pushu-E تشخیص داده می شود را هم ایجاد می کند .



توصیه ها :

1 . به روز كردن آنتي ويروس



2.روش پاك سازي دستي توسط آنتي ويروس سوفوس براي Windows NT مدل 4.5x و Windows NT/2000/XP/2003 مدل 4.1x و پايين تر :



براي حذف يك تروجان كارهاي زير را انجام دهيد :



· همه ي برنامه هاي خود را ببنديد

· مراحل Start|Programs| SophosAnti-Virus را بگذرانيد وبرنامه آنتي ويروس را اجرا كنيد

· تب ''''Immediate'''' را انتخاب كنيد

· به Options|Configuration رفته و تب ''''Disinfection'''' يا ''''Action'''' را انتخاب كرده سپس ''''Infected files'''' وبعد از آن ''''Delete'''' را انتخاب كنيد و در آخر ''''OK. را بزنيد

· براي اجرا كردن پويش، ''''scan'''' يا دكمه ''''GO'''' را بزنيد

· فايل هاي مورد نظر را پاك كنيد ، سپس يك پويش ديگر را اجرا كنيد تا مطمئن شويد پاك سازي صورت گرفته است

· به Options|Configuration برگرديد و تب ''''Disinfection'''' يا ''''Action'''' انتخاب كرده سپس ''''Infected files'''' وبعد از آن ''''Delete'''' را انتخاب كنيد و در آخر ''''OK. را بزنيد

· كاپيوتر را Reboot كرده و پويش نهايي را اجرا كنيد تا كاملا مطمئن شويد پاك ساري صورت گرفته است



3. روش پاك سازي به صورت دستي :

ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه"''''''''Export Registry File و در پنل''''''''''''''''Export range''''''''''''''''گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.

حال در مدخلHKEY_LOCAL_MACHINE رجيستري زير مدخلهاي:

HKLM\SYSTEM\CurrentControlSet\Services\runtime\
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RUN TIME\





HKLM\SYSTEM\CurrentControlSet\Services\SecDrv\
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SEC DRV\



هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

[samanvilli]

تروجان CashGrab-T

توضیحات :

CashGrab-T تروجانی برای سیستم های ویندوزی است .

تروجان فایل <Root>\xp2008.dat, را در سیستم آلوده ایجاد می کند . این فایل مانند خود CashGrab-T تشخیص داده می شود .

همچنین فایل xpdata2008.dat با ایجاد مدخل های زیر در رجیستری همچون یک شئ com و یک Browser Helper Object (BHO) برای اینترنت اکسپلورر ثبت می شود :

HKCR\CLSID\{66F1FDE0-4A1F-450B-A654-EAD08024C500}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{66F1FDE0-4A1F-450B-A654-EAD08024C500}



توصیه ها :

1 . به روز كردن آنتي ويروس



2.روش پاك سازي دستي توسط آنتي ويروس سوفوس براي Windows NT مدل 4.5x و Windows NT/2000/XP/2003 مدل 4.1x و پايين تر :



براي حذف يك تروجان كارهاي زير را انجام دهيد :



· همه ي برنامه هاي خود را ببنديد

· مراحل Start|Programs| SophosAnti-Virus را بگذرانيد وبرنامه آنتي ويروس را اجرا كنيد

· تب ''''Immediate'''' را انتخاب كنيد

· به Options|Configuration رفته و تب ''''Disinfection'''' يا ''''Action'''' را انتخاب كرده سپس ''''Infected files'''' وبعد از آن ''''Delete'''' را انتخاب كنيد و در آخر ''''OK. را بزنيد

· براي اجرا كردن پويش، ''''scan'''' يا دكمه ''''GO'''' را بزنيد

· فايل هاي مورد نظر را پاك كنيد ، سپس يك پويش ديگر را اجرا كنيد تا مطمئن شويد پاك سازي صورت گرفته است

· به Options|Configuration برگرديد و تب ''''Disinfection'''' يا ''''Action'''' انتخاب كرده سپس ''''Infected files'''' وبعد از آن ''''Delete'''' را انتخاب كنيد و در آخر ''''OK. را بزنيد

· كاپيوتر را Reboot كرده و پويش نهايي را اجرا كنيد تا كاملا مطمئن شويد پاك ساري صورت گرفته است



3. روش پاك سازي به صورت دستي :

ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه"''''''''Export Registry File و در پنل''''''''''''''''Export range''''''''''''''''گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.

حال در مدخلHKEY_LOCAL_MACHINE و HKEY_CLASSES_ROOTرجيستري زير مدخلهاي:



HKCR\CLSID\{66F1FDE0-4A1F-450B-A654-EAD08024C500}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{66F1FDE0-4A1F-450B-A654-EAD08024C500}



هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

[samanvilli]

تروجان Bckdr-QKU

توضیحات :

Bckdr-QKU تروجانی برای سیستم های ویندوزی است .

این تروجان می تواند به اینترنت متصل شود و از طریق HTTP با سرور راه دور ارتباط برقرار کند .

همچنین Bckdr-QKU فایل های زیر را در سیستم آلوده ایجاد می کند :

<Temp>\_check32.bat – (به راحتی حذف می شود )
<Windows>\s32.txt - (به راحتی حذف می شود )

<System>\aspimgr.exe – (مانند خود تروجان تشخیص داده می شود )
<Windows>\ws386.ini - (به راحتی حذف می شود )

فایل aspimgr.exe نیز همچون یک سرویس درایور جدید با نام ظاهری "Microsoft ASPI Manager" که "aspimgr", نامیده می شود در سیستم ثبت می شود . این سرویس به طور اتوماتیک اجرا می شود . مدخل های زیر نیز در رجیستری ایجاد می شوند :

HKLM\SYSTEM\CurrentControlSet\Services\aspimgr

مدخل های زیر نیز ایجاد می شوند :



HKLM\SOFTWARE\Microsoft\Sft



توصیه ها :

1 . به روز كردن آنتي ويروس



2.روش پاك سازي دستي توسط آنتي ويروس سوفوس براي Windows NT مدل 4.5x و Windows NT/2000/XP/2003 مدل 4.1x و پايين تر :



براي حذف يك تروجان كارهاي زير را انجام دهيد :



· همه ي برنامه هاي خود را ببنديد

· مراحل Start|Programs| SophosAnti-Virus را بگذرانيد وبرنامه آنتي ويروس را اجرا كنيد

· تب ''''Immediate'''' را انتخاب كنيد

· به Options|Configuration رفته و تب ''''Disinfection'''' يا ''''Action'''' را انتخاب كرده سپس ''''Infected files'''' وبعد از آن ''''Delete'''' را انتخاب كنيد و در آخر ''''OK. را بزنيد

· براي اجرا كردن پويش، ''''scan'''' يا دكمه ''''GO'''' را بزنيد

· فايل هاي مورد نظر را پاك كنيد ، سپس يك پويش ديگر را اجرا كنيد تا مطمئن شويد پاك سازي صورت گرفته است

· به Options|Configuration برگرديد و تب ''''Disinfection'''' يا ''''Action'''' انتخاب كرده سپس ''''Infected files'''' وبعد از آن ''''Delete'''' را انتخاب كنيد و در آخر ''''OK. را بزنيد

· كاپيوتر را Reboot كرده و پويش نهايي را اجرا كنيد تا كاملا مطمئن شويد پاك ساري صورت گرفته است



3. روش پاك سازي به صورت دستي :

ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه"''''''''Export Registry File و در پنل''''''''''''''''Export range''''''''''''''''گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.

حال در مدخلHKEY_LOCAL_MACHINE رجيستري زير مدخلهاي:

HKLM\SYSTEM\CurrentControlSet\Services\aspimgr



HKLM\SOFTWARE\Microsoft\Sft

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.