مشاهده نسخه کامل
: H A M E D
24-10-2008, 14:34
سلام.
ديروز اتفاقي داشتم تو سايت ها براي خودم ميگشتم يدفه سيستم Blue Screen داد و ري استارت شد.
بعد از اون آنتي ويروسم NOD32 از كار افتاد. توجه كه كردم ديدم يه سري از برنامه هايي كه داشتم آيكونشون عوض شده.
خوب با يه اسكريپ فايلهاي Hidden و system رو از حالت مخفي بودن در اوردم اما توي Folder Option قسمت نمايش و مخفي كردن فايلهاي Hidden كلا حذف شده بود.
همه چيز ظاهرا درست بود جز اينكه نرم افزارهاي امنيتي حتي Firewall ويندوز هم كار نمي كردن و هر وقت هم دستي براي اجراي برنامه ها اقدام مي كردم با پيغام not a valid win32 Application مواجه ميشدم.
از روي خوش شاني چون دوتا هارد و دوتا ويندوز رو سيستم داشتم وارد ويندوز اونوري (!!) شدم و اسكن كردم يه سري عكس تو و چند تا فايل عددي پيدا كرد و پاك شدن. با خيال راحت ريست كردم و اما هيچي تغيير نكرده بود. برنامه هاي زيادي از اينترنت دانلود كردم اما هيچكدوم فايده نكرد. ويروس همچنان سر جاش بود.
هميشه Usage CPU از 50 درصد بالاتر بود و به شدت سيستم كند شده بود. از طريق داس اسكن NOD رو انجام دادم يه ويروس پيدا كرد اما به محض سعي براي پاك كردنش سيستم ري استارت ميشد. و نمي تونستم تو حالت Safe Mode وارد ويندوز بشم.
توجه كه كردم ديدم اين ويروس همه فايل هاي آنتي ويروس و Anti RootKit رو ميشناسه و موقع اجرا شدن خصوصيات اونا رو تغيير ميده و يا يكي از فايل هاي مورد نياز اجراي برنامه رو پاك ميكنه.
مثلا براي NOD32 فايل ekrn.exe رو به فالي ناشناس و غيرقابل اجرا تبديل ميكرد و در نتيجه آنتي ويروس اجرا نميشد.
براي Kaspersky فايل klif.sys رو كه يكي از فايل هاي اصلي برنامه هست رو پاك مي كرد. تنها راهي كه به ذهنم رسيد اين بود كه از برنامه IceSword استفاده كنم :
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنیدخوب آرشيو كه دانلود شد دفعه اول با پيغام معمول مواجه شدم كه فهميدم اين فايل هم دستكاري شده!
پس با Winrar آرشيو رو باز كردم و فايل اصلي برنامه رو پسوندش رو به txt تغيير دادم و اكستركت كردم. اول فايل ها رو همه به حالت Read Only در اوردم بعد دوباره اسمش رو به حالت اول در اوردم و اجرا كردم. متوجه شدم فايلهاي اصلي اين ويروس به صورت زير هستش :
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنیدو يه سري فايل اجرايي تو شاخه C:\windows\system32\downld كه به هيچ وجه قابل مشاهده نبودن و همه Proccess ها هم مخفي اجرا ميشدن و محافظ همديگه بودن. هميشه يه بك آپ از خودشون داشتن كه هنوز هم كشفشون نكردم! اما معلوم بود كه با هربار اجراي ويندوز دوباره كدها از نو ساخته ميشه.
جالب اينه كه اين ويروس تمام برنامه ها رو ميشناسه و حتي آدرس Registry رو هم مخفي ميكنه و دسترسي رو به بعضي برنامه ها محدود ميكنه.
فايل هايي رو كه گفتم دونه دونه دستي حذف كردم و تو برنامه IceSword هم از منوي فايل Setting و گزينه Forbid All Prccess/thread Creation رو فعال كردم. بعد با ترس و لرز دوباره Kaspersky رو نصب كردم.
اين ويروس خودش رو داخل درايور هاي سخت افزاري هم وارد ميكنه و براي همين گاهي اوفات به هيچ وجه نميشه فهميد كه واقعا منبع تكثيرش كجاست.
(البته آنتي ويروس محبوب من NOD32 بود تا ديروز كه با اين اتفاق اعتمادمو بهش از دست دادم و فهميدم در مقابل اين ويروس مقاوم نيست با اينكه آپديت هم بود)
-----
خوب منبع اصلي اين ويروس ميتونه از فايل هاي Jpeg باشه. اصلا نيازي نيست كه شما برنامه خاصي رو اجرا كنيد براي فعال شدنش. به عنوان مثال شما در حال مشاهده يه سايت هستيد كه به اين ويروس آلوده شده. يدفعه با صفحه آبي مواجه ميشيد و ديگه رهايي ازش نداريد!
-----
ضمنا در مورد اين ويروس خيلي تحقيق كردم هنوز خيليا باهاش درگيرن و راهي براش پيدا نكردن!
گفتم اينا رو بنويسم تا اگه باهاش مواجه شديد مثل من يه روز كامل به گريه نندازتتون! تا پاكش كنيد. ديروز منو كه تا چهار صبح امروز كاملا حروم كرد!
ديروز اتفاقي داشتم تو سايت ها براي خودم ميگشتم يدفه سيستم Blue Screen داد و ري استارت شد.
بعد از اون آنتي ويروسم NOD32 از كار افتاد. توجه كه كردم ديدم يه سري از برنامه هايي كه داشتم آيكونشون عوض شده.
خوب با يه اسكريپ فايلهاي Hidden و system رو از حالت مخفي بودن در اوردم اما توي Folder Option قسمت نمايش و مخفي كردن فايلهاي Hidden كلا حذف شده بود.
همه چيز ظاهرا درست بود جز اينكه نرم افزارهاي امنيتي حتي Firewall ويندوز هم كار نمي كردن و هر وقت هم دستي براي اجراي برنامه ها اقدام مي كردم با پيغام not a valid win32 Application مواجه ميشدم.
از روي خوش شاني چون دوتا هارد و دوتا ويندوز رو سيستم داشتم وارد ويندوز اونوري (!!) شدم و اسكن كردم يه سري عكس تو و چند تا فايل عددي پيدا كرد و پاك شدن. با خيال راحت ريست كردم و اما هيچي تغيير نكرده بود. برنامه هاي زيادي از اينترنت دانلود كردم اما هيچكدوم فايده نكرد. ويروس همچنان سر جاش بود.
هميشه Usage CPU از 50 درصد بالاتر بود و به شدت سيستم كند شده بود. از طريق داس اسكن NOD رو انجام دادم يه ويروس پيدا كرد اما به محض سعي براي پاك كردنش سيستم ري استارت ميشد. و نمي تونستم تو حالت Safe Mode وارد ويندوز بشم.
توجه كه كردم ديدم اين ويروس همه فايل هاي آنتي ويروس و Anti RootKit رو ميشناسه و موقع اجرا شدن خصوصيات اونا رو تغيير ميده و يا يكي از فايل هاي مورد نياز اجراي برنامه رو پاك ميكنه.
مثلا براي NOD32 فايل ekrn.exe رو به فالي ناشناس و غيرقابل اجرا تبديل ميكرد و در نتيجه آنتي ويروس اجرا نميشد.
براي Kaspersky فايل klif.sys رو كه يكي از فايل هاي اصلي برنامه هست رو پاك مي كرد. تنها راهي كه به ذهنم رسيد اين بود كه از برنامه IceSword استفاده كنم :
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنیدخوب آرشيو كه دانلود شد دفعه اول با پيغام معمول مواجه شدم كه فهميدم اين فايل هم دستكاري شده!
پس با Winrar آرشيو رو باز كردم و فايل اصلي برنامه رو پسوندش رو به txt تغيير دادم و اكستركت كردم. اول فايل ها رو همه به حالت Read Only در اوردم بعد دوباره اسمش رو به حالت اول در اوردم و اجرا كردم. متوجه شدم فايلهاي اصلي اين ويروس به صورت زير هستش :
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنیدو يه سري فايل اجرايي تو شاخه C:\windows\system32\downld كه به هيچ وجه قابل مشاهده نبودن و همه Proccess ها هم مخفي اجرا ميشدن و محافظ همديگه بودن. هميشه يه بك آپ از خودشون داشتن كه هنوز هم كشفشون نكردم! اما معلوم بود كه با هربار اجراي ويندوز دوباره كدها از نو ساخته ميشه.
جالب اينه كه اين ويروس تمام برنامه ها رو ميشناسه و حتي آدرس Registry رو هم مخفي ميكنه و دسترسي رو به بعضي برنامه ها محدود ميكنه.
فايل هايي رو كه گفتم دونه دونه دستي حذف كردم و تو برنامه IceSword هم از منوي فايل Setting و گزينه Forbid All Prccess/thread Creation رو فعال كردم. بعد با ترس و لرز دوباره Kaspersky رو نصب كردم.
اين ويروس خودش رو داخل درايور هاي سخت افزاري هم وارد ميكنه و براي همين گاهي اوفات به هيچ وجه نميشه فهميد كه واقعا منبع تكثيرش كجاست.
(البته آنتي ويروس محبوب من NOD32 بود تا ديروز كه با اين اتفاق اعتمادمو بهش از دست دادم و فهميدم در مقابل اين ويروس مقاوم نيست با اينكه آپديت هم بود)
-----
خوب منبع اصلي اين ويروس ميتونه از فايل هاي Jpeg باشه. اصلا نيازي نيست كه شما برنامه خاصي رو اجرا كنيد براي فعال شدنش. به عنوان مثال شما در حال مشاهده يه سايت هستيد كه به اين ويروس آلوده شده. يدفعه با صفحه آبي مواجه ميشيد و ديگه رهايي ازش نداريد!
-----
ضمنا در مورد اين ويروس خيلي تحقيق كردم هنوز خيليا باهاش درگيرن و راهي براش پيدا نكردن!
گفتم اينا رو بنويسم تا اگه باهاش مواجه شديد مثل من يه روز كامل به گريه نندازتتون! تا پاكش كنيد. ديروز منو كه تا چهار صبح امروز كاملا حروم كرد!