ويروس شناسي!

تروجان Bancos-AC


Bancos-AC تروجاني است كه به پسوردهاي موجود در سيستم هاي ويندوزي دستبرد مي زند. اين تروجان به URL هايي كه در جستجوگر وب وجود دارد گوش مي دهد و صفحات وب جعلي براي سايتهاي بانكهاي برزيلي ايجاد مي كند تا اطلاعات موجود در آنها را گزارش دهد و آنها را به آدرسهاي از پيش تعيين شده بفرستد.
همچنين براي اجرا شدن به همراه ويندوز مدخل هاي زير را در رجستري ايجاد مي كند :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \msmsgr
توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي


HKLM\Software\Microsoft\Windows\CurrentVersion\Run \msmsgr

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.
در ضمن فراموش نكنيد كه پسوردهاي سيستم خود را نيز تغيير دهيد.

تروجان Winshel-D


Winshel-D يك تروجان ايجاد كننده در پشتي است .اين تروجان به پورت 5277TCP گوش مي دهد تا يك ارتباط برقرار شود(البته اي پورت مي تواند طبق دستوراتي كه دريافت مي شود تغيير يابد.مهاجم با يك پسورد صحيح وارد مي شود ("1234") و توانايي اين را دارد كه كامپيوتر را خاموش كند و يا فايلي را در يافت كند يا دستورات سيستمي را اجرا كند.
Winshel-D سعي مي كند يك كپي به روز شده از خودش را دانلود كند و روي Startup اجرا كند.در سيستم هايي كه با ويندوز NT كار مي كنند تروجان خودش را به صورت سرويسي با مشخصات زير ثبت مي كند:
service name: "winshell"
display name: "WinShell Service"
description: "Provide Windows CmdShell Service"
و در ويندوزهاي 98 مدخل هاي زير را به رجيستري اضافه خواهد كرد:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Winshell = "<path>"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Winshell = "<path>"
اين path به پوشه اصلي كه تروجان در آن ذخيره شده است اشاره مي كند.
توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Winshell = "<path>"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Winshell = "<path>"
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

نسخه‌ی جدید ویروس MyDoom وارد شبکه‌ی اینترنت شد

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

محققان ضدویروسی اعلام کردند که نسخه‌ی دوم ویروس اینترنتی MyDoom در شبکه‌ی اینترنتی منتشر شده است .
به گزارش سرویس بین‌الملل ایسنا ، این دو نسخه از ویروس MyDoom که در نحوه‌ی ارسال پست الکترونیکی به قربانیان احتمالی با یکدیگر تفاوت دارند از نرم افزار گشایشگر مایکروسافت برای آلوده کردن رایانه‌های شخصی پس از یک کلیک ساده کاربر بر روی لینک WEB استفاده می‌کنند ، اما این ویروس‌ها قادر نیستند در مقیاس‌های بسیار گسترده منتشر شوند .
تاکنون تنها 40 مورد از سیستم‌های آلوده شده به این ویروس در کمپانی ضدویروسی Symantec شناسایی شده است .
مهمترین برای جلوگیری از فعالیت این ویروس احتیاط کاربران در باز کردن فایل‌های ضمیمه و پست‌های الکترونیکی ناخواسته از منابع شناخته شده یا ناشناخته است .
نسخه‌ی جدید ویروس فوق به عنوان یک پست الکترونیکی در Inbox ظاهر ‌شده و پیغامی که در شامل دو عبارت ذیل را اعلام می‌کند :

1- ‌‌Look at my homepage with my last wedcam photos
2- FREE ADULT VIDEO!SIGN UP NOW

گفتنی است تمام پیغام‌ها حاوی متنی هستند که آن‌ها را به یک صفحه‌ی وب که توسط ویروس تولید شده است مرتبط می‌کند

منبع : تالار وب

كرم Decod-A

كرم Decod از طريق اضافه شدن به يك ايميل خودش را منتشر مي كند.اين كرم خودش را در شبكه هاي share شده كپي مي كند. همچنين قابليت اين را دارد كه گزارشهايي را به سايتهايي كه در آدرسهاي از پيش تعين شده روي كامپيوتر كاربر قرار دارد ارسال كند.
كرم پيغامي را با محتوي ساده اي مثل "Please see attachment for detail" وبه همراه فايل الحاقي با پسوند an .mdb ارسال مي كند تا به database دسترسي پيدا كند.
Decod-A مدخل رجيستري را به صورت زير تغيير مي دهد :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
همچنين كليدها را تغيير مي دهد و در كپي جديدي از كرم با نامي مشابه مثل key. e.g. قرار مي گيرد و اگر فايل اصلي abc.exe است كرم يك كپي از abc<space>.exe ايجاد كند.
كرم ويروسهاي بي ضرري را در فايلهاي text مثل فايلهاي زير ايجاد مي كند:

C:\recycled\attachmailer.att
C:\recycled\submailer.sub
C:\recycled\textmailer.tex
%windows%\decghitienellsid.jef
%windows%\hgeticudowldi.hhh
توصيه ها :

1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

ويروسي که SMS مي فرستد

به تازگي ويروس جديدي در اينترنت پديدار شده که با در اختيار گرفتن کنترل کامپيوترهاي شخصي از آنها براي ارسال SMS به تلفنهاي همراه استفاده مي کند. اين SMS ها عمدتا حاوي پيامهاي تبليغاتي هستند و کارکردي مشابه با روزنامه هاي اينترنتي دارند.

اين ويروس که Delf-HA نام دارد پس از آلوده کردن کامپيوتر به يک وب سايت متصل شده و هرزنامههاي مورد نظر را از آن دريافت ميکند.

اين ويروس در ادامه خود را براي مجموعه اي از شماره هاي تلفن هاي همراه در روسيه که با شماره هاي 7921 و 7911 آغاز ميشوند ارسال ميکند.

کارشناسان هشدار داده اند که ممکن است تکنيکهاي مشابهي براي ارسال هرزنامه براي کاربران تلفن همراه درآينده به کار گرفته شود.

كرم Rirc-D

83.8.25
Rirc-D جزء آن دسته از كرمهايي است كه با كپي شدن در شبكه هاي share شده و از طريق آدرسهاي IP تصادفي كه پسورد ضعيف دارند منتشر مي شود.كرم سعي مي كند با يك سرور IRC دور دست ارتباط برقرار كند و به يك كانال مخصوص وصل شود وسپس اطلاعات را براي آن ارسال كند.
پس از اولين اجرا كرم خودش را با نام FF.EXE و الحاقاتش در پوشه ويندوز ذخيره مي كند و هرگاه ويندوز اجرا شود كرم نيز به صورت خودكار اجرا مي شود.
همچنين كرم به ويندوز هاي NT,2000,XP نيز اضافه مي شودو مدخل زير را به رجيستري اضافه مي كند تا روي Startup اجرا شود:
HKLM\Sofware\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

هر وقت كرم اجرا شود به آدرسهاي IP تصادفي روي پورت 139و445 متصل مي شود و خودش را به صورت XI.EXE در پوشه هاي زير كپي مي كند:

\Documents and Settings\All Users\Start Menu\Programs\Startup\
\WINDOWS\Start Menu\Programs\Startup\
\WINNT\Profiles\All Users\Start Menu\Programs\Startup\
كرم سعي مي كند به كامپيوتر مدير مصل شود تا به ليستس از پسورد هاي ضعيف دسترسي پيدا كندو اگر schedule service روي كامپيوتر كاربر فعال است كرم يك ليست جديد از كارها ايجاد كند وكپي از كرم را اجرا كند.

توصيه ها :
1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Sofware\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و در دايركتوري هاي زير فايل هاي مربوط به ويروس را پاك كنيد :
\Documents and Settings\All Users\Start Menu\Programs\Startup\
\WINDOWS\Start Menu\Programs\Startup\
\WINNT\Profiles\All Users\Start Menu\Programs\Startup\

حال سيستم خود را دوباره راه اندازي كنيد.

كرم Agobot-ND


Agobot-ND كرمي است كه مانند تروجان در پشتي عمل مي كند و در كامپيوتر هايي كه با پسورد ضعيف مي باشند و ياآسيب پذيري LSASS را دارند منتشر مي شود.
كرمAgobot-ND يك فايل كمك دهنده را در پوشه ويندوز با نام wormride.dll ايجاد مي كند.
پس از اولين اجرا كرم خودش را با نام sounofts.exe در پوشه ويندوز ذخيره مي كند و مدخل هاي زير را به رجيستري اضافه مي كند:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \sounofts = sounofts.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services\sounofts = sounofts.exe
توصيه ها :
1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \sounofts = sounofts.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services\sounofts = sounofts.exe
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

شرح اضافه :
كرم به طور پيوسته روي پس زمينه اجرا مي شود و دسترسي به سيستم را ممكن مي سازد.
Agobot-ND همه برنامه هاي امنيتي و آنتي ويروسها را از كار مي اندازد و فايل هاي HOST را در %WINDOWS%\System32\Drivers\etc\HOSTS تغيير مي دهد و اجازه دسترسي به وب سايت هاي آنتي ويروس را نمي دهد. بر همين اساس آدرس هاي سايتهاي آنتي ويروس به آدرس برگشت انتقال داده مي شود.
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 sophos.com
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 avp.com
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 networkassociates.com
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
27.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

كرم Agobot-ND


Agobot-ND كرمي است كه مانند تروجان در پشتي عمل مي كند و در كامپيوتر هايي كه با پسورد ضعيف مي باشند و ياآسيب پذيري LSASS را دارند منتشر مي شود.
كرمAgobot-ND يك فايل كمك دهنده را در پوشه ويندوز با نام wormride.dll ايجاد مي كند.
پس از اولين اجرا كرم خودش را با نام sounofts.exe در پوشه ويندوز ذخيره مي كند و مدخل هاي زير را به رجيستري اضافه مي كند:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \sounofts = sounofts.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services\sounofts = sounofts.exe
توصيه ها :
1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \sounofts = sounofts.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services\sounofts = sounofts.exe
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

شرح اضافه :
كرم به طور پيوسته روي پس زمينه اجرا مي شود و دسترسي به سيستم را ممكن مي سازد.
Agobot-ND همه برنامه هاي امنيتي و آنتي ويروسها را از كار مي اندازد و فايل هاي HOST را در %WINDOWS%\System32\Drivers\etc\HOSTS تغيير مي دهد و اجازه دسترسي به وب سايت هاي آنتي ويروس را نمي دهد. بر همين اساس آدرس هاي سايتهاي آنتي ويروس به آدرس برگشت انتقال داده مي شود.
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 sophos.com
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 avp.com
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 networkassociates.com
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
27.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

یه سوال جدی و مهم
هدف مردم از ساخت ویروسهایی که بره خود سازندهشون کاربرد نداره و کامپیوترا رو داغون میکنه چیه؟

نمیشه مشخص کرد
چند وقت پیش ویروسی برای حمله به سایتهای دولت مجارستان روی وب اومد که اتفاقا خیلی هم خطر ناک شد
یا جنبه های اقتصادی یا سیاسی و بعضی ها هم بیمارن