ویروس Antichrist (virus hoax)0
این ویروس یا کرم با پیغامی که می دهد در واقع شما را به راه راست هدایت می کند و به نام ویروس ستایش نیز معروف است .
این ویروس که با نام های Day of Judgmet و Antichrist هم شناخته می شود یک کرم ایرانی است که سیستم عامل های ویندوز ۳۲ بیتی را مورد حمله قرار می دهد.
از مشخصه های بارز این کرم می توان به موارد زیر اشاره کرد:
غیرفعال کردن Folder Option
باز شدن صفحه اینترنتی با عنوان Day of Judgment (به معنی روز داوری) که ترجمه انگلیسی سوره حمد بر روی پس زمینه سبز در آن مشاهده می شود.
این هم تصویر صفحه html
این صفحه در هر بار بوت شدن ویندوز به شما نشان داده می شود.همچنین در هر بار بوت شدن ویندوز پنجره ای با تیتر Antichrist و با محتوای Day of Judgment نمایش داده می شود.
در بعضی مواقع جلوی اجرای Regedit و Task Manager با آلوده شدن توسط این ویروس گرفته می شود .
سرعت کلی سیستم به شدت پایین می آید و در فهرست پروسس های ویندوز می توانید Sys.exe و در قسمت برنامه های startup نام wma.exe و blank.htm را مشاهده کنید.
و گاهی اوقات هنگام بالا امدن ویندوز یک فایل html در ادرس c:\windows\system32\blank.htm اجرا می گردد .
همچنین ویروس خود را در تمام درایوها با نام Autoplay.exe کپی می کند که با هر بار کلیک روی درایو ها منتشر می شود .
این هم متن AUTORUN این WORM .
کد:
[autorun]open=Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\sys.exe a shell\open=Open shell\open\Command=Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\sys.exe o shell\open\Default=1 shell\explore=Explore shell\explore\Command=Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\sys.exe e
اين كرم ايراني پس از اجراي فايل آن بر روي سيستم كاربر، ابتدا خودش را به صورت زير بر روي سيستم كپي مينمايد:
%System32%\Sys.exe
%Windows%\Shell.exe
%Windows%\vxds.exe
%Windows%\Help\vxds.exe
%Windows%\media\wma.exe
و براي اينکه با هر بار بالا آمدن سيستم اين فايلها اجرا گردند، آنها را به شکل زير در رجيستري ثبت ميکند:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = userinit.exe, sys.exe
Userinit = Explorer.exe shell.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
vxds = %Windows%\vxds.exe
همچنين در مسير System32 فايلي با نام OEMLOGO.BMP به صورت مخفي ايجاد ميکند که به شکل زير
ميباشد:
بعلاوه در همين مسير فايلي با نام OEMLOGO.INI به صورت مخفي ميسازد که محتويات آن به شکل زير است:
[General]
Manufacturer=[Antichrist]
Model=[Day of judgment]
SupportURL=hxxp://www.antichrist.com/
LocalFile=blank.htm
[Support Information]
Line1=When comes the help of Allah, and victory,.
Line2=And thou dost see the people enter Allah's religion in crowds,.
Line3=Celebrate the praises of thy Lord, and pray for his forgiveness: for he is oft-Returning (in forgiveness)..
فايل ديگري نيز در همين مسير با نام blank.htm به صورت مخفي ايجاد ميکند که با اجراي آن صفحهاي به شکل زير به نمايش درميآيد:
که متن انگليسي نمايش داده شده در اين صفحه ترجمه سوره حمد ميباشد. آنگاه براي اينکه با هر بار بالا آمدن سيستم اين فايل نمايش داده شود آن را به صورت زير در رجيستري ثبت ميکند:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Blank = %System32%\blank.htm
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Blank = %System32%\blank.htm
براي اينکه مقدار Home Page و Search Page نرمافزار Internet Explorer را برابر با صفحه مذکور قرار دهد، تغييرات زير را در رجيستري ايجاد مينمايد:
HKCU\Software\Microsoft\Internet Explorer\Main
Start Page = %System32%\blank.htm
Search Page = %System32%\blank.htm
از کارهاي جالب اين ويروس اين است که در همه درايوها در داخل مسير Recycler فولدري مخفي و با نام تصادفي ايجاد کرده و يک کپي از خودش را با نام Sys.exe درون آن قرار ميدهد.
همچنين اثرات ديگري به شکل زير دارد:
با ايجاد تغييراتي در رجيستري باعث ميشود که قبل از ورود به سيستم صفحهاي با تيتر Antichrist و با متن Day of judgment نمايش داده شود. همچنين باعث ميشود فايلهاي Super Hidden نمايش داده نشود. جلوي اجراي برنامههاي RegEdit و Task Manager را گرفته و رنگ زمينه Windows و صفحه cmd را تغيير ميدهد. بعلاوه نام User و Organization ثبت شده براي سيستم را با [Antichrist] تغيير ميدهد.
لازم به ذکر است که آخرين نگارش ضدويروس سيمانتك اين کرم اينترنتي را شناخته و به صورت کامل پاکسازي مينمايد.
براي پاكسازي اثرات باقي مانده اين ويروس همانند غير فعال شدن Registry يا Folder Option و يا باز نشدن درايوها با دابل كليك بر روي آنها و غيره از ابزار پاكسازي زير يا بالاي صفحه استفاده نماييد
کد:
کد:
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
نحوه از بین بردن ویروس Antichrist
متاسفانه فعلا حتی نسخه های بروزشده آنتی ویروس Eset NOD۳۲ قادر به شناسایی و خنثی نمودن این ویروس نمی باشند.
اما حداقل سه آنتی ویروس Kaspersky (در نسخه ۷ آزمایش شد) ، McAfee (نسخه ۲۰۰۸) و احتمالا آخرين نگارش ضدويروس سيمانتک (به نقل از سایت امنیتی دمسان) قادر به شناسایی و پاک کردن ویروس مذکور هستند.
من خودم انتی ویروس سیمانتک ( Norton ) را توصیه می کنم چون این انتی ویروس اولین انتی ویروسی بود که این کرم را پیدا و کاملا پاک می کند . حتما سعی کنید به طور کامل این انتی ویروس را اپدیت کنید و بعد تمام درایو ها را اسکن کنید .
برای پاک کردن این ویروس ابتدا آنتی ویروس خودتان را به آخرین بسته های بروزرسانی مجهز کنید سپس اقدام به کنترل سیستم نمایید.
توصیه می کنم که تمام هارد را برای یافتن ویروس اسکن نمایید
نکته : حتما سیستم خودتان را در حالت safe mode ویروس یابی کنید .
و از کلیک کردن روی درایو ها تا پاک شدن کامل ان خود داری کنید .
بعد از پاک شدن ویروس قسمتهای حذف شده را مانند روشهای بالا می توانید برگردانید .
و سپس باید به تمام درایو ها رفته و autoplay.exe را پاک کنید .
نکته : نحوه پاک کردن ویروس autoplay.exe یا autoran را بالا به طور کامل ذکر شده است .
به رجیستری رفته و مسیر زیر را دنبال کنید
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\curr ent version\run
روی run کلیک کنید و هر چیزی سمت راست اگر گزینه های زیر وجود دارند انها را پاک کنید .
blank
igfxhkcmd
igfsexper
igfxtray
vxds
همه این کارها را باید در حالت safe mode انجام دهید .
موفق باشید .
مهدی