Win32/Sality.NAQ virus
این مخرب در ابتدایی که روش کلیک کنید یا به هر صورتی که اجرا بشه چند مسیر در رجیستری ایجاد میکنه:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\asc3360pr
HKEY_CURRENT_USER\Software\{%UserName%}914It
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\ Parameters\FirewallPolicy\StandardProfile\Authoriz ed Applications\List
با این تغییرات تو رجیستری ویروس به Firewall معرفی میشه و جا برای خودش باز میکنه. راحت تکثیر میشه و منتقل میشه.
همچنین مسیر زیر رو حذف میکنه:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa feBoot\*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\*
با این کار دیگه Safe Mode از کار میفته و سیستم وقتی بخواد از Safe Mode وارد بشه ریست میشه.
منابع مطمئنی مثل کاسپر و Sophos نوشتن که به هنگام اجرا فایلی با نام Syslibrary32.dll در System32 میسازه ولی من دو سیستم رو به عنوان قربانی با ویندوز XP SP2 و SP3 تست کردم چنین چیزی ایجاد نشد. حتی نوشتن که فایلهایی مثل asc3360pr.scr, asc3360pr.pif or asc3360pr.exe ایجاد میکنه ولی من چنین چیزی ندیدم!!!
همچنین در مراحل بعدی اجرا در مسیر زیر به صورت Random فایل ایجاد میکنه. یعنی با اسمهای مختلف.
C:\WINDOWS\system32\drivers\Random.sys
و همچنین تمام سرویسهای مربوط به آنتی ویروس رو از کار میندازه. این سرویسها عبارت اند از:
Agnitum Client Security Service ALG aswUpdSv avast! Antivirus avast! Mail Scanner avast! Web ScannerAVP BackWeb Plug-in - 4476822 bdss BGLiveSvc BlackICE CAISafe ccEvtMgr ccProxy ccSetMgr Eset Service F-Prot Antivirus Update Monitor fsbwsys FSDFWD F-Secure Gatekeeper Handler Starter fshttps FSMA InoRPC InoRT InoTask ISSVC KPF4 LavasoftFirewall LIVESRV McAfeeFramework McShield McTaskManager navapsvc NOD32krn NPFMntor NSCService Outpost Firewall main module OutpostFirewall PAVFIRES PAVFNSVR PavProt PavPrSrv PAVSRV PcCtlCom PersonalFirewal PREVSRV ProtoPort Firewall service PSIMSVC RapApp SmcService SNDSrvc SPBBCSvc Symantec Core LC Tmntsrv TmPfw tmproxy UmxAgent UmxCfg UmxLU UmxPol vsmon VSSERV WebrootDesktopFirewallDataService WebrootFirewall XCOMM
در این موقع هست که انتی ویروس شما اگر آپدیت نباشه، فایل درون Driver رو شناسایی میکنه و پیام خطا میده اما سریعا سرویسش بسته میشه و آنتی ویروس هم از کار میفته...
چیزی که برای NOD32 3.0.669.0 اتفاق افتاد دقیقا همین بود که آنتی ویروس ناگهان بسته شد و دیگه اجرا
نشد.
این ویروس رو هر فایل EXE که کلیک کنید بهش میچسبه و تو کلیک های بعدی باعث تکثیرش میشه.
این ویروس Autorun توی هر درایو نمیسازه تا شما شک نکنید و راحت ویروس رو انتقال بدین.
فقط وقتی Flash وصل کنید به سرعت یک کپی از خودش داخلش یادگاری میزاره.
از اینترنت و سایتهای زیر برای خودش رفیق پیدا میکنه و انواع کرم و تروجان و ویروس رو تو سیستمون میریزه:
hxxp://89.119.67.154 hxxp://kukutrustnet777.info hxxp://kukutrustnet888.info hxxp://kukutrustnet987.info hxxp://www.kjwre9fqwieluoi.info hxxp://bpowqbvcfds677.info hxxp://bmakemegood24.com hxxp://bperfectchoice1.com hxxp://bcash-ddt.net hxxp://bddr-cash.net hxxp://btrn-cash.net hxxp://bmoney-frn.net hxxp://bclr-cash.net hxxp://bxxxl-cash.net hxxp://balsfhkewo7i487fksd.info hxxp://buynvf96.info
سایزش حدودا 70 کیلوبایت هست و از شبکه LAN هم براحتی منتقل میشه.
تنها تاثیری که رو سیستم میزاره اینه که گزینه ی Show hidden File ثابت نمیمونه و وقتی انتخابش کنید دوباره Do Not Show میشه.
اما روش حذف:
ویندوز عوض کنید. بعد از نصب ویندوز سریعا و بدون حتی نصب درایور؛ آنتی ویروس NOD32 یا Kaspersky رو از CD نصب کنید. چون به فایل Setup اونها اگر تو هارد باشن میچسبه. (اما Setup آنتی ویروس NOD فکر میکنم MSI هست و ویروس نمیتونه بهش بچسبه)
به هر حال نصب کنید و درایور Modem رو نصب کنید و آنتی ویروستون رو آپدیت کنید.
دقت کنید تو هیچ درایوی نرید و رو هیچی کلیک نکنید.
بعدش سیستم رو ریست کرده و از Safe Mode سیستم رو اسکن کنید.
من تست کردم NOD32 فایلها رو Clean کرد یعنی ویروس رو ازش جدا کرد بدون اینکه فایل رو حذف کنه.
راه دوم اینکه کل هارد رو فرمت کنید. اما باز هم آنتی ویروس باید آپدیت باشه تا دوباره ویروس از جایی به سیستم منتقل نشه.