تاپیک درخواست و معرفی ویروس های کامپیوتری

[M E H R A N]

mojtaba_sa فکر کنم شما همچین ویروسی رو خواسته بودید.

VBS/Sasan-Fam

این ویروس یکی از نمونه های ویروس Autorun است. این ویروس از نوع Visual Basic script است و خودش رو فلاپی
ها... فلش ممورها... کارت داخلی موبایل ها و غیره میتونه کپی کنه.

همچنین این ویروس میتونه خودش رو به تمام فولدرهای داخل سیستم با اسم esta ig.vbs کپی کنه. و همچنین یک
فایل Autorun رو در داخل تمام درایو های سیستم بصورت مخفی درست میکنه که با هر با ر کلیک کردن بر روی
فولدر ها و یا درایو ها این ویروس دوباره در جای دیگه فعال شده و دوباره تولید میشه.

البته یک تاپیک دور و دراز هم برای پاک کردن این کرم یا ویروس در همین انجمن داریم. شما میتونید برای طرز پاک
کردنش به آنجا مراجعه کنید و اطلاعات کاملتری رو بدست بیارید.

اما برای بدست آوردن اطلاعات بیشتر در مورد این ویروس میتونید به سایت زیر برید.

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

در ضمن این ویروس فقط 3 کیلوبایت حجم داره..

این ویروس رو اکثر آنتی ویروسها شناسایی میکنند. به همین دلیل من فقط اسم آنتی ویروسهایی که هنور قادر
به شناسایی این نیستند رو مینویسم.

AhnLab-V3
Authentium
CAT-QuickHeal
ClamAV
eSafe
Ewido
F-Prot
Fortinet
K7AntiVirus
Microsoft
Norman
Prevx1
Sunbelt
TheHacker
ViRobot
VirusBuster

و اما بعضی از آنتی ویروسهایی که این ویروس رو شناسایی میکنند.

AntiVir - HTML/Rce.Gen
Avast - VBS:AutoRun-F
AVG - Worm/AutoRun
BitDefender - Generic.ScriptWorm.85279B45
Kaspersky - Virus.VBS.Agent.t
NOD32 - VBS/Agent.AJ
Panda - Suspicious file
Symantec - VBS.Solow

جالبه که بدونیم آنتی ویروسهایی مانند پاندا و BitDefender هنوز این ویروس رو به دیتابیس خودشون اضافه نکردند
و از روی هوش مصنوعی این آنتی ویروسها تشخیص داده شده.



دانلود..

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

[M E H R A N]

Worm: AutoRun

همانطور که میبینید این کرم هر روز نمونه های جدیدی ازش نوشته میشه. یک نمونه اس رو در پست قبلیم معرفی
کردم و این هم یک نمونه دیگه اش هست. این نمونه جدید 2 روز پیش توسط کسپرسکی شناسایی شده. که اونم
البته براش ایمیلیدم.



خرابکاری های این کرم با اونی که در پست قبلیم معرفی کردم تا حدودی یکی هستند اما باز هم فرقهایی با هم
دارند. چون این یک نمونه جدید از این کرمه هنوز هیچ توضیحی رو در موردش در سایت های دیگه پیدا نکردم و خودم
هم جرات نکردم اجراش کنم. :43:

این نمونه از این کرم رو آنتی ویروسهای زیر هنوز تشخیص نمیدند.

AhnLab-V3
Authentium
Avast
CAT-QuickHeal
DrWeb
eSafe
Fortinet
K7AntiVirus
PCTools
Prevx1
Rising
Sunbelt
TheHacker
VBA32
ViRobot
VirusBuster

و بعضی آنتی ویروسها که این کرم رو شناسایی کردند...

AntiVir - Worm/Setick.B
AVG - Pakes_c.SN
BitDefender - Trojan.Downloader.Kobcka.B
Kaspersky - Worm.Win32.AutoRun.epw
Microsoft - Trojan:Win32/Emold.gen!C
NOD32 - a variant of Win32/AutoRun.XG
Panda - W32/Autorun.ADE.worm
Symantec - W32.SillyFDC

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

[M E H R A N]

Trojan.BAT.KillFiles.fw

این تروجان فایل های سیستم رو از بین میبره و یا بهتره بگیم فوری پاکشون میکنه. فایل هایی رو که این تروجان قراره
از سیستم پاک بکنه دارای پسوندهای زیر میتونه باشه...

• .exe
• .com
• .sys
• .vxd
• .ini
• .doc

برای اطلاعات بیشتر در مورد این تروجان میتونید به سایت زیر مراجعه کنید.

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

تروجان Kill Files رو فقط آنتی ویروسهای زیر تونستند شناسایی کنند.

AntiVir - BDS/Killfiles.FW
DrWeb - Trojan.Gds.3318
Ewido - Trojan.KillFiles.fw
GData - Trojan.BAT.KillFiles.fw
Ikarus - Trojan.BAT.KillFiles.fw
Kaspersky - Trojan.BAT.KillFiles.fw
Prevx1 - Malicious Software
Symantec - Trojan Horse
Webwasher-Gateway - Trojan.Backdoor.Killfiles.FW

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

[M E H R A N]

Troj/Progent-P

این تروجان پسوردها و اطلاعات سیستم ور میدزده و میفرسته. وقتی که این تروجان بر روی سیستمی فعال بشه
این فایل هایی رو که در زیر مینویسم در سیستم درست میکنه که هر کدومش یک نوع تروجان دیگه است.

• %windir%\qservice.exe (Copy of itself
• %windir%\kurlmon.dll (Detected as BackDoor-AVW)
• %windir%\services.dll (Detected as PWS-Progent.dll)
• %windir%\system32\HookApi.dll (Detected as PWS-Progent.dll)
• %windir%\system32\drivers\KeenSense.sys (Text file)
• %windir%\system32\drivers\Ksdevice.sys (Text file)

این فایل ها پیدا کردنشون در سیستم به راحتی نیست چون به حالت فوق مخفی در میان و همچنین این کلید
رجیستری رو در سیستم ثبت میکنه تا یکی از نوچه های خودش رو به قسمت استارت آپ سیستم اضافه کنه.

Hkey_Current_User\Software\Microsoft\Windows\Curre ntVersion\Run
Registry String Value: "qservices"
Data: C:\Windows\qservice.exe

برای اطلاعات بیشتر در مورد این تروجان میتونید به سایت زیر مراجعه کنید.

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

این تروجان تقریبا توسط همه آنتی ویروسها و اکثر آنتی اسپای ور ها شناسایی میشه و جای نگرانی وجود نداره.
اما بعضی از آنتی ویروسهایی که اینو شناسایی میکنند..

AntiVir - TR/Spy.ProAg.21.3.A
Avast - Win32:Small-FA
AVG - PSW.Generic.VZA
BitDefender - Trojan.Generic.523620
Kaspersky - Trojan-Spy.Win32.ProAgent.21
Microsoft - PWS:Win32/Progent.A
NOD32 - Win32/Spy.ProAgent
Panda - Trj/Proagent.S
Sophos - Troj/Progent-P
Symantec - Trojan.Progent
TrendMicro - TSPY_PROAGENT.K

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

[hesamjm]

مهران جان من از زحماتت تشکر میکنم...همین طور ادامه بده عالیه....

[M E H R A N]

مهران جان من از زحماتت تشکر میکنم...همین طور ادامه بده عالیه....

hesam جان سلام. ممنون شما لطف دارید. تا جایی که وقت بهم اجازه بده و درسهایی که کم کم شروع شده حتما
ادامه میدم. تشویق شما دوستان باعث میشه این تاپیک رونق پیدا کنه.

اما برای اینکه این پست خالی نمونه یک تروجانی معرفی میکنم که تا حالا هیچ آنتی ویروسی قادر به شناسایی
کردنش نیست. یک نمونه از این تروجان رو من در پست 22 در همین تاپیک معرفی کرده بودم اما این نمونه جدید
همین تروجان است.

اون تروجانی که در پست 22 معرفی کرده بود کسپرسکی اونو با اسم Trojan.Win32.Agent.zvh در دیتابیسش
ثبت کرد اما اینو چون هنوز هیچ آنتی ویروسی تشخیص نداده نمیدونم اسمش رو چی بزارم... Maryam.win32.agent
خوبه

از شوخی گذشته این تروجان رو من امشب هم برای AntiVir و هم Kaspersky میفرستم و به احتمال زیاد فقط 3 حرف
آخر نمونه تروجان پست 22 تغییر کنه. یعنی از zvh احتمالا بشه zvx .

نتیجه اسکن این تروجان در حال حاضر...




این نمونه از تروجان میتونه تجربه خوبی برای کسانی باشه که فکر میکنند با داشتن 2 آنتی ویروس امنیت بیشتری
دارند. در حالی که الان با توجه به این نمونه جدید از این تروجان متوجه میشیم که هیچ آنتی ویروسی قادر به
شناسایی کردنش نیست. پس چطوری میشه فهمید که این فایل یک فایل آلوده است؟

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

[vtn54]

hesam جان سلام. ممنون شما لطف دارید. تا جایی که وقت بهم اجازه بده و درسهایی که کم کم شروع شده حتما
ادامه میدم. تشویق شما دوستان باعث میشه این تاپیک رونق پیدا کنه.

اما برای اینکه این پست خالی نمونه یک تروجانی معرفی میکنم که تا حالا هیچ آنتی ویروسی قادر به شناسایی
کردنش نیست. یک نمونه از این تروجان رو من در پست 22 در همین تاپیک معرفی کرده بودم اما این نمونه جدید
همین تروجان است.

اون تروجانی که در پست 22 معرفی کرده بود کسپرسکی اونو با اسم Trojan.Win32.Agent.zvh در دیتابیسش
ثبت کرد اما اینو چون هنوز هیچ آنتی ویروسی تشخیص نداده نمیدونم اسمش رو چی بزارم... Maryam.win32.agent
خوبه

از شوخی گذشته این تروجان رو من امشب هم برای AntiVir و هم Kaspersky میفرستم و به احتمال زیاد فقط 3 حرف
آخر نمونه تروجان پست 22 تغییر کنه. یعنی از zvh احتمالا بشه zvx .

نتیجه اسکن این تروجان در حال حاضر...




این نمونه از تروجان میتونه تجربه خوبی برای کسانی باشه که فکر میکنند با داشتن 2 آنتی ویروس امنیت بیشتری
دارند. در حالی که الان با توجه به این نمونه جدید از این تروجان متوجه میشیم که هیچ آنتی ویروسی قادر به
شناسایی کردنش نیست. پس چطوری میشه فهمید که این فایل یک فایل آلوده است؟

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

سلام دوست عزیز

با عرض خسته نباشید و تشکر از زحماتی که می کشید و نمونه های جالبی که معرفی می کنید با دیدن این نمونه

آخری وسوسه شدم در ادامه فرمایشات شما خدمت دوستان عرض کنم که نمونه هایی مانند این نشان می دهند که

نباید تنها به آنتی ویروسهایی که فقط از دیتابیس خود برای شناسایی آنتی ویروسها استفاده می کنندبسنده کرد .

شما می بینید که مثلا در این نمونه که دوست عزیزمان معرفی کرده اند نه از هوریستیک پیشرفته نود32 و آنتی ویر

کاری ساخته است نه از دیتابیس عالی و سرعت عمل کاسپرسکی و آنتی ویر در اضافه کردن نمونه های جدید به

دیتابیس خودشان.

چاره کار در این گونه مواقع استفاده از روشهای جدید مقابله با بدافزارها است که به ویژه در مقابله با این گونه تهدیدات

جدید و ناشناخته بسیار موثرتر از روشهای سنتی هستند .یکی از این روشها استفاده از یک سیستم دفاعی مبتنی بر

رفتار (Behavioral Based Defense ) که هم به صورت نرم افزارهایی جداگانه و مستقل عرضه می شود ( مانند

ThreatFire یا Geswall ) یا همراه با بعضی انتی ویروسها مانند پاندا یا کاسپرسکی ....

من برای نشان دادن توانایی این سیستمها این نمونه شما را بر روی سیستم خودم اجرا کردم .

ابتدا آنتی ویروس خودم را که اینترنت سکوریتی کاسپرسکی است خاموش کرده و نمونه شما را اجرا کردم که نتیجه تغییر صفحه نمایش , بروز اخطارهای متعدد در مورد آلوده بودن سیستم و توصیه به دانلود یک آنتی ویروس قلابی و نیز باز شدن خود بخود صفحات اینترنتی و ... بود .این بدافزار چند پروسه فعال را روی سیستم ایجاد کرده و تغییرات متعددی را در رجیستری ویندوز ایجاد می کند و حتی کدهای خود را به داخل سایر پروسه های ویندوز تزریق می کند و ....
شما در پایین می توانید تصویر تعدادی از پیغامهای نمایش داده شده و نیز شکل تغییر یافته دسکتاپ را ببینید :



پس از پاک کردن کامل سیستم این بار کاسپرسکی را مجددا فعال کرده و فایل فوق را مجددا اجرا کردم .البته تا این لحظه کاسپرسکی حتی با آخرین آپدیت و استفاده از حداکثر قدرت هوریستیک خودش قادر به شناسایی این نمونه نیست .بلافاصله پس از اجرای این فایل که در واقع یک Trojan Downloader است کاسپرسکی برنامه فوق را پس از آنالیز به گروه Low Restricted اضافه کرد ( که البته این می تواند یک نقص باشد چون برنامه ای با این خصوصیات باید به گروه هایی با آزادی عمل کمتر مانند High Restricted اضافه می شد ):



و اخطارهای زیر به صورت پشت سر هم ظاهر شدند که در هر مورد من کار پیشنهاد شده توسط برنامه را انجام دادم البته با این تفاوت که در مورد اخطار مربوط به فایروال ( اخطار سبز رنگ ) من به جای کار در خواست شده گزینه دیگر یعنی Block را انتخاب کردم:

[

و در نهایت نه تنها هیچکدام از اتفاقات قبلی تکرار نشدند ( تغییر دسکتاپ و بروز پیغامهای متعدد و ... ) بلکه به علت ممانعت از دانلود بدافزارهای دیگر روی سیستم هیچ کدام از تغییرات ذکر شده در رجیستری و System Files اتفاق نیافتاد.

[M E H R A N]

vtn54 عزیز با تشکر از توضیحات مفصل شما که روشنگر خیلی از مسائل بود.

من هم با تایید حرفهای شما برنامه های Behavior Blocker به تمام کاربرانی که دنبال امنیت بیشتر چه در اینترنت و
چه برای سیستمشون هستند توصیه میکنم. این نوع برنامه ها که دوست عزیز vtn54 چند نمونه از آنها را نام بردند
جزو زیر شاخه HIPS ها هستند.

من بر حسب تجربه خودم که هم با Behavior Blocker ها و هم با برنامه های HIPS کار کردم میتونم بگم که برنامه های
Behavior Blocker ها بیشتر بدرد کسانی میخوره که با پروسه های سیستم و نوع کارکرد و درخواست هر پروسه
آشنایی ندارند. چون بعضی از Behavior Blocker ها مانند کسپرسکی آنها را بر حسب رفتار آن پروسه بررسی میکنند
و همانطور که در نتیجه تست vtn عزیز نیز دیدید کسپرسکی این تروجان رو بصورت اتوماتیک در قسمت کنترل شده
قرار داد. اما HIPS ها نوع پیشرفته تر Behavior Blocker ها هستند که برای کار با این برنامه های یک کاربر باید بداند که مثلا چه پروسه هایی مربوط به خود سیستم عامل هستند و به کجاها باید دسترسی داشته باشند تا با پیغامهایی
که از طرف HIPS ها برخورد میکنند اشتباهی یک پروسه را بلاک و یا آزاد نکنند.

در ادامه صحبتم من به همه کسانی که به این نوع برنامه ها علاقه دارند توصیه میکنم که در صورت امکان حتما مقاله
زیر را از سایت securityfocus.com که یک از سایت های مورد علاقه من است بخوانند. در این مقاله بخوبی در این مورد
از طرف یک متخصص مسائل امنیتی بحث شده و حتی Behavior Blocker ها رو با هوش مصنوعی مقایسه کرده.

هر چند که با این تست دوست عزیز vtn همه چی بخوبی روشن و واضح است اما باز هم برای اینکه به نظر دیگری
را هم خوانده باشید بد نیست این مقاله را بخوانید.

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

کسپرسکی در این وسط از بقیه Behavior Blocker ها پیشی گرفته چون الان در قسمت فایروالش که در نسخه
اینترنت سکوریتی وجود داره این برنامه تا حدی بصورت اتوماتیک عمل میکنه. اما اگر میخواهید که بقیه برنامه های
Behavior Blocker مانند ThreatFire استفاده کنید باید بگم که اگر شما بر این نکته آشنایی دارید که اگر یک پروسه
و یا یک برنامه خواست یک کلیدی رو در رجیستری سیستم در مسیر HKCU run, HKLM RunOnce ثبت بکنه چه
منظوری داره و اگر ثبت نشه چه اتفاقی میوفته در آن صورت این برنامه بدرد شما میخوره. اما اگر از این کلید ها و
درایو های سیستمی که قراره با آپدیت هر نرم افزار در سیستمتون نصب بشند خبر ندارید در آن صورت به نظر
شخصی من Behavior Blocker به درد شما نمیخوره و بهتره دنبالش هم نباشید چون به غیر از خرابکاری در
سیستم چیز دیگری رو انجام ندادید.

بخاطر اینکه از بحث خارج نشیم باید اضافه کنم که امروز آنتی ویروس Sophos بعد از کسپرسکی و آنتی ویر این
تروجان رو در دیتابیس خودش وارد کرد. البته F-Secure رو هم میتونیم در لیست ببینیم اما این آنتی ویروس از
انجین کسپرسکی هم استفاده میکنه و این تشخیص خود F-Secure نبوده.



ادیت توسط خودم....

باز هم نمونه جدیدی از این تروجان ... یارو عجب گیری داده. بزور میخواد سیستم مردم رو آلوده کنه.

این نمونه جدید هم مثل نمونه قبلی فعلا توسط هیچ آنتی ویروسی شناسایی نشده. البته برای آنتی ویر و
کسپرسکی فرستادم.

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

[M E H R A N]

Ciadoor

این دفعه میخوام یک نوع تروجان رو از خانوده Ciadoor معرفی کنم. این Backdoor رو آنتی ویروس آنتی ویر با اسم
BDS/Ciadoor.N.31 میشناسه. این Backdoor انواع مختلفی داره و این نوعی که من میخوام اینجا معرفی کنم از نوع
N هست.

این Backdoor خرابکاری های زیر رو در یک سیستم بعد از آلوده شدنش میتونه انجام بده.

• کنترل کردن فایل های سیستمی
• خواندن و کشتن پروسه های اجرا شده در سیستم
• دستکاری کردن تنظیمات ویندوز
• گرفتن عکس از صفحات باز شده و فعال
• ثبت کردن همه چیزهای تایپ شده توسط کیبرد
• کنترل کردن WebCam و گرفتن عکس ازش
• دزدیدن پسوردها و اسم اکانت ها
• آپلود و دانلود کردن فایل
• خاموش کردن ویندوز
• نوع های مختلف این Backdoor همچنین میتونند... CD/ROM رو تحت کنترل خودشون

بگیرند... دسکتاپ را مخفی کنند... تسکبار را مخفی کنند... و حتی کنترل موس را نیز

در دست بگیرند.

• تاریخچه سایت های بازدید شده توسط مرورگر را بخوانند.
• اطلاعات سیستم را چه نرم افزاری و چه سخت افزاری بدزدند.
• فایل های داخل هارد را بدزدند.
• DOS را اجرا کنند.
• یک صفحه جعلی MSN برای دزدیدن اکانت و پسورد تایپ شده درست کنند.

[SIZE=2]
برای اطلاعات بیشتر در مورد این Backdoor میتونید به سایت زیر برید.

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

این نوع از Backdoor را آنتی ویروسهای زیر تا بحال شناسایی نکردند...

AhnLab-V3
Authentium
DrWeb
eTrust
Ewido
F-Prot
Kaspersky
Microsoft
Rising
VBA32
ViRobot

و اما بعضی آنتی ویروسها که اینو شناسایی کردند...

AntiVir - BDS/Ciadoor.N.31
Avast - Win32:CiaDoor-617
AVG - BackDoor.Generic7.XMK
BitDefender - Backdoor.Ciadoor.N
F-Secure - Suspicious_M.gen
NOD32 - probably a variant of Win32/Ciadoor
Symantec - Backdoor.Ciadoor

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

[M E H R A N]

Wista Antivirus

یکی دو روز بخاطر شروع شدن کلاسهام و همچنین تنظیمات فایروالم مشغول بودم.

Wista Antivirus یک نوع جدید از Trojan Downloader است که کاربران را گمراه کرده و با تبلیغاتی که در سایتهای
مختلف برای این آنتی ویروس تقلبی میشه آنها را به دانلود کردن این آنتی ویروس و اسکن سیستمشون تشویق
میکنه. در حالی که این آنتی ویروس نبوده و صرفا برای آلوده کردن سیستم کاربران و بازگذاری تروجانهای دیگه
و همچنین دزدیدن پول مردم از حسابهای بانکی آنلاین استفاده شده.



این تروجان از دو شیوه برای آلوده کردن سیستم کاربران چه XP و چه Vista استفاده میکنه.

1. در روش اول با تبلیغات دروغی که در سایتش زده کاربران را تشویق به اسکن آنلاین و مجانی سیستمشون میکنه.
کاربر کافی است که کوکی ها, اکتیو اکس ها و جاوا اسکریپت را در موردگر خودش غیر فعال نکرده باشه در آنصورت
تروجان از طریق مرورگر وارد سیستم شده و سیستم را آلوده میکند.



حتی اگر تمام موارد امنیتی را در مروگر خودتان و یا برنامه های دیگه ای مانند فایروال هایی که مرورگر ها را تحت
کنترل خود میگیرند انجام داده باشید باز هم فایل آلوده با کلیک کردن بر روی FREE SCAN وارد سیستم میشه. و
از طرفی هم حملاتی رو از طریق نتورک بر روی آی پی آدرس کاربر انجام میده.





2. روش دیگه برای آلوده کردن سیستم کاربران از طریق فایل اینستال این آنتی ویروس تقلبی توسط خود کاربر
است. در زیر همان سایت قسمتی برای دانلود کردن فایل اینستال وجود داره که کاربر با دانلود کردن آن و بعد از
نصب آن سیستم آلوده میشه. فایل هایی رو که این تروجان بعد از آلوده کردن در سیستم درست میکنه اینها
هستند...

Wista Antivirus.exe
Wista Antivirus.lnk
Uninstall Wista Antivirus.lnk
%ProgramFiles%\WistaAntivirus\alarm.wav
%ProgramFiles%\WistaAntivirus\click.wav
%ProgramFiles%\WistaAntivirus\config.cfg
%ProgramFiles%\WistaAntivirus\dbinfo
%ProgramFiles%\WistaAntivirus\dll\antirootkit.sys
%ProgramFiles%\WistaAntivirus\dll\def1.base
%ProgramFiles%\WistaAntivirus\dll\def2.base
%ProgramFiles%\WistaAntivirus\dll\def3.base
%ProgramFiles%\WistaAntivirus\dll\immunization.pl
%ProgramFiles%\WistaAntivirus\dll\license
%ProgramFiles%\WistaAntivirus\dll\loader.sys
%ProgramFiles%\WistaAntivirus\dll\privacy.dat
%ProgramFiles%\WistaAntivirus\dll\realscanner.dll
%ProgramFiles%\WistaAntivirus\dll\sig1.base
%ProgramFiles%\WistaAntivirus\dll\sig2.base
%ProgramFiles%\WistaAntivirus\dll\sigrules.rul
%ProgramFiles%\WistaAntivirus\success.wav
%ProgramFiles%\WistaAntivirus\unins000.dat
%ProgramFiles%\WistaAntivirus\unins000.exe
%ProgramFiles%\WistaAntivirus\wistaantivirus.exe
%ProgramFiles%\WistaAntivirus\wistaantivirus.url

پروسه های فعالی که این آنتی ویروس تقلبی ازش استفاده میکنه میتونه این اسم ها رو داشته باشه...

wav.exe
Wista Antivirus.lnk
Uninstall Antivirus.lnk
Antvrs.exe
Wista Antivirus.exe

و کلید رجیستری برای فعال شدن اتوماتیک آن همراه با ویندوز ....

HKEY_CURRENT_USER\Software\wistaantivirus
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\Wista Antivirus_is1

این تروجان و یا آنتی ویروس تقلبی رو تا بحال فقط آنتی ویروسهای زیر تونستند شناسایی بکنند.

AntiVir - DR/Crypt.PA
DrWeb - Trojan.Packed.612
GData - Trojan.Win32.Crypt.pa
Kaspersky - Trojan.Win32.Crypt.pa
Sophos - Troj/FakeAV-CK
Symantec - WistaAntivirus
Webwasher-Gateway - Trojan.Dropper.Crypt.PA

شما فایل اینستال این آنتی ویروس تقلبی رو میتونید از سایت خودش که در عکس ها معلومه دانلود بکنید اما اگر
فکر میکنید که سیستمتون امنیت کافی رو برای باز کردن سایت اصلی این تروجان نداره میتونید اون رو از لینک زیر
که براتون آپلود کردن دانلود کنید.

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید