راهنمایی جهت حذف worm conficker

[reza_to]

با سلام

آنتی ویروس nod32تحت شبکه که update هم میباشد این worm را تشخیص و قرنطینه میکند اما تمام سیتمها به این worm آلوده شده و از کنسول nod32 میتوان انتشار این worm را مشاهده کرد چگونه از شر این worm راحت بشم؟

[bashir935]

سلام

منم همین مشکل رو دارم این ویروس conficker داره اعصابمو بهم میریزه

من چند روزی میشه adsl گرفتم و nod32 دقیقا از همون دقایق اولی که adsl وصل شد اختار داد و گفت که این ویروس داره خنجر به قلبه کامپیوتر میزنه و ...

[picher_s]

سلام بچه ها.
اینم لینکه انتی های منتشره برای این کرم

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

امیدوارم به کارتون بیاد
موفق و پیروز باشید.

[mahe ziba]

تاریع پیدایش
ژانویه 2009


طریقه انتشار

• Local network
• Mapped network drives

نامهای دیگر ان برای سایر انتی ویروسها

• Symantec: W32.Downadup.B
• Kaspersky: Net-Worm.Win32.Kido.fw
• F-Secure: Worm:W32/Downadup.gen!A
• Sophos: Mal/Conficker-A
• Panda: Trj/Downloader.MDW
• Grisoft: I-Worm/Generic.CJY
• Eset: a variant of Win32/Conficker.AE worm
• Bitdefender: Win32.Worm.Downadup.Gen

الوده کردن سیستمهای

• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003

کارهائی که انجام میدهد

تغییر رجیستر
نفوذ به تمامی سافت ویرها
باز کردن راه برای کنترل از راه دور


خود را در فایلهای زیر کپی میکند

• %all shared folders% \RECYCLER\S-%number%\%random character string%.vmx
• %ProgramFiles%\Internet Explorer\%random character string%.dll
• %ProgramFiles%\Movie Maker\%random character string%.dll
• %System%\%random character string%.dll
• %Temp%\%random character string%.dll
• %ALLUSERSPROFILE%\Application Data\%random character string%.dll


فایلهای زیر را میسازد

– %all shared folders%\autorun.inf This is a non malicious text file with the following content:
• %random comments%
shellexecute rundll32.exe %paths and filenames of malware copies%,%random character string%
%random comments%


کلیدهای زیر را به رجیستر اضافه میکند

– HKLM\SYSTEM\CurrentControlSet\Services\%random words%\
Parameters\
• ServiceDll" = "%paths and filenames of malware copies%"

– HKLM\SYSTEM\CurrentControlSet\Services\%random words%\
• "ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs
"Type" = "4"
"Start" = "4"
"ErrorControl" = "4"

گلیدهای رجیستر زیر را تغییر میدهد


– [HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]
Old value:
• "Start"=dword:00000003
New value:
• "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
Old value:
• "Start"=dword:00000003
New value:
• "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\BITS]
Old value:
• "Start"=dword:00000003
New value:
• "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\ERSvc]
Old value:
• "Start"=dword:00000003
New value:
• "Start"=dword:00000004

– HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced
New value:
• "Hidden"=dword:00000002
"ShowCompColor"=dword:00000001
"HideFileExt"=dword:00000000
"DontPrettyPath"=dword:00000000
"ShowInfoTip"=dword:00000001
"HideIcons"=dword:00000000
"MapNetDrvBtn"=dword:00000000
"WebView"=dword:00000000
"Filter"=dword:00000000
"SuperHidden"=dword:00000000
"SeparateProcess"=dword:00000000

برای اطمینان از انتشار خود به سایر کامپیوترها به انها نفوذ میکند و برای اینکار از Login های زیر استفاده میکند
ایجاد پسوردهای زیر

• 000; 0000; 00000; 0000000; 00000000; 0987654321; 111; 1111; 11111;
111111; 1111111; 11111111; 123; 123123; 12321; 123321; 1234; 12345;
123456; 1234567; 12345678; 123456789; 1234567890; 1234abcd; 1234qwer;
123abc; 123asd; 123qwe; 1q2w3e; 222; 2222; 22222; 222222; 2222222;
22222222; 321; 333; 3333; 33333; 333333; 3333333; 33333333; 4321; 444;
4444; 44444; 444444; 4444444; 44444444; 54321; 555; 5555; 55555;
555555; 5555555; 55555555; 654321; 666; 6666; 66666; 666666; 6666666;
66666666; 7654321; 777; 7777; 77777; 777777; 7777777; 77777777;
87654321; 888; 8888; 88888; 888888; 8888888; 88888888; 987654321; 999;
9999; 99999; 999999; 9999999; 99999999; a1b2c3; aaa; aaaa; aaaaa;
abc123; academia; access; account; Admin; admin; admin1; admin12;
admin123; adminadmin; administrator; anything; asddsa; asdfgh; asdsa;
asdzxc; backup; boss123; business; campus; changeme; cluster;
codename; codeword; coffee; computer; controller; cookie; customer;
database; default; desktop; domain; example; exchange; explorer; file;
files; foo; foobar; foofoo; forever; freedom; ----; games; home;
home123; ihavenopass; Internet; internet; intranet; job; killer;
letitbe; letmein; login; Login; lotus; love123; manager; market;
money; monitor; mypass; mypassword; mypc123; nimda; nobody; nopass;
nopassword; nothing; office; oracle; owner; pass; pass1; pass12;
pass123; passwd; password; Password; password1; password12;
password123; private; public; pw123; q1w2e3; qazwsx; qazwsxedc; qqq;
qqqq; qqqqq; qwe123; qweasd; qweasdzxc; qweewq; qwerty; qwewq; root;
root123; rootroot; sample; secret; secure; security; server; shadow;
share; sql; student; super; superuser; supervisor; system; temp;
temp123; temporary; temptemp; test; test123; testtest; unknown; web;
windows; work; work123; xxx; xxxx; xxxxx; zxccxz; zxcvb; zxcvbn;
zxcxz; zzz; zzzz; zzzzz

ساختن IP هائی که فقط فقط سه octets انها متعلق به خودش میباشند و سپس تلاش میکند تا با ادرسهای ایجاد شده نماس بر قرار کند.
از طریق کامپیوتری که انرا الوده کرده و به عنوان پایگاه استفاده میکند فایلی را که معمولا در RECYCLER\S-%number%\%random character string%.vmx قرار دارد را به سایر کامپیوترها به صورت دانلود اتوماتیک ان منتقل میکند
امکان دسترسی به دامین های زیر را غیر ممکن میسازد

• ahnlab; arcabit; avast; avg.; avira; avp.; bit9.; ca.; castlecops;
centralcommand; cert.; clamav; comodo; computerassociates; cpsecure;
defender; drweb; emsisoft; esafe; eset; etrust; ewido; f-prot;
f-secure; fortinet; gdata; grisoft; hacksoft; hauri; ikarus; jotti;
k7computing; kaspersky; malware; mcafee; microsoft; nai.;
networkassociates; nod32; norman; norton; panda; pctools; prevx;
quickheal; rising; rootkit; sans.; securecomputing; sophos; spamhaus;
spyware; sunbelt; symantec; threatexpert; trendmicro; vet.; virus;
wilderssecurity; windowsupdate

برای اینکه از کانکشن عود به اینترنت مطمئن شود با DNS های زیر ارتباط بر قرار میکند

•

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

•

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

•

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

•

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

و همینطور سایت های زیر

• baidu.com; google.com; yahoo.com; msn.com; ask.com; w3.org; aol.com;
cnn.com; ebay.com; msn.com; myspace.com

برای بیشتر کردن تعداد کانکشنهایش به اینترنت فایل tcpip.sys را تغییر میدهد
در API زیر رخنه میکند

• DNS_Query_A
• DNS_Query_UTF8
• DNS_Query_W
• Query_Main
• sendto

زبان پروگرام نویسی ان MS Visual C++ میباشد.
برای غیر قابل تشخیص بودن با runtime packer فشرده شده و حجم ان بسیار کم شده است

برای از بین بردن ان یکی از برنامه های زیر را دانلود کرده و طبق توصیه ها عمل شود.

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

برای از بین بردن ان بدون استفاده از برنامه ای و بطور دستی به لینک زیر و قسمت How to Remove Conficker Worm Manually مراجعه شود

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

[ehsankalak]

حله دیگه جای بحثی نمیمونه !!!

[elnaz-tanha]

سلام بهترین راه اینه که از آنتی ویروس کاسپر اسثفاده کنی به نظره من قدرتمند ترین آنتی ویروسه حال حاضره اگه دیدی نصب ویروسه نمیزاره نصب بشه هاردبه هارد کن با یه سیستمی که کاسپر داره من شخصا چند بار امتحان کردم جواب گرفتم

[saeed774]

سلام بهترین راه اینه که از آنتی ویروس کاسپر اسثفاده کنی به نظره من قدرتمند ترین آنتی ویروسه حال حاضره اگه دیدی نصب ویروسه نمیزاره نصب بشه هاردبه هارد کن با یه سیستمی که کاسپر داره من شخصا چند بار امتحان کردم جواب گرفتم

دوست عزيز درسته كسپرسكي جز بهترين آنتي ويروس هاي حال هستش ولي اين ويروس تمام آنتي ويروس ها رو از كار ميندازه يا در عملكرد اونا اختلال وارد ميكنه مخصوصا نسخه جديد اين ويروس اخيرا منتشر شده و به ويندوز ويستا هم نفوذ ميكنه .
پيشنهاد من اينه كه هر روز ويندوز رو به روز رساني كنين.