حتما به تازگی با ویروسی که میگن کار ایرانی ها هست که روی یک نوار زرد رنگ در بالای دسکتاپ چیزی می نویسه برخورد داشته اید
این ویروسه بدجور یکی از دوستانم را در مانده کرده اونطور که می گه انتی ویروس هم دیتکتش نمی کنه
راه حل برای این موضوع و راهایی از شر این ویروس نیست
™Ali
27-07-08, 11:06
كرم W32/Saldost.b
اين كرم اينترنتی که ايرانی بوده و پس از اجرای فايل آن بر روی سيستم كاربر، ابتدا خودش را به صورت زير بر روی سيستم كپی مینمايد:
در صورتی که داخل نام فایل اجرایی کلمه ScreenSaver وجود داشته باشد پیامی به شکل زیر نمایش میدهد.
The application failed to initialize properly (0x0000005). Click on OK to terminate the application.
سپس فايل خود با نام svchost.exe در مسير %TEMP% را اجرا كرده و برای اينكه با هر بار راهاندازی سيستم آلوده به طور خودكار اجرا گردد، خود را به شكل زير در رجيستری ثبت مینمايد:
تغييرات فوق باعث بروز مشكلاتی از جمله باز نشدن FolderOption و مخفی نگه داشتن فايلهای مخفی میگردد كه برای برطرف كردن اين مشكلات میتوانيد برنامه زير را از سايت ايمن دانلود كرده و رجيستری خود را پاكسازی نماييد:
Only the registered members can see the link (Only the registered members can see the link)
همچنين كليد IsShortCut را از مسيرهای زير در رجيستری پاك میكند:
بعد از انجام كارهای فوق تمام برنامههای موجود در زمانبند ويندوز (دستور at) را پاك كرده و با استفاده از زمانبند ويندوز فايل خود را كه با نام OfficeUpdate.exe در مسير WINDIR%\Web% وجود دارد هر روز در ساعات 11:30 و 20:30 اجرا مینمايد.
يكی ديگر از كارهای اين كرم اين است كه خود را در مسيرهای زير با نامهای فريبنده كپی میكند و از آنجايی كه برخی از اين مسيرها مخصوص برنامههای شبكههای اشتراكگذاری فايل (يا P2P) هستند، با اين كار امكان انتشار آن در سراسر دنيا از طريق اينگونه برنامهها فراهم میگردد:
به علاوه در مسيرهايی كه در آنها فايلهای از نوع MP3 ، JPG يا EXE وجود داشته باشد، خود را با نام zfile.exe كپی میكند. همچنين خود را با نام setup.exe و setlib.exe در مسيرهای زير كپی میكند:
اين كرم برای اينكه بتواند خود را درون شبكه تكثير كند، كامپيوترهای موجود در آن را جستجو كرده و با استفاده از درايوهای به اشتراك گذاشته شده، سعی میكند خودش را به شكل زير بر روی آن سيستمها كپی كند:
C$\Documents and Settings\All Users\Start Menu\Programs\Startup\AdobeUpdate.exe
اين كار باعث میشود كه پس از راهاندازی آن سيستمها، ويروس به طور خودكار اجرا شده و عمليات تكثيری خود را بر روی آنها انجام دهد.
از جمله كارهای جالب اين ويروس اين است كه خودش را در ريشه همه درايوها با نام autoply.exe كپی كرده و در كنار آن فايلی با نام Autorun.inf ايجاد میكند. اين عمل باعث میشود كه هر گاه كاربر بخواهد به هر شکلی وارد هر درايوی شود، فايل مربوط به كرم اجرا گردد. نوع Autorun ايجاد شده به گونهايست كه اگر فايل autoply.exe كه خود كرم است از روی سيستم پاك شده ولی فايل Autorun.inf باقی بماند، با دوبار كليك كردن بر روی نام درايو پنجره Open with نمايش داده میشود و كاربر نمیتواند وارد درايو شود. در اين حالت با كليك راست نمودن بر روی نام درايو و انتخاب گزينه Open نيز نمیتوان وارد درايو شد. برای برطرف نمودن اين مشكل بايستی فايل زير را از روی سايت ايمن دانلود نموده و آن را بر روی سيستم خود اجرا نماييد:
Only the registered members can see the link (Only the registered members can see the link)
اين كرم فايلی با نام Important.htm را در مسيرهای زير بر روی سيستم كاربر کپی مینمايد كه حاوی جملاتی به زبان فارسی است:
همان جملات را درون فایلی با نام print.txt در مسیر %TEMP% کپی کرده و بعد آن اجرا میکند.
در انتها میانبر (Shortcut) های برنامه های Paint و Calculator و Notepad و Cmd را به گونه ای تغییر می دهد که قبل از اجرای برنامه اصلی ویروس اجرا شود که بعد از پاکسازی میانبر برنامه اصلی اجرا نمیشود
یکی از نشانههای ویروس به نمايش درآوردن نواری زرد رنگ در بالای صفحه همراه با جملاتی فارسی با رنگ قرمز است.
منبع: webzone.blogfa.com
™Ali
27-07-08, 11:07
شعار های ویروس
بنی امیه به سرعت اسلام را در دنیا و بویژه در اروپا گسترش می داد. استعمار نابودش کرد و ابومسلم و ایران را مقصر نشان داد
--------------------------------------------------------------------------------
برای اینکه مردم مستعمره ایی ساکت باشند, باید هر چند وقت یکبار افراد شلوغ آنها را قتل عام نمود. در سی سال گذشته در ایران هفت بار اتفاق افتاده است
ایجاد اختلاف بین اقوام ایرانی نقشه استعمار است که حکومتها اجرا می کنند. تا هیچ وقت حکومت مردمی ایجاد نشود
اینم تصاویری از عمل کرد این ویروس
Only the registered members can see the link
Only the registered members can see the link
Only the registered members can see the link
green_waves
27-07-08, 11:18
کلا ویروس با حالیه تو دانشگاه اکثر سیستم ها با این ویروس اجین شده اند وقتی استاد درس میده ما هم جک ها رو می خوندیم و کلی می خندیدیم
ولی وقتی پا به کامپیوتر خانگی باز بشه میشه بلای جون
™Ali
27-07-08, 11:34
منم داشتم ازش
ولی از بینش بردم ولی خداییش بیشتر جک میگه تا سیاسی حرف بزنه
میگن محصول اسراییله!!!
green_waves
27-07-08, 12:33
منم داشتم ازش
ولی از بینش بردم ولی خداییش بیشتر جک میگه تا سیاسی حرف بزنه
میگن محصول اسراییله!!!
حتما ماله یکی از این استکباران جهانیه :yes:
™Ali
27-07-08, 12:59
توضیحات بیشتر در رابطه با این ویروس:
اين ويروس رايانهاي كه پاندا آنرا با عنوان "W32/Nahkos.A.worm" شناسايي ميكند، مكافي با نام "W32/Bindo.worm" و سوفوس با نام"Troj/Yusufali-A" ميشناسد، آنتيويروس كوئيكهيل با نامهاي "Win32.Malas.c" و "Win32.Malas.A" و "Trojan.Win32.VB.zu" شناسایی میشود. جالب است بدانيد كه همه ويروسها بطور كلي (شامل ويروس، كرم، تروجان، تراوا و...) با تغيير نام حتي ولو به يك حرف ميتوانند از بيشتر آنتيويروسها بگذرند مگر برخي آنتيويروسها كه داراي يك تكنولوژي باشند كه لابراتوار ويروسشناسي را شبيهسازي كرده باشند (مثل DNAScan كوييكهيل). با توجه به شناسايي بيشتر نامهاي موجود در ويروسياب كوئيكهيل امكان گذشتن ويروسهاي جديد كمتري از اين آنتي ويروس ميسر ميباشد.
در ضمن اين ويروس اقدام به ايجاد فايلهاي مخفي (hidden) با نام Autoply و Important.html (كه شعارها داخل اين فايل نوشته شده است) كرده و با ايجاد فولدر XPCode اقدام به انتشار سريع خود در شبكههاي ادارات دولتي كرده و متنها و شعارهاي سياسي عليه جمهوري اسلامي منتشر ميكند.
سوالي كه پيش ميآيد اين است كه مسئولين فناوري اطلاعات سازماهاي دولتي چه وقت به فكر امنيت در سيستمهاي كامپيوتري خود ميافتند؟؟؟
توجه : این ویروس ساخته ایران نبوده بلکه ساخته کشور اسراییل می باشد:cry:
خلاصه روش پاک کردن ویروس:
در صورتي كه كامپيوتري مبتلا به اين ويروس گرديده بايد موارد زير انجام گردد:
1- از بروز بودن سيستم عامل و نصب و بروز بودن ضد ويروس اطمينان حاصل نماييد.
2- System restor را غير فعال كنيد.
3- كامپيوتر را با ضد ويروس سيمانتك ويروس يابي نماييد (ضد ويروس سيمانتك بايد بروزرساني شده باشد )
4- فايل NoAutorun (Only the registered members can see the link)را اجرا نماييد.
5- از انجايي كه اين ويروس رجيستري را تغيير مي دهد براي اصلاح رجيستري و حل مشكلات مخفي شدن فايلها و درايوها ، فايل Regrepair (Only the registered members can see the link) را اجرا نماييد
6- سيستم را مجددا" راه اندازي نماييد.
دیگه بحث رو تموم کنیم.:1. (10):
EhsanHF
27-07-08, 13:12
ولی خداییش تمام مطالبش درسته ها !
چیزهایی رو داره بیان میکنه که همشون رو داریم میبینیم ، ولی قبولشون نمیکنیم .
™Ali
27-07-08, 13:21
ولی خداییش تمام مطالبش درسته ها !
چیزهایی رو داره بیان میکنه که همشون رو داریم میبینیم ، ولی قبولشون نمیکنیم .
آره دیگه مثل:
اگر شما مسلمانان به سختی زندگی می گذرانید. بدانید که مسلمان نیستید
ولی بعضی ها زده جاده خاکی:
اسلام دین محبت است نه خشم و شهوت. اینکه تاریخ ادعا می کند پیامبر زن زیادی داشته و همچنین زیاد جنگ می کرده. همه دروغ است
Mer30:great: