میهمان گرامی خوش آمدید، نمایش این متن بدان معنی است که شما هنوز ثبت نام نکرده اید، لطفا" برای ثبت نام اینجا را کلیک کنید و در چند مرحله ساده ثبت نام خود را تکمیل نمائید، البته پس از ثبت نام شما می توانید از تمامی امکانات سایت بهره ببرید.
css3menu.com Glass and LCD cchange

css menu by Css3Menu.com






صفحه 1 از 79 123451151 ... آخرینآخرین
نمایش نتایج: از 1 به 15 از 1171
  1. #1
    کاربر متخصص
    تاریخ عضویت
    Nov 2008
    محل سکونت
    ı̴̴̡ ̡̡͡|̲̲̲͡͡͡ ̲▫̲͡ ̲̲̲͡͡π̲̲͡͡ ̲̲͡▫̲̲͡͡ ̲|̡̡̡ ̡ ̴̡ı̴
    نوشته ها
    3,500
    Thanks
    6,361
    Thanked 3,634 Times in 1,633 Posts

    پیش فرض اخبار و اطلاعات كامپيوتري (ويروس،هك،تازه ها..)

    سلام دوستان
    در این تاپیک تمامی اخبار و اطلاعات مربوط به کامپیوتر از قبیل سخت افزار،نرم افزار،شبکه،ویروس،هک،کرک،ج دیدترین و بهترین ها،... جمع آوری خواهند شد.
    لطفا تاپیک های جداگانه باز نشود.



    باتشکر
    مدیریت انجمن کامپیوتر سجاد بضاعت پور
    ویرایش توسط Sajjad.Bezaatpoor : 2009-12-16 در ساعت 12:11

  2. The Following 6 Users Say Thank You to Sajjad.Bezaatpoor For This Useful Post:


  3. #2
    کاربر متخصص
    تاریخ عضویت
    Nov 2008
    محل سکونت
    ı̴̴̡ ̡̡͡|̲̲̲͡͡͡ ̲▫̲͡ ̲̲̲͡͡π̲̲͡͡ ̲̲͡▫̲̲͡͡ ̲|̡̡̡ ̡ ̴̡ı̴
    نوشته ها
    3,500
    Thanks
    6,361
    Thanked 3,634 Times in 1,633 Posts

    پیش فرض

    ویروس Bronkot.A و روش‌های مقابله



    این یک ویروس بسیار حرفه‌ای است و اساس طراحی این ویروس با Visual Basic 6.0 می‌باشد. برای اولین بار کمپانی سازنده آنتی ویروس Bit Defender پادزهر آن را ساخت اما چون روشی خاصی برای نابودی این کرم وجود ندارد، نرم افزار آنتی ویروس نمی تواند این کار را انجام دهد و فقط ویروس را شناسایی می‌کند. دوستانی که سطح اطلاعات کامپیوتری آن‌ها مبتدی است توصیه می‌شود که ویندوز خود را عوض کنند و تمام مطالبی که در زیر نوشته شده است را کنار بگذارند. البته توضیحات واضح است و ضرری ندارد اگر یکبار امتحان کنید اما کسانی که مدت زیادی است با کامپیوتر آشنایی دارند بهتر می‌توانند موفق شوند. در ابتدا خوب است کمی راجع به هنرنمایی‌های این ویروس بدانیم:
    کرمی که باعث ایجاد این ویروس می‌شود BronTok.A نام دارد. معروف شده است به پنهان کننده Folder Options بهتر است بدانید که این تنها کار این کرم نیست Registry Tools را قفل می‌کند. Task Manager با Error مواجه می‌شود و اگر هم بر حسب اتفاق اجرا شود توانایی END کردن بسیاری از پروسه ها را ندارد. محتویات My Document را پس از اجرا شدن نمایش می‌دهد، اگر از طریق منوی Start گزینه Run را فعال کنیم و هر یک از عبارات RegEdt32 ، Regedit msconfig و CMD را اجرا کنیم سیستم بلافاصه Restart می‌شود. کلیک بر روی Log Off یا Turn Off باعث Restart می‌شود. سرعت سیستم را کاهش داده و مانع اجرای بعضی نرم افزارها می‌شود. این کرم آیکون یک پوشه معمولی را دارد و از طریق فایل inetinfo.exe در سیستم منتشر می‌شود. اکنون به آموزش روش حذف کامل و دقیق این مزاحم می‌پردازیم:
    جهت حذف این ویروس لازم است شما چند کار اولیه را انجام دهید:
    1. ابتدا اگر آنتی ویروسی بر روی سیستم خود دارید یا آن را موقتاً غیر فعال (Disable) کنید و یا اینکه کلاً Uninstall کنید.
    2. سپس دو نرم افزار لازم است که دانلود کنید که خوشبختانه حجم های بسیار کمی دارند و در زیر قرار داده شده اند:
    3. دانلود کنید BronTok.A Killer
    4. دانلود کنید Process Master 1.1
    5. هر نرم افزار یا صفحه اینترنتی و یا هر چیز دیگری که باز دارید ببندید.

    6. پس از خارج کردن از حالت فشرده (ZIP) ، نرم افزار Process Master را نصب کنید و Crack آن را طبق فایل راهنمای همراه آن انجام دهید. با BronTok.A Killer فعلاً کاری نداشته باشید ولی از حالت ZIP خارجش کنید.
    همانطور که می‌دانید اساس کار بعضی فایل‌ها پیشبُرد روند اجرایی سیستم است که از آن جمله winlogon.exe ، lsass.exe و services.exe را می‌توان نام برد. در حالت معمولی (ویروسی نبودن) این سه فایل همیشه در حال اجرا هستند و از طریق Task Managerقابل مشاهده هستند. مسیر آنها نشان می‌دهد از پوشه System32 در Windows اجرا شده‌اند. اما وقتی به این ویروس دچار هستید دیگر Task Manager هم کار نمی‌کند و برای همین است که گفته شد به نرم افزار Process Master نیاز دارید. اکنون این نرم افزار را اجرا کنید. می‌بینید سه فایلی که همیشه در حال اجرا هستند اینجا به صورت جفتی اقدام نموده اند. یعنی دوتا lsass.exe و دوتا winlogon.exe و دوتا services.exe در حال اجرا می‌باشند. البته همه آنها ممکن است جفتی نباشند. تشخیص اینکه کدام اصلی است و کدام نتیجه تأثیر ویروس‌، بسیار ساده است.

    7. آن‌هایی که مسیر اجرا شدن‌شان به شکل Windows/System32/... است اصلی هستند و آن‌هایی که از .../Documents and Settings/... اجرا شده اند مسیر ویروس هستند و طول آدرس آنها طولانی‌تر است. بر روی آنهایی که مسیر .../Documents and Settings/... را دارند راست کلیک کرده و Kill Process را بزنید. اگر به غیر از این سه فایل‌، فایل‌های دیگری نیز بودند که مسیر اجرایی مشابه ویروس داشتند آن‌ها را نیز Kill Process کنید. فقط به آن‌هایی که مسیر Windows/System32/... دارند دست نزنید.

    8. پس از Kill Process کردن فایل‌ها، برنامه را ببندید. حالا برنامه BronTok.A را اجرا کنید. برای بعضی از شما دوستان این برنامه به محض کلیک کردن اجرا شده و پنجره کوچک آن نمایان می‌شود. اما برای عده دیگر تنها صدای Error به گوش می‌رسد و پنجره ای باز نمی‌شود.

    منبع: Iran setup

  4. The Following 5 Users Say Thank You to Sajjad.Bezaatpoor For This Useful Post:


  5. #3
    کاربر متخصص
    تاریخ عضویت
    Nov 2008
    محل سکونت
    ı̴̴̡ ̡̡͡|̲̲̲͡͡͡ ̲▫̲͡ ̲̲̲͡͡π̲̲͡͡ ̲̲͡▫̲̲͡͡ ̲|̡̡̡ ̡ ̴̡ı̴
    نوشته ها
    3,500
    Thanks
    6,361
    Thanked 3,634 Times in 1,633 Posts

    پیش فرض

    آشنایی با ویروسQaz


    نام :Qaz
    نام مستعار : Worm.Qaz, Worm_Qaz, W95/Qaz.110549

    این ویروس یك كرم شبكه ای است و از طریق یكBackdoor خود را بر روی سیستم ازWin32 توسعه و انتشار می دهد. این كرم در بین ماه هایJuly و August سال 2000 پخش شد . حجم فایل اجرایی آن 120 كیلو بایت بوده و با زبان برنامه نویسی MS Visual C++ نوشته شده است . وقتی فایل آلوده اجرا می شود كرم یكStartup در رجیستری می سازد :
    HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/RunstartIE = "filename qazwsx.hsq"
    قسمتFilename اسم بدنه كرم می باشد (دیدن مادون كه معمولاNotepad.exe است ) و در نتیجه كرم روی هر ویندوزی در حالت Startup اجرا شود . سپس كرم به صورت برنامه اجرایی درRAM بارگذاری شده و خود را درTaskList مخفی می كند .
    این كرم دو عمل را با هم و موازی انجام می دهد . كه اولی پخش كردن خود و دومی اجرای Backdoor است .
    كار اول این كرم یعنی پخش شدن بر روی شبكه بدین صورت است كه كرم یك كپی از خود را بر رویLAN و بر روی درایو های به اشتراك گذاشته شده كه قابلیت خواندن و نوشتن دارند قرار می دهد . این كرم در شبكه به دنبال عبارت و رشتهWIN گشته و پس از پیدا كردن آن به دنبال فایلNotepad.exe بر روی شاخه ویندوز می گردد و اسم آن را بهNote.com تغییر می دهد و درون آن می نویسدNotepad.exe . در نتیجه این عمل می توانnotepad واقعی را در فایلNote.com پیدا كرد . كد های این كرم درNotepad.exeقرار دارند. این كرم به محض آنكه كاربر Notepad را باز كند ، فعال خواهد شد و بدین شكل ماشین را آلوده تر می كند .
    ساختار Backdoor آن روالی ساده دارد و آن از فرمان های كمی پشتیبانی می كند :Run ، برای اجرا كردن فایلهای از پیش تعیین شده .UPLOAD ، برای آپلود كردن فایلها (فایلهای ساختگی بر روی ماشین قربانی ) وQUIT ، برای خاتمه دادن به روال كرم به كار می رود .این كرم برای نصب و اجرای خود از همین سه فرمان استفاده می كند. همچنین این كرم به نویسنده خود خبر می دهد كه سیستم قربانی آلوده شده است .

  6. The Following 4 Users Say Thank You to Sajjad.Bezaatpoor For This Useful Post:


  7. #4
    کاربر متخصص
    تاریخ عضویت
    Nov 2008
    محل سکونت
    ı̴̴̡ ̡̡͡|̲̲̲͡͡͡ ̲▫̲͡ ̲̲̲͡͡π̲̲͡͡ ̲̲͡▫̲̲͡͡ ̲|̡̡̡ ̡ ̴̡ı̴
    نوشته ها
    3,500
    Thanks
    6,361
    Thanked 3,634 Times in 1,633 Posts

    پیش فرض

    آشنایی با ویروسSirCam




    اینویروس قابلیت پر كردن فضای هارد دیسك كاربران را دارد.حذف فایلها و توزیع اسناد خصوصی و همچنین مخفی ماندن از دید برنامه های عادی ویروس یاب در اینترنت از ویژگی های دیگر آن است و با استفاده از كتابچه آدرس هایMicrosoft Outlook در اینترنت انتشار می یابد.
    مركز تحقیقات ضد ویروس شركت سیمانتك (SARC) این ویروس را كهSircam نام دارد از نظر ایجاد خطر در رده چهارم قرار داده است. گروه واكنش های اضطراری ضد ویروس شركت مك آفی( AVERT) و مركز اطلاعات ویروس ترند مایكرو خطر این ویروس را متوسط خواندند .Sircam در فهرست ویروس های خطرناك مركز جهانی ردیابی ویروس ترند ، مقام سوم را به خود اختصاص داده است .
    این ویروس معمولاً به صورت ضمیمه نامه الكترونیكی به نامSircam از راه می رسد و خطرات آن درجات متفاوتی دارد كه به صورت تصادفی به وقوع می پیوندند . ممكن است یك كاربر حامل ویروس باشد اما هرگز آلوده نشود . استیوتر یلینگ مدیر مركز تحقیقاتSARC اظهار داشت :

    وقتی این ویروس را فعال كنید . سه اتفاق عجیب و غیر عادی رخ می دهد . این ویروس در وهله اول یك عدد تصادفی را محاسبه می كند كه به احتمال 1 به 33 با هر بار راه اندازی سیستم با افزودن متن به یك فایل سیستمی در داخلRecycle Bin (C: recycledsircam.sys) تمام فضای باقیمانده روی هارد دیسك را پر می كند .


    در مرحله بعدی ویروس تاریخ سیستم را كنترل می كند و اگر تاریخ شانزدهم اكتبر باشد سیستم عامل ویندوز از یك قالب اروپایی برای تاریخ استفاده می كند (سال / ماه / روز) آن وقت دوباره یك عدد تصادفی تولید كرده كه به احتمال 1 به 20 دستگاه را وادار به حذف تمام فایلها در هارد دیسك می كند و بالاخره این ویروس یك سند تصادفی را از هارد دیسك كاربر استخراج كرده و با اضافه كردن آن به بدنه این ویروس منتشر شده و هارد دیسك سایر كاربران را آلوده می كند. اگر سند محرمانه باشد امنیت اطلاعات خصوصی و شخصی نیز به خطر می افتد .

    تریلینگ می گوید كه مشخصه غیر عادی دیگر این ویروس این است كه وقتی یك فایل را از هارد دیسك برای ارسال به سایر كاربران منتقل(Upload) می كند به نام فایل پسوندexe ., bat., cam., link را می افزاید اگر فایل مورد نظر پسوندlink یا .bat داشته باشد ویروس اساساً خود را خنثی می كند و دیگر نمی تواند به درستی عمل كند . ویروسSircam خود را درRecycle Bin ویندوز مایكروسافت مخفی می كند، چرا كه اكثر ویروس یاب ها آن را برای ردیابی ویروس اسكن نمی كنند. این ویروس یك كرم كامپیوتری نیز هست و از طریق دفترچه آدرس Microsoft Outlook كاربر و كپی كردن خود به تمام درایوهای اشتراكی كه می یابد منتشر می شود. نامه الكترونیكی ارسال شده به زبان انگلیسی یا به زبان اسپانیایی است و اگر چه متن پیام متفاوت است اما بیشتر به یكی از اشكال زیر ظاهر می شود:

    Hi! How are you?

    I send you this file in order to have your advice

    I hope you can help me with this file that send

    I hope you like the file that I send to you

    This is the file with the information that you ask for

    See you later. Thanks

    آخرین ویروس شناخته شده ای كه از تاریخ خاص برای فعال شدن استفاده كرد ویروس چرنوبیل بود كه روز بیست و ششم آوریل 2000 سالگرد انفجار چرنوبیل در روسیه فعال شد. این ویروس نیز ماهها قبل از تاریخ فعال شدن (اوت 1999) شیوع یافت و بدین ترتیب قبل از حمله به كاربران فرصت كافی داد تا سیستم خود را از وجود این ویروس پاكسازی كنند.

  8. The Following User Says Thank You to Sajjad.Bezaatpoor For This Useful Post:


  9. #5
    کاربر متخصص
    تاریخ عضویت
    Nov 2008
    محل سکونت
    ı̴̴̡ ̡̡͡|̲̲̲͡͡͡ ̲▫̲͡ ̲̲̲͡͡π̲̲͡͡ ̲̲͡▫̲̲͡͡ ̲|̡̡̡ ̡ ̴̡ı̴
    نوشته ها
    3,500
    Thanks
    6,361
    Thanked 3,634 Times in 1,633 Posts

    پیش فرض

    آشنایی با ویروسPrune

    نام :Pruneنام مستعار :Iraq Crisis, UN_Interview

    این كرم با زبان Visual Basic Script نوشته شده است كه شیوه پراكندگی و انتشار آن از راه آلوده كردهEmail وMIRC و
    پوشههایبهاشتراكگذاشتهشدهد رشبكهاست .
    بدنه اصلی این كرم خود را با نام UN_Interview.txt.vbs در شاخهC:/Windows كپی می كند و بعد این كرم به 3 روال
    شروع به پخش می كند ( مثلا به وسیله میل وMIRC و شبكه بواسطه پیروی كردن ازPayload)
    انتشار از طریق ایمیل :

    كرم ازMS Outlook و آردس های موجود در كتاب آردس این برنامه برای انتشار خود استفاده می كند .
    یك میل آلوده مثل مثال زیر می باشد :

    Subject: US Goverment Material - Iraq Crisis Body: <empty> Attachment: UN_Interview.txt.vbsهنگامی كه فرستادن میل ها تمام شد كرم شروع به پاك كردن میل های فرستاده شده می ازmailbox قربانی می كند .آلودگی از طریقMIRC : كرمPrune كوشش می كند تا خود را از طریقMirc و با بررسی حضور فایلMire.ini در شاخهc:/Mirc خود را وسعت می دهد.اگر این شاخه را پیدا كرد سعی می كند كه فایلUn_Interview.txt.vbs را در هنگام كه افراد به اینترنت متصل می شوند بفرستد.آلودگی به وسیله شبكه : كرمPrune شروع به اسكن كردن رنج های IP می كند و درایو های به اشتراك گذاشته شده در آنها را جستجو می كند .این كرم سعی می كند تا خود را در شاخهStaratup ویندوز ، با نامUn_Interview.txt.vbs كپی می كند . كرم شروع به درست كردن فایلHCKD.txt كرده و نتیجه بررسی رنجIP ها را در آنSave كند .IP ویژه ای كه این كرم استفاده می كندمتعلق به دانشگاهWashington است .زمانبارگذاری هنگامی كه سیستم در اول هر ماه روشن شود ، كرم خود را به 39 فایل درc:/Unzipped وC:/Windows/Desktop و با نامهای مختلف از جمله موارد زیر كپی و اضافه می كند:C:/UNZIPPED/DAMN_SOURCE.MPEG C:/WINDOWS/DESKTOP/CUNT-EAT-CUM.MP3 C:/WINDOWS/DESKTOP/www.***-MOVIES2.MPEG etc.و بعدا این پیغام را با متن زیر نمایش میدهد :
    در هنگامی كه روز 1 یا 2 یا 3 یا 4 یا 5 از هر ماه باشد كرمPrune سعی می كند تا فایلهایی را كه ویندوز از آنجا نصب شده است و شاخه سیستم موجود در شاخه ویندوزرا پاك كند . در هنگامی كه تاریخ سیستم به پنجم هر ماه می رسد این پیغام نمایش داده می شود :
    ویرایش توسط PEYMAN.HEDAYATI : 2010-11-12 در ساعت 19:17

  10. The Following 2 Users Say Thank You to Sajjad.Bezaatpoor For This Useful Post:


  11. #6
    کاربر متخصص
    تاریخ عضویت
    Nov 2008
    محل سکونت
    ı̴̴̡ ̡̡͡|̲̲̲͡͡͡ ̲▫̲͡ ̲̲̲͡͡π̲̲͡͡ ̲̲͡▫̲̲͡͡ ̲|̡̡̡ ̡ ̴̡ı̴
    نوشته ها
    3,500
    Thanks
    6,361
    Thanked 3,634 Times in 1,633 Posts

    پیش فرض

    آشنایی با ویروس Nmida . E




    یك كارشناس ضد ویروس اعلام كرد كه گونه جدید كرم Nimda به تدریج از منطقه آسیای شرقی در حال انتشار است . این گونه جدید كه Nmida . E نامیده می شود . به همان شیوه كرم Nimda اصلی منتشر می شود اما فایل های آن مشابه فایل های ویندوز موجود تغییر نام داده می شوند .
    آنتونی كو مدیر فنی شركت Trend Micro كه یك شركت تهیه نرم افزار های ضد ویروس است ، اعلام كرد :




    اولین گزارش دریافتی در مورد این كرم از كره جنوبی و كمی بعد از آن از آمریكا و استرلیا دریافت شد. تا كنون بیش از 2700 مورد از آلودگی گزارش شده است شركت Trend Micro با استفاده از خطوط پشتیبانی خود در آسیا و ویروس یاب On-Line و رایگان خود این كرم را از لحاظ رتبه بندی دومین ویروس آلوده كننده فعال در منطقه اعلام كرد.
    به هر حال از آنجایی كه Nmida . E در شمار ده ویروس عمده آلوده كننده در سایر مناطق دنیا قرار ندارد ، می توان مطمئن شد كه هنوز این كرم به صورت گسترده انتشار نیافته است.




    وینسنت گولوتو مدیر تحقیقات یك تیم ضد ویروس گفت :


    من فكر نمی كنم كه این ویروس خیلی مخرب باشد . اگر مردم همان میزان احتیاطی را كه در مورد گونه های قبلی به خرج می دادند ، در این مورد نیز رعایت كنند با مشكلی روبرو نخواهند شد.
    گزارشهای ارسالی حاكی از این امر است كه تنها كامپیوتر هایی در معرض آلودگی به این ویروس قرار دارند كه قبلاً نسبت به كرم قبلی كه حدود 160 هزار میزبان را آلوده كرده ، ایمن نشده اند . این كرم همانند مادرش (NMIDA) می تواند كامپیوتر های شخصی و سرورها را به 4 روش آلوده كند:
    • از طریق یك پیوست پست الكترونیكی

    • نفوذ در سرور ها ی آسیب پذیر كه نرم افزار IIS مایكروسافت را اجرا می كنند

    • از طریق هارد دیسك های به اشتراك گذاشته شده

    • با فریب دادن مرورگرها برای انتقال كرمها از سرور های آلوده


    به نظر می آید كه تا كنون روش اول (پست الكترونیكی) موثرترین روش در گسترش آلودگی این كرم جدید بوده است . Nmida و Nmida .E آدرس های پست الكترونیكی را از رابطه های MAPI (رابطه نرم افزار های پیام رسان) شامل Outlook مایكروسافت و Outlook Express می گیرند . Nimda . E برای ارسال پیغام ها جهت پر كردن فیلد های فرستنده (SENDER) و گیرنده (RECIPIENT) از این آدرس های پست الكترونیك استفاده می كند .
    آدرس صفحات وبی كه در پوشه Cache مرورگر ذخیره می شوند نیز مورد استفاده این كرم قرار می گیرند. نامه هایی كه از كامپیوتر های آلوده ارسال می شوند از طریق افرادی كه آدرسهای آنها توسط Nmida شناسایی شده اند ، فرستاده می شود .

    فایل هایی كه Namida . E برای آلوده كردن كامپیوترها استفاده می كند با اسامی دیگری نام گذاری می شوند . مثلاً فایلی كه برای آلوده كردن هارد دیسك های به اشتراك گذاشته شده در شبكه به كار می رود " Crss.exe " نام دارد . در حالی كه كرم اصلی ( nmida ) برای این منظور از فایل “ mmr.exe” استفاده می كرد. این كرم زمانی كه از طریق پست الكترونیكی منتشر می شود از نام “Sample.exe” استفاده می كند در حالی كه نام اصلی آن “redme.exe” است .
    نهایتاً اینكه فایلی كه بر روی سرور آلوده قرار می گیرد . “ httpodbc.dll ” نام دارد . در حالی كه كرم اصلی NMIDA نامش را از فایل “admin.dll” گرفته است .( توجه داشته باشید كه nimda معكوس كلمه admin اختصار كلمات System Administrator به معنی مدیر شبكه است .

  12. The Following 3 Users Say Thank You to Sajjad.Bezaatpoor For This Useful Post:


  13. #7
    کاربر متخصص
    تاریخ عضویت
    Nov 2008
    محل سکونت
    ı̴̴̡ ̡̡͡|̲̲̲͡͡͡ ̲▫̲͡ ̲̲̲͡͡π̲̲͡͡ ̲̲͡▫̲̲͡͡ ̲|̡̡̡ ̡ ̴̡ı̴
    نوشته ها
    3,500
    Thanks
    6,361
    Thanked 3,634 Times in 1,633 Posts

    پیش فرض

    آشنایی با ویروس Neroma


    نام : Neroma


    نام مستعار : Nearby, I- Worm.Nearby , Win32/Neroma.worm.5632
    Nearby یك كرم ساده ایمیل است كه با زبان برنامه نویسی Visual Basic نوشته شده است .

    كرم معمولاً ضمیمه های زیر را به ایمیل وارد می كند :
    Subject:

    It's Near 911!

    Body:

    Nice butt baby!

    Attachment:

    nerosys.exe


    بعضی از سایت ها می توانند اسم و آیكون فایل را در حالت exe نشان دهند و از این رو كاربران در می یابند كه این فایل آلوده به ویروس است .
    این ویروس پس از اجرا خود را نصب كرده و در پوشه ویندوز كپی می كند . سپس روی فایل System.ini تغییراتی ایجاد می كند تا فایل همیشه با شروع ویندوز اجرا شود .

    كرم خود را به Outlook می رساند و خود را به تمامی آدرسهای ایمیل واقع در آنجا ارسال می كند .

    كرم همه فایلهای موجود در شاخه ویندوز را در تاریخ های 1 . 4. 8 .12 .16 .20 .24 .28 ماه پاك می كند.

    این كرم در 5 ماه September سال 2003 شروع به فعالیت كرد .
    نوع B

    تنها تغییری كه با A دارد این است كه سر تاریخ های 1 و 9 و 11 دست به پاك كردن فایلهای در شاخه ویندوز می زند.

  14. The Following 2 Users Say Thank You to Sajjad.Bezaatpoor For This Useful Post:


  15. #8
    کاربر متخصص
    تاریخ عضویت
    Nov 2008
    محل سکونت
    ı̴̴̡ ̡̡͡|̲̲̲͡͡͡ ̲▫̲͡ ̲̲̲͡͡π̲̲͡͡ ̲̲͡▫̲̲͡͡ ̲|̡̡̡ ̡ ̴̡ı̴
    نوشته ها
    3,500
    Thanks
    6,361
    Thanked 3,634 Times in 1,633 Posts

    پیش فرض

    آشنایی با ویروس NAKEDWIFE


    ویروس NakedWife به صورت ضمیمه به یك نامه الكترونیكی وارد كامپیوتر قربانی می شود و سپس با ظاهر شدن به صورت یك ویدیوی مرموز درباره همسر یك مرد ناشناس كاربران را وسوسه می كند تا آن را اجرا كنند. دامنه تخریب این ویروس بسیار وسیع است و ویروس چندین فایل سیستمی مهم را در كامپیوتر قربانیان خود حذف می كند .
    تعدادی از شركت های تولید كننده نرم افزار ضد ویروس به دلیل خسارتی كه ویروس NakedWife می تواند به بار آورد آن را به عنوان یك ویروس خیلی خطرناك درجه بندی كرده اند. این ویروس به محض آلوده كردن تمام فایل های ,BMP ,COM ,DLL ,EXE ,INI و همچنین تمام فایل های موجود در پوشه های WINDOWS و WINDOWS/SYSTEM را حذف می كند، با فرض اینكه ویندوز در پوشه WINDOWS نصب شده باشد . NakedWife یك ویروس جدید از نوع VBS Worm است كه به سرعت از طریق پست الكترونیكی منتشر می شود این ویروس كه نام مستعار آن Jib Jab است فایل های مهم را از پوشه های نامبرده حذف می كند . ویروس NakedWife با مشخصات زیر از طریق یك نامه الكترونیكی به كامپیوتر شما راه می یابد:
    موضوع نامه :



    FW : Naked Wife
    بدنه نامه :


    (My wife never look like that :)

    best regards,
    (نام فرستنده)


    نام ضمیمه :



    NakedWife.exe

    اگر كاربر این ضمیمه را باز كند ویروس خود را به صورت نامه الكترونیكی به تمام آدرسهای موجود در كتابآدرس Outlook ارسال می كند. این ویروس همچنین یك پنجره Flash را بار گذاری می كند كه در آن پیغام JibJab Loading را به نمایش می گذارد سپس فایل هایی كه دارای پسوند های BMP ,COM ,DLL ,EXE ,INI هستند را حذف می كند: در مرحله بعدی ویروس پیغام زیر را به نمایش می گذارد :


    you're now f**** D!c2001 by BGK (Bill Gates Killer)

    برای متوقف كردن این ویروس به نكات زیر توجه كنید:
    • Outlook Security Patch متعلق به شركت مایكروسافت را Download كنید.

    • ضمیمه ها را باز نكنید.

    • همیشه گوش به زنگ باشید.

    • از كامپیوتر خود محافظت كنید.

    • سیستم خود را به طور منظم اسكن كنید.

    • نرم افزار ضد ویروس خود را به روز برسانید.



    با توجه به اینكه این ویروس خود را به صورت یك فیلم Micromedia Flash نشان می دهد، منحصر بفرد می باشد. اگر كاربری فریب خورده و ضمیمه را باز كند یك پنجره باز می شود و به نظر می رسد كه یك فیلم Flash در حال بارگذاری است. پنجره شامل چند لوگو از Jibjab.com است كه یك شركت تولید كننده تصاویر Flash در نیویورك است این شركت اظهار داشته است كه هیچ ارتباطی با این ویروس ندارد.

    كاربرانی كه با اشتیاق منتظر بارگذاری فیلم می مانند ناامید خواهند شد چون چنین چیزی اتفاق نمی افتد اگر یك قربانی از گزینه HELP/ABOUT در آن پنجره استفاده كند یك پیغام آزار دهنده با این مضمون ظاهر می شود:

    you're now f**** D!c2001 by BGK (Bill Gates Killer)

    به اعتقاد پت نولان یكی از پژوهشگران مركز McAfee این ویروس یك ویروس موذی است . چون ضمیمه آن با یك آیكون Shockwave Flash كه به نظر واقعی می آید همراه است.
    اما خبر خوب این است كه گرچه فایل های مهم سیستم های آلوده به این ویروس حذف می شوند و ویروس كامپیوتر را در عمل از كار می افزاید ولی هیچ یك از داده های كاربران نابود نمی شود و فایلها قابل بازیابی هستند.

  16. The Following 2 Users Say Thank You to Sajjad.Bezaatpoor For This Useful Post:


  17. #9
    کاربر متخصص
    تاریخ عضویت
    Nov 2008
    محل سکونت
    ı̴̴̡ ̡̡͡|̲̲̲͡͡͡ ̲▫̲͡ ̲̲̲͡͡π̲̲͡͡ ̲̲͡▫̲̲͡͡ ̲|̡̡̡ ̡ ̴̡ı̴
    نوشته ها
    3,500
    Thanks
    6,361
    Thanked 3,634 Times in 1,633 Posts

    پیش فرض

    آشنایی با ویروس

    Kickin
    نام كرم :Kickin

    نام مستعار :I-Worm.Cydog.c, W32/Cydog.D, W32/Kickin@MM, Cydog.D, W32/Kickin.A@mm این كرم كه به نامKickin معروف است درTH7May سال 2003 كشف شد.این كرم دارای حجم 109056 بایتی بوده و بوسیله سیستمUPX فشرده شده است .Kickin خیلی شبیه كرمCydog بوده و می توان گفت كه نسخه دوباره نویسی شده در زبانVisual C كرم Cydog است. این كرم می تواند از طریق ایمیل در سرور هایIRC و P2P و شبكهKazaa و Edenkey و Beashare و Morpheus توسعه یافته و منتشر شود.

    آلوده كردن سیستم :

    وقتی كرم اجرا می شود ، خود را در دایركتوری ویندوز به نام Cyberwolf.exe با قابلیت مخفی فایل و شهرت فایل ذخیره می كند و یك نسخه از خود را نیز در شاخه سیستم ویندوز و با نام های زیر كپی می كند :

    mapi32.drvformat.comSARS-Guide.scrMsnMsgs.exeSetup.exeVirtual Joke.scrSaddam-the real pics.scrChristina Aguilera-The most beautiful girl on earth.scrSoccer Database.exeOutWar Demo.exeLove.scrLast Summer.scrHotmail Hacker.exeFixSql.comQ30215HOTFIX.pifApi Hooking-Tutorial.exeKernel32.exeMagical-Screensaver.scr
    این كرم وِژگی مخفی به فایل ها می دهد و هر وقت كه فایلی با پسوندExe اجرا می شود فایل Kernel32.exe باز خوانی می شود . برای انجام این كار كدی همانند زیر به رجیستری می افزاید :
    [HKCR/exefile/shell/open/command] @ = "%winsysdir%/Kernel32.exe"%1"%*""
    در ضمن كرم دو كلیدstart up برای خود و به شرح زیر می سازد:
    [HKLM/Software/Microsoft/Windows/CurrentVersion/Run] "CyberWolf" = "%windir%/CyberWolf.exe" "Windows Kernel" = "%winsysdir%/Kernel32.exe"
    %Windir محل نصب ویندوز (شاخه ویندوز) و%Winsysdir محل شاخه سیستم است و این كد ها با هر بار اجرای ویندوز و به علت راه اندازی مجدد رجیستری باعث فعال شدن كرم می شوند
    انتشار از طریق ایمیل :

    این كرم آدرس های مورد نظر خود را از طریق كتاب آردس ایمیل های سیستم یا كتاب آردس یاهو مسنجر وMSN و مسنجر.NET ، آدرس بوكICQ یا آردس های وارد شده در صفحات HTML و EML یافته و خود را به آن آردس ها كپی می كند.

    این كرم دارای لیستی ازSMTP های مختلفی است كه سعی می كند تا دذر صورت غیر فعال بودن سیستم SMTP قربانی از آنها استفاده كند . كرم می تواند خود را با Subject ها و Body های مختلفارسال كند. اسم فایل ضمیمه ویروس نیز متغییر است .


    آلوده سازی درP2P شبكه Peer-To-Peer :

    این كرم توانایی پخش و آلوده سازی بر روی شبكه هایP2P را دارد و سعی می كند پوشه های به اشتراك گذاشته شده توسطKazza و Edonkey و Bearchare و Marpheus را پیدا كند و خود را با نام های زیر در آنجا كپی كند .

    Virus Creation ToolKit-VX v7.1_create virii with thistool,Klez.H and Sircam has been created with version 6.exeWebAttack-DoS Tool.exeFTP Cracker-2003(Crack the password of ANY FTP server with this tool!).exeYahoo Remote Password Cracker Deluxe 2003.exeAIM Remote Password Cracker.exeHotmail Exploiter 2003.exeXNuker 2003.exeUltimate HackProg.exeMsn Messenger Remote Password Cracker 2003.exeNetbios hacker.exeChaos Ip Spoof 2003.exe زماناجرا

    این كرم پیغام اخطاری را به شركت های آنتی ویروس می فرستد :From:

    twistmaster13@hotmail.com
    Subject:
    Hi,i'm 100% sure i'm infected!
    Body:
    mmm...if you received this mail,then someone has been infected with W32.CyberWolf.B@mm => a new massmailer worm. For every infection this worm does,you'll receive an email like this. It has never been my intention to cause your mailbox any harm,nor mailbomb it. Its just so that you can have a quite accurate view on how many infections..because most of the times,Av companies are miles away from the real number...
    این كرم به ساعت ویندوز وابسته بوده و می تواند فایلی با نام Cyberwolf.txt یا Windows.l0g را در شاخه ویندوز درست كند كه متن پیغام نویسنده آن است . سپس كرم می تواند Internet Brower را در زمان های خاصی باز كرده و به سایتهای زیر برود : http://www.brain-hack.comwww.indians...erfuntime/در ضمن كرم می تواند فایلهای وابسته آنتی ویروس را كه لیست آنها در زیر آمده را پاك كند و از بین ببرد :NETSERVICES COMMAND SYSHELP RAVMOND WINRPC WINHELP WINGATE NPROTECT CLEANER WINDRIVER TASKMGR MSCONFIG REGEDIT ANTI-TROJAN BLACKICE ZONEALARM LOCKDOWNADVANCED NVC95 FP-WIN IOMON98 PCCWIN98 F-PROT F-STOPW IAMSERV.EXE NAVWNT NAVRUNR NAVLU32 NAVAPSVC VSMON.EXE SYMPROXYSVC RESCUE32 NISSERV VSECOMR VETTRAY TDS2-NT CCAPP.EXE SCAN32 PCFWALLICON NSCHED32 SPHINX.EXE FRW.EXE MCAFEE ATRACK PVIEW.EXE LUCOMSERVER LUALL.EXE NMAIN.EXE NAVW32 NAVAPW32 VSSTAT VSHWIN32 AVSYNMGR AVCONSOL WEBTRAP POP3TRAP PCCMAIN PCCIOMON ESAFE.EXE AVPM.EXE AVPCC.EXE AMON.EXE ALERTSVC ZAPRO.EXE AVP32 LOCKDOWN2000 AVP.EXE CFINET32 CFINET ICMON SAFEWEB WEBSCANX IAMAPP

  18. The Following 2 Users Say Thank You to Sajjad.Bezaatpoor For This Useful Post:


  19. #10
    کاربر متخصص
    تاریخ عضویت
    Nov 2008
    محل سکونت
    ı̴̴̡ ̡̡͡|̲̲̲͡͡͡ ̲▫̲͡ ̲̲̲͡͡π̲̲͡͡ ̲̲͡▫̲̲͡͡ ̲|̡̡̡ ̡ ̴̡ı̴
    نوشته ها
    3,500
    Thanks
    6,361
    Thanked 3,634 Times in 1,633 Posts

    پیش فرض

    آشنایی با ویروسJs/Fela



    Js/Fela كرمی است كه به آهستگی در ایمیل ها پخش می شود . و به كار افتادن آن از طریق ایمیل هایی با غالبHTML صورت می گیرد.
    همین طور برای مخفی كردن خود و برای آنالیز عمقی بیشتر دارای چند لایه است . این كرم ابتدا از آسیا و اروپا رشد پیدا كرد و پخش شد و وجود آن اولین بار در این مناطق گزارش شد . جزییات :

    Fela در هنگامی كه میل آلوده باز می شود فعال می گردد . در این نقطه كرم خود را به سایت Spain متصل كرده و بصورت مخفی كدی را كه درJavaScript موجود در سایت وجود دارد دانلود می كند . این كدJS اسكریپت دیگری درVBS را اجرا می كند . این كد بدنه كرم است كه از طریق VBS تغییراتی درInternet Explorer می دهد. مثلاًURL های كه در آدرس بارInternet Explorer تایپ می شوند بدون پروتكل مخصوص پیشوندی(HTTP://) حساب می كند و این یكی از دستورات این كرم است كه به سبب آن سیستم دوباره آلوده خواهد شد .

    كرم تلاش می كند تا دكمه هایی با نام هایSearch , AntiVirus , Pills , Security را به اینترنت اكسپلورر كه اضافه كند. اگر هر كدام از این دكمه ها را فشار دهید دوباره به كرم آلوده می شوید .
    كرم دو فایل را در شاخه ویندوز كپی می كند(C**** وC****.HTM ) و به جای * تاریخ جاری را قرار می دهد. اولین فایل برای لود از رجیستری ساخته شده است و دومین فایل شامل امضا واقعی است كه توسط خود كرم استفاده می شود .

  20. The Following 2 Users Say Thank You to Sajjad.Bezaatpoor For This Useful Post:


  21. #11
    کاربر متخصص
    تاریخ عضویت
    Nov 2008
    محل سکونت
    ı̴̴̡ ̡̡͡|̲̲̲͡͡͡ ̲▫̲͡ ̲̲̲͡͡π̲̲͡͡ ̲̲͡▫̲̲͡͡ ̲|̡̡̡ ̡ ̴̡ı̴
    نوشته ها
    3,500
    Thanks
    6,361
    Thanked 3,634 Times in 1,633 Posts

    پیش فرض

    آشنایی با ویروس NetSke.B

    مشاهدات اولیه


    به دلیل گزارشات متعدد از آلودگی به ویروس جدید NetSky.b ، درجه خطر این ویروس از ابتدا «متوسط» تعیین شده است.

    ویروس NetSky.b از طریق ارسال پیام‌های الكترونیكی آلوده و ایجاد فایل‌های آلوده بر روی دیسك‌های سخت C: تا Z: انتشار می‌یابد.

    ویروس NetSky.b همچنین سعی می‌كند تا در صورت آلوده بودن كامپیوتر به ویروس MyDoom (هر دو گونه)، آن را حذف و كامپیوتر را پاكسازی نماید.
    طریق انتشار ویروس

    انتشار از طریق پیام‌های الكترونیكی


    پیام‌های الكترونیكی آلوده به ویروس NetSky.b دارای موضوع‌ها ( subject ) و محتوای متغیر و مختلف هستند.

    فایل پیوست ( attachment ) آلوده نیز دارای نام‌های مختلف است. فایل‌ پیوست اغلب دارای دو پسوند بوده ولی در موارد محدودی نیز به صورت فایل ZIP مشاهده شده است.

    ویروس اقدام به جمع‌آوری نشانی‌های الكترونیكی از داخل فایل‌های موجود بر روی كامپیوتر آلوده نموده و سپس پیام‌های آلوده مشابهی به این نشانی‌ها ارسال می‌كند.
    انتشار از طریق شبكه‌ها


    ویروس فایل‌های آلوده متعددی با نام‌های مختلف در شاخه‌هایی كه نام آنها حاوی كلمه share و یا sharing باشند، بر روی تمام دیسك‌های قابل دسترسی (از C: تا Z: ) ایجاد می‌كند. اغلب این فایل‌ها دارای دو پسوند هستند. همچنین ویروس NetSky.b فایل‌های متعددی با نام‌های متغیر و پسوند ZIP در شاخه‌های مختلف بر روی این دیسك‌ها ایجاد می‌كند.
    عملكرد ویروس


    با اجرای فایل آلوده به ویروس و فعال شدن آن، پیام‌ دروغینی حاوی عبارت The File could not be openedl به نمایش درمی‌آید.

    همچنین فایلی با نام services.exe در شاخه Windows ایجاد می‌گردد و Registry نیز به نحوی تغییر داده می‌شود تا در هر بار راه‌اندازی كامپیوتر، ویروس مجددا فعال گردد.
    پاكسازی ویروس MyDoom


    ویروس NetSky.b با حدف فرامین زیر از Registry سعی در غیرفعال ساختن ویروس MyDoom می‌نماید.

    * HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Taskmon

    * HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Explorer

    * HKY_CLASSES_ROOT/CLSID/{E6FB5E20_DE35_11CF_9C87_00AA005127ED}/inprocServer32

    شناسایی و پاكسازی

    مشتركین نرم‌افزارهای ضدویروس Mcafee برای شناسایی و پاكسازی ویروس NetSky.b باید از فایل‌های به‌روزرسانی جدید DAT 4325 استفاده كنند و در صورت نیاز به شناسایی فوری این ویروس، می‌توان از فایل EXTRA.DAT و یا superEXTRA.EXE نیز استفاده كرد.

    فایل‌های فوق بر روی سایت شبكه‌گستر به‌نامWWW.Z_VIRUS.COM در صفحه اصلی قابل دسترسی هستند.

    اجرای فایل superEXTRA.EXE باعث نصب خودكار فایل EXTRA.DAT در محل مناسب بر روی كامپیوتر می‌شود.
    برای استفاده از فایل EXTRA.DAT باید این فایل را در همان شاخه‌ای ( Folder ) قرار داد كه دیگر فایل‌های DAT . (مانند SCAN.DAT ) وجود دارند برای پیدا كردن این شاخه‌، می‌توانید از دستور Find استفاده كرده و به دنبال فایل SCAN.DAT جست‌وجو كنید. سپس با مشخص شدن شاخه مورد نظر، فایل EXTRA.DAT را در آن شاخه كپی نمایید.
    به نقل از Z_VIRUS.COM

  22. The Following 2 Users Say Thank You to Sajjad.Bezaatpoor For This Useful Post:


  23. #12
    کاربر متخصص
    تاریخ عضویت
    Nov 2008
    محل سکونت
    ı̴̴̡ ̡̡͡|̲̲̲͡͡͡ ̲▫̲͡ ̲̲̲͡͡π̲̲͡͡ ̲̲͡▫̲̲͡͡ ̲|̡̡̡ ̡ ̴̡ı̴
    نوشته ها
    3,500
    Thanks
    6,361
    Thanked 3,634 Times in 1,633 Posts

    پیش فرض

    آشنایی با ویروس Dumara


    نام : Dumara

    نام مستعار : W32.Dumaru@mm

    این كرم در تاریخ نوزدهم ماه August سال 2003 شناسایی شد.

    جزییات فنی :


    این كرم با یك نسخه از UPX فشرده شده و حجم آن د رحالت غیر فشرده 20480 بایت می باشد . وقتی برای اولین بار كرم اجرا می شود ، خود را در محل هایی از سیستم ، از جمله درون شاخه سیستم و با نام LOAD32.exe ذخیره كند و شاخه زیر را در رجیستری اضافه می كند :

    'HKLM/Software/Microsoft/Windows/CurrentVersion/Run/load32'

    كپی دیگر از كرم در شاخه ویندوز قرار می گیرد و به نام Dllreg.exe است و در فایل Win.ini نیز تغییری همانند عبارت زیر را می دهد :
    [windows] Run=dllreg.exe
    كپی سوم در شاخه سیستم و با نام Vxdmgr32.exe ذخیره می شود كه در فایل System.ini تغییر زیر را اعمال می كند:
    [Boot] Shell=explorer vxdmgr32.exe
    گسترش از طریق ایمیل :


    Dumara یك SMTP پیش فرض برای خود دارد كه برای ارسال ایمیل هایی با ضمیمه های آلوده به كرم از آن استفاده می كند . كرم در سیستم قربانی و در فایلهایی كه پسوند آنها در زیر نشان داده شده است ، به دنبال آدرس های ایمیل گشته و خود را به آن آدرس ها ارسال می كند :
    .htm .wab .html .dbx .tbb .abd
    Dumara از سرویس SMTP استفاده می كند . متن پیغام میل آلوده در آن شكل زیر است :
    From: "Microsoft" <security@microsoft.com> Subject: Use this patch immediately ! Dear friend , use this Internet Explorer patch now! There are dangerous virus in the Internet now! More than 500.000 already infected! Attachment: patch.exe
    كرم آدرس ایمیل های را كه گرد آوری كرده است در فایلی به نام Winload.log و در شاخه ویندوز ذخیره می كند .

  24. The Following 2 Users Say Thank You to Sajjad.Bezaatpoor For This Useful Post:


  25. #13
    کاربر متخصص
    تاریخ عضویت
    Nov 2008
    محل سکونت
    ı̴̴̡ ̡̡͡|̲̲̲͡͡͡ ̲▫̲͡ ̲̲̲͡͡π̲̲͡͡ ̲̲͡▫̲̲͡͡ ̲|̡̡̡ ̡ ̴̡ı̴
    نوشته ها
    3,500
    Thanks
    6,361
    Thanked 3,634 Times in 1,633 Posts

    پیش فرض

    آشنایی با ویروس Sasser و راه مقابله با آن




    كرم اینترنتی Sasser از بعداز ظهر پنج شنبه 10 اردیبهشت رایانه هایی را كه با سیستم عاملهای مایكروسافت كار می كنند هدف حملات خود قرار داده است. این كرم با خصوصیات شبیه Blaster از طریق ایمیل منتشر نشده و هیچ نیازی به دخالت و اقدام كاربر جهت گسترش خود ندارد بلكه با پیدا كردن منافذ امنیتی ویندوز و ارسال فرمان به كامپیوتر قربانی آن را وادار به داونلود و اجرای فایل آلوده به ویروس می نماید. بدون آنكه كاربر كوچكترین آگاهی از این عمل داشته باشد.
    شیوع كرم یاد شده در حالی انجام می گردد كه متخصصین مایكروسافت در روزهای گذشته هشدارهای جدی درباره ظهور ویروس های جدید داده اند. نقطه ضعفی كه Sasser از آن برای نفوذ به سیستم قربانی استفاده می نماید تحت اصلاحیه MS-04-011 اعلام و فایل های مورد نیاز جهت اصلاح این نقص در انواع ویندوز ها از سوی مایكروسافت عرضه شده است.
    گونه هایی از كرم مزبور كه تاكنون شناخته شده اند سیستم هایی را كه با ویندوز 2000 و XP و Server 2003 كار می كنند مورد حمله قرار داده و با ویندوزهای 98 و Me و NT كاری ندارند.
    لازم به ذكر است تا به حال دو نوع A و B از آن منتشر گردیده است.
    ویروس یاد شده پس از شروع فعالیت فایل AVSERVE.EXE را در نوع A و فایل AVSERVE2.EXE را در نوع B خود در شاخه ویندوز و یك تعداد فایل در شاخه Windows/system و یا Windows/system32 كپی می نمایدكه نام این فایلها به صورت xxxxx_up.exe است كه xxxxx یك عدد 5 رقمی تصادفی می باشد.
    همچنین این ویروس تغییراتی نیز در رجیستری قربانی اجرا می نماید و فایل LSASS.EXE (كه از اجزای اصلی ویندوز است) را crash نموده باعث نمایش پیغام خطایی درباره L‌SA Shell می شود. بعضا سیستم به خودی خود shut down یا restart می شود. كاربران از این اخطار به عنوان اخطار Don't Send یاد می كنند.
    پنجره ای كه توسط این اخطار ظاهر می گردد به صورت زیر می باشد.





    Remover ارائه شده توسط Symantec :

    Norton جهت چك كردن سیستمها و پاكسازی آنها برنامه زیر را معرفی نموده است. آن را داونلود و سیستم خود را با اجرای آن چك نمایید. توجه نمایید این عمل به تنهایی كافی نبوده و شما حتماً به اصلاحیه های مایكروسافت نیاز دارید.


    http://securityresponse.symantec.com/avcenter/FxSasser.exe

    روش پاكسازی به صورت دستی :

    1- اینترنت را قطع نموده با كلیك راست بر روی My Computer و انتخاب properties در بالای صفحه System Restore را انتخاب و گزینه Turn Off System Restore را تیك زده سپس OK نمایید.


    2- كامپیوتر را Reboot نموده آن را در حالت Safe Mode راه اندازی نمایید.پس از آن كلید های Ctrl+Alt+Delete را بگیرید در پنجره باز شده گزینه Task Manager را انتخاب و در بالای صفحه وارد بخش Properties شوید. سرویس های AVSERVE.EXE و AVSERVE2.EXE و xxxxx_up.exe را انتخاب و در مورد هر كدام جداگانه كلید End Process را بزنید.


    3-فایل های زیر را توسط كلیدهای Shift+Del برای همیشه از سیستم خود پاك نمایید:


    c:/windows/avserve.exe
    c:/windows/avserve2.exe
    c:/windows/system/xxxxx_up.exe
    c:/windows/system32/xxxxx_up.exe

    4- گزینه Run را با كلیك كردن بر روی Start ویندوز انتخاب و دستور RegEdit را تایپ كرده و OK كنید.در شاخهHKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
    كلید های "avserve.exe"="%Windir%/avserve.exe" و "avserve2.exe"="%Windir%/avserve2.exe"
    را Delete نمایید.
    5- اكنون به اینترنت وصل شده Patch های مربوطه را داونلود و آن را Setup نمایید:

    اصلاحیه های مایكروسافت :


    بسته به نوع ویندوزتان چه به SASSER آلوده شده باشید و چه از حمله آن در امان مانده باشید باید هر چه سریعتر اقدام به داونلود Patch های زیر نموده و آنها را بر روی كامپوتر خود اجرا نمایید.


    Windows XP :http://download.microsoft.com/download/6/1/5/615a50e9-a508-4d67-b53c-3a43455761bf/WindowsXP-KB835732-x86-ENU.EXE

    Windows 2000 :http://download.microsoft.com/download/f/a/a/faa796aa-399d-437a-9284-c3536e9f2e6e/Windows2000-KB835732-x86-ENU.EXE

    همچنین مایكروسافت برای كلیه نسخه های ویندوز اقدام به ارائه یك اصلاحیه تحت عنوان Sasser Removal Tools نمود كه نحوه عمل آن اصلا شبیه یك Remover نیست. ولی به هر حال داونلود و اجرای آن نیز واجب است.

    http://download.microsoft.com/download/1/e/b/1eba8a6e-a22a-431f-9df4-a0cd2873e3c5/Windows-KB841720-ENU.exe


    برگرفته از سایت www.setarehsorkh.com

  26. The Following 3 Users Say Thank You to Sajjad.Bezaatpoor For This Useful Post:


  27. #14
    کاربر متخصص
    تاریخ عضویت
    Nov 2008
    محل سکونت
    ı̴̴̡ ̡̡͡|̲̲̲͡͡͡ ̲▫̲͡ ̲̲̲͡͡π̲̲͡͡ ̲̲͡▫̲̲͡͡ ̲|̡̡̡ ̡ ̴̡ı̴
    نوشته ها
    3,500
    Thanks
    6,361
    Thanked 3,634 Times in 1,633 Posts

    پیش فرض

    آشنایی با ویروس Code Red


    طبق گزارش مسوولان مركز هماهنگی CERT كرم شروری به نام كد قرمز (Code Red) از نقطه ضعف سر ریز شدن بافر در برخی از پیكربندیهای سیستم عامل ویندوز NT و ویندوز 2000 شركت مایكروسافت استفاده كرده و به سرعت در اینترنت انتشار می یابد.
    این سازمان اعلام كرده كه تا كنون در حدود 225000 كامپیوتر به این كرم آلوده شده اند. طبق اظهارات مسوولان این سازمان در پیتسبورگ كد قرمز از نقطه ضعف سر ریز شدن بافر IIs Indexing service DLL استفاده می كند گفته می شود كه این نقطه ضعف در بیشتر نسخه های IIS4,IIS5 وجود دارد . بر اساس اعلامیه ای كه روز 19 ژوئن درباره این مشكل صادر شد سر ریز شدن بافر سبب می شود كه كرم مهاجم كنترل تمامی بخشهای سیستمی را كه مورد هدف قرار گرفته است به دست گیرد. اگر زبان پیش فرض میزبان آلوده شده انگلیسی باشد كد قرمز تمام صفحات وبی را كه میزبان ارایه می كند دفرمه كرده و به جای آنها پیام HELLO W!Welcome to http://www.worm.com!hackedbyChiness! را به نمایش در می آورد.
    مسوولان CC/CERT اظهار داشتند كه این كرم علاوه بر دفرمه كردن تمام صفحات وب كارآیی كلی سیستم را به میزان فاحشی كاهش داده و در تلاش برای انتشار خود میزبانهای دیگر را اسكن می كند. اگر زبان پیش فرض میزبان انگلیسی نباشد كرم به اسكن ادامه می دهد اما صفحات وب را دفرمه نمی كند .
    طبق اظهارات مقامات مركز CC/CERT كد قرمز همچنین می تواند حملات خود را به صورت "خودداری سرور از ارایه خدمات" انجام داده و سیستمها و شبكه هایی را كه به مخاطره نیفتاده اند برای یافتن نقطه ضعف سرریز شدن بافر IIs Indexing service DLL اسكن می كند .حمله "خودداری سرور از ارایه خدمات" به این دلیل می تواند به وقوع پیوند كه كد قرمز از همان هسته مولد اعداد تصادفی كه برای تولید لیست آدرسهای IP كه مورد اسكن قرار می گیرند استفاده می كند. مقامات CERT اظهار داشتند كه در نتیجه تمام میزبانهای آلوده شده همان آدرسهای IP را اسكن می كنند . مركز ملی حمایت از ساختار زیربنایی ملی (NIPC) كه یكی از سازمانهای وابسته به اف. بی.آی است اعلام كرد كه وب سایت كاخ سفید نیز مورد حمله "خودداری سرور از ارایه خدمات" این كرم قرار گرفته است.
    طبق اظهارات مقامات NIPC كد قرمز با ارسال 100 اتصال همزمان به سرور كاخ سفید به این سایت حمله كرد. پل داكلین رییس پشتیبانی جهانی شركت سوفوس پی تی كه تولید كننده نرم افزار ضد ویروس است اظهار داشت: به نظر می رسد كه این كرم به نحوی برنامه ریزی شده است كه به كامپیوتر با آدرس 198.137.240.91 حمله كند. این تنها یكی از كامپیوترهایی است كه خدمات " www.whitehouse.gov " را ارایه می دهد . بعد از حمله كرم كد قرمز ارتباط این كامپیوتر با وب سایت www.whitehouse.gov قطع شد تا سایت بتواند به درستی به كار خود ادامه دهد.
    تامین كنندگان خدمات اینترنتی نیز برای متوقف كردن تلاش این كرم در قطع خدمات به مشتریان داوطلب شدند . داكلین به تكنیكی اشاره كرد كه در آن تامین كنندگان خدمات اینترنتی بسته هایی را كه آدرس IP خاصی دارند دور ریخته یا نادیده می گیرد او در این رابطه اظهار داشت : همچنین بسیاری از تامین كنندگان خدمات اینترنتی این آدرس را بی اثر كردند این روش دفاعی در این مورد موثر بود چون كد قرمز قادر است تعداد زیادی بسته های اینترنتی غیر ضروری را تولید كند.
    مركز NIPC آسیب پذیری در خدمات Indexing Service DLL را یك خطر بزرگ خوانده و افزود كه كارشناسان این مركز تصور می كنند ویروس های دیگری نیز در آینده از این نقطه ضعف امنیتی استفاده خواهند كرد. آقای داكلین اظهار داشت برای مقابله با حملات این كرم و جلوگیری از انتشار بیشتر آن كاربران باید از نرم افزار ترمیمی (PATCH) شركت مایكروسافت كه برای حل این مشكل امنیتی به وجود آمده است استفاده كنند. او افزود كه این نرم افزار ترمیمی باید بتواند به طور گسترده مورد استفاده قرار گیرد تا از انتشار كرم جلوگیری كند .
    داكلین اظهار داشت: اگر فقط درصد كمی از كاربران از این نرم افزار ترمیمی استفاده كنند كد قرمز به انتشار و افزایش ترافیك اینترنت ادامه خواهد داد . خوشبختانه تلاش كد قرمز برای آغاز حمله "خودداری سرور از ارایه خدمات" در وب سایت كاخ سفید به كاربران فرصت كافی داد تا سیستم های خود را به نرم افزار ترمیمی مجهز كنند. آقای داكلین در خاتمه افزود : چون این كرم فقط در حافظه به حیات خود ادامه می دهد روی هارد دیسك شما یك كپی دائمی از خود نمی سازد پس از نصب برنامه ترمیمی راه اندازی مجدد كامپیوتر نه تنها شما را از شر كرم خلاص می كند بلكه عدم آلودگی مجدد كامپیوتر شما به این كرم را تضمین می كند بنابراین این عمل برای سایت شما جامعه اینترنت و همچنین در كل برای همه مردم دنیا خوب است .
    اما گونه جدید و خطرناكتر كرم Code Red كه به تازگی منتشر شده است كه می تواند برای تمام سرورهای آسیب پذیر مایكروسافت تهدید جدی باشد . این كرم یك اسب تروا را به سرور اضافه می كند كه در صورت فعال شدن آن هر كاربر با یك مرورگر وب امكان نفوذ به سرور آلوده را پیدا می كند آخرین نسخه این كرم نیز همانند نسخه های قبلی خود با تكثیر بیش از حد خود در بافر سرورهای وب آسیب پذیر مایكروسافت باعث سر ریز شدن آنها می شود . گونه جدید كه توسط تحلیلگران امنیتی Code Red II نام گرفت است به اسب تروا پنهان شده در پوسته Explorer.exe امكان می دهد كه روی آن دسته از سرورهای وب IIS كه توسط بسته های ترمیمی Microsoft service pack II حفاظت نشده اند بار گذاری شود . به گفته راس كوپر دبیر یك گروه خبری امنیت Online به نام Ntbugtrak Retreat و كارشناس امنیتی گونه اخیر Code Red نسبت به نسخه های قبلی آن بسیار خطرناكتر است .به گفته كوپر این كرم با برنامه ای كاملا متفاوتی نوشته شده است گروه كارشناسان امنیتی كه برای اولین بار Code Red II را تشخیص دادند معتقدند كه این كرم توسط گروه 29A (نام مستعار گروهی از نفوذ گران) نوشته شده است بنا به گفته نویسنده این ویروس Code Red II می تواند یك دایركتوری مجازی وب را بر روی Microsoft web server نصب كند و با این كار تمام فایل های این سرور را در دسترس هر كسی بگذارد كه یك مرورگر وب در اختیار دارد . كوپر می گوید تشخیص این مساله كه كدام یك از سیستم های سخت افزاری در معرض خطر حمله این كرم هستند كار بسیار ساده ای است.
    آخرین نسخه این كرم بر خلاف نسخه های قبلی آن – كه برای آسیب رساندن می توانستند ماهها غیر فعال بمانند و سیكل فعالیت آنها نیز بسیار طولانی بود چرخه ای 24 ساعته دارد. او معتقد است كه 3 گروه از كاربران وجود دارند كه نرم افزار اصلاحی مناسب را بر روی سرورهای مایكروسافت خود نصب نكرده اند . گروه اول كاربران خانگی یا بنگاههای كوچك هستند كه عموماً از سرویس های اینترنتی با سرعت بالا مانند home@ یا Road Runner استفاده می كنند. گروه دوم شركتهایی هستند كه فراموش كرده اند كه سرورهای وب قدیمی تر بر روی اینترنت آنها وجود دارد و از آنجایی كه آنها هیچ دیوار آتشی ندارند این سرورهای وب قدیمی در دسترس كاربران قرار می گیرند و به وسیله جستجو خودكار Code Red آلوده می شوند. نهایتاً Code Red می تواند كاربران كشورهایی را كه اخبار مربوط به جهان غرب را نمی خواهند گرفتار كند .

  28. The Following 3 Users Say Thank You to Sajjad.Bezaatpoor For This Useful Post:


  29. #15
    کاربر متخصص
    تاریخ عضویت
    Nov 2008
    محل سکونت
    ı̴̴̡ ̡̡͡|̲̲̲͡͡͡ ̲▫̲͡ ̲̲̲͡͡π̲̲͡͡ ̲̲͡▫̲̲͡͡ ̲|̡̡̡ ̡ ̴̡ı̴
    نوشته ها
    3,500
    Thanks
    6,361
    Thanked 3,634 Times in 1,633 Posts

    پیش فرض

    آشنایی با ویروس Galil


    نام : Galil نام مستعار : I-Worm.Galil, W32/Holar.c@MM, W32/Lagel.A, W32/Crillegal.A@mm


    Galil یك كرم ایمیلی است كه در چهارم ماه Decmber سال 2003 پخش شد . این كرم در ایمیلها با فرمت Zip یا Exe یا یك پیغام اذیت كننده كه كاربر را واردار به اجرای فایل می كند منتشر می شود.در صورتیكه این كرم از Exloit “Iframe” استفاده نمی كرد ، شیوع آن محدود می شد .

    این كرم در حالت عادی 80 كیلو بایت حجم داشته و نسخه كمپرس شده آن 50 كیلو بایت حجم دارد . در زمانی كه این كرم باز می شود یك انیمیشن نما یش داده می شود.
    كرم سپس خود را در شاخه سیستم ویندوز به شكل زیر پخش می كند :



    بدنه كرم MPLAYER.exe بوسیله Visal Basic نوشته شده و در قالب UPX فشرده شده است و در هنگام اجرا خود را مخفی نگاه می دارد .همچنین یك start up برای MPLAYER.exe در ر جی ستری درست می كند
    [HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices] "iLLeGal" = "%WinSysDir%/Mplayer.exe" این كرم همچنین یك كلید به آدرس زیر در رجیستری ایجاد می كند:

    [HKEY_LOCAL_MACHINE/iLLeGal] این كلید با هر بار اجرای ویروس و كرم پیشرفت می كند و افزایش می یابد . وقتی Value Reaches این مقدار به پنج برسد این پیغام را نمایش می دهد : ZaCker No Peace Without war,i hate war but im forced to love it, Hidden Power's gonna b there wherever u r همچنین كرم فایلهای HTM و HTML بر روی درایو های هارد آلوده برای آدرس میل را جستجو می كند و آنها را در فایل MMAIL.dll ذخیره می كند. سپس كرم نام كاربری اكانت میل قربانی SMTP را گرفته و بعد به سرور SMTP متصل شده و خود را به آدرسهای میلی كه پیدا كرده ارسال می كند . متن پیغام آلوده معمولا بدین گون است : From: <user's e-mail or User5@FBI.gov> Subject: Fw: Crazy illegal *** ! Body: Note: forwarded message attached. ------------------------------------------------------------------------ Do You Yahoo!? Yahoo! Finance - Get real-time stock quotes Forwarded Message [ Save to my Yahoo! Briefcase | Download File ] From: Sara1987@yahoo.com To: Virgin_gurlz_N_boyz@yahoogroups.com Date: 24 Aug 2002 17:11:18 -0000 Subject: Fwd: Crazy illegal *** ------------------------------------------------------------------------ Hii Is it really illegal in da USA ? who knows :P If u have a weak heart i warn u DON 'T see dis Clip. Emagine two young children havin crazy *** fo da first time togetha ! loooool i'm still wonderin where thier parents were? Good F*ck , oh sorry :"> i mean Good Luck ;) Bye
    ویرایش توسط PEYMAN.HEDAYATI : 2010-11-12 در ساعت 19:18

  30. The Following 4 Users Say Thank You to Sajjad.Bezaatpoor For This Useful Post:


 

 
صفحه 1 از 79 123451151 ... آخرینآخرین

موضوعات مشابه

  1. پاسخ: 169
    آخرين نوشته: 2014-02-20, 20:17
  2. پاسخ: 4
    آخرين نوشته: 2011-08-19, 07:58
  3. :: آپدیت ها و اخبار جدید ort tool
    توسط SAEID-FARZIN در انجمن سایر محصولات
    پاسخ: 3
    آخرين نوشته: 2010-08-03, 10:44
  4. ***ابدیت ها و اخبار جدیدSCout ***
    توسط MOHAMAD.SHARIFI در انجمن Smart Clip
    پاسخ: 0
    آخرين نوشته: 2009-09-29, 11:58
  5. درخواست اطلاعات جامع درباره کوکی ها
    توسط sina mobile nasim shahr در انجمن کامپیوتر و IT
    پاسخ: 0
    آخرين نوشته: 2009-08-04, 11:24

کلمات کلیدی این موضوع

مجوز های ارسال و ویرایش

  • شما نمیتوانید موضوع جدیدی ارسال کنید
  • شما امکان ارسال پاسخ را ندارید
  • شما نمیتوانید فایل پیوست کنید.
  • شما نمیتوانید پست های خود را ویرایش کنید
  •