سلام

دوستان گرامی همانطور که می دانید امروزه به دلیل ازدیاد برنامه های مخرب که به ویروس شهرت دارند کمپانی هایی هم درصدد این برآمدند که ویروس ها را از بین ببرند .اما در کشور به دلیل مطلوب نبودن سرعت اینترنت هیچ کدام از این ویروس یاب ها کارایی چندان خوبی ندارند . ولی یک ویروسیاب بسیار مطمئن که امروزه در ایران بسیار مشتری دارد آنتی ویروس Nod32 از نسخه های مختلف می باشد .

ازمزایای این ویروس یاب :

آپدیت روزانه با حجم کم - پایین نیامدن سرعت کامپیوتر به اندازه زیاد - سرعت اسکن و پاکسازی بالا (به طوری که یک هارد 360 را که کاملاً پر است را در عرض 30 دقیقه اسکن و پاکسازی میکند - نصب راحت و بدون دردسر و ....

از معایب این آنتی ویروس(نسخه های رجیستر نشده ) : 

می توانم فقط بروز رسانی از طریق username و  password اشاره کنم که برای هر بار به روز رسانی باید نام کاربری معتبر و رمز عبور داشته باشیم . همانطوری که در وبلاگ ::.. رایانه برای زندگی ..:: اشاره شده یک سایتی برای به روز رسانی نسخه 3 این ویروس یاب ذکر شده و هم چنین برای آن دسته از کسانی که دارای ارتباط ADSl  هستند مناسب نیست ولی در سایتی که در پایین مشاهده می فرمایید می توانید تمامی نسخه را با رمز عبور و نام کاربری مناسب به روز رسانی نمایید حتی 3 ساعت یک بار و از خطوط ارتباطی ADSL نیز به راحتی می توانید آن را بروز کنید .

برای مراجعه به سایت  اینجا را کلیک نمایید یا از لینک زیر وارد شوید .  

ورود به سایت

سلام

شاید برای شما این مسأله رخ داده که تعدادی فایل در سیستم خود مخفی نموده اید و به دلیل نداشتن ویروس یاب یا امثال این سیستم شما آلوده به ویروسی شده است که تمامی فایل های مخفی و فولدر آپشن را مخفی می کند و به هیچ وجه نمی توان آن ها را برگرداند. راحت ترین راه حل برای همه این است که ویندوز را مجدد نصب نمایند و بعد به سراغ یک ویروسیاب بروند . ولی یک راه حل ساده تر هم وجود دارد .!!!!

به جای این که ویندوز را عوض نمایید کافی است که فایلی را که در عرض تنها 20 ثانیه همه این تنظیمات را به حالت اولیه بر می گرداند از طریق تماس با من در قسمت نظرات با دادن آی دی خود و هم چنین نحوه استفاده از این فایل و فایل اصلی را که حجم ناچیزی دارد از ما دریافت نمایید.

نکته مهم 1 : این فایل نه تنها ضرری به سیستم نمی زند بلکه بقیه مشکلات رجیستری را نیز از بین می برد .

نکته مهم 2 : این فایل مورد تأیید و ساخت آزمایشکاه ایمن می باشد . پس با خیال راحت از این فایل استفاده نمایید .

سلام

این کرم خیلی وقت هست که انتشار یافته ولی چگونگی اجرا ‏- مسير هاي تخريبي و ديگر مسائل آن را برايتان شرح خواهم داد :

این کرم 602142 ایرانی خودش را به شکل های زیر کپی می کند

%UserProfile%\SendTo\Svchost.exe

کار دیگر این کرم ایجاد یک کرم دیگر از همین گونه با نام W32/Bermado.b است که حجم آن 4076 است

%UserProfile%\SendTo\SOUNDMAX.EXE

این ورم برای اجرای خود در هر بار راه اندازی کلید زیر را ایجاد می کند :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
SOUNDMAX = %UserProfile%\SendTo\SOUNDMAX.EXE

این ورم با استفاده از کلید های زیر اجازه نمایش فایل های مخفی می گیرد ،

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
CheckedValue = 0x00000000
UncheckedValue = 0x00000000

آیکون این ورم شبیه فولدر است ممکن است توسط کاربر اجرا شود  با وارد شدن به هر پوشه ای آن پوشه را مخفی می کند

تصویری به شکل زیر درون این کرم وجود دارد که برای تغییر شکل درایو ها استفاده می کند:

منبع : آزمايشگاه تحقيقات ويروس‌های رايانه‌ا‌ی ايمن

سلام

گفته بودم که این هفته شده هفته ویروس . در این پست به معرفی این کرم جدید ایرانی می پردازیم :

این کرم ایرانی خودش را در مسیرهای زیر کپی می کند

C:\ChamranPartC.exe
D:\ChamranPartD.exe
%WinDir%\system32\Chamran.exe
%WinDir%\system32\Cmd-Nk27.exe
%WinDir%\system\Shell32B.exe
%WinDir%\Dl.exe
%WinDir%\Mastore32.dll
%Temp%\FooVA-X27.ExE
%Temp%\~DFC8EC.tmp
%Temp%\~DF4831.tmp

از کارهایی که ورم W32/Foova.ai بر روی سیستم انجام می دهد درون فایل زیر گزارشی از تکثیر این ورم تهیه می کند

%Temp%\Help-X27.txt

پیامی به شکل زیر نمایش می دهد

بر روی صفحه نمایش صفحه‌ای شبیه به شکل زیر نمایش می دهد

برای اجرای خود در هر بار راه اندازی کلید زیر را ایجاد می کند

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Yahoo! =%WinDir%\system\Shell32B.exe -BooT

با تبلیغ سایت hxxp://www.persiancod.com لینک های فریبنده زیر را نمایش می دهد

Fun - Sex And Love In This Pack
Fun - Sex And Love In This Site
For DL Sexy Site Use This Site
Israel Atack Or Iran Atack
Ye Dler Khob ba Sorate Ziad . Dl e Sh Kon
Anti Filter Ba Sorate Bala ... Ta Link Kharab NaShode DlKon
To in link Ye Harfie Ke Hamishe Mikhastam behet Bezanam
BaVar Kon Mitonam Dostesh Dashte Basham .. Bebin
Anti Virus e Virus Jadid Yahoo ....
Aks Hai Jaleb Yek Masol ! Midonam ke Bavaret Nemishe
Esmesh Ali Reza Hast Age Khasti Az Pack Ba Karash AshnaSHoo
Nazart Darbare In Chand Ta Aks Ba Hal Chie ?
Sexy - Sexy - Anal _Fuck_ In 1 Pack
Diaz ! No .Not .U BaD
Iran-Israel-USE-Iraq War Animat Picture
In Chi Hastesh !!Han? .. Dige Az In Aks Ha Baram Nafrest.. Fahmidi Ya Na ?! ...Ina
Ro Migam.Enkar Nakon .Barat Mote Asefam
Pliz DL Anti Yahoo Virus -->
Aks Jadidam Ro GoZashtam -- To Ham Akset Ro Bezar :)
I Love You .
Ye RooZ Be U Migam ..Ama Aval ino Nega Kon . Be Kasi HamNago
RooM Full Kon
Ba Har ID Khsti bia To Room
Kafet Mibore
Aks 4shanbe Sroi Az Raghse Mostarak DAr Shiraz
Eedam Arazel Dar Shiraz . Mostanad

با توجه به آنکه Icon این ورم شبیه Folder است ممکن است توسط کاربر اجرا شود که در صورت اجرای این ورم به صورت دستی فایل ورم پاک شده و پوشه‌ای با همان نام در آن مسیر ایجاد می شود

منبع پست: آزمايشگاه تحقيقات ويروس‌های رايانه‌ا‌ی ايمن

سلام

این هفته هم فقط شده هفته ویروس و کرم . مواظب باشید .

این کرم جدید محصول ایران خودمونه و به صورت زیر عمل میکند :

این کرم 49152 بایتی ایرانی به محض اجرا خودش را در مسیر زیر کپی می کند

%windir%\system32\.exe
 %windir%\system32\Game.exe
%windir%\system32\pa1x.exe

این کرم خود را به شکل زير در رجيستری ثبت می‌کند تا با هر بار راه‌اندازی سيستم بطور خودکار اجرا شود :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Kerneling = %windir%\system32\Game.exe

با نام های متفاوت از جمله موارد زیر خودش را در پوشه های مختلف کپی می کند
Game   Mp3   Picture   Video   Girl   XXX   Music   Program   Love   Sara

این کرم به گونه ای عمل می کند که بعد از وارد شدن به سیستم  پنجره شبیه به  زیر برای کاربر نمایش داده می شود .

ضمنا این کرم برای گمراه کردن کاربر آیکونی شبیه به Windows Media Player دارد.

منبع پست : آزمايشگاه تحقيقات ويروس‌های رايانه‌ا‌ی ايمن (شرکت مهندسی مهران رايانه)

سلام

بدون مقدمه خصوصیات و نحوه عملکرد این کرم را بررسی می کنیم :

این کرم 96256 بایتی به محض اجرا خودش را در مسیر زیر کپی می کند

%windir%\system32\ctfmona.exe

همچنین این کرم از درون خودش دو فایل به شکل زیر بیرون می آورد

%windir%\system32\ctfmonb.bmp
%windir%\system32\blackster.scr

که یکی از آنها عکس و دیگری Screen Saver است عکس مورد نظر ، که به شکل زیر است را بر روی Desktop می اندازد

Screen Saver سیستم را به شکل زیر تغییر می دهد به گونه ای که یک سری سوسک شروع به حرکت بر روی Desktop کرده و آن را می جود. :

این کرم خود را به شکل زير در رجيستری ثبت می‌کند تا با هر بار راه‌اندازی سيستم بطور خودکار اجرا شود :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
ctfmona = C:\WINDOWS\System32\ctfmona.exe

ضمنا این کرم به منظور اعمال تغییرات بالا و تغییرات دیگر کلید های رجیستری زیر را تغییر می دهد

HKLM\Software\Microsoft\Software Notifier
InstallationID = 30ca1f71-3146-4d7b-a35f-3736e1cd05bd

HKCU\Control Panel\Colors
Background = 0 0 255

HKCU\Control Panel\Desktop
WallpaperStyle = 0

HKCU\Control Panel\Desktop
TileWallpaper = 0

HKCU\Control Panel\Desktop
Wallpaper = C:\WINDOWS\system32\ctfmonb.bmp

HKCU\Control Panel\Desktop
OriginalWallpaper = C:\WINDOWS\system32\ctfmonb.bmp

HKCU\Control Panel\Desktop
ConvertedWallpaper = C:\WINDOWS\system32\ctfmonb.bmp

HKLM\System\CurrentControlSet\Services\srservice
Start = 00000002

HKLM\System\CurrentControlSet\Services\sr
Start = 00000000

HKLM\System\CurrentControlSet\Services\sr
ImagePath = system32\DRIVERS\sr.sys

HKLM\Software\Microsoft\Windows NT\CurrentVersion\SystemRestore
DisableSR = 00000000

HKCU\Control Panel\Desktop
SCRNSAVE.EXE = C:\WINDOWS\system32\blackster.scr

از کارهای دیگر این کرم غیر فعال کردن System Restore است.

منبع این پست :آزمايشگاه تحقيقات ويروس‌های رايانه‌ا‌ی ايمن(شرکت مهندسی مهران رايانه)