شناخت ویروس

نام :: W32/Rbot-UU
نام مستعار :: Backdoor.Win32.Rbot.gen و W32/Sdbot.worm.gen.j
طریقه پخش :: اشتراکات شبکه
سیستم عامل هدف :: ویندوز
شدت پخش ::

وظایف ::
1 - دسترسی دیگران به منابع سیستم
2 - دانلود کد های خود از اینترنت
3 - کم کردن قدرت امنیت سیستم
4 - نصب خود بر روی رجیستری
5 - استفاده از سیستم آسیب پذیری

تشریح ::
این کرم حاوی کد های تروجان مانندی است که از طریق کانال های IRC اجازه نفوذ به هکر می دهد . این سرویس در پشت پردازش ها اجرا می شود به دور از چشم کاربر . همچنین این کرم خود را در داخل شاخه سیستم ویندوز به نام فایل USBHARDWARE32C.EXE کپی می کند . و این شاخه ها را برای اجرا مجدد خود می سازد ::


HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
HKCU\Software\Microsoft\Windows\CurrentVersion\Run


همچنین این مقدار ها را تغییر می دهد ::
''HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = ''N
''HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrict anonymous = ''1

طی چند بخش سعی میکنم چگونگی نوشت ماکر ویروس (که از بقیه ساده تر هم هست) را براتی شما توضیح بدهم . توجه کنید این مطالب فقط شما را اشنا میکند با ماکرو ویروس ها و توقع ساختن یک ویروس نویس از شما را نداشته باشید.

در مورد منابع هم لازم است که بگویم این مطالب مجموعه یادداشت هایی است که از astalavista و areyoufearless و نوشته های یک ویروس نویس سوئدی که مدتی قبل من جمع آوری کرده بودم.

امید وارم مفید واقع بشه
مقدمه:
ماکرو ویروس نوعی از ویروس ها بوده که از خانواده word استفاده می کنند که در اینجا ما از دو نوع 97 و 2000 استفاده می کنیم (توجه کنید که ورد 97 بسیار برای ماکرو ویروس نویسی مناسب می باشد) و همچنین از VB هم برای application ها استفاده میشود.
ماکرو ویروس ها خود را بک فایل Document یا template می چسباند و بعد از باز شدن آن توسط قربانی طبق تنظیمات موجود کامپیوتر را آلوده می نماید و آلودگی را بر روی template پیش فرض ذخیره و با باز شدن هر سند آن را نیز آلوده می نماید.

چند اصطلاح در مورد ویروس ها :
VXافرادی که به جابجایی ویروس می پردازند
VCK کیت های ساخت ویروس
AV آنتی ویروس
Worm برنامه های کامپیوتری که خود را کپی و منتشر می سازد.
Boot sector virus ویروس هایی که بوت سکتور را آلوده و در زمان بوت شدن کامپیوتر به همراه دیگر برنامه ها اجرا میشوند.
Trojan اجزه دسترسی از راه دور و بدون مجوز صاحب آن را به شما میدهد که به آنها RAT نیز گفته میشود.
File infector خود را به فایلی متصل نموده و آن را آلوده می سازد ( معمولا فایل های exe, com,sys,batch)
Dropper برنامه ویژهای که وظیفه قرار دادن ویروس بر روی کامپیوتر قربانی را دارد.
Stealth virus ویروسی که عملکرد آن از دید قربانی پنهان میباشد.
Polymorphic نوعی ویروس که تواننایی اصلاح را داراست و تشخیص را مشکل می سازد.
Fast infection آلوده ساختن تمام پرونده های باز
Payload مهمترین بخش ویروس که زمان اجرا پروسه مربوط به ویروس را تعیین میکند.
Tunneling Virus ویروسی که مفسر ها را یافته و باز خوانی میکند.
ANSII bomb وقتی یک کاراکتر یا یک سری از کاراکتر ها را فشار میدهیم آن زمان Payload ویروس آغاز به کار کرده و مطا بق آن شروع به کار میکند. (مثلا با فشار دادن اسپیس)
Re50160ent Infection ویروسی که خود را در RAM قرار میدهد.
BIS آلودگی در بوت سکتور
TSR ویروس فعالیت خود را پایان داده است اما هنوز دز کامپیوتر قربانی موجود میباشد.

مشاهده سورس یک ماکرو ویروس:
در اینجا شما طریقه یافتن و مشاهده ماکرو را یاد میگیرید.
برای یافنن یک ماکرو یم روش همان پیام خطا هنگام اجرا بوده و در صورتی که به شکل هیدن اجرا شود شما باید Normal.dot را پیدا کنید و اگر حجم آن بیش از 40 -50 kb باشد آن تغییر نموده و شما آلوده شده اید.) حجم این فایل در حالت عادی 26 k-27k می باشد.)
برای مشاهده سورس ماکر ویروس آن را بیابید سپس در ورد 97 یک Document را باز نموده سعی نمایید به VBA بروید در این حالت پنجره باز و هشداری با این مضمون را میدهد (هدف از این بخش فعال نمودن بخش محافظتی ورد در مقابل ماکرو ها و عدم اجرا آنها است)
Macro's are in this document –
Disable?
البته ممکن است این مورد به صورت پیش فرض فعال شده باشد. سپس بر روی Yes کلیک کنید و حال میتوانید ویروس خود را بدون آلوده شدن مشاهده نمایید

نحوه پاک کردن ویروس جدید یاهو مسنجر ::..::··:: | مقالات آموزشی

اخیرا تعداد زیادی از کاربران اینترنت از طریق کلیک کردن بر روی یک لینک ناشناس در یاهو مسنجر به ویروس آلوده شده اند. با توجه به اینکه در روزهای گذشته تعداد زیادی از دوستان برای راه حل حذف و امن کردن سیستم هایشان از من سوال کرده اند و از طرفی دریافت این همه پیغام های ویروسی در یاهو مسنجر واقعا آزار دهنده است ، راهکار تشخیص و حذف ویروس را در اینجا معرفی می نمایم.

1- نحوه تشخیص آلوده شدن به ویروس :

بارز ترین نشانه های آلودگی به ویروس تغییر یافتن صفحه اول مرورگر وب به آدرس nsl-school.org یا mytermex.com می باشد. نشانه دیگر آن ارسال پیغام های مختلف به دوستان شما در یاهو مسنجر است که در آنها به سایت nsl-school.org یا mytermex.com آدرس داده شده است. برخی از این پیغام ها عبارتند از:
A new dangerous computer virus that can destroys all your data has just been released . Click here to know how to avoid it : http://mytermex.com?id=pc_protector
Download free MP3s : http://nsl-school.org?id=music
have you ever seen such a silly man like this ? http://nsl-school.org?id=stories

2- نحوه پاک کردن ویروس

برای سهولت کاربران غیر حرفه ای کامپیوتر مجموعه دستورات لازم در یک فایل قرار داده شده است که می توانید این فایل را داونلود و احرا نمایید.
برای داونلود آنتی ویروس اینجا را کلیک کنید.


کاربران حرفه ای می توانند بصورت دستی این کار را انجام دهند و توضیحات لازم را از این آدرس بخوانند. ترجمه فارسی این مطالب هم در سایت winbeta.net قرار گرفته است.

3- نحوه جلوگیری از ویروسی شدن:
بهترین کار کنار گذشتن مرورگر Microsoft Internet Explorer و استفاده از Firefox است.
برای جوگیری موقتی از ویروسی شدن می توانید از راهکار ارایه شده توسط شرکت میکروسافت استفاده نمایید.

نام :: VBS/Mcon-G
نام مستعار :: VBS.Mcon.c و VBS/Pica.worm.gen و VBS.Sorry.A و VBS_MCON.A
سیستم عامل هدف :: ویندوز
نوع :: کرم
طریقه پخش :: چت و اشتراکات شبکه

وظایف ::
1 - نصب خود بر روی رجیستری

تشریح ::
این کرم از کانال های IRC جابجا می شود . هنگامی که اجرا می شود خود را در شاخه هایی که در نام انها startup استفاده شده باشد به نام ttfload.vbs کپی میکند و شاخه های زیر را در رجیستری می سازد ::


HKLM\Software\Microsoft\Windows\CurrentVersion\Run
ttfload
''wscript.exe \Fonts\ttfload.vbs''
HKCU\Software\Microsoft\Windows Scripting Host\Settings
Timeout
0
HKCU\Software\Microsoft\Windows Script Host\Settings
Timeout

همچنین وقتی که اجرا شد این پیغام را نمایش می دهد ::
INVALID FILE FORMAT
این کرم این شاخه را هم تغییر می دهد ::
HKLM\Software\Microsoft\Internet Explorer\Main\
Start

 W32/Rbot-SX نوع :: کرم شیوه پخش :: از طریق فایل های به اشتراک گزاشته شده در شبکه سیستم عامل هدف :: ویندوز نام مستعار :: WORM_SPYBOT.KV کارهای پخش :: 1 – دسترسی دیگران به منابع کامپیوتر 2 – دزدیدن اطلاعات 3 – دانلود کردن کد های مخرب از اینترنت 4 – کم کردن قدرت ایمنی سیستم 5 – ضبط صفحه کلید 6 – نصب خود بر روی ریجیستری شرح:: این کرم دارای کدهای یک بکدور است که این بکدور بر روی کانال های IRC می باشد. این بکدور اطلاعات و دستور ها را از هکر میگیرد و بر روی سیستم انجام می دهد . همچنین این کرم از آسیب پذیری های LSASS و RPC-DCOM و WebDav برای پخش استفاده می کند شماره تخصصی این آسیب پذیری ها به ترتیب MS04-011 و MS03-039 و MS03-007 می باشد . همچنین این کرم هنگامی که برای اولین بار اجرا می شود خود را به نام فایل win32src.exe به صورت مخفی در پوشه سیستم ویندوز ذخیره می کند. همچنین این کرم شاخه های زیر را در ریجستری وارد می کند:: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Win32 Src Service win32src.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Win32 Src Service win32src.exe The worm also creates the following registry entry: HKCU\Software\Microsoft\OLE Win32 Src Service win32src.exe همچنین این کرم می تواند DoS کند و همچنین می تواند اطلاعاتی مانند CD keys و log keystrokes را بدزدد و همچنین می تواند وارد MS SQL servers شود و فرمانها را وارد کند برای پاک سازی این کرم به صورت دستی باید اول بدنه کرم را از حالت فعالیت خارج کنید که این کار را می توانید با یافتن فایل بدنه کرم در Windows Task Manager ? Processes انجام دهید فایل بدنه در بالا ذکر شده است و بعد از طی این مراحل شما باید شاخه های ریجیستری که در بالا پیدا شده است را یافته و مقادیر آن را پاک کنید .

نام :: W32/Sdbot-TB نوع :: کرم سیستم عامل هدف :: ویندوز راه پخش :: برنامه های گفتمان (چت) کارها :: 1 – دسترسی هکر به منابع سیستم 2 – دانلود کردن کدهای خود از اینترنت 3 – ضبط صفحه کلید 4 – نصب خود بر روی ریجستری 5 – دزدین اطلاعات 6 – کم کردن قدرت امنیت سیستم شرح :: این کرم از راه کانال های IRC خود را انتقال می دهد . و حاوی کد بکدوری است که دسترسی کامل هکر را به سیستم میدهد . این کرم در اولین بار که اجرا می شود فایل wupdated.exe را بر روی شاخه سیستم ویندوز می سازد . و بر روی سیستم های NT خود را Wupdated معرفی می کند که شباهت زیادی به سرویس Windows Update Service دارد و همچنین شاخه های زیر را در ریجستری می سازد :: HKLM\SYSTEM\CurrentControlSet\Services\Wupdated\Security HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WUPDATED همچنین این کرم سعی می کند خود را از طریق اشتراکات شبکه جابجا کند . همچنین این کرم یک HTTP proxy server بر روی سیستم قربانی نصب می کند . و می تواند حملات DoS کند . و همچنین اطلاعات سیستم را می دزدد و همچنین انها را در فایلی به نام keys.txt در شاخه سیستم قرار می دهد و به هکر می رساند . همچنین این کرم سعی می کند خود را از طریق جابجایی فایل های DCC در کانال های IRC انتقال دهد . با متن پیغام زیر :: The message text can be of any of the following: dude, chk out this new AdminMOD exploit, it gives you admin privs on any server running AM, plz dont give it out tho, thnx i just caught this guy cheating with the Cheat Scanner in the CAL Demo Viewer, chk it out omfg this is so cool! i just caught this guy cheating with this cal demoviewer or whatever its called, here's a copy of it Here is the new CAL Demo Viewer, it includes همچنین فایل های آلوده عبارت از :: AdminMOD-ExploitHack.exe cheater-caught.pif CAL-DemoViewer.exe Setup.exe