آموزش فناوری دانلود

آموزش و پرورش - فناوری -دانلود

آموزش فناوری دانلود

آموزش و پرورش - فناوری -دانلود

آشنایی با ویروس ها (6)- ویروس W32Rbot-VM


نام :: W32/Rbot-VM
نوع :: کرم
سیستم عامل هدف :: ویندز
طریقه پخش :: اشتراکات شبکه

وظایف :

1 - از کار انداختن انتی ویروس
2 - دسترسی دیگران به منابع سیستم
3 - کم کردن قدرت امنیتی سیستم
4 - ضبط صفحه کلید
5 - نصب خود بر روی صفحه کلید

تشریح :

این کرم می تواند از کانال های IRC به هکر اجازه استفاده از سیستم قربانی را بدهد . همچنین این کرم از آسیب پذیری های DCOM-RPC و LSASS برای پخش خود استفاده می کند . این کرم خود را با نام فایل crmss.exe در شاخه سیستم ویندز کپی می کند . همچنین این شاخه ها را در رجیستری می سازد ::

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
xpupdate
updates.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
xpupdate
updates.exe

ادامه دارد ......

آشنایی با ویروس ها (5)- ویروس VBS/Mcon-G

آشنایی با ویروس ها (5)- ویروس VBS/Mcon-G

نام : VBS/Mcon-G
نام مستعار :: VBS.Mcon.c و VBS/Pica.worm.gen و VBS.Sorry.A و VBS_MCON.A
سیستم عامل هدف :: ویندوز
نوع :: کرم
طریقه پخش :: چت و اشتراکات شبکه

وظایف :

1 - نصب خود بر روی رجیستری

تشریح :

این کرم از کانال های IRC جابجا می شود . هنگامی که اجرا می شود خود را در شاخه هایی که در نام انها startup استفاده شده باشد به نام ttfload.vbs کپی میکند و شاخه های زیر را در رجیستری می سازد ::

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

ttfload

" wscript.exe \Fonts\ttfload.vbs "
HKCU\Software\Microsoft\Windows Scripting Host\Settings
Timeout
HKCU\Software\Microsoft\Windows Script Host\Settings
Timeout

همچنین وقتی که اجرا شد این پیغام را نمایش می دهد ::

INVALID FILE FORMAT

این کرم این شاخه را هم تغییر می دهد ::

HKLM\Software\Microsoft\Internet Explorer\Main \
Start
" http://www.zonelabs.com

ادامه دارد ......

آشنایی با ویروس ها (4)- ویروس W32MyDoom-BD


نام :: W32MyDoom-BD
سیستم عامل هدف :: ویندوز
طریقه پخش :: میل
نام مستعار :: Email-Worm.Win32.Mydoom.am و W32/Mydoom.bd@MM و WORM_MYDOOM.BD

وظایف :

1 - از کار انداختن آنتی ویروس ها
2 - فرستادن خود به واسطه میل های آلوده
3 - آلوده کردن کامپیوتر
4 - جعل آدرس فرستنده میل

تشریح :

این کرم خود را در شاخه Temp ویندوز به نام فایل java.exe ذخیره میکند . و این شاخه ها را در رجیستری می سازد ::
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \JavaVM
HKCU\Software\Microsoft\Windows\CurrentVersion\Run \JavaVM
و همچنین فایلی به نام services.exe می سازد . این فایل شامل کد های بکدور است . این کرم همچنین برای یافتن آدرس های میل فایل های PL*, PH*, TX*, HT*, ASP, TBB, SHT و WAB, ADB و DBX را می گردد بر روی سیستم قربانی . همچنین این کرم دوری می کند از فرستادن میل به آدرس هایی که رشته های زیر را داشته باشند ::
mailer-d
spam
abuse
master
sample
accoun
privacycertific
bugs
listserv
submit
ntivi
support
admin
page
the.bat
gold-certs
ca
feste
not
help
foo
no
soft
site
rating
me
you
your
someone
anyone
nothing
nobody
noone
info
winrar
winzip
rarsoft
sf.net
sourceforge
ripe .
arin .
google
gnu .
gmail
seclist
secur
bar .
foo.com
trend
update
uslis
domain
example
sophos
yahoo
spersk
panda
hotmail
msn .
msdn .
microsoft
sarc .
syma
avp
موضوع میل های آلوده از لیست زیر انتخاب می شوند ::
hello
hi
error
status
test
report
delivery failed
Message could not be delivered
Mail System Error - Returned Mail
Delivery reports about your e-mail
Returned mail: see transcript for details
Returned mail: Data format error
همچنین فایل های ضمیمه به نام های زیر هستند ::
readme
instruction
transcript
mail
letter
file
text
attachment
document
ادامه دارد ......

آشنایی با ویروس ها (3) - ویروس W32Agobot-PI





نام :: W32/Agobot-PI
نوع :: کرم
طریقه پخش :: اشتراکات شبکه
سیستم عامل هدف :: ویندوز
نام مستعار :: Backdoor.Win32.Agobot.jg

وظایف

1 - از بین بردن پردازش برنامه های آنتی ویروس
2 - دسترسی دیگران به منابع سیستم
3 - دزدین اطلاعت سیستم
4 - دانلود کد از اینترنت

تشریح

این کرم زمانی که اجرا می شود خود را با نام فایل Ksrv32.exe در شاخه سیستم ویندز کپی می کند . همچنین این شاخه ها را در رجیستری می سازد ::
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Ksrv32
Ksrv32.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
Ksrv32
Ksrv32.exe
همچنین این کرم حاوی کد های تروجان گونه هستند که از طریق کانال های IRC به هکر اجزاه کار های زیر را می دهند ::
harvest email addresses
steal product registration information for certain software
take part in Distributed Denial of Service (DDoS) attacks
scan networks for vulnerabilities
download/execute arbitrary files
start a proxy server (SOCKS4/SOCKS5)
start/stop system services
monitor network communications (packet sniffing)
add/remove network shares
send email
log keypresses
همچنین این کرم از پردازش انتی ویروس ها جلو گیری می کند و همچنین دسترسی به سایت های زیر را برای کاربر غیر ممکن می کند ::

127.0.0.1 http://www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 http://www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 http://www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 http://www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 http://www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 http://www.avp.com
127.0.0.1 http://www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 http://www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 http://www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 http://www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 http://www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 http://www.trendmicro.com
ادامه دارد ......

آشنایی با ویروس ها (2)- ویروس Autorun





(حذف و پاک کردن ویروس Autorun )

معرفی:

Autorun نام ویروس جدیدی است که توسط ویروس نویسان چینی نوشته شده است این ویروس با کپی شدن از طریق پست الکترونیک و انواع لوح های فشرده و انواع حافظه های همراه مانند فلش کارتها و حتی فلاپی تکثیر می شوداین ویروس بعد از آلوده کردن سیستم شما در پوشه system 32 کپی شده و 1 فایل اجرایی با نام xcopy.exe می سازد. طرز کار این ویروس خیلی جالبه این ویروس با ایجاد یک فایل autorun.inf در داخل درایوها با محتوای autorun Shellexecute=copy.exe کلید تکثیر خودشو فعال می کنه به این صورت که با هربار کلیک کردن شما بر روی درایو مربوطه دو فایل ویروسی copy.exe , host.exe ایجاد میکنه و تکثیر میشه این ویروس میتونه باعت ایجاد اختلال در سرورهای محلی و خانگی بشه و با تکثیر خودش روی سیستم و اجرای دائم فایلهاش باعث کاهش سرعت سیستمهای خانگی بشه یکی از قطعات سخت افزاری که از این یروس آسیب می بینه فلاپی درایو سیستم هست چون این ویروس هر 30 ثانیه یکبار برای تکثیر خودش فلاپی درایو رو چک می کند.

راه حل :

اولین راه حل استفاده از ویروس کش های Bitdefender ، Kaspersky یا nod32 هست.
این ویروس از دو طریق خود را فعال می کند.
1- از طریق پروسه هایی که به صورت استارت آپ بالا میان که از دو فایل temp1.exe و temp2.exe در پوشه ی % win%system32 سر چشمه می گیرند .
2- با دابل کلیک بر روی هر کدام از درایو های قابل نوشتن از جمله درایو های هارد دیسک + درایو های فلش و…
برای رهایی از شر این ویروس ابتدا باید پروسه های temp1.exe و temp2.exe رو از بین برد. برای این کار لازم هست که windows به صورت safe mode بالا بیاید و ذکر این نکته هم ضروریست که نباید روی درایو ها دابل کلیک کرد چون فایل autorun.inf روی هر کدام از درایو ها قرار دارد که با این کار دوباره پروسه های temp1.exe و temp2.exe رو فعال می کند.
خوب حالا که win بصورت safe mode راه اندازی شده می توانید با کلیک راست و انتخاب open به هر کدام از درایو ها وارد بشین { البته من در برخی از نسخه های این ویروس دیدم که حتی درون پوشه ی % win % هم فایل autorun.inf وجود داره – بنابراین توصیه اکید میکنم که تمام درایوها و پوشه ها رو با راست کلیک باز کنید .} حالا به پوشه ی system32 درون % win % میرویم و دو فایل temp1.exe و temp2.exe رو حذف میکنیم.
{ البته قبل از آن باید پروسه های آنها را از لیست TaskMgr حذف کرد. برای این کار Windows Task Manager را فعال و پروسه های temp1.exe و temp2.exe را از لیست processes با کلیک بر روی end process حذف کرد.}
حال میمونه فایل autorun.inf و فایل های وابسته.
خدمت شما عرض کنم که این فایل autorun.inf با هر بار فعال شدن موجب میشه که دو فایل copy.exe [xcopy.exe ] و host.exe درون همون درایو فعال بشن و دوباره دو فایل temp1.exe و temp2.exe رو بسازن.
{ البته باید بگم که این فایل های copy.exe[xcopy.exe ] رو نباید با فایل های خود windows که درون پوشه ی system32 هستند اشتباه گرفت. این فایل های ویروسی دقیقا درون پوشه ی root درایو هستند.}
حالا کافیه فایل autorun.inf رو حذف کنید.
{ تا اینجا دیگه شما از شر ویروس خلاص شدین و فقط همون دو فایل copy.exe [xcopy.exe ] و host.exe وجود داره که اونها هم نمی تونن خودشونو فعال کنند.}
بعدش به سراغ دو فایل copy.exe [xcopy.exe ] و host.exe میریم که باید ابتدا از Folder Option فایل های سیستمی و مخفی رو پدیدار کنیم. حالا با خیال راحت این دو فایل رو حذف میکنیم . برای تمامی درایو ها همین کار رو میکنید.
خوب شما ویروس رو حذف کردید ولی در مقابل اون مصون نیستید یعنی اگه یه cd یا Flash Memory رو روی سیستم به صورت autorun اجرا کنید و اونها این ویروس رو داشته باشند دوباره همون آش و همون کاسه…
و اما تجربه شخصی موقعی که روش های بالا کار آمد نبودن چاره ای جز فورمت هادرت نداری !
هارد رو خالی کن و بعد شروع کن به فورمت کردن یا اینکه ویندوزت رو عوض کن !
بعد یکی از درایوهات رو خالی کن بعد با اوپن برو تو درایوت و تمام فایلهات رو کپی کن تو درایو خالی و این درایوت رو هم فرمت کن !
با این روش سومی دیگه از بین میره.
ادامه دارد ......