معرفي كرم ها و تروجان ها ، شناسايي و روش پاكسازي!

واضح آرشیو وب فارسی:سایت ریسک: samanvilli17-01-2008, 11:09 PMسلام دوستان عزيز . در اين تاپيك قصد دارم به معرفي انواع تروجان ها و روش مقابله و پاكسازي اونها بپردازم . آشنايی با تروجان و انواع آن - تروجان چیست ؟ در دنياي IT ، تروجان به برنامه اي گفته مي شود كه به سيستم قرباني وارد شده ، دسترسي كامل به فايل را ميسر، اطلاعات مهم و شخصي را استخراج و باعث تخريب سيستم عامل مي شود. تروجان ها همپاي پيشرفت دانش كامپيوتر خطرناك تر شده و براي نفوذ از راه هاي جديدتر و متد هاي پيشرفته تري استفاده مي كنند. در باره تروجان ها مطالب و مقالات زيادي نوشته شده ولي در اين مبحث سعي مي كنيم تا به طور خلاصه شما را با انواع تروجان ها آشنا كنيم زيرا دربهاي پشتي ( Back Door ) و تروجان ها هميشه در زمينه هكينگ نقش فعالي داشته اند و چون هدف ما آشنا كردن شما با روش هاي نفوذ و روش هاي مقابله با آن است درباره تروجان ها كه برنامه هايي مخرب هستند نيز توضيحاتي خواهيم داد كه در ادامه آمده است. تروجان ها داراي Function هاي زير مي باشد: دزديدن شماره كارت هاي اعتباري دزديدن كد كاربري و كلمه عبور براي Email Accounts Dialup Password Web Services به سرقت بردن پرونده هاي مهم و فايل هاي اعتباري كامپيوتري بدست آوردن اطلاعات شخصي قرباني همانند اسم و آدرس بدست آوردن قرار ملاقات ها بدتر از همه استفاده از كامپيوتر قرباني براي هك كردن سرورهاي دولتي با آيپي شخصي كامپيوتر هك شده به طور كلي تروجان ها را مي توان به 7 دسته تقسيم كرد: 1- Remote Access Trojans معروف ترين نوع تروجان مي باشد كه به هكر كنترل كامل سيستم را هديه كرده و هكر مي تواند هر فعاليتي بر روي كامپيوتر قرباني انجام دهد. از جمله آنها مي توان به Orifice و Netbus و Sub 7 اشاره كرد. ويروس BlugBear كه در سال 2002 هزاران كامپيوتر را قرباني كرد در هنگام اجرا بلافاصله تروجاني از اين گروه بر روي سيستم نصب كرده كه دسترسي كامل اطلاعات را به هكر مي فرستد. اين گونه تروجان ها همانند سروري كار مي كنند كه بر روي پورت دلخواه Listen كرده و در هنگامي كه هكر نياز به گرفتن اطلاعات دارد به آن پورت وصل و امكان دسترسي هكر به داخل سيستم را فراهم مي كند. نكته جالب اين تروجان ها در غير فعال ساختن Firewall و Anti-Virus ها در هنگام اجرا مي باشد. 2- Data-Sending Trojans : اين گروه از ترو جان ها براي فرستادن اطلاعات به هكر استفاده مي شود و از جمله كارهاي آنها مي توان به فرستادن Password و Keystrokes ( كليد هاي تايپ شده توسط كاربر سيستم قرباني ) اشاره كرد. اين تروجان ها از طريق IRC و FTP – TTP – ICQ و يا در هنگام چت كردن اطلاعات را براي هكر ارسال مي كند. از جمله آنها مي توان به Keyloger و Magic-ps اشاره كرد. 3- Destructive Trojans : تنها استفاده و قابليت اين گروه از تروجان ها پاك كردن فايل هاي اجرايي و سيستمي بر روي كامپيوتر است. مانند فايل هاي exe. Bat . com. اين تروجان ها همانند Logic Bombs مي توانند در روز و ساعت بخصوصي فعال شوند از جمله آنها به VegasDay مي توان اشاره كرد. اين تروجان ها بعد از تخريب مي توانند خود را نيز از ميان ببرند. بنابراين هيچگونه ردپايي از خود به جاي نخواهند داشت. 4- Denial Of Services (DoS) attack Trojans : اين گونه تروجان ها باعث كند شدن ارتباط ( Connection ) و ايجاد ترافيك بر روي خطوط اتصالي مي شوند ( هم ارتباط اينترنتي و هم ارتباط در شبكه داخلي ) اين تروجان ها كه انواع مختلفي دارند بعد از ورود به سيستم قرباني براي يك سرور خاص شروع به ارسال پي درپي درخواست ( Request ) و يا اطلاعات ( مثلا ايميل هاي خالي ) كنند كه با اين عمل موجب مي شوند سرور نتواند به درخواست واقعي كه از ديگركاربران و كامپيوترهاي ديگر ارسال مي شوند پاسخ وسرويس دهد به همين دليل سرور از كار مي افتد از جمله مي توان به Integrity checking و Tripwire و Jolt2 و Winnuck و معروفترين آنها به Win Trinoo اشاره كرد كه در فوريه سال 2000 ميليارد ها دلار به سايت هاي CNN و Amazon و E-trade خسارت وارد كرد. اينگونه تروجان ها به دليل ساختاري كه دارند قابل شناسايي براي Anti-Virus ها در هنگام اجرا نمي باشند. 5- Proxy Trojans : يكي از جالبترين نوع تروجان مي باشد كه كامپيوتر قرباني را به يك پراكسي سرور تبديل و آنرا با تمامي كاربران به اشتراك مي گذارد.بعد از فعال شدن اين تروجان كاربران و هكر ها مي توانند به يكي از پورت كامپيوتر ها Telnet‌ ‌ ‌ كرده و كنترل آن را به دست خود بگيرند از جمله اين تروجان ها مي توان به U4ME اشاره نمود. 6- FTP Trojans : اين تروجان به هكر دسترسي به فايل ها را از طريق پورت 21 توسط FTP Client را ميسر مي سازد كه مي توان به Evil FTP نام برد. 7- Security Software Disablers : در آخر اين گونه تروجان ها نرم افزار هاي امنيتي را از كار خواهد انداخت اغلب به صورت كرم هاي اينترنتي شناسايي مي شوند ولي به هيچ عنوان ويروس نبوده و ساختار متفاوتي با ويروسها دارند از جمله اين تروجان ها مي توان به Goner اشاره كرد كه در سال 2001 شناسايي گرديد. بر گرفته از : !!!! برای مشاهده محتوا ، لطفا ثبت نام کنید / وارد شوید !!!! samanvilli17-01-2008, 11:11 PMتروجان Pushdo-F Pushdo-F یک تروجان برای سیستم های ویندوزی است . با نصب این تروجان در سیستم آلوده فایل <System>drivers untime.sys نیز در کامپیوتر ایجاد می شود . فایل runtime.sys نیز همچون یک سرویس درایور جدید که "runtime" نامیده می شود در سیستم ثبت می شود . مدخل های زیر نیز در رجیستری ایجاد می شود : HKLMSYSTEMCurrentControlSetServices untime توصیه ها : 1 . به روز كردن آنتي ويروس 2.روش پاك سازي دستي توسط آنتي ويروس سوفوس براي Windows NT مدل 4.5x و Windows NT/2000/XP/2003 مدل 4.1x و پايين تر : براي حذف يك تروجان كارهاي زير را انجام دهيد : · همه ي برنامه هاي خود را ببنديد · مراحل Start|Programs| SophosAnti-Virus را بگذرانيد وبرنامه آنتي ويروس را اجرا كنيد · تب "Immediate" را انتخاب كنيد · به Options|Configuration رفته و تب "Disinfection" يا "Action" را انتخاب كرده سپس "Infected files" وبعد از آن "Delete" را انتخاب كنيد و در آخر "OK. را بزنيد · براي اجرا كردن پويش، "scan" يا دكمه "GO" را بزنيد · فايل هاي مورد نظر را پاك كنيد ، سپس يك پويش ديگر را اجرا كنيد تا مطمئن شويد پاك سازي صورت گرفته است · به Options|Configuration برگرديد و تب "Disinfection" يا "Action" انتخاب كرده سپس "Infected files" وبعد از آن "Delete" را انتخاب كنيد و در آخر "OK. را بزنيد · كاپيوتر را Reboot كرده و پويش نهايي را اجرا كنيد تا كاملا مطمئن شويد پاك ساري صورت گرفته است 3. روش پاك سازي به صورت دستي : ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد. پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد. در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد . براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه"""Export Registry File و در پنل""""Export range""""گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود. حال در مدخلHKEY_LOCAL_MACHINE رجيستري زير مدخل: HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon Userinit <System>userinit.exe,<System>MicrosoftMsmsgs.exe هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد. سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد. samanvilli17-01-2008, 11:14 PMکرم Autoit-F توضیحات : Autoit-F یک کرم برای سیستم های ویندوزی است . این کرم با اولین اجرا یک کپی از خود را در <System>Microsoftmsmsgs.exe قرار می دهد . مدخل زیر نیز در رجیستری ایجاد می شود تا Autoit-F بتواند اجرا شود : HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon Userinit <System>userinit.exe,<System>MicrosoftMsmsgs.exe همچنین این کد آلوده با تغییر مدخل های زیر نرم افزار سیستم را از کار می اندازد : HKCUSoftwareMicrosoftWindowsCurrentVersionPol iciessystem DisableTaskMgr 1 HKCUSoftwareMicrosoftWindowsCurrentVersionPol iciessystem DisableRegistryTools 1 مدخل های زیر نیز تغییر می کنند : HKCUSoftwareMicrosoftWindowsCurrentVersionPol iciesExplorer NoFind 1 HKCUSoftwareMicrosoftWindowsCurrentVersionPol iciesExplorer NoFolderOptions 1 HKCUSoftwareMicrosoftWindowsCurrentVersionExp lorerAdvanced Hidden 2 HKCUSoftwareMicrosoftWindowsCurrentVersionExp lorerAdvanced HideFileExt 1 HKCUSoftwareMicrosoftWindowsCurrentVersionExp lorerAdvanced ShowSuperHidden 0 HKCUSoftwareMicrosoftWindowsCurrentVersionExp lorerAdvanced SuperHidden 0 توصیه ها : 1 . به روز كردن آنتي ويروس 2.روش پاك سازي دستي توسط آنتي ويروس سوفوس براي Windows NT مدل 4.5x و Windows NT/2000/XP/2003 مدل 4.1x و پايين تر : براي حذف يك کرم كارهاي زير را انجام دهيد : · همه ي برنامه هاي خود را ببنديد · مراحل Start|Programs| SophosAnti-Virus را بگذرانيد وبرنامه آنتي ويروس را اجرا كنيد · تب "Immediate" را انتخاب كنيد · به Options|Configuration رفته و تب "Disinfection" يا "Action" را انتخاب كرده سپس "Infected files" وبعد از آن "Delete" را انتخاب كنيد و در آخر "OK. را بزنيد · براي اجرا كردن پويش، "scan" يا دكمه "GO" را بزنيد · فايل هاي مورد نظر را پاك كنيد ، سپس يك پويش ديگر را اجرا كنيد تا مطمئن شويد پاك سازي صورت گرفته است · به Options|Configuration برگرديد و تب "Disinfection" يا "Action" انتخاب كرده سپس "Infected files" وبعد از آن "Delete" را انتخاب كنيد و در آخر "OK. را بزنيد · كاپيوتر را Reboot كرده و پويش نهايي را اجرا كنيد تا كاملا مطمئن شويد پاك ساري صورت گرفته است 3. روش پاك سازي به صورت دستي : ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد. پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد. در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد . براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه"""Export Registry File و در پنل""""Export range""""گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود. حال در مدخلHKEY_LOCAL_MACHINE رجيستري زير مدخل: HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon Userinit <System>userinit.exe,<System>MicrosoftMsmsgs.exe هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد. سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد. samanvilli17-01-2008, 11:19 PMتروجان Agent-GMC توضیحات : Agent-GMC یک تروجان برای سیستم هیا ویندوزی است . توصیه ها : 1 . به روز كردن آنتي ويروس 2.روش پاك سازي دستي توسط آنتي ويروس سوفوس براي Windows NT مدل 4.5x و Windows NT/2000/XP/2003 مدل 4.1x و پايين تر : براي حذف يك تروجان كارهاي زير را انجام دهيد : · همه ي برنامه هاي خود را ببنديد · مراحل Start|Programs| SophosAnti-Virus را بگذرانيد وبرنامه آنتي ويروس را اجرا كنيد · تب ""Immediate"" را انتخاب كنيد · به Options|Configuration رفته و تب ""Disinfection"" يا ""Action"" را انتخاب كرده سپس ""Infected files"" وبعد از آن ""Delete"" را انتخاب كنيد و در آخر ""OK. را بزنيد · براي اجرا كردن پويش، ""scan"" يا دكمه ""GO"" را بزنيد · فايل هاي مورد نظر را پاك كنيد ، سپس يك پويش ديگر را اجرا كنيد تا مطمئن شويد پاك سازي صورت گرفته است · به Options|Configuration برگرديد و تب ""Disinfection"" يا ""Action"" انتخاب كرده سپس ""Infected files"" وبعد از آن ""Delete"" را انتخاب كنيد و در آخر ""OK. را بزنيد · كاپيوتر را Reboot كرده و پويش نهايي را اجرا كنيد تا كاملا مطمئن شويد پاك ساري صورت گرفته است samanvilli17-01-2008, 11:19 PMتروجان Inject-BX توضیحات : Inject-BX تروجانی برای سیستم های ویندوزی است . توصیه ها : 1 . به روز كردن آنتي ويروس 2.روش پاك سازي دستي توسط آنتي ويروس سوفوس براي Windows NT مدل 4.5x و Windows NT/2000/XP/2003 مدل 4.1x و پايين تر : براي حذف يك تروجان كارهاي زير را انجام دهيد : · همه ي برنامه هاي خود را ببنديد · مراحل Start|Programs| SophosAnti-Virus را بگذرانيد وبرنامه آنتي ويروس را اجرا كنيد · تب "Immediate" را انتخاب كنيد · به Options|Configuration رفته و تب "Disinfection" يا "Action" را انتخاب كرده سپس "Infected files" وبعد از آن "Delete" را انتخاب كنيد و در آخر "OK. را بزنيد · براي اجرا كردن پويش، "scan" يا دكمه "GO" را بزنيد · فايل هاي مورد نظر را پاك كنيد ، سپس يك پويش ديگر را اجرا كنيد تا مطمئن شويد پاك سازي صورت گرفته است · به Options|Configuration برگرديد و تب "Disinfection" يا "Action" انتخاب كرده سپس "Infected files" وبعد از آن "Delete" را انتخاب كنيد و در آخر "OK. را بزنيد · كاپيوتر را Reboot كرده و پويش نهايي را اجرا كنيد تا كاملا مطمئن شويد پاك ساري صورت گرفته است samanvilli17-01-2008, 11:21 PMکرم Eriv-A توضیحات : Eriv-A کرمی برای سیستم های ویندوزی است . این کرم با اولین اجرا یک کپی از خود را مسیر های زیر قرا می دهد : <CurrentFolder>sample1.exe <Root>Scan.pif <Windows>Check.exe <Windows>Desktop.com سپس فایل <Temp>~df1ac7.tmp را ایجاد می کند . مدخل های زیر نیز در رجیستری ایجاد می شوند تا Check.exe بتوان با آغاز سیستم اجرا شود : HKCUSoftwareMicrosoftWindowsCurrentVersionRun Check <Windows>Check.exe HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun Desktop <Windows>Desktop.com با تغییر مدخل های زیر نرم افزار سیستم را از کار می اندازد : HKCUSoftwareMicrosoftWindowsCurrentVersionPol iciesSystem DisableRegistryTools 1 HKCUSoftwareMicrosoftWindowsCurrentVersionPol iciesSystem DisableTaskMgr 1 مدخل های زیر نیز تغییر می کنند : HKCUSoftwareMicrosoftWindowsCurrentVersionPol iciesExplorer NoFind 1 HKCUSoftwareMicrosoftWindowsCurrentVersionPol iciesExplorer NoFolderOptions 1 HKCUSoftwareMicrosoftWindowsCurrentVersionExp lorerAdvanced Hidden 2 HKCUSoftwareMicrosoftWindowsCurrentVersionExp lorerAdvanced HideFileExt 1 HKCUSoftwareMicrosoftWindowsCurrentVersionExp lorerAdvanced ShowSuperHidden 0 توصیه ها : 1 . به روز كردن آنتي ويروس 2.روش پاك سازي دستي توسط آنتي ويروس سوفوس براي Windows NT مدل 4.5x و Windows NT/2000/XP/2003 مدل 4.1x و پايين تر : براي حذف يك تروجان كارهاي زير را انجام دهيد : · همه ي برنامه هاي خود را ببنديد · مراحل Start|Programs| SophosAnti-Virus را بگذرانيد وبرنامه آنتي ويروس را اجرا كنيد · تب ""Immediate"" و سپس درايو مورد نظر را انتخاب كنيد · به Options|Configuration رفته و تب ""Disinfection"" يا ""Action"" را انتخاب كرده سپس ""Infected files"" وبعد از آن ""Delete"" را انتخاب كنيد و در آخر ""OK. را بزنيد · براي اجرا كردن پويش، ""scan"" يا دكمه ""GO"" را بزنيد · فايل هاي مورد نظر را پاك كنيد ، سپس يك پويش ديگر را اجرا كنيد تا مطمئن شويد پاك سازي صورت گرفته است · به Options|Configuration برگرديد و تب ""Disinfection"" يا ""Action"" انتخاب كرده سپس ""Infected files"" وبعد از آن ""Delete"" را انتخاب كنيد و در آخر ""OK. را بزنيد · كاپيوتر را Reboot كرده و پويش نهايي را اجرا كنيد تا كاملا مطمئن شويد پاك ساري صورت گرفته است 3. روش پاك سازي به صورت دستي : ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد. پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد. در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد . براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه"""Export Registry File و در پنل""""Export range""""گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود. حال در مدخل HKEY_CURRENT_USERو HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي: HKCUSoftwareMicrosoftWindowsCurrentVersionRun Check <Windows>Check.exe HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun Desktop <Windows>Desktop.com هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد. سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد samanvilli17-01-2008, 11:22 PMکرم Vora-A توضیحات : <User>svfhost.exe یک کرم برای سیستم های ویندوزی است . این کرم با اولین اجرا یک کپی از خود را در <User>svfhost.exe قرار داده ، سپس فایل های زیر را ایجاد می کند : <Program Files>KaZaAMy Shared FolderAim.Hacker.zip <Program Files>KaZaAMy Shared FolderCounterstrike.Source.aimbot.zip <Program Files>KaZaAMy Shared FolderHotmail.Hacker.zip <Program Files>KaZaAMy Shared FolderMSN.Hacker.zip <Program Files>KaZaAMy Shared FolderUniversal-Keygen.zip <Program Files>KaZaAMy Shared FolderVirtua.Girl.Serial.Pack.wih.10.Girls-TorrentZ.zip <Program Files>KaZaAMy Shared FolderWindows.Activation.Crack.Final-ETH0.zip <Program Files>KaZaAMy Shared FolderWindows.Live.Messenger.Beta.Serial.Generato r-PARADOX.zip <Program Files>KaZaAMy Shared FolderXXX.Passes.Juli.2007.zip <Program Files>KaZaAMy Shared FolderXbox.Live.Serial.Generator.zip همچنین مدخل های زیر در رجیستری ایجاد می شوند تا svfhost.exe بتواند با آغاز سیستم اجرا شود : HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun Service Host Manager Windwos w32 <User>svfhost.exe توصیه ها: 1 . به روز كردن آنتي ويروس 2.روش پاك سازي دستي توسط آنتي ويروس سوفوس براي Windows NT مدل 4.5x و Windows NT/2000/XP/2003 مدل 4.1x و پايين تر : براي حذف يك تروجان كارهاي زير را انجام دهيد : · همه ي برنامه هاي خود را ببنديد · مراحل Start|Programs| SophosAnti-Virus را بگذرانيد وبرنامه آنتي ويروس را اجرا كنيد · تب ""Immediate"" و سپس درايو مورد نظر را انتخاب كنيد · به Options|Configuration رفته و تب ""Disinfection"" يا ""Action"" را انتخاب كرده سپس ""Infected files"" وبعد از آن ""Delete"" را انتخاب كنيد و در آخر ""OK. را بزنيد · براي اجرا كردن پويش، ""scan"" يا دكمه ""GO"" را بزنيد · فايل هاي مورد نظر را پاك كنيد ، سپس يك پويش ديگر را اجرا كنيد تا مطمئن شويد پاك سازي صورت گرفته است · به Options|Configuration برگرديد و تب ""Disinfection"" يا ""Action"" انتخاب كرده سپس ""Infected files"" وبعد از آن ""Delete"" را انتخاب كنيد و در آخر ""OK. را بزنيد · كاپيوتر را Reboot كرده و پويش نهايي را اجرا كنيد تا كاملا مطمئن شويد پاك ساري صورت گرفته است 3. روش پاك سازي به صورت دستي : ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد. پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد. در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد . براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه"""Export Registry File و در پنل""""Export range""""گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود. حال در مدخلHKEY_LOCAL_MACHINE رجيستري زير مدخلهاي: HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun Service Host Manager Windwos w32 <User>svfhost.exe هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد. سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد samanvilli17-01-2008, 11:23 PMتروجان Pushu-F توضیحات : Pushu-F یک تروجان برای سیستم های ویندوزی است . این تروجان زمانی که برای اولین بار اجرا می شود فایل <System>drivers untime.sys را در سیستم آلوده ایجاد می کند . این فایل همچون Troj/Pushu-Gen تشخیص داده می شود . همچنین فایل runtime.sys همچون یک سرویس درایور جدید که "runtime" نامیده می شود در کامپیوتر ثبت می شود . مدخل های زیر نیز در رجیستری ایجاد می شوند : HKLMSYSTEMCurrentControlSetServices untime HKLMSYSTEMCurrentControlSetEnumRootLEGACY_RUN TIME Pushu-F فایل <System>driverssecdrv.sys را با یک کپی از خودش جایگزین می کند . این فایل مانند Troj/Pushu-Gen تشخیص داده می شود . مدخل های زیر نیز در رجیستری ایجاد می شوند : HKLMSYSTEMCurrentControlSetServicesSecDrv HKLMSYSTEMCurrentControlSetEnumRootLEGACY_SEC DRV تروجان Pushu-F فایل <Root><random characters>.exe را که مانند Troj/Pushu-E تشخیص داده می شود را هم ایجاد می کند . توصیه ها : 1 . به روز كردن آنتي ويروس 2.روش پاك سازي دستي توسط آنتي ويروس سوفوس براي Windows NT مدل 4.5x و Windows NT/2000/XP/2003 مدل 4.1x و پايين تر : براي حذف يك تروجان كارهاي زير را انجام دهيد : · همه ي برنامه هاي خود را ببنديد · مراحل Start|Programs| SophosAnti-Virus را بگذرانيد وبرنامه آنتي ويروس را اجرا كنيد · تب "Immediate" را انتخاب كنيد · به Options|Configuration رفته و تب "Disinfection" يا "Action" را انتخاب كرده سپس "Infected files" وبعد از آن "Delete" را انتخاب كنيد و در آخر "OK. را بزنيد · براي اجرا كردن پويش، "scan" يا دكمه "GO" را بزنيد · فايل هاي مورد نظر را پاك كنيد ، سپس يك پويش ديگر را اجرا كنيد تا مطمئن شويد پاك سازي صورت گرفته است · به Options|Configuration برگرديد و تب "Disinfection" يا "Action" انتخاب كرده سپس "Infected files" وبعد از آن "Delete" را انتخاب كنيد و در آخر "OK. را بزنيد · كاپيوتر را Reboot كرده و پويش نهايي را اجرا كنيد تا كاملا مطمئن شويد پاك ساري صورت گرفته است 3. روش پاك سازي به صورت دستي : ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد. پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد. در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد . براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه"""Export Registry File و در پنل""""Export range""""گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود. حال در مدخلHKEY_LOCAL_MACHINE رجيستري زير مدخلهاي: HKLMSYSTEMCurrentControlSetServices untime HKLMSYSTEMCurrentControlSetEnumRootLEGACY_RUN TIME HKLMSYSTEMCurrentControlSetServicesSecDrv HKLMSYSTEMCurrentControlSetEnumRootLEGACY_SEC DRV هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد. سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد. samanvilli17-01-2008, 11:23 PMتروجان CashGrab-T توضیحات : CashGrab-T تروجانی برای سیستم های ویندوزی است . تروجان فایل <Root>xp2008.dat, را در سیستم آلوده ایجاد می کند . این فایل مانند خود CashGrab-T تشخیص داده می شود . همچنین فایل xpdata 2008.dat با ایجاد مدخل های زیر در رجیستری همچون یک شئ com و یک Browser Helper Object (BHO) برای اینترنت اکسپلورر ثبت می شود : HKCRCLSID{66F1FDE0-4A 1F-450B-A 654-EAD 08024C500} HKLMSOFTWAREMicrosoftWindowsCurrentVersionExp lorerBrowser Helper Objects{66F1FDE0-4A 1F-450B-A 654-EAD 08024C500} توصیه ها : 1 . به روز كردن آنتي ويروس 2.روش پاك سازي دستي توسط آنتي ويروس سوفوس براي Windows NT مدل 4.5x و Windows NT/2000/XP/2003 مدل 4.1x و پايين تر : براي حذف يك تروجان كارهاي زير را انجام دهيد : · همه ي برنامه هاي خود را ببنديد · مراحل Start|Programs| SophosAnti-Virus را بگذرانيد وبرنامه آنتي ويروس را اجرا كنيد · تب "Immediate" را انتخاب كنيد · به Options|Configuration رفته و تب "Disinfection" يا "Action" را انتخاب كرده سپس "Infected files" وبعد از آن "Delete" را انتخاب كنيد و در آخر "OK. را بزنيد · براي اجرا كردن پويش، "scan" يا دكمه "GO" را بزنيد · فايل هاي مورد نظر را پاك كنيد ، سپس يك پويش ديگر را اجرا كنيد تا مطمئن شويد پاك سازي صورت گرفته است · به Options|Configuration برگرديد و تب "Disinfection" يا "Action" انتخاب كرده سپس "Infected files" وبعد از آن "Delete" را انتخاب كنيد و در آخر "OK. را بزنيد · كاپيوتر را Reboot كرده و پويش نهايي را اجرا كنيد تا كاملا مطمئن شويد پاك ساري صورت گرفته است 3. روش پاك سازي به صورت دستي : ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد. پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد. در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد . براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه"""Export Registry File و در پنل""""Export range""""گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود. حال در مدخلHKEY_LOCAL_MACHINE و HKEY_CLASSES_ROOTرجيستري زير مدخلهاي: HKCRCLSID{66F1FDE0-4A 1F-450B-A 654-EAD 08024C500} HKLMSOFTWAREMicrosoftWindowsCurrentV سایت ما را در گوگل محبوب کنید با کلیک روی دکمه ای که در سمت چپ این منو با عنوان +1 قرار داده شده شما به این سایت مهر تأیید میزنید و به دوستانتان در صفحه جستجوی گوگل دیدن این سایت را پیشنهاد میکنید که این امر خود باعث افزایش رتبه سایت در گوگل میشود

این صفحه را در گوگل محبوب کنید

[ارسال شده از: سایت ریسک]

[مشاهده در: www.ri3k.eu]

[تعداد بازديد از اين مطلب: 2070]