ويروس W32/Nahkos.E.worm نامگذاری پاندا یا TR/Crypt.CFI.Gen نامگذاری آنتی وایر كه با ايجاد فايلي به نام Kazme__gheyz.exe در تمامي درايوها شناخته مي شود اخيرا با تغييراتي دروني مجددا انتشار يافته است . اين ويروس توسط يك ايراني ساخته شده
تقريبا تمامي انتي ويروسهاي معروف (به جز Panda و Avira ****Vir ) از شناخت و حذف كامل اين ويروس عاجزند .
نسخه قبلی این ویروس که با نام P2P-Worm.Win32.Malas.d شناخته میشد در حال حاضر تقریبا توسط تمام آنتی ویروسهای معروف قابل شناسایی و حذف است .
آنتی ویروس Panda هر دو نسخه جدید و قبلی را با نام W32/Nahkos.E.worm می شناسد .
با نگاهي به نتيجه بررسي و اسكن فايل Kazme__gheyz.exe توسط لابراتوار VirusTotal متوجه خواهيد شد كه Kaspersky Internet Security , McAfee , Bitdefender , Nod32 و همچنين AVG قادر به شناسايي اين فايل آلوده نيستند !
اين ويروس دقيقا مانند ويروس مالاس (يا سالدوست) در كليه درايوها كامپيوتر فايلي به نام Autorun.inf ايجاد مي كند و با دابل كليك روي هر درايو مجددا فعال و اجرا مي شود .
در صورتیکه این دو فایل را حذف کنیم در عرض چند ثانیه مجددا ایجاد می شود و دوباره نسخه ای از خود را در کلیه درایوها کپی می کند !
همچنین به محض اتصال فلش دیسک یا کارت مموری به سیستم ، نسخه اي از ویروس به این حافظه ها منتقل می شوند .
از جمله نکات جالبی که در مورد این ویروس باید به آن اشاره کردن اینست که به محض اجرا شدن در سیستم ، آنتی ویروس موجود در سیستم را ازکار می اندازد .
من فایل Kazme__gheyz.exe را در سیستم خودم که روی آن NOD32 آپدیت شده نصب بود ، اجرا کردم و با کمال تعجب نه تنها NOD32 نتوانست این ویروس را شناسایی کند بلکه سیستم پس از چند لحظه ری استارت شد و NOD32 نیز كاملا از کار افتاد ! و با اجرای مجدد آن با پیام زیر مواجه شدم :
همچنين بر روي سيستم ديگري كه كسپرسكي اينترنت سكيوريتي 7 آپديت شده نصب بود نيز اين ويروس موجب از كارافتادن ويروس كش شد !
فايل Autorun.inf ايجاد شده توسط اين ويروس (Malas.D.1 ) تقريبا توسط همه آنتي ويروسها شناخته ميشود ولي بدليل ذخيره فايلهاي پشتيبان اين ويروس در مسيرهاي مختلف سيستم ، اين فايل نيز مجددا ايجاد مي شود .
توجه كنيد كه تمام فايلهاي ايجاد شده توسط اين ويروس خصوصيت مخفي (Hidden) و سيستمي (System) دارند و در حالت عادي قابل مشاهده نيستند .
نكته : براي مشاهد كليه فايلهاي مخفي و همچنين سيستمي ميبايست وارد My computer شده و به مسير زير برويد :
Tools=>Folder Option=>View
سپس گزينه Show Hidden Files And folders را تيكدار
و گزينه Hide Protected Operating System Files را از حالت انتخاب خارج نماييد .
برای حذف کامل نسخه جدید این ویروس ( كه 65 كيلوبايت حجم دارد ) بهترین توصیه من استفاده از آنتی ویروس Avira ****vir میباشد ( البته باید بروز شده باشد ).
اما نسخه جدید به جز کپی فایل Kazme__gheyz.exe و Autorun.inf در کلیه درایوها ، دو فایل با نام Service.exe و FSP32.exe را در Windows\System32 و نيز فايلي با نام Virus.exeرا در پوشه Windows ايجاد می کند .
لذا هربار که فایلها را از درایوها پاک کنید ، دوباره ایجاد می شوند .
در بعضي از سيستمها فايل ديگري نيز در مسير windows\system32\drivers توسط اين ويروس ايجاد مي شود كه باز 65 كيلوبايت است و hideproc.sys نام دارد اما با نام TR/Click.VB.QJ.9 كه يك نوع تروجان است شناخته مي شود (نامگذاري آنتي واير)
اين ويروس همچنين در رجيستري ويندوز در مسير
کد:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
متغيري به نام Shell ايجاد مي كند كه موجب مي شود تا با هربار اجراي Explorer.exe اين ويروس مجددا ايجاد و فعال گردد.
این ویروس صفحه خانگی و شروع (HomePage) اینترنت اکسپلورر را به آدرس کد: [فقط كسانی ميتوانند لينكها را مشاهده كنند كه عضو سايت باشند. ]
که آدرس یکی از توزیع کنندگان ایرانی این تروجان است تغییر می دهد .
با حذف فايلهاي گفته شده و همچنين حذف مسير رجيستري فوق ويروس ازبين مي رود .
نکته بسیار مهم : در طی انجام عمل پاکسازی هیچ درایوی را با دابل کلیک باز نکنید و تنها از طریق نوشتن نام درایو به همراه دونقطه در پنجره RUN درایو مورد نظر را باز کنید .
ابتدا به قسمت search بروید و دنبال regedit.exe و taskmgr.exe بگردید و بعد نام انها را اینطور تغییر دهید . regedit1.exe و taskmgr1.exe
سپس taskmgr1.exe را اجرا کنید و در تب proccesses به دنبال پروسه ای به نام kazm_gheyz ... یا چیزی شبیه به ان بگردید بعد end proccess را بزنید تا بسته شود .
mycomputer را باز کنید و از منوی tools گزینه folder options ا انتخاب کنید و به تب view برید و تیک show hidden files and folders را بزارید و تیک دو تا گزینه پایینیش که با hide شروع میشه را بردارید و apply کنید
از داخل تمام درایوهاتون دو فایل kazm_gheyz.exe و autorun.info را پیدا و پاک کنید (shift - delete )
نحوه پاک کردن ویروس autorun.info را در ابتدای اموزش ذکر کرده ام .
حالا فایل regedit1 را اجرا کنید و از منوی edit گزینه find را انتخاب کنید و کلمه kazm را سرچ کنید هرجا که پیدا شد کلید delete را بزنید و پاک کنید برای یافت گزینه بعدی F3 را بزنید و بازهم پاک کنید تا همه رجیستری از این نام پاک شود
به internet explorer بروید و از منوی tools گزینه internet options را انتخاب کنید و home page را روی use blanked بزنید
اگه ویروس از بین نرفت این کارها را چند بار تکرار کنید تا دیگر اثری از ان باقی نماند .
این هم انتی ویروسی هایی که این ویروس را از بین می برند
[فقط كسانی ميتوانند لينكها را مشاهده كنند كه عضو سايت باشند. ]
[فقط كسانی ميتوانند لينكها را مشاهده كنند كه عضو سايت باشند. ]
[فقط كسانی ميتوانند لينكها را مشاهده كنند كه عضو سايت باشند. ]
----------------------------------------------------------------------------------------------------------------------
لحظه های سوخته ام را به باد میسپارم..
قول میدهم این نخ ِ آخر باشد ؛
اگر تو بیایی..
ویرایش توسط Saman007spy : 17th September 2008 در ساعت 12:10 AM.
3 کاربر از شما به خاطر پست مفیدتان تشکر کرده اند :
روش خرید: برای خرید پس از کلیک روی
دکمه زیر و تکمیل فرم سفارش، ابتدا محصول مورد نظر را درب منزل یا
محل کار تحویل بگیرید، سپس وجه کالا و هزینه ارسال را به مامور پست
بپردازید. جهت مشاهده فرم خرید، روی دکمه زیر کلیک کنید.
دانلود تولبار جی تاک
