آلودگی ویندوز XP MRT به تروجان Backdoor.CWZ

[lord_viper]

یکی از شرکتهای معروف توزیع نرم افزار در کشور MRT است که البته ویندوز توزیع شده توسط این شرکت در بین کاربران ایرانی از محبوبیت خاصی برخوردار است و بسیاری این ویندوز را نصب کرده اند و حتی از آن راضی هم هستند.

اما اخیرا خبر رسیده است که این ویندوز به تروجان Backdoor.CWZ آلوده است و بنظر میرسد آلودگی این ویندوز به تروجان "بک دور سی دابلیو زد " از روی غفلت نبوده بلکه با توجه به خصوصیات و اعمالی که این تروجان انجام می دهد و همچنین پوشه ای که تروجان در آن قرار میگیرد(MRT Win2Farsi )کاملا عمدی است و ظاهرا دست اند کاران این شرکت قصد داشتند یه حال حسابی با این افراد بیچاره ای که این ویندوز را نصب کرده بودند بکنند.

این تروجان که میزان خطر آن "High" لحاظ شده ، اجازه دسترسی راه دور به سیستم شما بدون اطلاع کاربر را می دهد !

این تروجان اولین بار در اکتبر 2006 مشاهد شده و آخرین نسخه از آن مربوط به ماه مارس 2008 است .
در صورتیکه از ویندوز محصول ام آر تی را بر روی سیستم خود نصب کرده اید به مسیر C:\Program Files\MRT Win2Frasi رفته و در این پوشه در صورت وجود فایل Garmaseh.exe ، سیستم شما آلوده به این تروجان است.

نکته جالب توجه اینکه من این تروجان را با Kaspersky 7.0 و همچنین Nod32 که هردو آپدیت 3 آوریل 2008 بودند اسکن کردم و هیچکدام از ایندو موفق به شناسایی آن نشدند اما وقتی با آنتی ویروس بیت دیفندر BitDefender10 سیستم را اسکن کردم قادر به شناسایی این تروجان شدم و همچنین AVG 8.0 نیز موفق به شناسایی این تروجان شد .
AVG این تروجان را بانام Backdoor.BZD میشناسد .

نکته جالب عدم شناسایی این تروجان توسط سه آنتی ویروس معروف یعنی Kaspersky , McAfee ,Nod32
میباشد .
در دی وی دی عرضه شده توسط MRT بیش از 30 فایل آلوده به این ویروس وجود دارد .

طریقه حذف‌:

1. به مسیر C:\Program Files\MRT Win2Frasi رفته و فایل Garmaseh.exe را حذف کنید .

2. به پوشه C:\Windows\Temp‌ رفته و در آن فایل Winmrt.exe‌را حذف نمائید .

3. همچنین در صورت وجود فایل Garmaseh.exe در مسیر زیر


C:\WINDOWS\system32\GroupPolicy\Machine\Scripts\Shutdown

این فایل را حذف کنید .

4. به ویرواش رجیستری رفته (با درج regedit در پنجره Run) و در مسیر زیر

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache

متغیر

C:\Program Files\MRT Win2Farsi.com\Garmaseh.exe

را حذف کنید

[veyskarami]

  ejrqjn.zip (اندازه: 2.36 KB / تعداد دفعات دریافت: 41)

کد:

Access Mode: Kernel (Ring0)
File Infection: Yes
Install Driver: Yes
Remote Access:Yes
Install Service:Yes
Kill Files:No
Service Name: aic32p
Execute Programs: 'TELNET.EXE' , 'NOTEPAD.EXE'
HIDEEN MODE:YES
SERVICE PATH:\??\C:\Windows\System32\Drivers\[Random name].sys
Registry Imported:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aic32p
AVS Disabler:Yes
Kill Process:Yes

[cureit],[drweb],[onlinescan],[spywareinfo],[ewido.],[virusscan],[windowssecurity],[spywareguide],[bitdefender],[pandasoftware],[agnmitum],[virustotal],[sophos],[trendmicro],[etrust.co],[symantec],[mcafee],[f-secure],[Nod32],[kaspersky],[OnfDer].

Worm Type:Yes
Driver Size:8192 Bytes
RISK:HIGH
Finded strings in driver:
http://www.kjwre9fqwieluoi.info
http://kukutrustnet777.info
http://kjwre77638dfqwieuoi.info
and more...

  ejrqjn.zip (اندازه: 2.36 KB / تعداد دفعات دریافت: 41)