از بین بردن ویروس ضد انقلاب (saldost)

[Rink8]

اين ويروس جديد که نوع Worm مي باشد، پس از ورود از طريق اينترنت به بدرون کامپيوتر اثرات زيادي را در رجيستري ويندوز و همچنين فايلهاي آن ايجاد مي کند. چون هنوز اطلاعات (لااقل تا امروز) آن در اختيار ويروسيابهاي غيرايراني قرار نگرفته است، لذا براي از بين بردن آن دو راه داريد، يکي که ويروسيابهاي ايراني مثل ايمن بخريد يا اينکه بصورت دستي اونرو بکشيد.
روش دوم (که تست شده و تضمينيه)، فقط هزينه زمان داره ولي قابل انجامه براي استفاده از اين روش به ادامه مطلب رجوع کنيد .

يک ويروس ديگه که الان شايست اون هم ايرانيه، اسمش هست Kazme_gheyz رو ميشه بروش دستي از بين برد، که خيلي هم سادست. روشش رو بعدا خواهم گفت.

پاک کردن ویروس ضد انقلاب از سیستم

کرم W32/Saldost.b

این کرم اینترنتی که ایرانی بوده و پس از اجرای فایل آن بر روی سیستم کاربر، ابتدا خودش را به صورت زیر بر روی سیستم کپی مینماید:

%TEMP%\svchost.exe
%PROGRAMFILES%\Sound Utility\Soundmax.exe
%PROGRAMFILES%\Common Files\Microsoft Shared\MSshare.exe
%WINDIR%\Web\OfficeUpdate.exe

در صورتی که داخل نام فایل اجرایی کلمه ScreenSaver وجود داشته باشد پیامی به شکل زیر نمایش میدهد.

The application failed to initialize properly (0x0000005). Click on OK to terminate the application.

سپس فایل خود با نام svchost.exe در مسیر %TEMP% را اجرا کرده و برای اینکه با هر بار راهاندازی سیستم آلوده به طور خودکار اجرا گردد، خود را به شکل زیر در رجیستری ثبت مینماید:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SoundMax = %PROGRAMFILES%\Sound Utility\Soundmax.exe

سپس کلیدهایی در رجیستری را به شکل زیر تغییر میدهد:

HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced
Hidden = 2
HideFileExt = 2

ShowSuperHidden = 2
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer
Nofolderoptions = 1

HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer
Nofolderoptions = 1

HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
DisableConfig = 0
DisableSR = 1

تغییرات فوق باعث بروز مشکلاتی از جمله باز نشدن FolderOption و مخفی نگه داشتن فایلهای مخفی میگردد که برای برطرف کردن این مشکلات میتوانید برنامه زیر را از سایت ایمن دانلود کرده و رجیستری خود را پاکسازی نمایید:

همچنین کلید IsShortCut را از مسیرهای زیر در رجیستری پاک میکند:

HKEY_CLASSES_ROOT\lnkfile
HKEY_CLASSES_ROOT\piffile
HKEY_CLASSES_ROOT\InternetShortcut

و کلیدی با نام Wintek در مسیر زیر ایجاد میکند:

HKEY_CURRENT_USER\Software\

و کلید زیر را در آن ایجاد مینماید:

Install = b2ed3 (Dword ? Value is in hex)

بعد از انجام کارهای فوق تمام برنامه های موجود در زمانبند ویندوز (دستور at) را پاک کرده و با استفاده از زمانبند ویندوز فایل خود را که با نام OfficeUpdate.exe در مسیر WINDIR%\Web% وجود دارد هر روز در ساعات 11:30 و 20:30 اجرا مینماید.

یکی دیگر از کارهای این کرم این است که خود را در مسیرهای زیر با نامهای فریبنده کپی میکند و از آنجایی که برخی از این مسیرها مخصوص برنامههای شبکههای اشتراک گذاری فایل (یا P2P) هستند، با این کار امکان انتشار آن در سراسر دنیا از طریق اینگونه برنامه ها فراهم میگردد:

%PROGRAMFILES%\Kazaa Lite\My Shared Folder\
%PROGRAMFILES%\Kazaa\My Shared Folder\
%PROGRAMFILES%\Icq\Shared Files\
%PROGRAMFILES%\emule\incoming\
%PROGRAMFILES%\Gnucleus\Downloads\Incoming\
%PROGRAMFILES%\KMD\My Shared Folder\
%PROGRAMFILES%\Limewire\Shared\
%PROGRAMFILES%\XPCode\
C:\Inetpub\ftproot\

به علاوه در مسیرهایی که در آنها فایلهای از نوع MP3 ، JPG یا EXE وجود داشته باشد، خود را با نام zfile.exe کپی میکند. همچنین خود را با نام setup.exe و setlib.exe در مسیرهای زیر کپی میکند:

\WINDOWS\system32\config\systemprofile\My Documents\
\WINDOWS\system32\config\systemprofile\Start Menu\Programs\
\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Accessories\

\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Accessories\Entertainment\

\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\...

\WINDOWS\system32\drivers\
\WINDOWS\system32\spool\drivers\
\WINDOWS\system32\spool\drivers\w32x86\3\

این کرم برای اینکه بتواند خود را درون شبکه تکثیر کند، کامپیوترهای موجود در آن را جستجو کرده و با استفاده از درایوهای به اشتراک گذاشته شده، سعی میکند خودش را به شکل زیر بر روی آن سیستمها کپی کند:

C$\Documents and Settings\All Users\Start Menu\Programs\Startup\AdobeUpdate.exe

این کار باعث میشود که پس از راهاندازی آن سیستمها، ویروس به طور خودکار اجرا شده و عملیات تکثیری خود را بر روی آنها انجام دهد.

از جمله کارهای جالب این ویروس این است که خودش را در ریشه همه درایوها با نام autoply.exe کپی کرده و در کنار آن فایلی با نام Autorun.inf ایجاد میکند. این عمل باعث میشود که هر گاه کاربر بخواهد به هر شکلی وارد هر درایوی شود، فایل مربوط به کرم اجرا گردد. نوع Autorun ایجاد شده به گونهایست که اگر فایل autoply.exe که خود کرم است از روی سیستم پاک شده ولی فایل Autorun.inf باقی بماند، با دوبار کلیک کردن بر روی نام درایو پنجره Open with نمایش داده میشود و کاربر نمیتواند وارد درایو شود. در این حالت با کلیک راست نمودن بر روی نام درایو و انتخاب گزینه Open نیز نمیتوان وارد درایو شد.

این کرم فایلی با نام Important.htm را در مسیرهای زیر بر روی سیستم کاربر کپی مینماید که حاوی جملاتی به زبان فارسی است:

%USERPROFILE%\Desktop\
%USERPROFILE%\My Documents\

همان جملات را درون فایلی با نام print.txt در مسیر %TEMP% کپی کرده و بعد آن اجرا میکند.

در انتها میانبر (Shortcut) های برنامه های Paint و Calculator و Notepad و Cmd را به گونه ای تغییر می دهد که قبل از اجرای برنامه اصلی ویروس اجرا شود که بعد از پاکسازی میانبر برنامه اصلی اجرا نمیشود

یکی از نشانه های ویروس به نمایش درآوردن نواری زرد رنگ در بالای صفحه همراه با جملاتی فارسی با رنگ قرمز است

[k3i1]

سلام:
دوست عزيز لطفا اطلاعات خود را بروز كنيد:
http://www.virustotal.com/analisis/ac0cc...d0b15a137d
تشكر.

[veyskarami]

http://forum.iranled.com/showthread.php?...ht=saldost
http://forum.iranled.com/showthread.php?...azme_gheyz