انالیز ویروس autoplay

[Loyal]

من یه برنامه میشناسم که وقتی روی سیستمتون نصب کنین هر Flash یا RAM که به کامپیوترتون وصل می کنین چک می کنه که آیا فایل Autorun.inf داره یا نه؟
ضمناً همه فایل هایی که به انتشار ویروس کمک می کنن رو هم میشناسه که یکیش همون smss.exe هست که lord_viper عزیز گفته بود.
خودم هم این فایل هارو پیدا کرده بودم ولی نمیشد پاکشون کرد. ولی آخر متوسل به چند تا برنامه شدم که خیلی کمکم کرد.

برنامه ها رو اگه دوست داشتین آپلود می کنم و همراه توضیحات میزارم تا دانلود کنین. خیلی به درد من خورده. الآن من بین دوستان و فامیل به ویروس کش معروف شدم (بخاطر ابزار کاری که دارم).

[Payman62]

من یه برنامه میشناسم که وقتی روی سیستمتون نصب کنین هر Flash یا RAM که به کامپیوترتون وصل می کنین چک می کنه که آیا فایل Autorun.inf داره یا نه؟
ضمناً همه فایل هایی که به انتشار ویروس کمک می کنن رو هم میشناسه

سلام.
اسم این برنامت آنتی ویروس نیستش؟

[Loyal]

نه. آنتی ویروس نیست. اسمش اینه: Autorun Virus Remover

[Mr.pRoGraMmer]

شما که اصلاً تيکه ننداختی
فعلاً نياز نيست کسی قربونم بره يا فدام شه منم بزرگ نيستم ادام های بزرگ کارای بزرگ انجام ميدن
دوست عزيز قصد توهين نداشتم فقط يه انتقاد بود
شما هم که حرفت رو زدی که بهم ربط نداره منم گفتم چشم ديگه کشش نده

سلام
اینطوری که من دیدم و خوندم یه جور توهین بود بخدا من این ویروس را به یه کاربر ایرانی ندادم فقط همینجا تو ایران ویج و تو سایت خودم به قول شما بمب یه اتفاقی هم افتاد دیگه ولش کردم برنامه های مفید تا دلت بخواد ساختم تو ایران قانونی به اسم کپی رایت نداریم وقتی دیگه یه ویندوز 800 دلاری تو ایران 1000 تومانه دیگه ادم روش نمیشه برنامه بسازه هر برنامه هم که بخوای با کرک پیدا میکنی loyal1365 دوست عزیز فایل autorun.inf باید از رجیستری غیر فعالش کرد دیگه کار ویروسها بسیار سخت میشه نیازی به انتی نیست

[lord_viper]

نوشتن یه usb guard مثل اب خوردنه من هیچ انتی رو سیستمم ندارم چون یکی از اینها نوشتم وقتی شما یه چیز جدید به سیستم اضافه میکنین که به عنوان hardware جدید شناخته میشه یه message WM_DEVICECHANGE به همه پنجره ها فرستاده میشه شما میتونین یه برنامه بنویسین که فرستاده شده این پیغام به پنجرتونو چک کنه و وقتی این پیغام دریافت شد چک کنین که ایا به درایوهاتون یه درایو removable اضافه شده یا نه و اگه اضافه شده بود با توابع findfirst و findnext توش دنبال فایل AUTURUN.INF بگردین اونو باز کنین RUN رو پیدا کنین و مقادیر جلوش رو -1 حرف کپی کینین که میشه ادرس فایل ویروس حالا هر 2 تا رو پاک کنین
به همین راحتیه

[Mr.pRoGraMmer]

بنطر من از همون رجیستری غیر فعالش کنی بهتره

[Loyal]

loyal1365 دوست عزیز فایل autorun.inf باید از رجیستری غیر فعالش کرد دیگه کار ویروسها بسیار سخت میشه نیازی به انتی نیست

این هم خوبه ولی بعضی مواقع همین autorun.inf به یه دردهایی هم میخوره.

من برای تغییر شکل فلش خودم ازش استفاده می کنم. ضمناً برنامش زیاد سنگین نیست که مثل آنتی ویروس سرعت رو پایین بیاره.

لینکشو میزارم تا هرکسی خواست، دانلود کنه. این به درد اون موقعی می خوره که [گوش شیطون کر] یکی از فایل های سیستمی با ویروس درگیر شده باشه. اونوقت این برنامه است که با ویروسه درگیر میشه، نه شما. مجبور که نیستین به خاطر کارهای به این کوچیکی وقت خودتون رو تلف کنین.

Autorun Virus Remover
حجم برنامه : 1.23 مگابایت

چند تا عکس هم از محیط خود برنامه گرفتم که میزارم تا ببینین:

[Payman62]

سلام.
لویال منظور من این بود وقتی این همه آنتی ویروس ریخته بیرون نیازی به آنتی اتوران نیست. چون آنتی ویروس ها یه بخش کوچیک از کارشون چک کردن اتوران ها و متوقف کردنشونه. حالا علاوه بر اتوران کارایی خیلی بیشتری هم دارن که خودت میدونی.

مبین چرا این قدر خودتو اذیت میکنی. چرا آنتی نصب نمیکنی؟ اگه سیستمت کند میشه که بحثش جداست. ولی میدونی که ویروس فقط از طریق فلش وارد سیستم نمیشه. وارد سایت ها هم که بشی اجرای بعضی اسکریپت ها میتونه خطرناک باشه. حالا هر چند میشه جاوا اسکریپت رو دیس کرد ولی خوب اینم خودش یه مشکله. بهتره enable باشه و آنتی خودش کدهای مخرب رو کنترل کنه. یا بعضی باگ ها تو بعضی برنامه ها هم میتونه باعث اجرای کدهای خطرناک بشه.
شاید من و شما بتونیم دستی ویروس ها رو شناسایی و از هستی ساقطشون کنیم. ولی برای احتیاط وجود یه آنتی هم بد نیست.

[Loyal]

کار این برنامه اینه که لیست فایل های مخرب و فایل های در معرض تخریب رو داره و خودش کارهارو انجام میده.
معمولاً این فایل ها که منتشر کننده ویروس هستند خودشون مثل ویروس شناسایی نمیشن. بیشتر ویروس کش ها هم فقط از روی خود فایل Autorun.inf اینو می فهمن.
اگر به تصویر دوم نگاه کنین فهمین کدوم فایل ها رو میگم. (البته من در حدی نیستم که بخوام به شما توصیه بکنم ولی چون میدونم خیلی کاربرد داره اینو میگم.)

[Mr.pRoGraMmer]

من یه ویندوز بود xp سفارشی درست میکردم واسه دوستان از قبل کاری میکردم که فایل autorun.inf را غیر فعال میکردم با اجرای این کار جلوی ویروسها را میگرفتم اون برنامه که شما میگید اخر یه مقدار از حافظه رم و پردازشگز را میگیره بعد گفتی autron.infبه یه دردهایی هم میخوره اره درسته اما به ریسکش میارزه؟
[autorun]
open=Autorun.exe
icon=Adobe CS3.part1.exe
میاد این autorun.inf فایل اجرایی Autorun.exe را باز میکنه اینو خوب یه کاربر هم میتونه دستی پیدا کنه و اجراش کنه

---

اینم غیر فعال کردن autorun.inf یه notepad باز میکند کد زیر را داخل ان paste میکنید

کد php:

REGEDIT4 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] 
@="@SYS:DoesNotExist" 


بعد ان را به اسم مثلان disable autorun.reg سیو کن حتما پسوند فایل reg باشه

[Loyal]

من این آیکن رو برای فلش خودم انتخاب کردم تا وقتی اون رو به کامپیوتر دیگه ای وصل می کنم متوجه بشم که ویروسی شده یا نه. چون برای اینکه ویروس رو اجرا کنه باید اول فایل Autorun.inf خودشو به جای فایل من بذاره. و با این کار آیکن فلش عوض میشه و میفهمم که کامپیوتر طرف ویروسیه.

یه چیز دیکه، برای باز کردن درایو هایی که فایل Autorun.inf حاوی ویروس در اونها وجود داره فکر کنم بشه از طریق نوار آدرس هم اقدام کرد. و دیگه نیازی به explorer یا نوشتن آدرس درایو نیست. این روش راحت تره...