۱۸-شهریور-۱۳۸۷, ۲۳:۵۵:۲۶
یکی از شرکتهای معروف توزیع نرم افزار در کشور MRT است که البته ویندوز توزیع شده توسط این شرکت در بین کاربران ایرانی از محبوبیت خاصی برخوردار است و بسیاری این ویندوز را نصب کرده اند و حتی از آن راضی هم هستند.
اما اخیرا خبر رسیده است که این ویندوز به تروجان Backdoor.CWZ آلوده است و بنظر میرسد آلودگی این ویندوز به تروجان "بک دور سی دابلیو زد " از روی غفلت نبوده بلکه با توجه به خصوصیات و اعمالی که این تروجان انجام می دهد و همچنین پوشه ای که تروجان در آن قرار میگیرد(MRT Win2Farsi )کاملا عمدی است و ظاهرا دست اند کاران این شرکت قصد داشتند یه حال حسابی با این افراد بیچاره ای که این ویندوز را نصب کرده بودند بکنند.
این تروجان که میزان خطر آن "High" لحاظ شده ، اجازه دسترسی راه دور به سیستم شما بدون اطلاع کاربر را می دهد !
این تروجان اولین بار در اکتبر 2006 مشاهد شده و آخرین نسخه از آن مربوط به ماه مارس 2008 است .
در صورتیکه از ویندوز محصول ام آر تی را بر روی سیستم خود نصب کرده اید به مسیر C:\Program Files\MRT Win2Frasi رفته و در این پوشه در صورت وجود فایل Garmaseh.exe ، سیستم شما آلوده به این تروجان است.
نکته جالب توجه اینکه من این تروجان را با Kaspersky 7.0 و همچنین Nod32 که هردو آپدیت 3 آوریل 2008 بودند اسکن کردم و هیچکدام از ایندو موفق به شناسایی آن نشدند اما وقتی با آنتی ویروس بیت دیفندر BitDefender10 سیستم را اسکن کردم قادر به شناسایی این تروجان شدم و همچنین AVG 8.0 نیز موفق به شناسایی این تروجان شد .
AVG این تروجان را بانام Backdoor.BZD میشناسد .
نکته جالب عدم شناسایی این تروجان توسط سه آنتی ویروس معروف یعنی Kaspersky , McAfee ,Nod32
میباشد .
در دی وی دی عرضه شده توسط MRT بیش از 30 فایل آلوده به این ویروس وجود دارد .
طریقه حذف:
1. به مسیر C:\Program Files\MRT Win2Frasi رفته و فایل Garmaseh.exe را حذف کنید .
2. به پوشه C:\Windows\Temp رفته و در آن فایل Winmrt.exeرا حذف نمائید .
3. همچنین در صورت وجود فایل Garmaseh.exe در مسیر زیر
C:\WINDOWS\system32\GroupPolicy\Machine\Scripts\Shutdown
این فایل را حذف کنید .
4. به ویرواش رجیستری رفته (با درج regedit در پنجره Run) و در مسیر زیر
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache
متغیر
C:\Program Files\MRT Win2Farsi.com\Garmaseh.exe
را حذف کنید
اما اخیرا خبر رسیده است که این ویندوز به تروجان Backdoor.CWZ آلوده است و بنظر میرسد آلودگی این ویندوز به تروجان "بک دور سی دابلیو زد " از روی غفلت نبوده بلکه با توجه به خصوصیات و اعمالی که این تروجان انجام می دهد و همچنین پوشه ای که تروجان در آن قرار میگیرد(MRT Win2Farsi )کاملا عمدی است و ظاهرا دست اند کاران این شرکت قصد داشتند یه حال حسابی با این افراد بیچاره ای که این ویندوز را نصب کرده بودند بکنند.
این تروجان که میزان خطر آن "High" لحاظ شده ، اجازه دسترسی راه دور به سیستم شما بدون اطلاع کاربر را می دهد !
این تروجان اولین بار در اکتبر 2006 مشاهد شده و آخرین نسخه از آن مربوط به ماه مارس 2008 است .
در صورتیکه از ویندوز محصول ام آر تی را بر روی سیستم خود نصب کرده اید به مسیر C:\Program Files\MRT Win2Frasi رفته و در این پوشه در صورت وجود فایل Garmaseh.exe ، سیستم شما آلوده به این تروجان است.
نکته جالب توجه اینکه من این تروجان را با Kaspersky 7.0 و همچنین Nod32 که هردو آپدیت 3 آوریل 2008 بودند اسکن کردم و هیچکدام از ایندو موفق به شناسایی آن نشدند اما وقتی با آنتی ویروس بیت دیفندر BitDefender10 سیستم را اسکن کردم قادر به شناسایی این تروجان شدم و همچنین AVG 8.0 نیز موفق به شناسایی این تروجان شد .
AVG این تروجان را بانام Backdoor.BZD میشناسد .
نکته جالب عدم شناسایی این تروجان توسط سه آنتی ویروس معروف یعنی Kaspersky , McAfee ,Nod32
میباشد .
در دی وی دی عرضه شده توسط MRT بیش از 30 فایل آلوده به این ویروس وجود دارد .
طریقه حذف:
1. به مسیر C:\Program Files\MRT Win2Frasi رفته و فایل Garmaseh.exe را حذف کنید .
2. به پوشه C:\Windows\Temp رفته و در آن فایل Winmrt.exeرا حذف نمائید .
3. همچنین در صورت وجود فایل Garmaseh.exe در مسیر زیر
C:\WINDOWS\system32\GroupPolicy\Machine\Scripts\Shutdown
این فایل را حذف کنید .
4. به ویرواش رجیستری رفته (با درج regedit در پنجره Run) و در مسیر زیر
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache
متغیر
C:\Program Files\MRT Win2Farsi.com\Garmaseh.exe
را حذف کنید