از ویروس ها چه خبر؟

[shotor]

واقعا عالیه
دستت درد نکنه
لطفا ادامه بده  :smile:

[arnh]

سلام

امروز وقتی خبردار شدم که یکی از بچه های قدیمی ایرانویج با آی دی جدید اومده به سایت خیلی خوشحال شدم.

و همون طوری که ازشون انتظار می رفت . با دست پر اومدن .

دوستمون . یه ویروس کاملا آموزشی برای بچه های ایرانویج نوشته که در اختیار دوستان قرار می گیره ( توسط خودشون )

و توضیحاتی در مورد این ویروس جدیدی که نوشتن از زبون خودشون

باید به لیست ویروس های بومی ایران این ویروس رو هم اضافه کنم  

معرفی ویروس : W32.Tori.a.worm
نویسنده : Mr.Hesy

در طی این مقاله شما با نحوه عملکرد این ویروس که در واقع یک کرم هست آشنا می شوید
نامهایی که در لیست آنتی ویروسها برای این ویروس به ثبت رسیدن عبارتند از :

کد:

AntiVir                                    Worm/generic.A.24  
ArcaVir                                                Worm.Vb.J  
Avast                                            Win32:Trojan-ge  
AVG Antivirus                                   I-Worm/VB.GS  
BitDefender                         Win32.Worm.VB.Tori.A  
Dr.Web                            Win32.HLLM.Generic.382  
F-Prot Av                                  W32/SillyWorm.KW  
VirusBuster                                     Worm.VB.DWM  
McAfee                                              W32.Tori.gen
Sophos                                              W32/MsTori-A

این کرم یک کرم اینترنتی هست که سعی می کنه خودش رو از طریق Outlook و Kazaa تکثیر کند .
این کرم در اولین بار که اجرا میشه  تمام  فایلهای EXE را در مسیر ویندوز آلوده می کنه و از خودش
بکاپ میگیره ودر رجیستری ویندوز ثبت میکنه کلید های مختلفی رو هم به رجیستری برای منظورهای
مختلف در رجیستری ثبت می کنه
باعث از کار افتادن Task Manager میشه و از باز شدن پنجره های زیر جلوگیری میکنه

System Configuration Utility
Registry Editor
Kazaa Lite File Import
Kazaa Lite Options
Kazaa File Import
Kazaa Options
Windows

در ضمن باعث غیرفعال شدن آنتی ویروس های Norton  & Mcafee در ویندوزهای سری Nt مثل
ویندوز Xp میشه وبعضی از فایلهای  آنتی ویروسهای ذکر شده را پاک میکنه که باعث از کا افتادن آنها
میشه و برنامه های زیر رو هم که فایلهای این 2 آنتی ویروس هستند رو از Ram خارج میکنه

NAVAPSVC.exe
CCAPP.exe
CCEVTMGR.exe
NPROTECT.exe
NMAIN.exe
NAVW32.exe
NAVWNT.exe
MCTOOL.exe
MCVSRTE.exe
MCMNHDLR.exe
MCAGENT.exe
MCUPDATE.exe
McVSEscn.exe
MCVSFTSN.exe

مسیر زیر را اجاد میکند و به اشتراک Kazaa در میاره
%WINDIR%\MyShared\
و خودش را بانامهای زیر درون پوشه فوق کپی میکنه تا بتواند از طریق نرم افزار Kazaa
تکثیر بشه

کد:

KaZaa-Virus-Stoper.com
Free_Keygen_Generator.com
WinSE-x86-patch.com
Please-FuCk-Me.exe
Virtua-GirL-FreeSamples.exe
Free_pOrN_GirL.exe
***-Vision.exe
VirtuaGirl2.exe
ToRi-FreeSamples.exe
Kazaa_Security_Patch.com

با ایجاد یک Batch  ویروس فایلهای .bat را به محز اجرا آلوده میکنه که این Bat فایل با نام
W32.Tori.bat در لیست آنتی ویروس McAfee ثبت شده
همچنین فایلهای com را به محظ اجرا آلوده میکنه (Companion Infection)
سرورiRcHaTaN-Ps-7  را بر روی سیستم ایجاد کرده واجرا میکنه که روی Port 5115
شل میده وبا دردست داشتن IP مشه به اوون تلنت کرد و وارد سیستم فربانی شد
منثظر وصل شدن به ایترنت میمونه و به محظ اتصال سعی میکنه خودش رو به تمام کسانی که
درOutlook Address Book   هستند بفرسته  موضوع  و متن نامه و فایل الحاقی به صورت
راندم از دو موضوع ویروس انتخاب میشه و فایل الحاقی یکی از نامهای زیر میباشد

WinSE-x86-patch.com
ToRi-FreeSamples.exe

در روزهای مضرب 5 به هنگام اتصال به اینترنت سایت www.mcafee.com  را داس میکنه
در روز اول هر ماه در فایل Autoexec.bat  تغییراتی انجام میده که این فایل فایل Msdos.sys
را تخریب کنه و بعد سیستم را Reboot می کنه و هنگام راه اندازی سیستم پیغام زیر نشون داده
میشه وسیستم بالا نمیاد

کد:

  *=============================*
  *          -== Win32 tOrI Virus ==-                   *
  *              - HaS BeeN iN pC -                         *
  *         (C) By He$y / PuRgAtOrY                     *
  *=============================*

روز دوم هرماه با از بین بردن فایل  Msdos.sys و نشان دادن پیغام زیر سیستم را Beep بمب
میکنه که چاره ای جز Reboot کردن نیست

کد:

                                               ! Virus Alert
   Win32.Tori © By He§y / PuRgAtOrY / iRaN
! Hey U , Your System Infected By Tori ViruS

و چندین کار دیگه انجام میده  که فکر کنم همین توضیحاتی رو هم که دادم زیادی هست
و اما  ویروس کاملا کد شده هست و با Upx فشرده شده  وحجم آن 95232 بیت هست

نظر خودم در مورد این ویروس :
این  ویروس ویروس تقربا خوبیه ولی الان نه  چون  اقدامات امنیتی خوبی الان  پیش رو
داریم و جلو تکثیر ویروس ها  از طریق Outlook گرفته شده شاید این ویروس زمانی
که ویروس   VBS/I-Love-You پدیدارشد نوشته  می شد  نامی تاریخی برای خود به
ثبت رسانده  بود ولی با این حال باز هم از بسیاری از ویروس های رایج قدرتمند تر هست
شرکت  آنتی ویروس Sophos  اطلاعاتی در مورد  این ویروس  به  ثبت رسونده  ولی
تغییراتی دراین ویروس انجام داده شده که در اینجا ذکر نشده است

http://www.sophos.com/virusinfo/analyses...toria.html

[arnh]

ويروس‌‏هاي اينترنتي سالانه رايانه ميليون‌‏ها كاربر اينترنتي آنلاين را آلوده مي‌‏كند كه اين امر منجر به صروف هزينه‌‏هاي بسيار هنگفت مي‌‏شود

بنا بر تحقيقات انجام شده برروي بيش از 2 هزار كابر اينترنتي خانگي در آمريكا ، بيش از 29 درصد رايانه‌‏هاي كاربران آنلاين خانگي ويروسي هستند و اين در حالي است كه بسياري از اين رايانه‌‏ها به هيچ نرم‌‏افزار آنتي‌‏ويروسي منجهز نيستند.
در اين تحقيقات مشخص شده ؛ از هر 4 رايانه خانگي يك رايانه طي 2 سال اخير ويروسي شده كه اين آلودگي در حدود 109 دلار هزينه تعمير در پي داشته است.
طبق آمار محاسبه شده ، در پي حملات اين ويروس‌‏ها , يك‌‏سوم كاربران از خرابي هارد درايوها و 16 درصد در مورد از بين رفتن داده‌‏هاي بسيار مهم خبر داده‌‏اند.
8 درصد از كاربران نيز اعلام كردند كه در پي حملات ويروسي مجبور به تعويض سخت‌‏افزار شده‌‏اند. ( لاف )
گفتني است ؛ بسياري از محققان براي جلوگيري از آلودگي هرچه بيشتر رايانه‌‏هاي خانگي كاربران را به استفاده از آنتي‌‏ويروس‌‏هاي بسيار كارآمد همچون ZON LABS ' ZONE ALARM و KASPERSKY LABS و آنتي‌‏ويروس نورتون توصيه مي‌‏كنند.

منبع : تهران- خبرگزاري كار ايران
20 مرداد ماه

[arnh]

اگرچه شيوع گسترده ويروس ها و برنامه هاي مخرب رايانه اي موضوعي است که از گذشته با آن مواجه بوده ايم

اما براساس اطلاعات اعلام شده از سوي McAfee که از بهترين ويروس کش هاي مورد توجه کاربران اينترنتي بوده است ، تعداد ويروس هاي نرم افزاري در حال حاضر بشدت در حال افزايش است. در پايان ژوئن امسال اين شرکت 200 هزارمين مشخصات ويروسي را به پايگاه داده هاي خطرساز براي رايانه هاي شخصي اضافه کرده است و پيش بيني مي کند تعداد ويروس هاي شناسايي شده تا 2 سال آينده 2 برابر شود. در محصولات ويروس کش McAfeeاز اين مشخصات مانند اثر انگشت ديجيتالي براي تعيين نرم افزارهاي غيرمجاز براي اجرا در رايانه هاي شخصي استفاده مي شود. در فاصله سالهاي 1999 تا 2002 اين شرکت با ثبت مشخصات 50هزار ويروس رايانه اي در وضعيت نسبتا ثابتي قرار داشته است ؛ اما از آن پس تعداد ويروس ها و برنامه هاي مخرب رايانه اي که از طريق اينترنت عمل مي کنند و با تکثير در شبکه ، منابع اطلاعاتي را منهدم مي کنند، به مراتب افزايش يافته است.
اين روند نشان دهنده رشد و افزايش تخصص سارقان اينترنتي (هکرها) است و اين که آنها ديگر در پي شهرت ناشي از بروز ناگهاني ويروس هاي خاص در شبکه هاي جهاني نيستند. شبکه در تلاشند از اين راه امرارمعاش کنند. امروز هکرها با شرکت در فعاليت هايي به منظور ارسال همزمان پيامهاي نامربوط و خارج از موضوع به گروههاي شرکت کننده در يک کنفرانس اينترنتي و يا اعضاي يک گروه (spamming)و نسخه برداري از صفحات وب به منظور فريب کاربران براي ارائه مشخصات اختصاصي و يا ارائه رمز ورود (phishing) به فعاليت مشغولند و هزينه اين خدمات غيراخلاقي را نيز دريافت مي کنند.
MCAFee از اين رو که توانسته است مشخصات تعداد بسياري از برنامه هاي مخرب رايانه اي را شناسايي کند به خود افتخار مي کند ؛ اما از سويي ديگر با افزايش حجم اطلاعات در ويروس کش ها، سرعت عملکرد رايانه هاي شخصي را کاهش مي دهد. در حال حاضر، بيش از تعداد فايلهاي ذخيره شده در يک رايانه شخصي ، دستورالعمل هاي ويروس کشي وجود دارد و در نتيجه با افزايش بار اطلاعاتي اين نرم افزار ويروس کش ، رايانه ها بار سنگيني را متحمل مي شوند که بازده فعالت آنها را با مشکل مواجه مي کند.
MCAFee با قابليت شناسايي بيش از 200 هزار ويروس رايانه اي موانعي را در رايانه هاي شخصي ايجاد کرده است. شرکتهايي که هنوز از رايانه هاي قديمي استفاده مي کنند، عموما پس از مدتي از به روزرساني ويروس کش ها سرباز مي زنند. براي نمونه ، اگر از سيستم عامل اجرايي ويندوز 98 استفاده مي کنيد با به روزرساني اين نرم افزار ويروس کش ، ديگر قادر به دريافت عملکرد مناسبي نخواهيد بود. در حالي که ويروس کش هاي جديدي که مبتني بر نوع اختلال به وجود آمده در رايانه ها عمل مي کنند، امروزه با استقبال از سوي کاربران مواجه بوده اند، اما ويروس کش هاي قديمي نيز از اين عرصه خارج نخواهند شد. براي مثال در سيستمي که با خطر جدي مواجه شده است ، اين نرم افزار در پاکسازي سيستم عامل اجرايي از هرگونه عامل مخرب نقش بسزايي خواهد داشت.

امکان صحتش کمه

منبع : جام جم
21 مرداد ماه

[arnh]

سيمانتك، بزرگ‌ترين فروشنده‌ي‌ نرم‌افزار آنتي‌ويروس در جهان است

شركت امنيت رايانه‌ي سيمانتك بيشترين حجم فروش محصولات نرم‌افزار آنتي ويروس را در بازار جهاني طي ماه ژوئن داشته است.

به گزارش بخش خبر شبكه فن آوري اطلاعات ايران، از ایسنا، سيمانتك كه بزرگ‌ترين فروشنده‌ي نرم‌افزار

آنتي‌ويروس در جهان است، در ماه ژوئن با كاهش ‌١/١٠ درصدي فروش مواجه شد، با اين حال توانست با ‌٨/٥٩ درصد بيشترين سهم را در بازار جهاني نرم‌افزار آنتي‌ويروس داشته باشد.

پس از سيمانتك، مايكروسافت با عرضه‌ي محصول جديد "windows live onecare" به رتبه‌ي دوم صعود كند و ‌١٥درصد از سهم بازار جهاني نرم‌افزار آنتي‌ويروس را به‌دست آورد.

شركت McAfee نيز كه به رتبه‌ي سوم سقوط كرده است، پس از ‌٣/٣ درصد كاهش فروش، اكنون ‌١/٧ درصد از بازار را در اختيار دارد.

بر اساس ارزيابي تحليلگران، ارزش بازار جهاني نرم‌افزار آنتي‌ويروس امسال به ‌٠٢/٤ ميليارد دلار خواهد رسيد.

منبع : فناوری اطلاعات
24 مرداد

[arnh]

به دنبال راه اندازي وبلاگ رئيس جمهور کشورمان برخي رسانه هاي غربي با راه انداختن جار و جنجال ادعا کردند در صورت مراجعه به اين سايت در کشورهاي خارجي رايانه هاي کاربران آلوده به ويروس يا بدافزار خواهد شد.

اما جالب آنکه مدتي بعد اين ادعاي بي اساس از سوي همان رسانه ها و برخي شرکت هاي امنيتي از جمله سوفوس رد شد. راه اندازي وبلاگ توسط آقاي احمدي نژاد سر و صداي زيادي را در غرب به راه انداخته است.

در کنار ادعاهاي مختلف در مورد اهداف رييس جمهور از راه اندازي اين وبلاگ برخي سايـتهاي غربي هم مدعي شده اند طراحي وبلاگ ايشان نامرتب بوده و بر اساس استانداردهاي متداول در وب صورت نگرفته است.

همچنين چندي قبل يک وبلاگ نويس اسرائيلي هم مدعي شد در صورت بازديد از اين وبلاگ امکان آلوده شدن رايانه فرد و حمله به آن با استفاده از يکي از حفره هاي Internet Explorer وجود دارد. يک صهيونيست ديگر هم مدعي شده اين حملات تنها بر عليه کاربراني انجام مي شود که از اسراييل به اين سايت مي آيند.

وبلاگ رييس جمهور از آدرس http://www.ahmadinejad.ir در دسترس است.

منبع : خبرگزاری سلام
28 مرداد

از من نشنیده بگیرید . اما ویروس داره !
فقط و فقط از طریق IE و با خطای کاربر منتشر میشه .
و کاربران متخصص به اون آلوده نمی شن .

[Iron_Fist]

عجب ...
فکر کنم ریس جمهورهم می خواهد Ps بفرسته رو کامپیوتر مردم پسورداشون
رو در بیاره

[arnh]

در هفته آغازين سال ‪ ۱۹۸۶‬نخستين ويروس رايانه‌اي شخصي موسوم به ‪BRIAN‬ در دنياي رايانه‌ها كشف شد.

به نوشته سايت ايتاليايي ‪ ،KATAWEB‬اين ويروس رايانه‌اي قدرت انتشار چنداني نداشت چون توسط ديسك‌هاي فلاپي بين كاربران اينترنتي رد و بدل مي شد.

در حال حاضر ‪ ۲۰‬سال از ظهور نخستين ويروس رايانه‌اي در جهان مي‌گذرد و با وجود بيش از ‪ ۱۵۰‬هزار برنامه مخرب در جهان هنوز مبدا انتشار ويروس ‪ BRIAN‬مشخص نشده است.

البته تصور مي‌شود كه اين ويروس از سوي يك شركت نرم افزاري پاكستاني و براي حفاظت از نرم افزارهاي كه طراحي كرده بود ايجاد شده است.

مهمترين تغيير عمده‌اي كه از آن زمان تاكنون در جهت تكامل ويروس ها صورت گرفته است آن است كه اين برنامه از حالت سرگرمي و تفريحي به يك فعاليت تخلفي و خطرناك براي كاربران اينترنتي تبديل شده است.

ويروس ‪ BRIAN‬چون در حوزه ديسك‌هاي فلاپي فعاليت مي‌كرده به نام ديگر ‪ BOOT-SECTOR‬نيز شهرت يافته است.

با گذشت سال‌ها از ظهور اين ويروس از ان براي انجام فعاليت‌هاي خطرناك در جهت مفاصد مالي و كسب درآمد از راه‌هاي نادرست استفاده مي‌شد.

[arnh]

یکی از قوی ترین و شایعرین ویروس/تروجان هایی که اخیرآ در حال گسترش بین کاربران استفاده کننده از یاهو مسنجر می باشد ویروس "Exploit.JS.ADODB.Stream.e" است.

در صورتیکه کامپیوتر شما نیز به این ویروس آلوده شده باشد بدون آنکه متوجه شوید به لیست دوستانتان پیغامهایی مبنی بر بازدید از سایت nsl-school.org ارسال می شود. بدین ترتیب در صورت کلیک بر روی این لینکها دوستان شما نیز آلوده خواهند شد.

هنوز مشخص نیست سازنده این ویروس چه کسی است و این احتمال داده می شود که ویروس مذکور به سرقت اطلاعات و رمز های شخصی افراد می پردازد. در صورتیکه شما و یا یکی از دوستانتان به این ویروس آلوده شده شده اید روش زیر مناسبترین گزینه برای از بین بردن آن است:

پیام و لینک هایی که این ویروس ارسال می کند چیست ؟!

در متن تمامی این پیغام ها لینکی به سایت Nsl-school.org داده شده است که در صورت کلیک کردن بر روی آن کامپیوتر شما آلوده می شود.

در صورتیکه به ویروس آلوده شوید چه مشکلاتی پیش خواهد آمد ؟!

1- در ابتدا ویروس صفحه شخصی اینترنت اکسپلورر (Default IE Page) را به سایت nsl-school.org تغییر می دهد. در این صورت به هیچ طریق امکان عوض کردن آن وجود نخواهد داشت. بعد از هر باز باز کردن یک صفحه وب جدید، ویروس مجددآ خود را در سیستم شما کپی می کند.

2- گزینه های Task Manager و Reg Edit در کامپیوتر غیر فعال می شوند تا شخص نتواند از این طریق فعالیت ویروس را مشاهده و یا از بین ببرد.

3- فایل هایی با نامهای svhost.exe , svhost32.exe , internat.exe در کامپیوتر ایجاد می شوند. (برای اطمینان پوشه های windows و temp را بررسی کنید.)

4- ویروس بدون آنکه متوجه شوید پیغام هایی را به لیست دوستان شما (Yahoo Messenger ID List) ارسال می کند.

چگونه ویروس را از کامپیوتر خود پاک کنیم ؟!

1- مرورگر اینترنت اکسپلورر را ببندید. از یاهو مسنجر خارج شوید. اتصال اینترنت را قطع کنید.

2- جهت فعال کردن Reg Edit دکمه های Start > Run را کلیک کنید و در کادر مربوطه عیناً عبارت زیر را وارد کنید. و در نهایت کلید Enetr را کلیک کنید.

REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f

3- جهت فعال کردن Task Manager دکمه های Start > Run را کلیک کنید و در کادر مربوطه عیناً عبارت زیر را وارد کنید. و در نهایت کلید Enetr را کلیک کنید.

REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f

4- اکنون نیاز به آن داریم که صفحه نخست مرورگر خود را به حالت قبل برگردانیم. دکمه های Start > Run را کلیک کنید و در کادر مربوطه عبارت Regedit را وارد کنید. و در نهایت کلید Enetr را کلیک کنید. میسر های زیر را با دقت پیدا نموده و در آنها وارد شوید اکنون تمام لینک هایی را که به سایت ویروس یعنی (nsl-school.org) وجود دارند تغییر داده و بجای آنها سایت مورد نظر خود مثلاً گوگل (google.com) را وارد کنید.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main

HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main

HKEY_USERS\Default\Software\Microsoft\Internet Explorer\Main

5- اکنون نیاز به آن داریم که فعالیت ویروس را متوقف کنیم. دکمه های Ctrl + Alt + Del را فشار دهید. در لیست برنامه های فعال تمامی فایل های svhost32.exe را یافته و آنها را End Task نمایید.

6- از طریق جستجو و یا وارد شدن به پوشه های Windows و temp فایل های svhost32.exe و svhost.exe را یافته و حذف نمایید.

7- مجددآ به قسمت Start menu > Run > Regedit باز گردید. از طریق جستجو به دنبال عبارت svhost بگردید و تمام موارد یافت شده را حذف نمایید.

8- کامپیوتر خود را ریست نمایید. امیدواریم دیگر خبری از این ویروس نباشد

لینک پاک کردن ویروس
http://www.winbeta.net/temp/Y.V.Remover.zip

منبع :http://www.winbeta.net

[arnh]

اين ويروس ‪ W32/Yahlover.worm‬نام دارد كه پس از آلودگي به اين ويروس، به تمام افرادي كه در ليست دوستان ياهو مسنجر قرار دارد به صورت اتوماتيك پيغامي ارسال مي‌شود.

اين پيغام حاوي آدرس يك سايت آلوده است كه در صورت كليك بر روي آن، اين آلودگي به سيستم رايانه دوستان مرتبط نيز منتقل مي‌شود.

اين كرم اينترنتي در روزهاي اخير بيشتر رايانه‌هاي جهان را مورد تهديد قرار داده است.

به گفته كارشناسان امنيت شبكه به دليل استفاده زياد كاربران ايراني از برنامه ياهو مسنجر و مجهز نبودن سيستم رايانه آنها به برنامه‌هاي ضد ويروس جديد و به‌روز ، اكثر آنها در معرض تهديد آلودگي به اين ويروس قرار دارند.

-------
هرچند برخي كارشناسان نيز آخرين راه‌حذف اين ويروس در صورت كارآمد نبودن برنامه‌هاي ضد ويروس را پاك كردن ويندوز و نصب‌يك سيستم عامل جديد مي‌دانند چراكه اين ويروس در بخش " ‪ " registry‬سيستم رايانه كمين مي‌كند.

من موندم چه کسی لقب کارشناس داده !

[arashps]

این Yahlover.worm همون کرم هست که لینک chendang.com/... رو سند میکرد؟ من یه آنتی براش نوشته بودم اگه کسی لازم داشت بگه بذارم. البته همه که اینجا استاد هستن.
ماشالا کارشناس! واقعا خسته نباشن!