معرفی جند نمونه ویروس، کرم و تروجان

[zacaria]

پرونده:W32/Sumom-C
نوع: کرم
سیستم عامل هدف: ویندوز
طریقه پخش: از طریق برنامه های گفتمان(chat) و ارتباطpeer-to-peer
نام مستعار: M-Worm.Win32.Sumom.c
شدت پخش: 2
وظایف:
1-نرم افزار های آنتی ویروس را غیر فعال می کند.
2-قدرت امنیتی سیستم قربانی را در مقابل نفوذگران کاهش می دهد.
3-خور را بر روی رجیستری ویندوز نصب مب کند.
4-فایل های سالم را به بدنه خود آلوده می کند.
تشریح:
این کرم خود را با نام فایل CSNSS.EXE یا MCSV.COM در پوشه سیستم ویندوز کپی و فایل SVHOST.EXE را در پوشه ویندوز به بدنه خود آلوده می کند و خود را با نام های SDAv یا NDAv در شاخه های رجستری زیر نمایش میدهد.
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run

HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Winlogin
Userinit C:\Windows\System32\userinit.exe

این کرم شاخه های زیر را در رجسیتری تغییر داده و از بازدید قربانی از سایت های آنتی ویروس جلوگیری می کند:
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ policies\explorer
NoFolderOptions
1

HKLM \ Software \ Microsoft \ Windows NT\SystemRestore
DisableConfig
1

HKLM \ Software \ Microsoft \ Windows NT\SystemRestore
DisableRS
1

پاک سازی: در مرحله اول، پردازش فایل CSNSS.EXE یا MCSV.COM را پایان داده و آنها را از پوشه سیستم ویندوز پاک کنید.
در مرحله دوم، با استفاده از ابزار MSConfig شاخه های ایجاد شده را حذف کنید.
در مرحله سوم، به شاخه اصلی رفته و فایل های ذکر شده را پاک کرده، سپس سیتم را در حالت Safe Mode قرار داده و توسط یک نرم افزار آنتی ویروس، تمام دیسک سخت را اسکن نمائید.

منبع مقاله: کتاب آموزشی ویروس کشی
تالیف سید آرش حسینیان
انتشارات ناقوس

[lord_viper]

یکی از قوی ترین و شایعترین ویروس/تروجان هایی که اخیرآ در حال گسترش بین کاربران استفاده کننده از یاهو مسنجر می باشد ویروس "Exploit.JS.ADODB.Stream.e" است. در صورتیکه کامپیوتر شما نیز به این ویروس آلوده شده باشد بدون آنکه متوجه شوید به لیست دوستانتان پیغامهایی مبنی بر بازدید از سایت nsl-school.org ارسال می شود. بدین ترتیب در صورت کلیک بر روی این لینکها دوستان شما نیز آلوده خواهند شد.
هنوز مشخص نیست سازنده این ویروس چه کسی است و این احتمال داده می شود که ویروس مذکور به سرقت اطلاعات و رمز های شخصی افراد می پردازد. در صورتیکه شما و یا یکی از دوستانتان به این ویروس آلوده شده شده اید روش زیر مناسبترین گزینه برای از بین بردن آن است:

پیام و لینک هایی که این ویروس ارسال می کند چیست ؟!
در متن تمامی این پیغام ها لینکی به سایت Nsl-school.org داده شده است که در صورت کلیک کردن بر روی آن کامپیوتر شما آلوده می شود.

در صورتیکه به ویروس آلوده شوید چه مشکلاتی پیش خواهد آمد ؟!
1- در ابتدا ویروس صفحه شخصی اینترنت اکسپلورر (Default IE Page) را به سایت nsl-school.org تغییر می دهد. در این صورت به هیچ طریق امکان عوض کردن آن وجود نخواهد داشت. بعد از هر باز باز کردن یک صفحه وب جدید، ویروس مجددآ خود را در سیستم شما کپی می کند.

2- گزینه های Task Manager و Reg Edit در کامپیوتر غیر فعال می شوند تا شخص نتواند از این طریق فعالیت ویروس را مشاهده و یا از بین ببرد.

3- فایل هایی با نامهای svhost.exe , svhost32.exe , internat.exe در کامپیوتر ایجاد می شوند. (برای اطمینان پوشه های windows و temp را بررسی کنید.)

4- ویروس بدون آنکه متوجه شوید پیغام هایی را به لیست دوستان شما (Yahoo Messenger ID List) ارسال می کند.
اين کرم و اقوامش از آسيب پذيري MS06-014 تو ويندوز که يه آسيب پذيري تو اکتيو ايکس ADO هست استفاده مي کنند . طوريکه هرکي از صفحه سايت مورد نظر ديدن کنه فايلي رو بدون اجازه از آدرس زير دانلود مي کنه و همون موقع اجرا ميشه :

[فايل رير را اجرا نکنيد]
http://puzzlecircle.com/Gallery/albums/album/YMworm.exe

فايل با UPX پک شده وقتي اجرا ميشه رجيستري هاي زير رو ايجاد مي کنه :

HKEY_CURRENT_USER\Software\Policies\Microsoft\Inte rnet Explorer\Control Panel , Homepage , REG_DWORD , 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System , DisableTaskMgr , REG_DWORD , 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System , DisableRegistryTools , REG_DWORD , 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer , NoRun , REG_DWORD , 1
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main , Start Page , REG_SZ , $website
HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_ buzz , content url , REG_SZ , $website
HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_ Launchcast , content url , REG_SZ , $website
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run , Task Manager , REG_SZ , @WindowsDir & \system\svchost.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run , Yahoo Messenger , REG_SZ , @WindowsDir & \system\svchost32.exe

اگه پنجره اي به اسمه Active marketing website for ads - Microsoft Internet Explorer باز باشه رو تمام لينک هاش کليک مي کنه .
از مسنجر هاي MSN و ياهو هم براي ارسال PM استفاده مي کنه .
کالا 11 تا جمله ارسال مي کنه :
0 = who is beside you in this pic & $link & friendpic1.jpg so good-looking
1 = 1 of my vacation pictures & $link & vacation1.jpg <
2 = hot pics this week & $link & hot.jpg
3 = 1 of my vacation pictures & $link & vacation2.jpg <
4 = Screenshot of new windows version _ Windows Vista & $link & vista.jpg so cool
5 = Images shot in Iraq _ The war will never end & $link & Iraqwar.jpg <<
6 = oh my god , i've won a 20000 usd lottery :O & $link & mylottery.jpg <<
7 = never click into the links like something in this image & $link & dontclick.jpg #:-S !!!
8 = the page cannot be displayed & $link & error.jpg Something was wrong !!! Check it again and tell me later. THanks
9 = My pics & $link & mypics.jpg b-( <<
10 = Miss World 2006: & $link & MissWorld.jpg !!
11 = Do you realize who is in this image: & $link & who.jpg . Just think for a moment and tell me soon )

[avini]

اجرا نکردم !
دانلودش کردم

[IISecurity.C]

سلام دوستان .میشه توضیح بدین که چطوری میشه فهمید یه فایل مخرب توی رجیستری چه تغییراتی میده !!

ایا برنامه ای جهت شناسایی هست !!

[lord_viper]

معمولا ویروسها برای استارا اپ کردن خودشون یا بستن بعضی از قابلیتها مثل رجیستری و تسک منجر یا بعضی کارهای خاص رجیستری رو تغییر میدن برنامه هایی هستند که رجیستری رو هوک میکنند مثل رجیستری فایروال که اگه برنامهای بخواهد رجیستری رو تغییر بده به شما اطلاع میدن

[Di Di]

کاسپر اسکی، شاید بهترین گزینه برای هوک رجیستری و شاخه های مهم ویندوز باشه.

[IISecurity.C]

سلام و تشکر از جوابتون برنامه ای دارین واسه هوک کردن !! اگه بدین خیلی ممنون میشم .یا سرچش رو بدین بگردم خودم

[lord_viper]

یه برنامه به اسم registryfirewall هست که این کارو میکنه برنامه regmon هم ارتباط فایلها با کلیدهای رجیستری رو به شما نشون میده
بهتره اگه میخواهی ارتباط برنامه ها رو مانیتور کنی از برنامه های filemon و regmon استفاده کنی که نویسندشون رئیس سایت rootkit.com هستش که ارتباط یک برنامه رو با فایلها و کلیدهای رجیستری به شما نشون میده (خوراک کرکرها )اگه نه که توصیه میشه محافظهای رجیستری رو نصب نکنین چون خود ویندوز و برنامه هایی که نصب میکنین خیلی از اطلاعاتشونو داخل رجیستری قرار میدن و خسته کنندست که دم به ساعت یه فورم برای اجازه دادن یا ندادن بیاد بالا

[IISecurity.C]

واقعا عالی بود ممنونم . فقط یه سوالی من vmware رو نمیتونم دانلود کنم 237 مگ . میشه بجاش از Virtual PC استفاده کنم !!!

[lord_viper]

من خودمم virtual pc رو دانلود کردم ولی هنوز فرصت استفاده نداشتم ولی از کسلنی که استفاده کردن پرس وجو کردم کسی بد نگفت

[IISecurity.C]

با سلام مجدد .

دوستان من virtual PC رو دانلود کردم ولی به علت ضعیف بودن رایانم (سلرون) + رم پائین . نمی تونم ازش بهره ببرم .سیستمم هنگ کامل میکنه . راه چاره ای هست !! من میتونم 2 تا سیستم عامل نصب کنم . ولی ممکن هست ویروس یا تروجان به درایو های دیگه جهش کنه . درسته !!!

ایا راه چاره ای هستش که بهم کمک کنه برای انالیز !!!

چون حتما باید ران کنم که بتونم انلیز کنم دیگه درسته !!

ممنون مثل همیشه منتظر جواب کامل و خوبتون هستم