۹.۳۰.۱۳۸۷

ویروس جدید هوشمند در ایران


نام ویروس: BarokPWSsteal.Trojan

نوع: NewTrojan II

درجه خطر: *******************(78%)

آنتی ویروس های شناساگر: Norton Anti virus 2004 - McAfee 2004

خطرات احتمالی: پر کردن Ram - پایین آوردن سرعت سیستم تا 1% - روشن و خاموش کردن مکرر مانیتور - داغ شدنCPU- و....

صورت ضاهری: فایل wcheckup.exe یا wcheckx.dll

راه نفوذ: از راه دانلود برنامه ها مخصوصا Keygen ها (احتمال قوی) - Update کردن برنامه دیکشنری Babylon (احتمال ضعیف)


توضیحات:

این خبر رو شاید تا حالاخونده باشید که 4 روز پیش یک ویروس هوشمند در اینترنت نفوذ یافته و این ویروس این قابلیت را دارد که در هنگام وجود آنتی ویروس غیر فعال می شود. ولی خود من دیروز این ویروس روی سیستمم اجرا شد ولی چون آنتی ویروس داشتم نتونست تخریبی روی سیستمم انجام بده!! ولی مدام آنتی ویروس پیغام وجود این تروجان را می داد که قابلیت پاک کردنش هم نداشت و قابل repair کردن هم نبود! این ویروس مشکوک در شاخه ای از ویندوز شما WinDrive\Windows\System32 و با نام فایل :wcheckup.exe یا wcheckx.dll ظاهر می شود. قابل پاک شدن نیست. و تا وقتی که آنتی ویروس فعال باشد هیچ فعالیت تخریبی انجام نمیدهد وای هنگامی که آنتی ویروس غیر فعال باشد این تروجان شروع به نمونه برداری از خود روی Ram می کند و حافظه رم شما را اشغال کرده سرعت را به حدی پایین آورده که ویندوز در عرض 2 ساعت بالا بیاید. مانیتور خاموش و روشن شود CPU شما را داغ کرده و شاید بسوزاند(بستگی به نوع آن دارد) و .... . این ویروس بسیار جانی و خطرناک که تا کنون راهی برای از بین بردنش کشف نشده بود تا اینکه دیروز خودم راه جدیدی برای پاک کردن آن پیدا کردم!!:

روش نابود ساختن:

ابتدا بوسیله آنتی ویروس هنگامی که Alert Virus داده شده مسیر و آدرس این فایل را بدست آورده و یادداشت کنید. - سپس برنامه Trojan Shield را نصب کنید. بعد از نصب در مسیر زیر: Start >>Program Files>> Trojan Shield >>TrojanShield Anti-Trojan.exe را اجرا کنید.

سپس به طرف دکمه Help رفته و دکمه About را کلیک کنید. - حال دکمه Register را زده و این کد ها را وارد کنید.

License Name : Sponge Uk
License Code : ACCESSKEY-7315

سپس Ok کنید. در این برنامه به دنبال آیکون Disinfect File بگردید. و آن را کلیک کنید. آدرس فایل ویروسی را که یادداشت کرده بودید را در اینجا پیاده کنید و در صفحه بعد گزینه Advanced Disinfection را تیک زده و در مربع Delete File علامت بزنید. و دکمه Disinfect را کلیک کنید. حال شما این فایل تروجان مرموز و خطرناک را از بین برده اید. یک صلوات بفرستید !!!

جلوگیری از آلوده شدن: بسیار سخت و شاید غیر ممکن. زیرا این ویروس به هر نحوی ممکن است فعال و در سیستم شما کپی شود.

روش کار این ویروس:

این ویروس مهلک یک فایل 0.25KB را (که معمولا هیچ مرور گری جلوی آن را نمی گیرد!!) در دایرکتوری Windows\System32 شما با نام جعلی qqyvbb.exe ذخیره می کند .بدون آنکه شما بفهمید. و یک فایل دیگر را بوسیله این فایل در کامپیوتر شما ذخیره می کند که معمولا حجم بیشتری دارد. سپس بدون اینکه هیچ آنتی ویروسی بفهمد در کامپیوتر باقی می ماند تا موقعی که هم به اینترنت متصل شود و هم در این لحظه ای که کانکت هستید سرور ویروس (که معلوم نیست کدوم آدم خدا نشناسی است) حلمه کند. در این لحظه تمامی سیستم هایی که این فایل را دارند و به اینترنت متصل هستند فعالیت خود را شروع کرده و آنتی ویروس شما را چک می کنند.اگر فعال بود منتظر غیر فعال شدن می ماند و اگر آنتی ویروستان غیر فعال باشد شروع به عمل می کند و یک سورس اصلی را اجرا کرده که هیچگونه سیستمی قابلیت مبارزه با آن را ندارد.

اگر تا کنون با چنین اخطاری در مورد ویروس مواجه نشدید 3 حالت دارد:

1) یا ویروس از هیچ طریقی به کامپیوترتان نفوذ نکرده است.

2) یا ویروس منتظر عمل و کانکت شدن است.

3) یا آنتی ویروس ندارید (و شاید آنتی ویروستان قدیمی باشد و آپدیت نشده) و تا کنون هم سرور ویروس شروع به حمله نکرده.

بنابراین اولین کاری که پس از خواندن این خبر می کنید این است که تا حمله به شما آغاز نشده آنتی ویروس جدید نصب کنید یا آنتی ویروستان را Update کنید. سپس در سیستمتان یک اسکن کلی انجام دهید .در موقع بروز خطر( سرعت پایین) ابتدا کامپیوترتان را فورا از برق کشیده و کیس را باز کنید- Ram خود را در آورده با یک رم دیگر موقتا معاوضه کنید. وسپس رم خود را با یک سیم (البته این کار یک کار تخصصی است و پاک کردن Ram را باید یک متخصص انجام دهد) Reset کنید.

نشر این خبر تنها با نام امروز آنلاین مجاز می باشد. www.emroozi.s4u.org امیر.ع.ر

هیچ نظری موجود نیست:

http://up.iranblog.com/images/0z5dgraxwa4j49a5ts77.gif http://up.iranblog.com/images/gv83ah5giec9g8jkopmc.gif