KASHKOOL-ویندوز و ریجستری - کشکول

X
تبلیغات
رایتل

X
تبلیغات
رایتل
به وبلاگ هفتگی کشکول خوش آمدید- ایمیل KASHKOOL at GMAIL dot COM


تعداد بازدیدکنندگان

آرشیو

ویروس جدید از سایت www.Freeserials.com

چهارشنبه 2 دی‌ماه سال 1383
اگر یادتون باشه در یادداشتهای قبلی در مورد ویروسی  نوشته بودم که نمی گذاشت وارد ریجستری بشید. (۲۶/۷/۸۳)
دیروز که آنتی ویروس نورتن رو بروز رسانی کردم دیدم نسخه ای از این ویروس که در جایی از هاردم ذخیره کرده بودم رو پیدا کرد (چه عجب فهمید همچین ویروسی وجود داره ) در کل ببینید که چقدر کامپیوترها مورد هجوم برنامه های مخرب قرار می گیرند و ویروسیابها چقدر از قافله عقب هستند!
بگذریم امروز هم می خوام در مورد یک ویروس جدید براتون توضیح بدید(اگه بشه اسمش رو ویروس گذاشت هنوز از عملکرد دقیق این برنامه یا کرم مطمئن نیستم ). این ویروس از هیچ ایمیلی نیومده . در حقیقت از اینترنت اومده . موقعی که در حال دیدن سایتهای مختلف از قبیل معرفی نرم افزارهای جدید و سایتهای کرک و سریال برنامه ها  می گذشتم این فایل بطور خودکار خودش رو در مسیر C:Program FilesWindows ServeAd  کپی کرده و سه فایل زیر رو در این پوشه قرار می ده :
WinAtServ.dll
WinServAd.exe
WinServSuit.exe
البته در ریجستری هم دست می بره و در مسیر زیر خودش رو ثبت می کنه:
H_L_MSOFTWAREMicrosoftWindowsCurrentVersionRun
این عمل باعث می شه که در هر بار بالا آمدن ویندوز این برنامه هم لود بشه و عملیات خودش رو شروع کنه.
البته خدمتتون عرض کنم که برای از بین بردن این ویروس استفاده از ctrl+Alt+Del به کمک شما نمی تونه بیاد چون به محض End Task کردن یکی از فایلها Exe فایل اجرایی دیگر قادر هست که دوباره فایلی که End Task شده رو اجرا کنه و عملا هیچ وقت قادر به End Task کردن هم زمان این دو فایل نیستید. در مورد فایل DLL که در بالا اسمش رو گفتم هم اینو باید بگم از اونجایی که این فایلهای اجرایی از این فایل استفاده می کنند قادر به حذف این فایل هم نیستید.
راه حل:
-اگر از Fat32 استفاده کردید و ویندوز شما XP یا 98 هست باید از فلاپی Startup Win98 استفاده کنید و از طریق محیط DOS این پوشه رو حذف کنید و بعد از بالا آمدن ویندوزتان وارد ریجستری شده و از اونجا هم حذفش کنید.( به این دلیل استفاده از فلاپی رو توصیه می کنم که زمان بالا آمدن ویندوز XP با فلاپی بیشتر هست.)

-اگر از NTFS استفاده می کنید (طبیعتا ویندوز شما XP هست) از حالت SafeMode with Command promt استفاده می کنید و بعد از نمایش اعلان DOS می تونید این پوشه رو حذف کنید
البته تا امروز (۲/۱۰/۸۳) آنتی ویروس نورتن این ویروس رو شناسی نمی کند.

در آخر هم باید بگم این ویروس احتمالا از سایتهای روسی که به معرفی نرم افزارهای معروف می پردازند بصورت Full می پردازند گرفته شده. و یک احتمال دیگر هم از سایت www.freeserials.com (  مختص پیدا کردن سریال و کرک برنامه ها) آمده . هر بار که به این سایتها سر می زنم این ویروس خودش رو روی کامپیوترم قرار میده.
تا الان این برنامه باعث شده کامپیوتر من بعضی اوقات حتی زمانی که به  اینترنت متصل نیستم Reset بشه. البته به نظر می رسد اصل قضیه مربوط به دسترسی هکر به کامپیوتر قربانی باشد.البته این ویروس فایل Autoexec.nt رو هم حذف می کنه که در مطالب قبلی چگونگی رفع این مشکل رو نوشتم.
 باید ببینیم آنتی ویروسها در آینده عملکرد این ویروس رو چگونه ارزیابی می کنند چون در تخصص بنده نیست . 

آخرین خبر:

طبق آخرین بررسی که امروز ۸/۱۰/۸۳ کردم این ویروس از سایت www.freeserials.com  در موقعی که روی دانلود سریال یا کرک نرم افزار کلیک می کنید روی کامپیوتر شما قرار می گیرد. و از این موضوع هم کاملا مطمئن هستم پس مراقب کامپیوترتان باشید.

برای عضویت در خبرنامه این وبلاگ نام کاربری خود در سیستم بلاگ اسکای را وارد کنید
نام کاربری
تعداد بازدیدکنندگان : 464617


Powered by BlogSky.com

عناوین آخرین یادداشت ها

Pass Proxy: عبور از پروکسی
No Cookies No Scripts No Ads No Referrer