mobin

يكي از شگردهاي ويروس نويسان اين است كه ويروس خود را به طور آزمايشي در اينترنت رها مي كنند و پس از مدتي به راههاي مبارزه با ويروس خود به خود آشنا مي شوند . سپس مدتي ويروس را د ر سكوت و ارامش نگه مي دارند تا به خوبي  آب ها از آ سياب بيفتد و همه آن ويروس را فراموش كنند. سپس ويروس را با چند تغيير، بار ديگر بلاي جان رايانه هاي بي زبان مي كنند.

Email-worm.win32.mydoom.i نام يك كرم اينترنتي است كه براي اولين بار در سال 2004 شناخته شد اين ويروس در همان زمان نيز آسيبهاي فراواني به رايانه ها وارد كرد. هم اكنون پس از گذشت چند سال اين ويروس دوباره به فعاليت پرداخته است و مشكلاتي براي كاربران سيستم عامل ويندوز ايجاد كرده است. اين كرم اينترنتي مثل ديگر كرم ها از طريق اينترنت و شبكه هاي رايانه اي به اين سو و آن سو سرك مي كشد.

فايلهاي آلوده به سرويس از طريق ايميل يا فايل هاي به اشتراك گذاشته شده منتقل مي شود. حجم فايل اجرايي اين ويروس تقريبا KB21 است.

اين ويروس در اولين اجرا، خود را با نام Lsass.exe در پوشه ريشه سيستم عامل كپي مي كند. به عنوان مثال فايل زير توليد مي شود.

C:\windowsisass.exe

سپس كليد ريجستري زير براي مقيمشدن ويروس در حافظه ايجاد مي شود.

[HKEY_ LOCAL_ MACHINE\ \Software\ Microsoft\windows \ CurrentVersion\ Run]

Traybar=%WinDir%\LSASS.EXE

اين ويروس با هر بار اجرا شدن رايانه را خاموش مي كند. اين ويروس رايانه مبتلا را جست و جو مي كند تا پوشه هايي با نام هاي زير پيدا كند.

Download،ftproot، incoming، share

سپس در اين پوشه ها، فايل هاي زير را ايجاد مي كند.

Harry Potter

ICQ 4 Lite

Index

Kazaa Lite

Winamp 5.0 (en)

Winamp 5.0 (en)Crack

WinRAR.v.3.2.and. key

اين فايلها به يكي از فرمت هاي scr,com, exe يا shareReactor.com خواهد بود.ا ين ويروس به آدرس هاي ايميل نيز حساس است. در صورتي كه ويروس با آدرس يك ايميل برخورد كند، از طريق SMTP يك نامه آلوده به ويروس، به آن آدرس ارسال مي كند.

ويروس آزاردهنده اي طي چند هفته گذشته تعداد زيادي از كاربران سيستم عامل هاي ويندوز را هدف قرار داده است .اين ويروس يك كرم اينترنتي است .اين كرم Xiaoho.worm/W32 نام دارد ودرسرزمين چين خلق شده است .اين ويروس دراولين اجراي خود دررايانه قرباني يك كپي ازخوددرمسير زير ايجاد مي كند :SysDir%\exloroe.exe % سپس ويرس كليد هاي ريجستري زير راايجاد مي كند تابه وسيله آن درحافظه مقيم بماند . HKEY_LOCAL_MACHINE\SOFTWARE\

  Microsoft\Active Setup\Installed

 Components\{H9l12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}\:

 "?µ?³?è??" HKEY_LOCAL_MACHINE\SOFT-WARE\Microsoft\Active Setup\Installed

 Components\{H9l12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}\

 Stubpath:"%\SystemRoot%\System32\exloroe.exe"

سپس درانتظار ابزارهاي ذخيره سازي قابل حمل مانند گوشي هاي تلفن همراه وفلش مموري مي ماند.درصورت اتصال يك ابزار ذخيره سازي به رايانه آلوده 2فايل با نامهاي autorun.inf  و xiaohao.exe  در آن توليد مي شود وبه صورت مخفي درمي آيد . كاربر ازدسترسي به Folder Option محروم مي شود تا نتواند فايلهاي پنهان را ازبين ببرد .اين ويروس فايلهاي .exe را آلوده مي كند وآيكون آنها را به تصوير چيني تغيير مي دهد . عنوان تمام پنجره هاي فعال به حروفي ناخوانا كه احتمالا چيني است تغيير مي كند . فايل هاي .htm , .html و.asp نيز به گونه اي تغيير داده مي شود كه اجراي آنها لينكي آلوده به ويروس را اجرا مي كند. يك فايل با نام jilu.txt دردرايو C: توليد مي شودونام وآدرس فايلهاي آلوده شده به ويروس در آن نوشته مي شود .شايد اين فايل بتواند در نابودي اين ويروس كمك كند .خوشبختانه بيشتر آنتي ويروسها درآخرين به روزرساني هاي خود موفق به نابودي اين ويروس شده اند .براي نابودي اين ويروس ابتدا درحالت Safe Mode فايل هاي ذكر شده وكليد هاي رجيستري را نابود كنيد .پس از آن به فهرست فايل هاي آلوده سربزنيد ويكي يكي آنها را حذف كنيد .

رفتن به پوشه System 32 چون اكثر ويروس ها خود را به اين پوشه وصل ميكنيم.

به اين علت ويندوز را طوري تنظيم ميكنيم كه فايل هاي مخفي و همينطور پسوند فايل ها را نمايش دهد.سپس به مسير C:\Windows\System 32 مي رويم و اطلاعات را به صورت Details نمايش ميدهيم و تاريخ فايل ها را چك ميكنيم اكثر اين فايلها داراي پسوند dll مي باشندو تاريخ هاي يكساني دارند. اگرفايلي پسوند متفاوت داشت بايد به ان شك كنيم و به قسمت Properties فايل مشكوك رفته و در برگه Versionنام كمپاني وورژن فايل مورد نظر را بررسي كنيم اگر برايمان آشنا نبود مي توانيم نام فايل مورد نظر را در گوگل جستجو كنيم و اگرا ين فايل ويروس بود ان را پاك كنيم.