آشنایی با کرم Dref-AF


توضیحات:

Dref-AF یک کرم ایمیل برای سیستم های ویندوزی می باشد.

این کرم آدرس های ایمیل را از کامپیوتر آلوده جمع آوری کرده و یک کپی از خود را با آدرس  «random name@yahoo.com»  به این آدرس ها ارسال می کند. این ایمیل دارای خصوصیات زیر می باشد :

Subject line (موضوع ایمیل):

Iran Just Have Started World War III

USA Just Have Started World War III

Israel Just Have Started World War III

Missle Strike: The USA kills more then 10000 Iranian citizens

Missle Strike: The USA kills more then 1000 Iranian citizens

Missle Strike: The USA kills more then 20000 Iranian citizens

USA Missle Strike: Iran War just have started

USA Declares War on Iran

Attachment filename(فایل‌های الحاقی):

Video.exe

News.exe

Movie.exe

Read Me.exe

Click Me.exe

Click Here.exe

Read More.exe

More.exe

همچنین زمانی که  کرم Dref-AF اجرا می شود یک فایل exe با نامی تصادفی که از 7 حرف تشکیل شده در سیستم ایجاد می کند. این فایل مانند کرم Dref-AB تشخیص داده می شود .

سپس Dref-AF مدخل زیر را پاک می کند :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Agent

مدخل زیر را نیز تغییر می دهد :

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess

Start

4

توصیه ها:

1. به روز كردن آنتی ویروس

2.روش پاك سازی دستی توسط آنتی ویروس  سوفوس برای Windows NT مدل 4.5x  و Windows NT/2000/XP/2003 مدل 4.1x  و پایین تر :

برای حذف یك تروجان كارهای زیر را انجام دهید :

•   همه ی برنامه های خود را ببندید

•   مراحل Start|Programs| SophosAnti-Virus را بگذرانید وبرنامه آنتی ویروس را اجرا كنید

•   تب «»Immediate»» و سپس درایو مورد نظر  را انتخاب كنید

•   به Options|Configuration رفته و تب «»Disinfection»» یا  «»Action»» را انتخاب كرده سپس «Infected files» وبعد از آن «Delete»را انتخاب كنید  و در آخر OK را بزنید.

•    برای اجرا كردن پویش،»scan» یا دكمه «GO» را بزنید.

•   فایل های مورد نظر را پاك كنید، سپس یك پویش دیگر را اجرا كنید تا مطمئن شوید پاك سازی صورت گرفته است.

•   به Options|Configuration برگردید و تب «Disinfection»,  «Action» انتخاب كرده سپس «Infected files» وبعد از آن «Delete» را انتخاب كنید  و در آخر OK را بزنید.

•  كامپیوتر را Reboot كرده و پویش نهایی را اجرا كنید تا كاملا مطمئن شوید پاك ساری صورت گرفته است

3. روش پاك سازی به صورت دستی :

ابتدا تمامی داده خود را در سیستم تغییر داده و یك كپی از آنها تهیه كنید.

پسورد Administrator را دوباره تغییر دهید و یك نگاهی به مسایل امنیتی شبكه خود بیندازید.

در taskbar دكمه start را بزنید و منوی run را اجرا كنید و در آن Regedit را بنویسید و دكمه ok را كلیك كنید تا صفحه ویرایشگر رجیستری شما باز شود . فراموش نكنید كه قبل از دستكاری رجیستری یك نسخه پشتیبان از آن تهیه كنید .

برای تهیه نسخه پشتیبان از رجیستری خود ؛ در منوی Registry روی گزینهExport Registry File  و در پنل Export range گزینه All را انتخاب كرده و سپس دكمه Save را كلیك كنید تا نسخه پشتیبان از رجیستری شما تهیه شود.

حال در مدخلHKEY_LOCAL_MACHINE رجیستری زیر مدخل‌های:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Agent

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess

Start

4

هر مدخلی كه به فایلی اشاره می كرد حذف كنید.

سپس رجیستری خود را ببندید و دوباره سیستم خود را راه اندازی كنید.

منبع: همکاران سیستم

  1. هنوز دیدگاهی داده نشده است.
  1. No trackbacks yet.

پاسخی بگذارید

در پایین مشخصات خود را پر کنید یا برای ورود روی شمایل‌ها کلیک نمایید:

نشان‌وارهٔ وردپرس.کام

شما در حال بیان دیدگاه با حساب کاربری WordPress.com خود هستید. بیرون رفتن / تغییر دادن )

تصویر توییتر

شما در حال بیان دیدگاه با حساب کاربری Twitter خود هستید. بیرون رفتن / تغییر دادن )

عکس فیسبوک

شما در حال بیان دیدگاه با حساب کاربری Facebook خود هستید. بیرون رفتن / تغییر دادن )

عکس گوگل+

شما در حال بیان دیدگاه با حساب کاربری Google+ خود هستید. بیرون رفتن / تغییر دادن )

درحال اتصال به %s

%d وب‌نوشت‌نویس این را دوست دارند: