اين بخش تخصصي براي معرفي ويروسها و روشهاي چگونگي حذف وجلوگيري با آنها است
ابتدا يك ويروس رو به شما معرفي ميكنم ويروسي به نام sality است به برسي اين ويروس مي پردازيم
بررسی ویروس رایانه ای sality
اين ويروس در چند ماه گذشته جزءشايع ترين ويروسها بوده است و انواع مختلفي دارد که با نام هاي مختلفي توسط برنامه هاي آنتي ويروس شناسايي مي شود
نسخه هاي جديد آنتي ويروس ***** و همچين Kaspersky ممکن است ويروس فوق با نامهاي Malas يا Sality.nar و يا P2p.Worm.Generic شناسايي کنند
اين ويروس در نسخه هاي جديد با نام W32/Nahkos توسط آنتي ويروس پاندا شناسايي مي شود . آنتي ويروس Avira Antivir اين ويروس را با نام Worm.Malas.C مي شناسد.
ويروس کش مک آفي(McAfee) اين ويروس را با عنوان W32/Bindo.worm مي شناسد .
آنتي ويروس سوفوس با نام Troj/Yusufali-A و آنتيويروس كوئيكهيل با نامهاي “Win32.Malas.c” و “Win32.Malas.A” و “Trojan.Win32.VB.zu” اين ويروس را شناسايي مي کند.
غيرفعال کردن Alt+Ctrl+Delete يا همان تسک منيجر Task Manager ، از کار افتادن Regedit ( رجيستري ويندوز) ،همچنين محدود کردن دسترسي به سايتهاي آنتي ويروس ، بستن آنتي ويروس و همچنين خراب کردن فايلهاي اجرايي سيستم مختصري از اعمال اين ويروس است .
شيوه آلوده سازي ويرس Sality
اين ويروس پس از اجرا ، فايل آلوده اي را با نامي تصادفي و پسوند SYS در مسير زير قرار مي دهد :
%System%\drivers
اين کامپوننت آلوده ، در واقع يک Device Driver ميباشد که مانند يک rootkit در سطح کرنل سيستم عمل مي کند و به ويروس اجازه مي دهد که خودش و عملکردش را در سيستم مخفي کند .
از آنجايي که اين شيوه تنها در سيستمهاي مبتني بر ويندوز ان تي (Windows NT-based operating systems) قابل اجراست، لذا ويندوزهاي NT/2000/XP/2003 در معرض آلودگي اين ويروس هستند .
پراسسي SCVHOST.exe پراسس اصلي ويروس مي باشد . توجه کنيد که نام SCVHOST.exe بسيار شبيه فايل سيستمي SVCHOST.exe ميباشد وتنها دو حرف C و V جابجا شده اند .
در واقع وجود يکي از پراسسهاي زير در سربرگ Processes ممکن است يکي از نشانه هاي آلودگي سيستم به ويروس Sality باشد.
blastclnnn.exe
hinhem.scr
SCVHOST.exe
اين ويروس متن زير را در فايل SYSTem.ini موجود در شاخه ويندوز اضافه مي کند:
[MCIDRV_VER]
DEVICEMB=
همچنين کليد رجيستري زير را در رجيستري ويندوز ايجاد مي کند که ترکيبي است از نام کامپيوتر و يک عدد سه رقمي تصادفي :
<HKCU\Software\<3 random numbers
مثلا :
HKCU\Software\EliassMaleki498
در اين کليد ويروس متغيرهاي مورد استفاده خود را ايجاد مي کند . در يکي از سيستمهاي آلوده من مسير رجيستري زير را که توسط ويروس ايجاد شده بود يافتم :
HKCU\Software\ACS-IR914
که ACS-IR نام کامپيوتر و عدد 914 همان عدد سه رقمي تصادفي بود.
اين ويروس همچنين کليه درايوهاي محلي و يا شبکه اي و يا قابل حمل مانند فلش ديسکهاي متصل به سيستم را يافته و خود را در آنها کپي مي کند .
اين ويروس همانند بسياري از ويروسهاي جديد با استفاده از ايجاد فايل Autorun.inf در درايوها و حافظه هاي فلش از اين روش براي تکثير خود بهره ميگيرد .
وجود فايل Autorun.inf در هر نوع درايوي موجب مي شود به محض دابل کليک کردن بر روي درايو دستورات موجود در Autorun.inf اجرا شود که اين دستورات ، دستوراتي شامل اجراي مجدد ويروس و تکثير مجدد در کليه درايوهاست .
بارگذاري ويروسها و بد افزارهاي ديگر
اين ويروس با اتصال به دامينها و سايتهاي زير ، بدافزارهاي ديگري را نيز دانلود کرده و به سيستم آلوده منتقل مي کند:
89.119.67.154
bjerm.mass.hc.ru
klkjwre77638dfqwieuoi888.info
kukutrustnet777.info
kukutrustnet777888.info
kukutrustnet888.info
kukutrustnet987.info
lpbmx.ru
mattfoll.eu.interia.pl
st1.dist.su.lt
www.klkjwre9fqwieluoi.info
غير فعال کردن Task Manager و Registry Editor و Show Hidden Files
اين ويروس ضمن از کار انداختن تسک منيجر Task Manager يا همان Alt+Ctrl+Delete موجب از کار افتادن ويرايشگر رجيستري (Regedit) نيز ميگردد .در صورت آلوده شدن سيستم به اين ويروس Folder Option نيز در مواقعي حذف مي شود و يا در صورت وجود ، عملکرد نمايش فايهاي مخفي و سيستمي نيز غيرفعال ميگردد .
بالا نيامدن سيستم در حالت Safe Mode
اين ويروس موجب مي شود سيستم در حالت سيف مود (Safe Mode) نيز بالا نيايد و پس از چند لحظه ري استارت شود !
تخريب و آلوده کردن فايلهاي SCR و EXE
از بدترين اعمالي که اين ويروس انجام مي دهد خراب کردن فايلهاي اجرايي سيستم با پسوند exe و SCR ميباشد بطوريکه اغلب فايلهاي exe و SCR موجود در درايو C را آلوده کردن و کدهايي را در آنها تزريق مي کند و در نتيجه فايهاي فوق نيز بعنوان ويروس Sality شناخته مي شوند و بکلي خراب مي شوند .همچنين بسياري از فايلهاي اجرايي درايوهاي ديگر را بطور تصادفي آلوده مي کند .
حذف فايلها و بستن پراسسهاي خاص
اين ويروس همچنين ممکن است فايلهاي با پسوندهاي زير را حذف کند :
*.AVC
*.VDB
جالب اينجاست اين ويروس به شما اجازه نصب برنامه هاي آنتي ويروس را مي دهد اما به محض اجراي آنتي ويروس آن را مي بندد!
خاتمه اجراي سرويسهاي خاصي در ويندوز
Terminates Services
جلوگيري از دسترسي و اتصال به وب سايتهاي خاص
اين ويروس دسترسي سيستم را به سايتهاي اينترنتي خاصي را محدود مي کند . اين عمل را از طريق الحاق يک فايل SYS که وظيفه انجام IP Traffic Filter Device Driver را دارد ، انجام مي دهد .
لذا کليه سايتها و دامينتهايي که اسامي آنها داراي کلمات زير ميباشد بلوکه شده و دسترسي سيستم آلوده به آنها محدود ميگردد
upload_virus
sality-remov
virusinfo.
cureit.
drweb.
onlinescan.
spywareinfo.
ewido.
virusscan.
windowsecurity.
spywareguide.
bitdefender.
pandasoftware.
agnmitum.
virustotal.
sophos.
trendmicro.
etrust.com
symantec.
mcafee.
f-secure.
****.com
kaspersky
نکته قابل توجه :
به دليل اين که انواع مختلفي از اين ويروس وجود دارد ، ممکن است اسامي بعضي از فايلها و يا مسيرهاي ذکر شده متفاوت باشد اما بسياري از عملکردها، مانند از کارفتادن تسک منيجر و رجيستري در کليه نسخه هاي اين ويروس مشترک است .