مدتیست که ویروسی در اینترنت شایع شده که با آلوده نمودن سیستم folder option را از کار انداخته و در واقع تا حدودی مدیریت سیستم خود را از دست خواهید داد . این ویروس فولدر آپشن را از طریق تنظیمات رجیستری به کنترل پنل بر می گرداند اما در عمل نمی توان از آن استفاده کرد . در حدود یکماه از انتشار آن گذشته و به تازگی موفق به کشف نام آن و برنامه ی از بین برنده آن شده اند . این مشکل روی بسیاری از سیستم ها به وجود آمده بود بدون اینکه نام و یا روش پاکسازی آن مشخص شده باشد . امروز در حین سرف کردن در اینترنت در فروم سایت پیسی دانلود به این مطلب برخورد کردم که چون فروم بود مثل آموزش های دیگر وبلاگ نمیتونم به صد در صد موفقیت آمیز بودنش یقین داشته باشم . اما خوب به هر حال از هیچی بهتر هست . دوستانی که این مشکل را دارند بد نیست امتحان کنند و احتمالا نتیجه را گزارس کنند . ضمنا برای پیدا گردن برنامه های ذکر شده کافیست در زمان سرچ در گوگل در داخل دو " " نام برنامه را وارد کنند . ( نحوه ی سرچ در بخش کامپیوتر وبلاگ موجود است )
شیوه ی پاک کردن ویروس BronTok.A :
در زیر به برخی از ویژگی های این ویروس اشاره می کنیم :
Folder Options را حذف می کند !
Registry Tools را قفل می کند !
Task Manager نمی تواند فایل های مربوط به این ویروس را End کند !
پس از اجرا شدن ، محتویات My Documents را نمایش می دهد !
اگر در کادر محاوره ای Run عبارت CMD ، Regedit ، msconfig ، Regedt32 را تایپ کنید ، سیستم بلافاصله Restart می شود !
اگر روی گزینه ی Log Off یا Turn Off Computer کلیک کنید ، سیستم Restart می شود !
آیکون این ویروس شبیه آیکون یه پوشه است !
همانطور که می دانید فایل های lsass.exe ، winlogon.exe و services.exe از فایل های سیستمی بوده و همیشه در حال اجرا هستند ...
اگر شما برنامه ی process masterرا اجرا کنید ، می بینید که این فایل ها در پوشه ی System32 قرار دارند .
اما اگر ویروس BronTok.A روی سیستم شما نصب باشد ، خواهید دید که سه تا فایل دیگر با همین نام ها در حال اجرا هستند !!
یعنی دو تا winlogon.exe ، دو تا lsass.exe و دو تا services.exe !
اما به راحتی میشود فهمید که کدام ویروسند و کدام فایل اصلی ویندوز ...
آن سه تا فایلی که مربوط به ویروس میشوند ، در پوشه ای غیر از System32 قرار دارند .
مسیر دقیقشان میشود :
C:\Documents and Settings\User\Local Settings\Application Data
C نام همان درایویست که ویندوز در آن نصب گردیده و User نام کاربری است که ویروس در آن اجرا شده ...
بعد از اینکه با نرم افزار Process Master متوجه شدید که کدام ویروسند ، باید آن ها رو Kill process کنید .
اگر احیانا فایل های دیگری با نام های inetinfo.exe ، csrss.exe و smss.exe نیز در حال اجرا بودند آنها را هم Kill process کنید .البته به شرطی که مسیرشان غیر از
System32 باشد ...
حالا وقت آن است که از نرم افزار Kill BronTok.A استفاده کنید .
پس از اینکه نرم افزار Kill BronTok.A کارش تمام شد ، آن را ببندید و به منوی Start برید و روی گزینه ی Search کلیک کنید .
در سمت چپ روی گزینه ی All files and folders کلیک کنید .
در فیلد All or part of the file name عبارت Empty.pif را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید .اکنون تمام فایل های پیدا شده را پاک کنید .
دوباره در فیلد مذکور عبارت زیر را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید .
scr،*.exe.*
اکنون از بین فایل های پیدا شده ، هر فایلی که آیکونش شبیه آیکون پوشه بود رو پاک کنید .
مجددا در فیلد All or part of the file name عبارت زیر را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید .
job.*
تمام فایل های پیدا شده را پاک کنید .
باز هم در فیلد فوق الذکر عبارت Bron را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید .
اکنون تمام فایل ها و پوشه های پیدا شده را پاک کنید .
اکنون با خیال راحت کامپیوترتان را Restart کنید .
نکته :
اگر ویندوزتان بیشتر از یک کاربر دارد ، باید تمام عملیات فوق را در همه ی کاربرها انجام دهید .
این هم به روایتی دیگر :
معرفی ویروس جدید در ایران :
Win32.Brontok.B@mm و Win32.Brontok.A@mm بسیاری رو تا آلان در ایران آلوده کرده ممکن است شما هم آلوده باشید!
بعد از مدت زیادی ویروس جدیدی را در تهران دیدم که تعداد زیادی از رایانه های دوستام رو آلوده کرده بود که یک جورایی تو مایه های ویروس های yahosin ، Wukill است . البته دیگه مثل اون دو تا آیکونش آون پوشه 256 رنگی ویندوز 2000 نیست بلکه شکل پوشه های ویندوز xp است . و از این لحاظ پیشرفت کرده است و شما رو بهتر گول میزنه . همچنین بعد از اجرا واقعا یک پوشه باز می شود !
نام ویروس :
Win32.Brontok.B@mm به همراه Win32.Brontok.A@mm و نسخه های دیگر....
این نام برای شرکت Bitdefender است نام شرکتهای دیگه :
W32.Rontokbro@mm – Symantec
W32/Brontok-N – Sophos
Win32/Brontokbro.A.A – Eset
Win32/Robknot!Variant!Worm – CA eTrust
Worm.Win32.Brontok.a – Kaspersky
و
( W32/Rontokbro.gen@MM, W32.Rontokbro@mm, Worm/Brontok.a, Email-Worm.Win32.Brontok.a )
البته یه چیز مهم دیگه اینه که این ویروس چندین نسخه دارد که نام ها شون یکی است اما با نام های B و C و A و... نامیده می شوند . که شکل گسترشون تقربیا مشابه است . این یکی که من معرفی می کنم نوع B است که با نوع A اصلا فرق نداره . اما نمی دونم چرا بهش نوع B می گن.
این ویروس در سال 2005 در ماه فوریه اولین نسخه شناسایی شده است و جدید ترین نسخه آن مربوط به سه ماه پیش است .
نوع این ویروس :
این برنامه مخرب رو می شه هم در گروه ویروس و هم در گروه کرم دسته بندی کرد . در بعضی از سایت های ویروس یاب خطر آن رو ضعیف و در بعضی خطرناک معرفی می کنند. همچنین به طور کلی این برنامه رو یک کرم ایمیلی (Worm Mail) می نامند . چون در کشور های دیگه بیشتر با ایمیل گسترش می یابد . اما در کشور ما با سی دی و فلاپی بیشتر گسترش می یابد .
حالا طریق گسترش این ویروس در کامپیوتر : (توضیحات زیر ممکن است برای بعضی نسخه ها تکرار شود و در بعضی نسخه ها بعضی قسمتها حذف شده باشه)
در کامپیوتر آلوده :
ویروس آدرس ها ای میل موجود در کامپیوتر را پیدا کرده و با ساختن یک کلاینت پستی خود را به تمامی این آدرس ها ارسال می کند . و همچنین ویروس خود را در پوشه های به آشتراک گذاشته در شبکه کپی می کند. و باز هم مهم ترین دلیل انتقال ویروس در کشور ما این آست که یا خودتون بدون اینکه خبر داشته باشید این ویروس در کامپیوتر شما است آن را رایت می کنید یا بر روی فلاپی یا حافظه فلش ریخته و ... و به دوستانتان می دهید و یا ویروس خود این کار رو انجام می دهد .
در کامپیوتر میزبان : (اون بدبختی که قراره آلوده بشه :
شما نامه ای دریافت می کنید که در آن این چیزا نوشته شده است :
محتویات نامه 1 :
Subject: Film Terbaru Dian Satro dan Tora Sudiro
Body:
@@Salam Hangat, Bagi Anda yang mengidolakan artis Dian Sastro atau Tora Sudiro, maka Anda akan segera terpuaskan, karena sebuah film komedi romantis terbaru mereka (judul film masih dirahasiakan) telah siap beredar. Untuk menambah koleksi foto idola Anda, berikut adalah salah satu potongan gambar film ketika mereka beradegan romantis di sebuah danau, (terlampir pada file `Sample Picture.zip`). Menurut sutradaranya, film tersebut akan beredar dua bulan mendatang dan diperkirakan akan melebihi kesuksesan film-film terdahulu mereka. Terima kasih,@@
Attachment: Sample Picture.Zip
محتویات نامه 2 :
Subject: (empty)
Message:
BRONTOK.A [ By: HVM31-Jowobot #VM Community
-- Hentikan kebobrokan di negeri ini --
1. Adili Koruptor, Penyelundup, Tukang Suap, Penjudi, & Bandar NARKOBA
( Send to `NUSAKAMBANGAN`)
2. Stop Free Sex, Absorsi, & Prostitusi
3. Stop (pencemaran laut & sungai), pembakaran hutan & perburuan liar.
4. SAY NO TO DRUGS !!!
-- KIAMAT SUDAH DEKAT --
Terinspirasi oleh: Elang Brontok (Spizaetus Cirrhatus) yang hampir punah[
By: HVM31-Jowobot #VM Community--
Attachment: Kangen.exe
این ویروس احتمالا نامه هایی دیگر با متن های متفاوت برای نسخه های متفاوت خودش ارسال می کند.
حالا شما ضمیمه رو اجرا می کنید و بعد از اون پوشه Sample Picture اجرا می شود یا my Documents
تبریک می گم شما آلوده شده اید . در بعضی موارد ویروس یک فایل HTM در my Documents می سازد و خبر از این واقعه بزرگ به شما می دهد و از شما در خواست هایی دارد که نمی گم .تا مجبور باشید برای فهمیدن این مطالب خود را آلوده کنید . !!!!
خوب حالا ویروس دست به کار می شود و کار های زیر رو با کامی عزیز شما آنجام می دهد.
1 ) دسترسی به این سایت ها رو از شما می گیرد :
mcafee.com
nai.com
kaspersky.com
grisoft.com
norton.com
symantec.com
norman.com
trendmicro.com
sophos.com
perantivirus.com
virusalert.nl
antivirus.pagina.nl
virustotal.com
با تغییر دادن وضعیت re-direct security ویندوز خودش رو در این جا ها کپی می کند :
%WINDIR%\eksplorasi.pif
%UserProfile%\Local Settings\Application Data\smss.exe
%UserProfile%\Local Settings\Application Data\services.exe
%UserProfile%\Local Settings\Application Data\lsass.exe
%UserProfile%\Local Settings\Application Data\csrss.exe
%UserProfile%\Local Settings\Application Data\inetinfo.exe
%UserProfile%\Local Settings\Application Data\winlogon.exe
%UserProfile%\Start Menu\Programs\Startup\Empty.pif
%UserProfile%\Templates\WowTumpeh.com
%WINDIR%\%CURRENT_USER%`s Setting.scr
%WINDIR%\ShellNew\bronstab.exe
در نسخه ای دیگر :
%System%\Administrator`s Setting.scr
%UserProfile%\Appdata\BronFoldNetDomList.txt
%UserProfile%\Appdata\csrss.exe
%UserProfile%\Appdata\inetinfo.exe
%UserProfile%\Appdata\Kosong.Bron.Tok.txt
%UserProfile%\Appdata\ListHost8.txt
%UserProfile%\Appdata\lsass.exe
%UserProfile%\Appdata\NetMailTmp.bin
%UserProfile%\Appdata\services.exe
%UserProfile%\Appdata\smss.exe
%UserProfile%\Appdata\Update.8.Bron.Tok.bin
%UserProfile%\Appdata\Update.AN.8.A.Bron.Tok
%UserProfile%\Appdata\winlogon.exe
%UserProfile%\ Start Menu\Programs\Startup\Empty.pif
%UserProfile%\Templates\WowTumpeh.com
همین طور که می بینید این ویروس پسوند های متفاوتی همچون EXE و PIF و SCR و COM دارد .!!! حجم تمامی این فایل ها 42,028 است.
دسترسی به رجیستری رو از شما می گیرد و اگر سعی کنید رجیستری رو اجرا کنید کامپیوتر رو ری استارت می کنه .
بعد هم دسترسی به فرمام مورد علاقه من Msconfig رو می گیره . و باز هم با دست بردن به رجیستری Folders option رو غیر فعال می کنه و از منوی Tools حذف می کند .
در بعضی موارد با اجرا کردن فایل های با پسوند EXE کامپیوتر ری استارت می شود .
بعد با تغیرات زیر در رجیستری خودش رو با ویندوز بالا می آورد :
HKEY_Current_User\Software\Microsoft\Windows\ CurrentVersion\Run `Tok-Cirrhatus-3444` Data: `C:\Documents and Settings\Administrator\Local Settings \Application Data\br7911on.exe`
و
HKEY_Local_Machine\Software\Microsoft\Windows\ CurrentVersion\Run `Bron-Spizaetus` Data: `C:\Windows\ShellNew\RakyatKelaparan.exe`
و
HKLM\Software\Microsoft\Windows\CurrentVersion\Run `Bron-Spizaetus` = `%Windir%\ShellNew\bronstab.exe`
و
HKCU\Software\Microsoft\Windows\CurrentVersion\Run `Tok-Cirrhatus` = `%UserProfile%\Local Settings\Application Data\smss.exe`
و
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon `Shell`=`Explorer.exe %Windir%\eksplorasi.pif`
حالا بعد از این همه کار طاقت فرسا تازه شروع می کنه دنبال این فایل ها در کامپیوتر تون :
asp
cfm
csv
doc
eml
html
php
txt
wab
و بعد از این دنبال آدر سها ایمیل در این فایل ها و در نرم افزار ها پیام رسانتون و... می کنه :
و آدرس های پیدا شده رو در پوشه ای به نام این یا مشابه این :
%UserProfile%\Local Settings\Application Data\Loc.Mail.Bron.Tok
در در فایل های INI که دارای نام هایی مشابه found@email.address.ini قرار می دهد . ویروس ممکن است پوشه هایی مانند زیر هم برا ی ذخیره بسازه :
Ok-SendMail-Bron-tok
Bron.tok-[x]-[y
x و y عدد یا حروفی است که به صورت رندوم انتخاب می شود.
ویروس همچنین هر روز ساعت 5:08 دقیقه بعد از ظهر فایلی به نام WowTumpeth.com رو در پوشه ویندوز کبی و اجرا می کند . این ویروس بعد از اجرای ویندوز همیشه این اطلاعات رو برای اطمینان از صخت عمل کرد خود به رجیستری اضافه می کند :
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run
`Bron-Spizaetus` = `%Windir%\ShellNew\bronstab.exe`
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run
`Tok-Cirrhatus` = `%UserProfile%\Local Settings\Application Data\smss.exe`
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
`Shell`=`Explorer.exe %Windir%\eksplorasi.pif`
حالا می ریم سر علائم آلودگی :
شما نمی تونید رجیستری رو اجرا کنید
شما نمی تونیدMSconfig رو اجرا کنید
شما نمی توانید فولدر آپشن رو اجرا کنید . چون فولدر آپشن Folder Options وجود ندارد.
شما نمی توانید بعضی وقتها برنامه های با پسوند EXE رو اجرا کنید .
فایل های ذکر شده در بالا در کامپیوتر شما وجود دارد !
طریقه نابودی ویروس :
راه حل اول :بهترین و عالی ترین راه این است که ویندوز جدید نصب کنید . و قبل از هر کاری در ویندوز جدید یه آنتی ویروس توپ نصب کنید و درایو ها تون رو اسکن کنید و تمامی ویروس ها موجود در اون رو نابود کنید .
راه حل دوم : راه دومی وجود ندارد . مگر اینکه بخواهید دوباره آلوده شوید .
