هشدار امنیتی برای کاربران اینترنت بخش 2

همانطور که می دانید کامپیوترهای که تو ایران فعال هستند آلوده به ویروس flame شده اند .و ما چون اکثرا از آنتی ویروس غیر اصل استفاده می کنیم در معرض انواع تهدیدات هستیم…..این ویروس توسط کمپانی روسی کسپرسکی در ایران کشف شده و نکات امنیتی را برای کاربرانش که تو ایران  و یا سراسر جهان هستند اطلاع رسانی می کند.در این مطلب به نمونه از فایلهای آلوده که امکان وجود این ویروس در کامپیوتر های شخصی تقویت می کند را بیان میکنم.

در آدرس:%windir%\system32\

mssecmgr.ocx
advnetcfg.ocx
msglu32.ocx
nteps32.ocx
soapr32.ocx
ccalc32.sys
boot32drv.sys

و

Advpck.dat
ntaps.dat
Rpcnc.dat

در آدرس: %windir%\temp

~DEB93D.tmp
~8C5FF6C.tmp
~DF05AC8.tmp
~DFD85D3.tmp
~DFL*.tmp
~dra*.tmp
~fghz.tmp
~HLV*.tmp
~KWI988.tmp
~KWI989.tmp
~rei524.tmp
~rei525.tmp
~rf288.tmp
~rft374.tmp
~TFL848.tmp
~TFL849.tmp
~mso2a0.tmp
~mso2a1.tmp
~mso2a2.tmp
sstab*.dat

علامت «~»در سمت چپ این عبارتها قرار دارد

همچنین  طبق گزارشات  این ویروس در شرایط افلاین گزارشات خود را در پوشه اصلی ویندوز و با نام Ef_trace.log ذخیره میکند؛بخاطر وجود ساختار الگوریتمی پیچیده ی که این ویروس دارد .تمام داده ها با فرمت خاصی و در عین حال متفاوت در کامپیوتر ها استفاده می گردد.این ویروس از ساختار دیتابیس SQLite3 استفاده میکند.به همین دلیل اگر در آدرسهای زیر فایلهای کتابخانه ای زیر پیدا شد حتما آنها را از کامپیوتر خود پاک نمایید:

C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr
C:\Program Files\Common Files\Microsoft Shared\MSAudio
C:\Program Files\Common Files\Microsoft Shared\MSAuthCtrl
C:\Program Files\Common Files\Microsoft Shared\MSAPackages
C:\Program Files\Common Files\Microsoft Shared\MSSndMix

همچنین در این پوشه ها می تواند می تواند فایلها زیر نیز به چشم بخورد که این فایلها عبارتند از:

dstrlog.dat
lmcache.dat
mscrypt.dat -or wpgfilter.dat
ntcache.dat
rccache.dat -or audfilter.dat
ssitable -or audache
secindex.dat
wavesup3.drv ,a copy of the main module, mssecmgr.ocx, in the MSAudio directory

ویروس Flame از طریق فایلهای زیر به بروز کردن خود نیز استفاده می کند:

svchost1ex.mof
Svchostevt.mof
frog.bat
netcfgi.ocx
authpack.ocx
~a29.tmp
rdcvlt32.exe
to961.tmp
authcfg.dat
Wpab32.bat
ctrllist.dat
winrt32.ocx
winrt32.dll
scsec32.exe
grb9m2.bat
winconf32.ocx
watchxb.sys
sdclt32.exe
scaud32.exe
pcldrvx.ocx
mssvc32.ocx
mssui.drv
modevga.com
indsvc32.ocx
comspol32.ocx
comspol32.dll
browse32.ocx

نکاتی که دوستان باید مد نظر داشته باشند این است که به دلیل ساختار فوق العاده پیچیده این ویروس کسپر سکی پیشنهاد داده است که به صورت کاملا دستی Manual به حذف این ویروس بپردازند.و به گفته مسئولان این شرکت وجود فایل  ~DEB93D.tmp نشان دهنده آلوده بودن  حتمی به این ویروس می باشد.البته فایلهای ریجستری هم در کامپیوتر باید مورد بررسی قرار گیرد که این آدرسهای ریجتری را می توانید با تایپ فرمان regedit در قسمت Run و جستجو آنها ،این ویروس را از ریجستری نیز پاک کنید:

C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr
C:\Program Files\Common Files\Microsoft Shared\MSAudio
C:\Program Files\Common Files\Microsoft Shared\MSAuthCtrl
C:\Program Files\Common Files\Microsoft Shared\MSAPackages
C:\Program Files\Common Files\Microsoft Shared\MSSndMix

نوشته مرتبط

منتظر اطلاع رسانی های بعدی ما در مقابله با این ویروس باشد.

دربارهٔ Net Bios

عاشق برنامه نویسی،و علم شبکه

Posted on مه 30, 2012, in آموزش, امنیت, اخبار, حریم خصوصی and tagged , . Bookmark the permalink. 2 دیدگاه.

  1. علی توضیح فوق العاده ای بود. دست مریزاد!

پاسخی بگذارید

در پایین مشخصات خود را پر کنید یا برای ورود روی شمایل‌ها کلیک نمایید:

نشان‌وارهٔ وردپرس.کام

شما در حال بیان دیدگاه با حساب کاربری WordPress.com خود هستید. بیرون رفتن / تغییر دادن )

تصویر توییتر

شما در حال بیان دیدگاه با حساب کاربری Twitter خود هستید. بیرون رفتن / تغییر دادن )

عکس فیسبوک

شما در حال بیان دیدگاه با حساب کاربری Facebook خود هستید. بیرون رفتن / تغییر دادن )

عکس گوگل+

شما در حال بیان دیدگاه با حساب کاربری Google+ خود هستید. بیرون رفتن / تغییر دادن )

درحال اتصال به %s

%d وب‌نوشت‌نویس این را دوست دارند: