منو
 کاربر Online
713 کاربر online
 : کامپیوتر
برای پاسخ دادن به این ارسال باید از صفحه قبلی اقدام کنید.   کاربر offline پژمان-رحیمی-صادق 3 ستاره ها ارسال ها: 607   در :  سه شنبه 27 دی 1384 [19:32 ]
  کالبد شکافی ویروس Yahosin :
 

کالبد شکافی ویروس Yahosin :

چند وقت پیش پستهایی داشتیم در مورد ویروس یاحسین ، که سیستم هایی را آلوده کرده بود . من هم در مورد این ویروس خیلی کنجکاو شدم که چه کار می کند . تا اینکه بالاخره یکی از کامپیوتر های آلوده به این ویروس به دست من رسید و توانستم خودم این ویروس را از نزدیک ملاقات کنم . که وافعا ویروس جالبی است .

در این مقاله من توضیحاتی در مورد این ویروس ، راه های انتشار ، پاک کردن این ویروس از روی سیستم ، چگونگی کار ، و اسم سازنده آن ! خواهید خواند .

لازم به ذکر است تمامی این مطالب را خودم نوشته و از کسانی که وبلاگ یا سایت دارند و مایلند این مطلب را در سایت یا وبلاگ خود قرار دهند حتما منیع آن یعنی سایت من را نیز بنویسند .

منبع : www.prs-land.tk



اول از همه طریقه گسترش ویروس :

آلودگی با اجرای فایل ویروس انجام می شود . که ویروس با فلاپی گسترش می یابد .

در کامپیوتر آلوده :
بعد از قرار دادن فلاپی در کامپیوتر آلوده ویروس خود را در آن کپی می کند . و فایلهای درون فلاپی را مخفی می کند . و در فلاپی تنها فایل ویروس که شبیه یک پوشه است باقی می ماند .

در کامپیوتر میزبان :
بعد از قرار دادن فلاپی در کامپیوتر . کاربر کامپیوتر میزبان وارد فلاپی می شود و می خواهد فایلهایی را که در آن است اجرا کند . که بایک فایل پوشه نما مواجه می شود . آن را اجرا می کند . بعد از آن فایلهای مخفی شده برای لحظه ای ظاهر می شوند . اما دوباره بعد از چند لحظه مخفی می شوند. در این مدت کوتاه فایل یک کوپی از خود را در system32 در پوشه ویندو با نام systemdll.exe کوپی می کند و از این به بعد هم با شروع به کار ویندوز این فایل هم اجرا می شود .


علائم آلودگی :
1) هنگام کوپی کردن فایل در فلاپی فایل ها مخفی می شوند و یک فایل اجرایی شبیه پوشه به نام
Documents.exe
در آن ایجاد می شود

2) هنگام اجرای فایلهایی با نام های ( معنی بعضی از این کلمات زشت است که من برای توضیح مجبورم بنویسم برای همین معضرت می خواهم )
( sex ; teen ; xx ; Phallus ; jeggar; Priapus; Phallic ; Penis ; Exhibitionism و چند کلمه فارسی که همین معنا ها را می دهند . که تمامی کلمات مربوط به فایلهای عیر اخلاقی است که بر روی رایانه ها موجود است . اختاری زاهر می شود بهدین مضمون :
تصویر

اگر بر روی ok کلیک کنید پنجره دیگری ظاهر می شود به شکل زیر :

تصویر
اگر موس را بر روی پنجره قبلی ببرید به دام خواهید افتاد و سه راه حل زیر را خواهید داشت :
تصویر

3) اگر در بعضی جاها مثل مرورگر یا منوب run و یا بعضی جاها همان اختار بالا ظاهر می شود .
4) هنگامی که windows task manager را اجرا می کند در قسمت Applications برنامه در حال اجرای ویروس را مشاهده می کنید .
5) با تایپ msconfig در منوی run و رفتن به قسمت startup برنامه msconfig فایل systemdll را مشاهده می کنید.

ممکن است ویروس کارهایی دیگری هم انجام دهد که من از آنها بی خبر باشم .


طریقه نابودی ویروس :

برای این کار ابتدا باید فایل systemdll را که در حال اجرا است را از کار بیندازید . برای این کار windows task manager را اجرا و فایل systemdll را end task کنید. بعد از آن فایل systemdll را از پوشه system32 پاک کنید . بعد در منوی run فرمان msconfig را اجرا کنید و به قسمت startup بروید و تیک کنار فایل systemdll را بردارید . حالا کامپیوتر را رستارت کنید . برای اینکه مطمئن شوید ویروس پاک شده . فایلی به نام sex.jpg بسازید و آن را اجرا کنید . اگر اختار مثل قبل آمد ویروس هنوز وجود دارد . اگر نیامد که پاک شده .



سازنده ویروس:

به احتمال نام سازنده hosein بوده است . یا اولین رایانه ای که آلوده شده است کاربری به نام حسین داشته است .


نکته : به نظر من سازنده این ویروس بیشترین قصدش جلوگیری از رفتن شما به سایتهای غیر اخلاقی در اینترنت بوده است . که به نظر من تنها خوبی این ویروس همین است . جدیدا این نوع ویروس ها در حال گسترش هستند . مانند ویروسی که متنهای سایتهای غیر اخلاقی را بسیار ریز می کند و...


امیدوارم مطلب زیر آموزنده باشد . برای دوستاران ویروس فایل اصلی ویروس برای دانلود وجود دارد . که می توانید آن را برای بررسی ویروس دانلود کنود . حتی می توانید . فایل ویروس را با برنامه notpade باز کنید تا اطلاعات بیشتری پیدا کنید . یا آن را به فایل سورس تبدیل کنید و...



لینک دانلود



  امتیاز: 0.00     
برای پاسخ دادن به این ارسال باید از صفحه قبلی اقدام کنید.   کاربر offline پژمان-رحیمی-صادق 3 ستاره ها ارسال ها: 607   در :  سه شنبه 27 دی 1384 [19:49 ]
  >کالبد شکافی ویروس Yahosin : یک مطلب دیگه که با جستوجو با گوگل پیدا کردم
 

YaHosin را شنيده بودين ؟ يك ويروس مسخره كه توسط نمايندگي آنتي ويروس انگليسي سوفوس Sophos در ايران نوشته شد و توزيع شد ... خودشون ويروسش را نوشتن .. خودشون هم پز دادند كه آقا آنتي ويروس ما ، اولين آنتي ويروسي بوده كه YaHosin را شناسايي كرده !!!!!!
البته اسم اصليش همون اسم سازنده اش بود ، يعني يوسف علي ... ولي خب به اسم ديگري معروف شد ....

  امتیاز: 0.00    نمایش یاسخ های این پست  
برای پاسخ دادن به این ارسال باید از صفحه قبلی اقدام کنید.   کاربر offline سمیه یاری 3 ستاره ها ارسال ها: 237   در :  پنج شنبه 29 دی 1384 [11:27 ]
  > کالبد شکافی ویروس Yahosin :
 

خیلی ممنون . من که استفاده کردم .
راستی حذفSystemdll مشکلی رو ایجاد نمی کنه ؟

  امتیاز: 0.00     
برای پاسخ دادن به این ارسال باید از صفحه قبلی اقدام کنید.   ناشناس   در :  پنج شنبه 29 دی 1384 [15:55 ]
  > کالبد شکافی ویروس Yahosin :
 

من از ویندوز اکس پی استفاده میکنم و ALT-CTRL-DEL روی کامپیوتر من دیگر کار نمیکند آیا اینهم بخاطر ویروس است یا علت دیگری برایش سراغ دارید؟

  امتیاز: 0.00     
برای پاسخ دادن به این ارسال باید از صفحه قبلی اقدام کنید.   کاربر offline پژمان-رحیمی-صادق 3 ستاره ها ارسال ها: 607   در :  جمعه 30 دی 1384 [17:23 ]
  > کالبد شکافی ویروس Yahosin :
 

راستی حذفSystemdll مشکلی رو ایجاد نمی کنه ؟

خیر این فایل اصلا برای ویندوز نیست و نبوده است


من از ویندوز اکس پی استفاده میکنم و ALT-CTRL-DEL روی کامپیوتر من دیگر کار نمیکند آیا اینهم بخاطر ویروس است یا علت دیگری برایش سراغ دارید؟

احتمال اینکه شما ویروسی شده باشید زیاد است . نرم افزار های پسورد یاب yahoo massenger و همچنین spy ها و... هم این کار را انجام می دهند .
حتما آنتی ویروس خود را بروز کنید . فعلا با تایپ فرمان msconfig در منوی run و رفتن به تب start up . می توانید برنامه هایی را که با ویندوز بالا می آیند را ببینید . اگر ممکن است اسم تمام آنها را برای من ارسال کنید تا اگر آنتی ویروس چیزی نیافت . ببینم من چیزی مشکوکی وجود دارد یا نه .

rahimi_s1@roshd.ir


  امتیاز: 0.00     
برای پاسخ دادن به این ارسال باید از صفحه قبلی اقدام کنید.   ناشناس   در :  پنج شنبه 06 بهمن 1384 [09:32 ]
  > کالبد شکافی ویروس Yahosin :
 

سلام.اگه فولدر systemdll رو در system32 به یک نام دلخواه تغییر نام بدین در ری استارت بعدی ویروس yahosin دیگه فعال نمیشه.
مسعود . ms_organicchem@hotmail.com

  امتیاز: 0.00