چند وقت پیش پستهایی داشتیم در مورد ویروس یاحسین ، که سیستم هایی را آلوده کرده بود . من هم در مورد این ویروس خیلی کنجکاو شدم که چه کار می کند . تا اینکه بالاخره یکی از کامپیوتر های آلوده به این ویروس به دست من رسید و توانستم خودم این ویروس را از نزدیک ملاقات کنم . که وافعا ویروس جالبی است .
در این مقاله من توضیحاتی در مورد این ویروس ، راه های انتشار ، پاک کردن این ویروس از روی سیستم ، چگونگی کار ، و اسم سازنده آن ! خواهید خواند .
لازم به ذکر است تمامی این مطالب را خودم نوشته و از کسانی که وبلاگ یا سایت دارند و مایلند این مطلب را در سایت یا وبلاگ خود قرار دهند حتما منیع آن یعنی سایت من را نیز بنویسند .
آلودگی با اجرای فایل ویروس انجام می شود . که ویروس با فلاپی گسترش می یابد .
در کامپیوتر آلوده : بعد از قرار دادن فلاپی در کامپیوتر آلوده ویروس خود را در آن کپی می کند . و فایلهای درون فلاپی را مخفی می کند . و در فلاپی تنها فایل ویروس که شبیه یک پوشه است باقی می ماند .
در کامپیوتر میزبان : بعد از قرار دادن فلاپی در کامپیوتر . کاربر کامپیوتر میزبان وارد فلاپی می شود و می خواهد فایلهایی را که در آن است اجرا کند . که بایک فایل پوشه نما مواجه می شود . آن را اجرا می کند . بعد از آن فایلهای مخفی شده برای لحظه ای ظاهر می شوند . اما دوباره بعد از چند لحظه مخفی می شوند. در این مدت کوتاه فایل یک کوپی از خود را در system32 در پوشه ویندو با نام systemdll.exe کوپی می کند و از این به بعد هم با شروع به کار ویندوز این فایل هم اجرا می شود .
علائم آلودگی : 1) هنگام کوپی کردن فایل در فلاپی فایل ها مخفی می شوند و یک فایل اجرایی شبیه پوشه به نام
Documents.exe
در آن ایجاد می شود
2) هنگام اجرای فایلهایی با نام های ( معنی بعضی از این کلمات زشت است که من برای توضیح مجبورم بنویسم برای همین معضرت می خواهم )
( sex ; teen ; xx ; Phallus ; jeggar; Priapus; Phallic ; Penis ; Exhibitionism و چند کلمه فارسی که همین معنا ها را می دهند . که تمامی کلمات مربوط به فایلهای عیر اخلاقی است که بر روی رایانه ها موجود است . اختاری زاهر می شود بهدین مضمون :
اگر بر روی ok کلیک کنید پنجره دیگری ظاهر می شود به شکل زیر :
اگر موس را بر روی پنجره قبلی ببرید به دام خواهید افتاد و سه راه حل زیر را خواهید داشت :
3) اگر در بعضی جاها مثل مرورگر یا منوب run و یا بعضی جاها همان اختار بالا ظاهر می شود .
4) هنگامی که windows task manager را اجرا می کند در قسمت Applications برنامه در حال اجرای ویروس را مشاهده می کنید .
5) با تایپ msconfig در منوی run و رفتن به قسمت startup برنامه msconfig فایل systemdll را مشاهده می کنید.
ممکن است ویروس کارهایی دیگری هم انجام دهد که من از آنها بی خبر باشم .
طریقه نابودی ویروس :
برای این کار ابتدا باید فایل systemdll را که در حال اجرا است را از کار بیندازید . برای این کار windows task manager را اجرا و فایل systemdll را end task کنید. بعد از آن فایل systemdll را از پوشه system32 پاک کنید . بعد در منوی run فرمان msconfig را اجرا کنید و به قسمت startup بروید و تیک کنار فایل systemdll را بردارید . حالا کامپیوتر را رستارت کنید . برای اینکه مطمئن شوید ویروس پاک شده . فایلی به نام sex.jpg بسازید و آن را اجرا کنید . اگر اختار مثل قبل آمد ویروس هنوز وجود دارد . اگر نیامد که پاک شده .
سازنده ویروس:
به احتمال نام سازنده hosein بوده است . یا اولین رایانه ای که آلوده شده است کاربری به نام حسین داشته است .
نکته : به نظر من سازنده این ویروس بیشترین قصدش جلوگیری از رفتن شما به سایتهای غیر اخلاقی در اینترنت بوده است . که به نظر من تنها خوبی این ویروس همین است . جدیدا این نوع ویروس ها در حال گسترش هستند . مانند ویروسی که متنهای سایتهای غیر اخلاقی را بسیار ریز می کند و...
امیدوارم مطلب زیر آموزنده باشد . برای دوستاران ویروس فایل اصلی ویروس برای دانلود وجود دارد . که می توانید آن را برای بررسی ویروس دانلود کنود . حتی می توانید . فایل ویروس را با برنامه notpade باز کنید تا اطلاعات بیشتری پیدا کنید . یا آن را به فایل سورس تبدیل کنید و...
>کالبد شکافی ویروس Yahosin : یک مطلب دیگه که با جستوجو با گوگل پیدا کردم
YaHosin را شنيده بودين ؟ يك ويروس مسخره كه توسط نمايندگي آنتي ويروس انگليسي سوفوس Sophos در ايران نوشته شد و توزيع شد ... خودشون ويروسش را نوشتن .. خودشون هم پز دادند كه آقا آنتي ويروس ما ، اولين آنتي ويروسي بوده كه YaHosin را شناسايي كرده !!!!!!
البته اسم اصليش همون اسم سازنده اش بود ، يعني يوسف علي ... ولي خب به اسم ديگري معروف شد ....
من از ویندوز اکس پی استفاده میکنم و ALT-CTRL-DEL روی کامپیوتر من دیگر کار نمیکند آیا اینهم بخاطر ویروس است یا علت دیگری برایش سراغ دارید؟
احتمال اینکه شما ویروسی شده باشید زیاد است . نرم افزار های پسورد یاب yahoo massenger و همچنین spy ها و... هم این کار را انجام می دهند .
حتما آنتی ویروس خود را بروز کنید . فعلا با تایپ فرمان msconfig در منوی run و رفتن به تب start up . می توانید برنامه هایی را که با ویندوز بالا می آیند را ببینید . اگر ممکن است اسم تمام آنها را برای من ارسال کنید تا اگر آنتی ویروس چیزی نیافت . ببینم من چیزی مشکوکی وجود دارد یا نه .
rahimi_s1@roshd.ir
امتیاز: 0.00
شما باید یک عنوان و متن وارد کنید!
برای پاسخ دادن به این ارسال باید از
صفحه قبلی
اقدام کنید.
ناشناس
در : پنج شنبه 06 بهمن 1384 [09:32 ]
> کالبد شکافی ویروس Yahosin :
سلام.اگه فولدر systemdll رو در system32 به یک نام دلخواه تغییر نام بدین در ری استارت بعدی ویروس yahosin دیگه فعال نمیشه.
مسعود . ms_organicchem@hotmail.com
امتیاز: 0.00
وزارت آموزش و پرورش > سازمان پژوهش و برنامهريزی آموزشی
شبکه ملی مدارس ایران رشد
شما باید یک عنوان و متن وارد کنید!