منو
 صفحه های تصادفی
آنسفالیت ویروسی
تعیین اسیدیته آب
مکانیک کوانتومی
تاریخ زبان فرانسوی
ابوحنیفه
جریان مستقیم ولتاژ بالا
مدل اتمی رادرفورد
بیماری وبا
آثار و موانع ذکر
ماهیت
 کاربر Online
744 کاربر online
 : کامپیوتر
برای پاسخ دادن به این ارسال باید از صفحه قبلی اقدام کنید.   کاربر offline پژمان-رحیمی-صادق 3 ستاره ها ارسال ها: 607   در :  شنبه 04 شهریور 1385 [12:55 ]
  معرفی ویروس Brontok
 

بعد از مدت زیادی ویروس جدیدی را در تهران دیدم که تعداد زیادی از رایانه های دوستام رو آلوده کرده بود که یک جورایی تو مایه های ویروس های yahosin ، Wukill است . البته دیگه مثل اون دو تا آیکونش آون پوشه 256 رنگی ویندوز 2000 نیست بلکه شکل پوشه های ویندوز xp است . و از این لحاظ پیشرفت کرده است و شما رو بهتر گول میزنه . همچنین بعد از اجرا واقعا یک پوشه باز می شود !

عکس:
img/daneshnameh_up/6/67/brontok.jpg

img/daneshnameh_up/b/b2/brontokb.jpg

img/daneshnameh_up/a/a7/brontokb2.JPG

img/daneshnameh_up/b/bc/nofolderoption.jpg

نام ویروس :
Win32.Brontok.B@mm به همراه Win32.Brontok.A@mm و نصخه های دیگر....
این نام برای شرکت Bitdefender است نام شرکتهای دیگه :
W32.Rontokbro@mm – Symantec
W32/Brontok-N – Sophos
Win32/Brontokbro.A.A – Eset
Win32/Robknot!Variant!Worm – CA eTrust
Worm.Win32.Brontok.a – Kaspersky
و
( W32/Rontokbro.gen@MM, W32.Rontokbro@mm, Worm/Brontok.a, Email-Worm.Win32.Brontok.a )
البته یه چیز مهم دیگه اینه که این ویروس چندین نصخه دارد که نام ها شون یکی است اما با نام های B و C و A و... نامیده می شوند . که شکل گسترشون تقربا مشابه است . این یکی که من معرفی می کنم نوع B است که با نوع A اصلا فرق نداره . اما نمی دونم چرا بهش نوع B می گن.
این ویروس در تاریخ 2005 در ماه فبریه اولین نصخه شناسایی شده است و جدید ترین نصخه آن برای سه ماه پیش است .

نوع این ویروس :
این برنامه مخرب رو می شه هم ویروس و هم کرم دسته بندی کرد . در بعضی از سایت های ویروس یاب خطر آن رو ضعیف و در بعضی خطرناک معرفی می کنند. همچنین به طور کلی این برنامه رو یک کرم ایمیلی (Worm Mail) می نامند . چون در کشور های دیگه بیشتر با ایمیل گسترش می یابد . اما در کشور ما با سی دی و فلاپی بیشتر گسترش می یابد .

حالا طریق گسترش این ویروس در کامپیوتر : (توضیحات زیر ممکن است برای بعضی نصخه ها اینا تکرار شود و در بعضی نصخه ها بعضی نصخه ها بعضی قسمتها حذف شده باشه)
در کامپیوتر آلوده :
ویروس آدرس ها ای میل موجود در کامپیوتر را پیدا کرده و با ساختن یک کلاینت پستی خود را به تمامی این آدرس ها ارسال می کند . و همچنین ویروس خود را در پوشه های به آشتراک گذاشته در شبکه کوپی می کند. و باز هم مهم ترین دلیل انتقال ویروس در کشور ما این آست که یا خودتون بدون اینکه خبر داشته باشید این ویروس در کامپیوتر شما است آن را رایت می کنید یا بر روی فلاپی یا حافظه فلش ریخته و ... و به دوستانتان می دهید . و یا ویروس خود این کار رو انجام می دهد .
در کامپیوتر میزبان : (اون بدبختی که قراره آلوده بشه :
شما نامه ای دریافت می کنید که در آن این چیزا نوشته شده است :
مضموم نامه 1 :
Subject: Film Terbaru Dian Satro dan Tora Sudiro
Body:
Salam Hangat, Bagi Anda yang mengidolakan artis Dian Sastro atau Tora Sudiro, maka Anda akan segera terpuaskan, karena sebuah film komedi romantis terbaru mereka (judul film masih dirahasiakan) telah siap beredar. Untuk menambah koleksi foto idola Anda, berikut adalah salah satu potongan gambar film ketika mereka beradegan romantis di sebuah danau, (terlampir pada file `Sample Picture.zip`). Menurut sutradaranya, film tersebut akan beredar dua bulan mendatang dan diperkirakan akan melebihi kesuksesan film-film terdahulu mereka. Terima kasih,


Attachment: Sample Picture.Zip

مضموم نامه 2 :

Subject: (empty)
Message:

BRONTOK.A [ By: HVM31-Jowobot #VM Community
-- Hentikan kebobrokan di negeri ini --
1. Adili Koruptor, Penyelundup, Tukang Suap, Penjudi, & Bandar NARKOBA
( Send to `NUSAKAMBANGAN`)
2. Stop Free Sex, Absorsi, & Prostitusi
3. Stop (pencemaran laut & sungai), pembakaran hutan & perburuan liar.
4. SAY NO TO DRUGS !!!
-- KIAMAT SUDAH DEKAT --
Terinspirasi oleh: Elang Brontok (Spizaetus Cirrhatus) yang hampir punah[
By: HVM31-Jowobot #VM Community--

Attachment: Kangen.exe

این ویروس احتمالا نامه هایی دیگر با متن های متفاوت برای نصخه های متفاوت خودش ارسال می کند.

حالا شما ضمیمه رو اجرا می کنید و بعد از اون پوشه Sample Picture اجرا می شود . یا my Documents
تبریک می گم شما آلوده شده اید . در بعضی موارد ویروس یک فایل HTM در my Documents می سازد و خبر از این واقعه بزرگ به شما می دهد و از شما در خواست هایی دارد . که نمی گم . تا مجبور باشید برای فهمیدن این مطالب خود را آلوده کنید . !!!!


خوب حالا ویروس دست به کار می شود و کار های زیر رو با رایانه عزیز شما آنجام می دهد.
1 ) دسترسی به این سایت ها رو از شما می گیرد :
mcafee.com
nai.com
kaspersky.com
grisoft.com
norton.com
symantec.com
norman.com
trendmicro.com
sophos.com
perantivirus.com
virusalert.nl
antivirus.pagina.nl
virustotal.com
با تغییر دادن وضعیت re-direct security ویندوز .
خودش رو در این جا ها کوپی می کند :
%WINDIR%eksplorasi.pif
%UserProfile%Local SettingsApplication Datasmss.exe
%UserProfile%Local SettingsApplication Dataservices.exe
%UserProfile%Local SettingsApplication Datalsass.exe
%UserProfile%Local SettingsApplication Datacsrss.exe
%UserProfile%Local SettingsApplication Datainetinfo.exe
%UserProfile%Local SettingsApplication Datawinlogon.exe
%UserProfile%Start MenuProgramsStartupEmpty.pif
%UserProfile%TemplatesWowTumpeh.com
%WINDIR%%CURRENT_USER%`s Setting.scr
%WINDIR%ShellNewbronstab.exe
در نصخه ای دیگر :
%System%Administrator`s Setting.scr
%UserProfile%AppdataBronFoldNetDomList.txt
%UserProfile%Appdatacsrss.exe
%UserProfile%Appdatainetinfo.exe
%UserProfile%AppdataKosong.Bron.Tok.txt
%UserProfile%AppdataListHost8.txt
%UserProfile%Appdatalsass.exe
%UserProfile%AppdataNetMailTmp.bin
%UserProfile%Appdataservices.exe
%UserProfile%Appdatasmss.exe
%UserProfile%AppdataUpdate.8.Bron.Tok.bin
%UserProfile%AppdataUpdate.AN.8.A.Bron.Tok
%UserProfile%Appdatawinlogon.exe
%UserProfile% Start MenuProgramsStartupEmpty.pif
%UserProfile%TemplatesWowTumpeh.com
همین طور که می بینید این ویروس پسوند های متفاوتی همچون EXE و PIF و SCR و COM دارد .!!! حجم تمامی این فایل ها 42,028 است.
دسترسی به رجیستری رو از شما می گیرد و اگر سعی کنید رجیستری رو اجرا کنید به هر نحو تاکید می کنم به هر نحو شما رو می کشه !!! شوخی کردم کامپیوتر رو رستارت می کنه .
بعد هم دسترسی به فرمام مورد علاغه من Msconfig رو می گیره . و باز هم با دست بوردن به رجیستری Folders option رو غیر فعال می کنه و از منوی Tools حذف می کند .
در بعضی موارد با اجرا کردن فایل های با پسوند EXE کامپیوتر رستارت می شود .
بعد با تغیرات زیر در رجیستری خودش رو با ویندوز بالا می آورد :
HKEY_Current_UserSoftwareMicrosoftWindows CurrentVersionRun `Tok-Cirrhatus-3444` Data: `C:Documents and SettingsAdministratorLocal Settings Application Databr7911on.exe`
و
HKEY_Local_MachineSoftwareMicrosoftWindows CurrentVersionRun `Bron-Spizaetus` Data: `C:WindowsShellNewRakyatKelaparan.exe`
و
HKLMSoftwareMicrosoftWindowsCurrentVersionRun `Bron-Spizaetus` = `%Windir%ShellNewbronstab.exe`
و
HKCUSoftwareMicrosoftWindowsCurrentVersionRun `Tok-Cirrhatus` = `%UserProfile%Local SettingsApplication Datasmss.exe`
و
HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon `Shell`=`Explorer.exe %Windir%eksplorasi.pif`

حالا بعد از این همه کار تاقت فرسا ( ویروس جون خسته نباشی ) تازه شروع می کنه دونبال این فایل ها در کامپیوتر تون :
asp
cfm
csv
doc
eml
html
php
txt
wab
و بعد از این دونبال آدر سها ایمیل در این فایل ها و در نرم افزار ها پیام رسانتون و... می کنه :
و آدرس های پیدا شده رو در پوشه ای به نام این یا مشابه این :
%UserProfile%Local SettingsApplication DataLoc.Mail.Bron.Tok
در در فایل های INI که دارای نام هایی مشابه found@email.address.ini قرار می دهد . ( من خودم این ویروس رو در چند کافی نت دیدم و وارد این پوشه شدم چشمتون روز بد نبینه تو این پوشه ها اینقدر آدرس ایمیل بود که اکه قرار بود همه رو نگاه کنم پیر می شدم چه بره سه به اینکه نامه ها رو در بیارم و براشون پیام تصلیت بفرستم !!!!!!
ویروس ممکن است پوشه هایی مانند زیر هم برا یذخیره گنجینش بسازه :
Ok-SendMail-Bron-tok
Bron.tok-x-[y
x و y عدد یا حروفی است که بصورت راندوم انتخاب می شود.
ویروس همچنین هر روز ساعت 5:08 دقیقه بعد از ظهر فایلی به نام WowTumpeth.com رو در پوشه ویندوز کوبی و اجرا می کند . که نمی دونم چکار می کنه اما شاید اطلاعات و طلا جواهراتش رو ارسال می کنه !؟>
این ویروس بعد از اجرای ویندوز همیشه این اطلاعات رو برای اطمینان از صخت عمل کرد خود به رجیستری اضافه می کند :
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun
`Bron-Spizaetus` = `%Windir%ShellNewbronstab.exe`

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun
`Tok-Cirrhatus` = `%UserProfile%Local SettingsApplication Datasmss.exe`

[HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon
`Shell`=`Explorer.exe %Windir%eksplorasi.pif`


حالا می ریم سر علائم آلودگی :
شما نمی تونید زجیستری رو اجرا کنید
شما نمی تونیدMSconfig رو اجرا کنید
شما نمی توانید فولد آپشن رو اجرا کنید . چون فولدر آپشن Folder Options وجود ندارد.
شما نمی توانید بعضی وقتها برنامه های با پسوند EXE رو اجرا کنید .
فایل های ذکر شده در بالا در کامپیوتر شما وجود دارد !

طریقه نابودی ویروس :
راه حل اول :بهترین و عالی ترین راه این است که ویندوز جدید نصب کنید . و قبل از هر کاری در ویندوز جدید یه آنتی ویروس توپ نصب کنید و درایو ها تون رو اسکن کنید و تمامی ویروس ها موجود در اون رو نابود کنید .
راه حل دوم : راه دومی وجود ندارد . مگر اینکه بخواهید دوباره آلوده شوید .

امیدوارم از این ویروس سخت کوش و مهربان استفاده لازم رو برده باشید و اگر قرار است روزی روزگاری ویروس بسازید بدونید چی بسازید ، چجوری بسازید ، برای چی بسازید ، کجا بسازید ، برای کی بسازید ، جرا بسازید ، مگه بیمارید که بسازید ، شاید هم ادعا دارید که بسازید ، حالا اگر نسازید چی می شه ، اصلا بسازید ، بعد برای من بفرستید ، من خیلی عاشق ویروس ها هستم ، راستشو بخواهید من رشتم تجربی است نه کامپیوتر ، من کامپیوتر رو بخاطر همین ویروس ها و کرم ها و اسب ها دروست دارد !!!!!!!


امیدوارم از مطالب باال استفاده برده باشید . منتظر نقد ویروس بعدی من باشید . که یک ویروسی است که خودش با استفاده از یک سوراخ کنده ویندوز اجرا می شود!!!!!!
اینم لینک دانلود ویروس برای دوستداران این ویروس :
http://http://217.218.177.31/mavara/mavara-download_file.php?fileId=286


این لینک سایت من :
PRS-LAND
PRS

در ضمن یک نکته اگر خاستید این مطالب رو در سایت یا وبلاگتون بزارید یادتون نره لین های من رو بزارید متشکرم .
سوال دااشتید : Rahimi_s1#roshd.ir

  امتیاز: 0.00     
برای پاسخ دادن به این ارسال باید از صفحه قبلی اقدام کنید.   کاربر offline امیر خاکپور 3 ستاره ها ارسال ها: 433   در :  شنبه 04 شهریور 1385 [13:23 ]
  ممنون از اطلاع رسانی خوبت
 

سلام ممنون از اینکه ما رو از وجود ویروس های جدید آگاه می کنی smile
موفق باشی wink

  امتیاز: 0.00