هشدار ! مراقب ویروس های ایرانی 2009 باشید.

در مرحله اول :

ورود به Folder Option از

سیستم عامل XP : My Computer -> Tools Menu -> Folder Option

یا : Control Panel -> Folder Option

سیستم عامل ویستا : My Computer -> Organize -> Folder & Search Option

یا : Control Panel -> Folder Option

در مرحله دوم : ورود به صفحه View و فعال کردن Show hidden files and folders

و غیر فعال کردن Hide extensions for known file types و Hide protected operating system files (Recommended) با برداشتن تیک آنها ، همچنین غیر فعال کردن  Use simple files sharing (Recommended) در صورتی که از سیستم عامل XP استفاده می کنید.

نکته : اگر از سیستم عامل XP Home Edition استفاده می نمایید ، مجبورید که آن را به نسخه XP Professional  ارتقا دهید !

برای آگاهی از این مسأله Properties را از راست کلیک برروی My Computer انتخاب نمایید.

تا اینجا فرض بر این گرفته شد که بر روی سیستم خود یکی از آنتی ویروس های ایمن از جمله Nod32 یا KasperSky یا Windows Defender را ندارید. البته Defender به طور پیش فرض بر روی سیستم های عامل ویستا نصب بوده و در کنار آن می توان آنتی ویروس دیگری را ریخت.

Defender می تواند فایل هایی را که هنگام بالا آمدن سیستم عامل اجرا می شوند ، فایل های در حال اجرا و فایل های مربوط به شبکه یا تحت سیستم را مدیریت نماید.

اگر این برنامه بر روی سیستم نصب باشد می توانید فایل مخرب را از پروسه پردازش خارج کنید و اقدام به پاک کردن فایل نمایید.

مرحله چهارم :

باید فایل مخرب را شناسایی کنید.

فایل های مخرب معمولاً ساختاری خودنما دارند. حجمشان هم به 10kb نمی رسد.

معمولاً بر روی درایوها می نشینند.

مثلاً ویروسی که توسط یک ایرانی تازه کار به نام kazme_gheyz.exe تولید شده درون درایو های اصلی همانند C ، D و بقیه درایو ها از جمله درایو مموری کارت و پوشه System32 درون پوشه Windows در درایوی که سیستم عامل برروی آن نصب شده وجود دارد.

جز ویروس new folder.exe که داخل همه ی پوشه ها انشار می یافت.

سورس اصلی ویروس kazme_gheyz درون system32 قرار گرفته که اجازه پاک شدن یا ویرایش شدن را به کاربر نمی دهد.

برای پاک کردن این ویروس کافی است بر روی پوشه system32 از پوشه windows از درایوی که ویندوز بر روی آن نصب شده راست کلیک کرده و بعد از کلیک بر Properties وارد صفحه Security شویم.

در قسمت بالایی Group or user names شاهد کاربرانی که صاحب امتیاز استفاده از سیستم هستند هستیم و در قسمت پایینی Permission of Administrators حق دسترسی آنها با Allow  و Deny مشخص شده است.

برای آنکه ما هم در لیست بالایی قرار بگیریم بر روی Add.. کلیک کرده و با کلیک بر روی Advanced در پایین صفحه بازشده Find Now را انتخاب کرده و با select بر روی شناسه ای که با آن در ویندوز هستیم بر روی OK کلیک می کنیم و در صفحه Add دوباره بر روی OK کلیک می کنیم تا اسم به لیست اضافه شود.

حال می خواهیم تا حدی هیچ فایلی درون system32 وارد نشود تا فایل ویروس محاصره شود.بنابراین از لیست گروه های بالایی System را انتخاب کرده و از لیست پایینی Write را انتخاب کرده و حق دسترسی آن را برابر Deny قرار می دهیم. برای محکم کاری اسمی که به گروه بالا اضافه کردیم را هم انتخاب کرده و همین کار را برای آن تکرار می کنیم.

همچنین سه خط Read & execute  و List folder contents و Read را انتخاب کرده و حق دسترسی آنها را بر روی Deny قرار می دهیم.

حال فایل kazme_gheyz را در این پوشه یافته و ضمن انتخاب شناسه system و شناسه ای که add کردیم سه خط Read & execute  و List folder contents و Read را انتخاب کرده و حق دسترسی آنها را بر روی Deny قرار می دهیم. همچنین خط write را برابر allow قرار می دهیم.

حال پسوند فایل را از .exe به .txt تغییر می دهیم و پیغام را yes می کنیم.

تا اینجا فایل از حالت اجرایی خارج شد.

حال می توانید فایل را باز کرده و کل سورس آن را select کرده و جای آن عددی تایپ کنید.

برای مثال :  1

و آن را با همان پسوند txt ذخیره کنید.

حال می توانیم از طریق انتخاب Folders در بالای پنجره My Computer وارد درایو های دیگر شده و فایل را به صورت دستی با گرفتن دکمه های Shift + Delete و زدن Enter پاک کنیم.

ممکن است فایل اجازه ویرایش را به ما ندهد که با همان تغییر حق دسترسی ها و تکرار از پا کنده می شود.

نکته دیگر این است که حق دسترسی به پوشه system32 را به حالت allow برگردانید چرا که در هنگام ریست مجدد دیگر سیستم عامل اجرا نخواهد شد و مجبور به نصب مجدد آن خواهیم بود.

اگر سورس فایل تغییری نکرد فقط پسوند فایل را به txt. تغییر داده و   سه خط Read & execute  و List folder contents و Read همچنین خط write را انتخاب کرده و حق دسترسی آنها را بر روی Deny قرار می دهیم.

با این حال با بازگرداندن حق دسترسی پوشه system32 و ریست مجدد سیستم می توانیم این فایل و فایل های دیگر آن را بر روی درایو ها به صورت دستی پاک کنیم.

چند نمونه از فایل های مخرب :

Word.exe در داخل درایو کول دیسک

Kazme_gheyz.exe یا همان کاظم جون!

پوشه ای به نام Recycler که داخل آن فایل Autoplay.exe قرار گرفته

فایل autoran.inf درون همه ی درایو ها ( این فایل فقط در داخل CD ها باید موجود باشد.)

New folder.exe

منبع : وبلاگ دنیای ارتباط

/ 0 نظر / 19 بازدید