آشنایی با کرم Dref-AF - دانلود

توضیحات:

Dref-AF یک کرم ایمیل برای سیستم های ویندوزی می باشد.

این کرم آدرس های ایمیل را از کامپیوتر آلوده جمع آوری کرده و یک کپی از خود را با آدرس  "random name@yahoo.com"  به این آدرس ها ارسال می کند. این ایمیل دارای خصوصیات زیر می باشد :

Subject line (موضوع ایمیل):

  Iran Just Have Started World War III

  USA Just Have Started World War III

  Israel Just Have Started World War III

  Missle Strike: The USA kills more then 10000 Iranian citizens

  Missle Strike: The USA kills more then 1000 Iranian citizens

  Missle Strike: The USA kills more then 20000 Iranian citizens

  USA Missle Strike: Iran War just have started

  USA Declares War on Iran

Attachment filename(فایل‌های الحاقی):

  Video.exe

  News.exe

  Movie.exe

  Read Me.exe

  Click Me.exe

  Click Here.exe

  Read More.exe

  More.exe

همچنین زمانی که  کرم Dref-AF اجرا می شود یک فایل exe با نامی تصادفی که از 7 حرف تشکیل شده در سیستم ایجاد می کند. این فایل مانند کرم Dref-AB تشخیص داده می شود .

 سپس Dref-AF مدخل زیر را پاک می کند :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Agent

مدخل زیر را نیز تغییر می دهد :

 HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess

Start

4

توصیه ها:

  1. به روز کردن آنتی ویروس

  2.روش پاک سازی دستی توسط آنتی ویروس  سوفوس برای Windows NT مدل 4.5x  و Windows NT/2000/XP/2003 مدل 4.1x  و پایین تر :

برای حذف یک تروجان کارهای زیر را انجام دهید :

•   همه ی برنامه های خود را ببندید

•   مراحل Start|Programs| SophosAnti-Virus را بگذرانید وبرنامه آنتی ویروس را اجرا کنید

•   تب ""Immediate"" و سپس درایو مورد نظر  را انتخاب کنید

•   به Options|Configuration رفته و تب ""Disinfection"" یا  ""Action"" را انتخاب کرده سپس "Infected files" وبعد از آن "Delete"را انتخاب کنید  و در آخر OK را بزنید.

•    برای اجرا کردن پویش،"scan" یا دکمه "GO" را بزنید.

•   فایل های مورد نظر را پاک کنید، سپس یک پویش دیگر را اجرا کنید تا مطمئن شوید پاک سازی صورت گرفته است.

•   به Options|Configuration برگردید و تب "Disinfection",  "Action" انتخاب کرده سپس "Infected files" وبعد از آن "Delete" را انتخاب کنید  و در آخر OK را بزنید.

•  کامپیوتر را Reboot کرده و پویش نهایی را اجرا کنید تا کاملا مطمئن شوید پاک ساری صورت گرفته است

3. روش پاک سازی به صورت دستی :

 ابتدا تمامی داده خود را در سیستم تغییر داده و یک کپی از آنها تهیه کنید.

پسورد Administrator را دوباره تغییر دهید و یک نگاهی به مسایل امنیتی شبکه خود بیندازید.

در taskbar دکمه start را بزنید و منوی run را اجرا کنید و در آن Regedit را بنویسید و دکمه ok را کلیک کنید تا صفحه ویرایشگر رجیستری شما باز شود . فراموش نکنید که قبل از دستکاری رجیستری یک نسخه پشتیبان از آن تهیه کنید .

برای تهیه نسخه پشتیبان از رجیستری خود ؛ در منوی Registry روی گزینهExport Registry File  و در پنل Export range گزینه All را انتخاب کرده و سپس دکمه Save را کلیک کنید تا نسخه پشتیبان از رجیستری شما تهیه شود.

حال در مدخلHKEY_LOCAL_MACHINE رجیستری زیر مدخل‌های:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Agent

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess

Start

4

 هر مدخلی که به فایلی اشاره می کرد حذف کنید.

سپس رجیستری خود را ببندید و دوباره سیستم خود را راه اندازی کنید.