آشنایی با کرم Dref-AF
توضیحات:
Dref-AF یک کرم ایمیل برای سیستم های ویندوزی می باشد.
این کرم آدرس های ایمیل را از کامپیوتر آلوده جمع آوری کرده و یک کپی از خود را با آدرس "random name@yahoo.com" به این آدرس ها ارسال می کند. این ایمیل دارای خصوصیات زیر می باشد :
Subject line (موضوع ایمیل):
Iran Just Have Started World War III
USA Just Have Started World War III
Israel Just Have Started World War III
Missle Strike: The USA kills more then 10000 Iranian citizens
Missle Strike: The USA kills more then 1000 Iranian citizens
Missle Strike: The USA kills more then 20000 Iranian citizens
USA Missle Strike: Iran War just have started
USA Declares War on Iran
Attachment filename(فایلهای الحاقی):
Video.exe
News.exe
Movie.exe
Read Me.exe
Click Me.exe
Click Here.exe
Read More.exe
More.exe
همچنین زمانی که کرم Dref-AF اجرا می شود یک فایل exe با نامی تصادفی که از 7 حرف تشکیل شده در سیستم ایجاد می کند. این فایل مانند کرم Dref-AB تشخیص داده می شود .
سپس Dref-AF مدخل زیر را پاک می کند :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Agent
مدخل زیر را نیز تغییر می دهد :
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Start
4
توصیه ها:
1. به روز كردن آنتی ویروس
2.روش پاك سازی دستی توسط آنتی ویروس سوفوس برای Windows NT مدل 4.5x و Windows NT/2000/XP/2003 مدل 4.1x و پایین تر :
برای حذف یك تروجان كارهای زیر را انجام دهید :
• همه ی برنامه های خود را ببندید
• مراحل Start|Programs| SophosAnti-Virus را بگذرانید وبرنامه آنتی ویروس را اجرا كنید
• تب ""Immediate"" و سپس درایو مورد نظر را انتخاب كنید
• به Options|Configuration رفته و تب ""Disinfection"" یا ""Action"" را انتخاب كرده سپس "Infected files" وبعد از آن "Delete"را انتخاب كنید و در آخر OK را بزنید.
• برای اجرا كردن پویش،"scan" یا دكمه "GO" را بزنید.
• فایل های مورد نظر را پاك كنید، سپس یك پویش دیگر را اجرا كنید تا مطمئن شوید پاك سازی صورت گرفته است.
• به Options|Configuration برگردید و تب "Disinfection", "Action" انتخاب كرده سپس "Infected files" وبعد از آن "Delete" را انتخاب كنید و در آخر OK را بزنید.
• كامپیوتر را Reboot كرده و پویش نهایی را اجرا كنید تا كاملا مطمئن شوید پاك ساری صورت گرفته است
3. روش پاك سازی به صورت دستی :
ابتدا تمامی داده خود را در سیستم تغییر داده و یك كپی از آنها تهیه كنید.
پسورد Administrator را دوباره تغییر دهید و یك نگاهی به مسایل امنیتی شبكه خود بیندازید.
در taskbar دكمه start را بزنید و منوی run را اجرا كنید و در آن Regedit را بنویسید و دكمه ok را كلیك كنید تا صفحه ویرایشگر رجیستری شما باز شود . فراموش نكنید كه قبل از دستكاری رجیستری یك نسخه پشتیبان از آن تهیه كنید .
برای تهیه نسخه پشتیبان از رجیستری خود ؛ در منوی Registry روی گزینهExport Registry File و در پنل Export range گزینه All را انتخاب كرده و سپس دكمه Save را كلیك كنید تا نسخه پشتیبان از رجیستری شما تهیه شود.
حال در مدخلHKEY_LOCAL_MACHINE رجیستری زیر مدخلهای:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Agent
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Start
4
هر مدخلی كه به فایلی اشاره می كرد حذف كنید.
سپس رجیستری خود را ببندید و دوباره سیستم خود را راه اندازی كنید.
منبع: همکاران سیستم
مطالب مرتبط:
به نرمافزار امنیتی خود اطمینان دارید؟
