آشنايي با کرم Dref-AF  

توضيحات:

Dref-AF  يک کرم ايميل براي سيستم هاي ويندوزي مي باشد.

اين کرم آدرس هاي ايميل را از کامپيوتر آلوده جمع آوري کرده و يک کپي از خود را با آدرس  "random name@yahoo.com"  به اين آدرس ها ارسال مي کند. اين ايميل داراي خصوصيات زير مي باشد :



Subject line  (موضوع ايميل):

  Iran Just Have Started World War III  

  USA Just Have Started World War III  

  Israel Just Have Started World War III  

  Missle Strike: The USA kills more then 10000 Iranian citizens  

  Missle Strike: The USA kills more then 1000 Iranian citizens  

  Missle Strike: The USA kills more then 20000 Iranian citizens  

  USA Missle Strike: Iran War just have started  

  USA Declares War on Iran



Attachment filename(فايل‌هاي الحاقي):

  Video.exe  

  News.exe  

  Movie.exe  

  Read Me.exe  

  Click Me.exe  

  Click Here.exe  

  Read More.exe  

  More.exe



همچنين زماني که  کرم Dref-AF  اجرا مي شود يک فايل exe  با نامي تصادفي که از  7  حرف تشکيل شده در سيستم ايجاد مي کند. اين فايل مانند کرم Dref-AB  تشخيص داده مي شود .

سپس Dref-AF  مدخل زير را پاک مي کند :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run  

Agent

مدخل زير را نيز تغيير مي دهد :

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess  

Start  

4


توصيه ها:

  1. به روز كردن آنتي ويروس

  2.روش پاك سازي دستي توسط آنتي ويروس  سوفوس براي Windows NT  مدل  4.5x  و Windows NT/2000/XP/2003  مدل  4.1x  و پايين تر :

براي حذف يك تروجان كارهاي زير را انجام دهيد :

•   همه ي برنامه هاي خود را ببنديد

•   مراحل Start|Programs| SophosAnti-Virus  را بگذرانيد وبرنامه آنتي ويروس را اجرا كنيد

•   تب ""Immediate"" و سپس درايو مورد نظر  را انتخاب كنيد

•   به Options|Configuration  رفته و تب ""Disinfection"" يا  ""Action"" را انتخاب كرده سپس "Infected files" وبعد از آن "Delete"را انتخاب كنيد  و در آخر OK  را بزنيد.

•    براي اجرا كردن پويش،"scan" يا دكمه "GO" را بزنيد.

•   فايل هاي مورد نظر را پاك كنيد، سپس يك پويش ديگر را اجرا كنيد تا مطمئن شويد پاك سازي صورت گرفته است.

•   به Options|Configuration  برگرديد و تب "Disinfection",  "Action" انتخاب كرده سپس "Infected files" وبعد از آن "Delete" را انتخاب كنيد  و در آخر OK  را بزنيد.

•  كامپيوتر را Reboot  كرده و پويش نهايي را اجرا كنيد تا كاملا مطمئن شويد پاك ساري صورت گرفته است

3. روش پاك سازي به صورت دستي :

ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator  را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar  دكمه start  را بزنيد و منوي run  را اجرا كنيد و در آن Regedit  را بنويسيد و دكمه ok  را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry  روي گزينهExport Registry File  و در پنل Export range  گزينه All  را انتخاب كرده و سپس دكمه Save  را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.

حال در مدخلHKEY_LOCAL_MACHINE  رجيستري زير مدخل‌هاي:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Agent

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess

Start

4

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.