• مشکی
  • سفید
  • سبز
  • آبی
  • قرمز
  • نارنجی
  • بنفش
  • طلایی
  • تعداد بازديد :
  • 3844
  • پنج شنبه 1383/1/13
  • تاريخ :

آشنایی با ویروس NetSke.B

مشاهدات اولیه

به دلیل گزارشات متعدد از آلودگی به ویروس جدید NetSky.b ، درجه خطر این ویروس از ابتدا «متوسط» تعیین شده است.

ویروس NetSky.b از طریق ارسال پیام‌های الكترونیكی آلوده و ایجاد فایل‌های آلوده بر روی دیسك‌های سخت C: تا Z: انتشار می‌یابد.

ویروس NetSky.b همچنین سعی می‌كند تا در صورت آلوده بودن كامپیوتر به ویروس MyDoom (هر دو گونه)، آن را حذف و كامپیوتر را پاكسازی نماید.

طریق انتشار ویروس

انتشار از طریق پیام‌های الكترونیكی

پیام‌های الكترونیكی آلوده به ویروس NetSky.b دارای موضوع‌ها ( subject ) و محتوای متغیر و مختلف هستند.

فایل پیوست ( attachment ) آلوده نیز دارای نام‌های مختلف است. فایل‌ پیوست اغلب دارای دو پسوند بوده ولی در موارد محدودی نیز به صورت فایل ZIP مشاهده شده است.

ویروس اقدام به جمع‌آوری نشانی‌های الكترونیكی از داخل فایل‌های موجود بر روی كامپیوتر آلوده نموده و سپس پیام‌های آلوده مشابهی به این نشانی‌ها ارسال می‌كند.

انتشار از طریق شبكه‌ها

ویروس فایل‌های آلوده متعددی با نام‌های مختلف در شاخه‌هایی كه نام آنها حاوی كلمه share و یا sharing باشند، بر روی تمام دیسك‌های قابل دسترسی (از C: تا Z: ) ایجاد می‌كند. اغلب این فایل‌ها دارای دو پسوند هستند. همچنین ویروس NetSky.b فایل‌های متعددی با نام‌های متغیر و پسوند ZIP در شاخه‌های مختلف بر روی این دیسك‌ها ایجاد می‌كند.

عملكرد ویروس

با اجرای فایل آلوده به ویروس و فعال شدن آن، پیام‌ دروغینی حاوی عبارت The File could not be openedl به نمایش درمی‌آید.

همچنین فایلی با نام services.exe در شاخه Windows ایجاد می‌گردد و Registry نیز به نحوی تغییر داده می‌شود تا در هر بار راه‌اندازی كامپیوتر، ویروس مجددا فعال گردد.

پاكسازی ویروس MyDoom

ویروس NetSky.b با حدف فرامین زیر از Registry سعی در غیرفعال ساختن ویروس MyDoom می‌نماید.

* HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Taskmon

* HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Explorer

* HKY_CLASSES_ROOT/CLSID/{E6FB5E20_DE35_11CF_9C87_00AA005127ED}/inprocServer32

شناسایی و پاكسازی

مشتركین نرم‌افزارهای ضدویروس Mcafee برای شناسایی و پاكسازی ویروس NetSky.b باید از فایل‌های به‌روزرسانی جدید DAT 4325 استفاده كنند و در صورت نیاز به شناسایی فوری این ویروس، می‌توان از فایل EXTRA.DAT و یا superEXTRA.EXE نیز استفاده كرد.

فایل‌های فوق بر روی سایت شبكه‌گستر به‌نامWWW.Z_VIRUS.COM در صفحه اصلی قابل دسترسی هستند.

اجرای فایل superEXTRA.EXE باعث نصب خودكار فایل EXTRA.DAT در محل مناسب بر روی كامپیوتر می‌شود.

برای استفاده از فایل EXTRA.DAT باید این فایل را در همان شاخه‌ای ( Folder ) قرار داد كه دیگر فایل‌های DAT . (مانند SCAN.DAT ) وجود دارند برای پیدا كردن این شاخه‌، می‌توانید از دستور Find استفاده كرده و به دنبال فایل SCAN.DAT جست‌وجو كنید. سپس با مشخص شدن شاخه مورد نظر، فایل EXTRA.DAT را در آن شاخه كپی نمایید.

به نقل از Z_VIRUS.COM

UserName