Brontok-A

کامپیوترها الوده به ویروس جدید ( ورژن جدید - Brontok-A ) میباشد.!!! حتی اگر اخرین ورژن انتی ویروس را نصب کرده باشید .!!

دوستان و عزیزان : خواهش دارم این مطلب را تا انتها بخوانید – چون ممکن است کامپیوتر شما هم یکی از قربانیان کرم Brontok-A باشد . چندی پیش روزنامه جام جم در ویژنامه کلیک که روزهای یکشنبه منتشر میشود مصاحبه ای داشت با یک مهندس برنامه نویس ایرانی که از بیان نام خود خوداری کرده بود – این جوان نابغه هشداری را برای مهندسان Yahoo ارسال می کند و از حفره خطرناکی که میتواند براحتی از طریق ان کرم هوشمندی را فعال کرد حرف میزند و گزارش کاملی را به انها میدهد . اما برنامه نویسان Yahoo توجه ای به این گزارش نمی کنند . ایشان خودش دست بکار میشود و با انتشار کرم هوشمند در کمتر از 3 روز حدود دویست هزار کامپیوتر را الوده می کند ( ). یکی از ویژگیهای این کرم مخفی شدن اسکرپیت در درون یک عکس کوچک است – شما وقتی ایمیل الوده را باز کنید تنها یک عکس کوچک می بینید , نه نوشته ای و نه فایل ضمیمه ای که تقریبا" اکثر ویروسها و کرمها از این طریق منتشر میشوند . جدیدا" باکس گوگل هم الوده این کرم شده – بگونه ای که خود من از 10 کامپیوتر دوست و اشنا – بیش از 6 کامپیوتر را الوده دیدم . وقتی از باکس میل گوگل و یاهو میگویم – متوجه میشوید که حتی با داشتن انتی ویروس قوی و فایروال باز هم ممکن است کامپیوتر شما الوده باشد . چون این شرکتها خودشان با بزرگترین سازنندگان انتی ویروس همکاری می کنند و تمام ایمیلها از طریق برنامه انها اسکن میشود .



چگونه بدانیم کامپیوتر الوده شده است؟

اگر احساس می کنید سرعت اینترنت شما پائین امده – نگاهی به Startup خود در منوی Start داشته باشید . گزینه ای با عنوان Elang که با تصویر اختصاصی داس یا همان Command Prompt میباشد را شاید ببینید . در My Documents خود و My Pictures فایل html با نام Brontok.A نشان از الودگی کامپیوتر شما دارد . وقتی شما در منوی Run میخواهید وارد ریجستری ویندوز یا همان محضرخانه ویندوز شوید و هنگامیکه تایپ می کنید Regedit تا وارد ریجستری کامپیوتر خود شوید - کامپیوتر شما ریستارت می کند – چون این کرم احساس می کند میخواهید او را پاک کنید و برای همین جلوی شما را میگیرد . شما با تایپ msconfig در منوی Run وارد استارتاپ ویندوز شوید و در صورتیکه در لبه ششم Startup به گزینه زیر برخوردید مطمئن باشید کامپیوتر شما الوده است



Tok-Cirrhatus

Bron-Spizaetus

ElnorB



Brontok-A کرمی است که از طریق ایمیل منتشر شده و آدرسهای اینترنتی را از فایل هایی با پسوند های زیر از سیستم آلوده جمع آوری می کند :

ASP, CFM, CSV, DOC, EML, HTML, PHP, TXT, WAB

کرم با اولین اجرا خودش را در مکانهای زیر کپی می کند :

Local SettingsApplicatio n Datacsrss.exe
Local SettingsApplicatio n Datainetinfo. exe
Local SettingsApplicatio n Datalsass.exe
Local SettingsApplicatio n Dataservices. exe
Local SettingsApplicatio n Datasmss.exe
ShellNewElnorB. exe

و مدخل های زیر را در رجیستری ایجاد می کند :

HKCUSoftware Microsoft WindowsCurrentV ersionRun
Tok-Cirrhatus
Local SettingsApplicatio n Datasmss.exe

HKLMSOFTWARE Microsoft WindowsCurrentV ersionRun
Bron-Spizaetus
ShellNewElnorB. exe

HKCUSoftware Microsoft WindowsCurrentV ersionPolicies System
DisableRegistryTool s
1

HKCUSoftware Microsoft WindowsCurrentV ersionPolicies Explorer
NoFolderOptions
1

HKCUSoftware Microsoft WindowsCurrentV ersionPolicies System
DisableCMD
0

HKCUSoftware Microsoft WindowsCurrentV ersionExplorer Advanced
Hidden
0

HKCUSoftware Microsoft WindowsCurrentV ersionExplorer Advanced
HideFileExt
1

HKCUSoftware Microsoft WindowsCurrentV ersionExplorer Advanced
ShowSuperHidden
0



أ‌- به روز کردن انتی ویروس

ب‌- دریافت پاک کننده از سایت = AntiBrontokA- en

ت‌- روش پاکسازی بصورت دستی که در زیر توضیح داده میشود .

ابتدا از فایلهای خود یک کپی بگیرید – دوستانیکه کار شبکه می کنند حتما" پسوردهای خود را تعقیر دهند . بعد System Restore خود را غیر فعال کنید – چون با راه اندازی سیستم - System Restore حافظه ریجستری را خوانده و انرا دوباره بصورت اول بازمیگرداند . برای این کار به روی My Computer خود کلیک سمت راست کرده و بر روی گزینه Propertis کلیک کنید . بر روی لبه System Restore کلیک کنید . در مربع تیک خور که با گزینه Sysrem Restore Turen off شروع میشود – تیک زده و بعد با Apply و Ok از ان خارج شوید . از منوی استارت در کادر Run تایپ کنید . Regedit – شاید کرم اجازه ندهد و کامپیوتر ریستارت شود – انگاه مجبور هستید از طریق Safe Mode وارد سیستم شوید – برای این کار قبل از رویت ارم ویندوز کلید F8 را چندبار بزنید . گزینه Safe Mode را انتخاب کنید . اینکار باعث میشود تنها فایلهای سیستم بارگزاری شود . حالا مراحل بالا را دوباره اجرا کنید . اگر وارد نیستید از یک کار بلد استفاده کنید . البته من میدانم همه شما از من بیشتر میدانید – اما خوب همه مثل شما نیستند

در منوی Run تایپ کنید . Regedit

در شاخه های که در زیر نوشته میشود – اخرین گزینه ها را پاک کنید . بهترین راه استفاده از نرم افزارهای کمکی مثل TuneUp Utilities --- System Mechanic – Fix Utilities و غیره است . چون این نرم افزارها کمک می کنند تا علاوه بر یک سیستم سالم و سریع راحتر به بعضی از گزینه های مخفی دسترسی پیدا کنید .

HKCUSoftware Microsoft WindowsCurrentV ersionRun
Tok-Cirrhatus
Local SettingsApplicatio n Datasmss.exe

HKLMSOFTWARE Microsoft WindowsCurrentV ersionRun
Bron-Spizaetus
ShellNewElnorB. exe

HKCUSoftware Microsoft WindowsCurrentV ersionPolicies System
DisableRegistryTool s
1

HKCUSoftware Microsoft WindowsCurrentV ersionPolicies Explorer
NoFolderOptions
1

HKCUSoftware Microsoft WindowsCurrentV ersionPolicies System
DisableCMD
0

HKCUSoftware Microsoft WindowsCurrentV ersionExplorer Advanced
Hidden
0

HKCUSoftware Microsoft WindowsCurrentV ersionExplorer Advanced
HideFileExt
1

HKCUSoftware Microsoft WindowsCurrentV ersionExplorer Advanced
ShowSuperHidden
0



هر مدخلی که به فایلی اشاره می کرد حذف کنید.

سپس رجیستری خود را ببندید و دوباره سیستم خود را راه اندازی کنید