Sdbot-NR کرمی است که از طریق Share های شبکه منتشر می شود.
این کرم دارای یک اسب تروا با قابلیت های فراوانی می باشد که با ایجاد یک در پشتی (Back door) باعث می شود که مهاجم بتواند از طریق یک کانال IRC، به سیستم آلوده دسترسی داشته باشد.
کرم Sdbot-NR خود را به نام WINCAT.EXE در شاخه سیستم ویندوز کپی می نماید و مدخل های زیر را در رجیستری ایجاد می کند:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunService
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
این کرم خودش را از طریق Shareهای شبکه هایی که رمز عبور ضعیفی دارند، منتشر می کند و با استفاده از اسب تروا که در سیستم آلوده نصب می کند، می تواند دستوراتی را از طریق راه دور دریافت کند.
توصیه: به روز کردن ضد ویروس.
روش پاکسازی به صورت دستی: ابتدا تمامی داده های خود را در سیستم تغییر داده و یک کپی از آنها تهیه کنید. رمز عبور Administrator را دوباره تغییر دهید و نگاهی به مسایل امنیتی شبکه بیندازید. در Taskbar نیز دکمه Start را بزنید و منوی run را اجرا کنید و در آن Regedit را بنویسید و دکمه ok را کلیک کنید، تا صفحه ویرایشگر رجیستری شما باز شود. فراموش نکنید که قبل از دستکاری رجیستری، یک نسخه پشتیبان از آن تهیه کنید. برای تهیه نسخه پشتیبان از رجیستری خود، در منوی Registry روی گزینه "Export Registry File" و در قسمت "Export range" گزینه All را انتخاب کرده و سپس دکمه Save را کلیک کنید تا نسخه پشتیبان از رجیستری شما تهیه شود.
اکنون در مدخل HKEY_LOCAL_MACHINE رجیستری، زیر مدخلهای ذیل را پیدا نموده و فایلهای اضافی را خذف نمائید.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunService
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Post a Comment
<< صفحهی اصلی