1. تاریخچه بدافزار :
اولین بار درفوریه سال 2004 شناسایی شد و در قالب Trojan رده بندی گردیده است. مهاجم را قادرمی سازد كه از راه دور و بدون نیاز به احراز هویت، كدهای دلخواه خود را در سیستم قربانی اجرا نموده و یا موجب از كار

انداختن آن شود و مهاجم می تواند كنترل كامل سیستم قربانی را بدست گیرد.سیستم عاملهای مورد تهدید به شرح زیر می باشد :

Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000

2. میزان تهدید :

Risk Level: Low

3. Hash بدافزار :

11665c3d8be9cc6b0f3a0f00e331a2f8

4. نشانه های یك سیستم آلوده :

- ایجاد فایل یا تغییر در رجیستری

- شروع یك سرویس یا الحاق به پروسه ها

- كند شدن سیستم

5. روشهای انتشار :

- استفاده از شاخه های به اشتراك گذارده شده (Shared Folders)

- استفاده از آسیب پذیری MS04-011) lsass) و (MS08-067) Conficker

6.تغییر در فایل های سیستم قربانی:

- ایجاد پردازه در شاخه system32 ویندوز:

C:\WINDOWS\system32\ctDrvMfk.exe

C:\WINDOWS\system32\conime.exe

- تغییر در فایل hosts در شاخهdrivers:

C:\WINDOWS\system32\drivers\etc\hosts

7. تغییر در رجیستری های سیستم قربانی :

· ایجاد كلید رجیستری در مسیر زیر:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Name: conime.exe, data: conime.exe

كه منجر به اجرای برنامه conime.exe در هنگام راهاندازی سیستم میشود.

· ایجاد كلید رجیستری در مسیر زیر:

HKLM\Software\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\conime.exe

Name: Debugger, data: ctDrvMfk.exe

8. راهنمای پاكسازی بدافزار با نصب ابزار :

گام 1 - غیرفعال سازی System Restore

گام 2 - بروزرسانی آنتی ویروس معتبر و اسكن مجدد سیستم


9. راهنمای حذف دستی بدافزار :


گام 1 - غیرفعال سازی System Restore

گام 2 - آشكار سازی فایل ها و فولدر ها را از حالت hidden

گام 3- خاتمه دادن به پردازه ctDrvMfk.exe با استفاده از GMER یا Task Manager

گام 4- خاتمه دادن به پردازه conime.exe با استفاده از GMER یا Task Manager

گام 5- جستجو و پاكسازی كلیدهای رجیستری زیر

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Name: conime.exe, data: conime.exe

HKLM\Software\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\conime.exe

Name: Debugger, data: ctDrvMfk.exe

گام 6- سیستم را مجددا راهاندازی میكنیم.


10. توضیحات تكمیلی :

میزان انتشار این بدافزار در دنیا در تصویر زیر نشان داده شده است :




11. نامهای دیگر این بدافزار :




12. منابع تكمیلی :

http://www.mcafee.com
http://www.symantec.com
http://www.virustotal.com

.

.

.

.

.

نصب انواع سیستم عامل

-چگونگی نصب سیستم عامل آندروید بر روی PC EEE--راهنمای نصب نسخه جدید سیستم عامل مک lion--

نصب گام به گام ويندوز 7(باتصویر)--

-نصب دو توزیع لینوکس در کنار هم --نصب Ubuntu 10.4 به صورت مجازي-- آموزش نصب ويندوز XP به اختصار-

 چگونگي روش نصب ويندوز xp به‌صورت خودکار--استفاده از USB Drive براي نصب ويندوز 7 --

-چگونه ویندوز ۷ را به صورت مسالمت آمیز با ویندوز ۸ بر روی یک رایانه ---------

.

ترفند مروگر اوپرا

- راهی دیگر برای جستجو در وب با استفاده از مرورگر اپرا---

-14 ترفند کاربردي در مرورگر Opera با لينک دانلود آخرين نسخه --

.

ترفند ویندوز 8

-16 بيتي‌ها در ويندوز 8 --ساخت درایو مجازی بدون نرم افزار در ویندوز 8-----

.

.

ترفندها فایرفاکس

-آدرس‌هاي کامل در فايرفاکس--آدرس‌هاي کامل در فايرفاکس--تعیین میزان حداکثر و حداقل بزرگنمایی بر روی

صفحات--پر رنگ نشدن تمام URL--طریق نصب کردن فلش پلیر بر روی فایرفاکس پرتال --پشتيبان‌گيري مرتب از

فايرفاكس -3 راه برای ایجاد نسخه مشابه از یک تب در فایرفاکس بدون استفاده از افزونه --افزایش سرعت

اسکرول --افزایش دوبرابری سرعت اینترنت در فایرفاکس---اجرای افزونه های ناسازگار --نحوه فعال نمودن حالت

مرور خصوصی صفحات در 4 مرورگر--

.

ترفند مروگر اوپرا

- راهی دیگر برای جستجو در وب با استفاده از مرورگر اپرا---

-14 ترفند کاربردي در مرورگر Opera با لينک دانلود آخرين نسخه --

.

ترفند ویندوز 8

-16 بيتي‌ها در ويندوز 8 --ساخت درایو مجازی بدون نرم افزار در ویندوز 8-----

ترفندهای ویستا

-نحوه فعال/غیرفعال کردن Hibernate در ویندوز Vista و ۷-- عکس گرفتن از صفحه مانیتور در ویندوز ویستا--فعال

کردن Run در منوي Start ويستا --مشکل ويستا با حافظه زياد --استفاده از فلش دیسک به عنوان رم کمکی در

ویندوز Vista --عکس گرفتن از صفحه مانیتور در ویندوز ویستا--افزايش سرعت ويستا با استفاده از قابليت

ReadyBoost -

.

داستان کوتاه.

.--داستان کوتاه سنگتراش -- بن بست ( اثر صادق هدایت ) --داستان کوتاه عقاب--داستان کوتاه بی تفاوت -

.ترفند جی میل

-جي‌ميل مخصوص تنوع‌طلبان!--آموزش اضافه کردن عکس به امضای جیمیل--قالب اختصاصي در جي‌ميل-

-جیمیل خود را فارسی کنید.----

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

منبع:مركز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای