سفارش تبلیغ
صبا ویژن

سئو- استفاده از همه شگردها برای بالابردن ترافیک سایت

بعد از Flame و استاکس نت چشم ایرانیان به این ویروس روشن شد

قصد دارم از ویروسی که فایلهای کاربران ایرانی را حذف می کند حرف بزنم

تیم واکنش اضطراری ایرانیان در خبری اعلام کرده است که یک ویروس جدید در کامپیوترهای شخصی ایران کشف کرده اند که داده های ذخیره شده بر روی حافظه جانبی سیستم ها را پاک می کند. این ویروس که لقب Batchwiper به آن داده اند، محتویات درایوهای D تا I کامپیوتر را از حافظه پاک می کند. علاوه بر این درایوها، محتویات دسکتاپ کاربری که عمل Log in انجام داده است نیز حذف می شود.

لقب BatchWiper از این جهت به این برنامه مخرب داده شده است که این برنامه مخرب درون یک فایل Batch بسته بندی شده است.

عمل حذف فایلها توسط این ویروس در تاریخ های معینی صورت می گیرد. تاریخ بعدی در 21 ژانویه سال 2013 خواهد بود. عملیات حذف فایلها پیش از این در تاریخ های 12 اکتبر، 12 نوامبر و 12 دسامبر 2012 نیز انجام شده بود. حدس زده می شود که برای حداقل دو ماه این ویروس خود را در بین سیستم های مختلف توزیع کرده است.

GrooveMonitor.exe فایل اصلی است که بعد از اجرا شدن، باقی فایلهای مخرب را از به سیستم قربانی تزریق می کند. اسامی زیر فایلهایی هستند که این فایل از درون خود استخراج می کند:

-- \WINDOWS\system32\SLEEP.EXE, md5: ea7ed6b50a9f7b31caeea372a327bd37

-- \WINDOWS\system32\jucheck.exe, md5: c4cd216112cbc5b8c046934843c579f6

-- \WINDOWS\system32\juboot.exe, md5: fa0b300e671f73b3b0f7f415ccbe9d41

فایل سوم پس از اجرا فایلی با مشخصات زیر را ایجاد می کند و سپس آن را اجرا می کند.

\Documents and Settings\%User%\Local Settings\Temp\1.tmp\juboot.bat
در هر صورت به نظر می رسد که این برنامه مخرب به طور وسیعی پخش نشده است. آنالیزها نشان می دهد که طرز کار این برنامه بسیار ساده است و بر خلاف ویروس هایی که چندی پیش خبر ساز شده بودند، طراحی ساده ای دارد.

مرجع خبر:
http://arshnews.ir/vdcawanu.49ny015kk4.html

من (نگارنده seo.parsiblog.com )خودم از این ویروس زخم خوردم
راستش مبهوت شدم که چطور فایلهای فلشم بدون دخالت من حذف شده اند (یعنی بدون گرفتن مجوز از من این حذف انجام شد)
اگر دوستان برایشون جالب است که بدانند چطور این ویروس کار می کند ادامه را بخوانند(آنچه در پی میاید تنها استنباط شخصی است اما من مطمئن از آن هستم)
این ویروس توسط سایتهای بزرگ آمریکایی مثل گوگل به ایرانیان داه می شود البته طی یک روند پیچیده که در زیر نمونه ای از آن را برایتان می آورم
شما وقتی به صفحه ای می روید که به روی ایرانی ها بسته شده است مثل code.google.com و متوجه می شوید که اطلاعات به شما نمایش داده نمی شود اولین کاری که می کنید از نرم افزار های تغییر آی پی استفاه می کنید تا بتوانید محتویات صفحه را با تغییر آی پی به کشور غیر ایران ببینید
اینجاست که سایت مثلا گوگل متوجه می شود که شما قصد دارید به او کلک بزنید
(اگر گوگل متوجه این دورزدن شما شده باشد ( با چک کردن کوکی این کار را می تواند بکند که با روش گفته شده در پی این امکان را می توانید از او سلب کنید )باز هم صفحه محدودیت دسترسی را به شما نمایش می دهد)  در اینصورت ویروس را به سیستم شما تزریق می کند
من خودم از طریق گوگل به این مشکل خوردم چون این روند دور زدن را فقط برای گوگل انجام دادم
اما چطور از این کار جلوگیری کنیم
من چون با فایرفاکس کار می کنم روش کار را در فایرفاکس می گویم ولی همه مرورگرها چنین امکانی را به شما می دهند
وقتهایی که با ای پی های محض ایران کار می کنید و یا قصد دارید به روش گفته شده در بالا سایت های آمریکایی را دور بزنید حتما اعمال زیر را انجام دهید تا این ویروس که توسط ویروس یاب node32 آپدیت شده هم شناسایی نشد (چرا که از پچ های مخصوص ویندوز طراحی شده  برای سازمان سیا از طرف مایکروسافت استفاده می کند)را دریافت نکنید
کافیست به  tools
از آنجا به زبانه privacy
رفته و گزینه

Do not tell sites anything about my tracking prefences

را تیک بزنید و history را هم روی

firefox will: never remember history

قرار بدهید
 به امید روزهایی بهتر و ایرانی آباد