خانه > => اينترنت ، كامپيوتر... > »ويندوز MRT آلوده به تروجان است!

»ويندوز MRT آلوده به تروجان است!


اگر عضو سايت متخصصان ايران هستيد. حتمن اين خبر به ايميلتون اومده. اين پست حاوي اين مطلب است كه ويندوز فارسي شده MRT به تروجان Backdoor.CWZ آلوده است. و متاسفانه بعيد نيست كه عمدي اين ويندوز به دست مشتري رسيده باشه!

سمت چپي آقاي MRT «م�مدرضا توكلي»

يك پيشگفتار كوچولو هم بگم و اصل خبر با جزييات كامل رو در ادامه بخونيد.

آقاي MRT محمد رضا توكلي و دارو دستشون « به طرز فجيعي خوره كامپيوتر هستند!» اگه از پكيج هاي MRT استفاده كرده باشيد حتمن با من هم عقيده ايد كه ايشون نه تنها پدر مايكروسافت رو درآورده و ويندوز رو كاملن دستكاري كرده (الحق و الانصاف! چي كرده هم!)(البته به اگه به وبلاگ»آلبوم خاطرات جمعی از بچه های سپاهانشهری» اعتماد كنيم.ايشون در مايكروسافت فعاليت مي كنند.) بسته هاي نرم افزاريش تحت عنوان magic package از مجموعه هاي نرم افزاري مهمي مثل king غني تره و تازه موقع نصب شماره سريال هم نمي خواد بدي و تند تند هم اسم شركتشون« توي چشته …» نسخه هايي كه از ويندوز xp , vista بيرون داده هم از سرعت و زيبايي خاصي برخودارند. اما اين همه تبليغ كردم در ادامه « پنبه شو حسابي مي زنم…» حتمن بخونين.

يكي از شركتهاي معروف توزيع نرم افزار در كشور MRT است كه البته ويندوز توزيع شده توسط اين شركت در بين كاربران ايراني از محبوبيت خاصي برخوردار است و من روي سيستم شخصي خود اين ويندوز را نصب كرده بودم و از آن راضي بودم و حتي به بسياري از دوستان نصب اين ويندوز را توصيه ميكردم .

اما اخيرا متوجه شدم اين ويندوز به تروجان Backdoor.CWZ آلوده است و بنظر ميرسد آلودگي اين ويندوز به تروجان «بك دور سي دابليو زد » از روي غفلت نبوده بلكه با توجه به خصوصيات و اعمالي كه اين تروجان انجام مي دهد و همچنين پوشه اي كه تروجان در آن قرار ميگيرد(MRT Win2Frasi ) ، عمدي بودن آن بعيد نيست .

اين تروجان كه ميزان خطر آن «High» لحاظ شده ، اجازه دسترسي راه دور به سيستم شما بدون اطلاع كاربر را مي دهد !

اين تروجان اولين بار در اكتبر 2006 مشاهد شده و آخرين نسخه از آن مربوط به ماه مارس 2008 است .

در صورتيكه از ويندوز محصول ام آر تي را بر روي سيستم خود نصب كرده ايد به مسير C:\Program Files\MRT Win2Frasi رفته و در اين پوشه در صورت وجود فايل Garmaseh.exe ، سيستم شما آلوده به اين تروجان است.

نكته جالب توجه اينكه من اين تروجان را با Kaspersky 7.0 و همچنين Nod32 كه هردو آپديت 3 آوريل 2008 بودند اسكن كردم و هيچكدام از ايندو موفق به شناسايي آن نشدند اما وقتي با آنتي ويروس بيت ديفندر BitDefender10 سيستم را اسكن كردم قادر به شناسايي اين تروجان شدم و همچنين AVG 8.0 نيز موفق به شناسايي اين تروجان شد .
AVG اين تروجان را بانام Backdoor.BZD ميشناسد .

نتيجه اسكن و بررسي آنلاين فايلها توسط شركت توتال وايرس براي اين فايل را در زير مشاهده مي كنيد :

File: Garmaseh.exe

Garmaseh.exe

Garmaseh.exeGarmaseh.exeGarmaseh.exeGarmaseh.exeGarmaseh.exeGarmaseh.exeGarmaseh.exeGarmaseh.exe

Garmaseh.exeGarmaseh.exeGarmaseh.exeGarmaseh.exeGarmaseh.exeGarmaseh.exeGarmaseh.exeGarmaseh.exe

Garmaseh.exeGarmaseh.exeGarmaseh.exeGarmaseh.exeGarmaseh.exeGarmaseh.exeGarmaseh.exeGarmaseh.exe

Garmaseh.exeGarmaseh.exeGarmaseh.exeGarmaseh.exeGarmaseh.exeGarmaseh.exeGarmaseh.exeGarmaseh.exe

گارماسه.اگزهگارماسه.اگزهگارماسه.اگزهگارماسه.اگزهگارماسه.اگزهگارماسه.اگزهگارماسه.اگزه

گارماسه.اگزه گارماسه.اگزه گارماسه.اگزه گارماسه.اگزه گارماسه.اگزه گارماسه.اگزه گارماسه.اگزه گارماسه.اگزه

گارماسه.اگزه گارماسه.اگزه گارماسه.اگزه گارماسه.اگزه گارماسه.اگزه گارماسه.اگزه گارماسه.اگزه
Result: 19/31 = 61.29%

آنتي ويروس

نتيجه شناسايي و نام

AhnLab-V3

BAT/Killav.30208

AntiVir

BDS/CWZ.A.2

Authentium

W32/Hupigon.AVO

Avast

Win32:BeastDoor-BE

AVG

BackDoor.Generic2.BZD

BitDefender

Backdoor.CWZ

CAT-QuickHeal

(Suspicious) – DNAScan

ClamAV

DrWeb

Trojan.MulDrop.8497

eSafe

eTrust-Vet

Ewido

Backdoor.Hupigon.ws

F-Prot

W32/Hupigon.AVO

F-Secure

W32/Smalldoor.AHMX

FileAdvisor

Fortinet

PossibleThreat

Ikarus

Backdoor.Win32.Hupigon.WS

Kaspersky

McAfee

Microsoft

Worm:IRC/Randon.BD

NOD32v2

Norman

W32/Smalldoor.AHMX

Panda

Generic Backdoor

Prevx1

Rising

Sophos

Mal/Generic-A

Symantec

TheHacker

VBA32

Trojan.Win32.StartPage.ail

VirusBuster

Webwasher-Gateway

Trojan.Backdoor.CWZ.A.2

همچنين جدول بالا را در لينك شركت توتال وايرس ببينيد :
http://www.virustotal.com/analisis/550cbbc98555a09e2fdc236902295fcd

نكته جالب عدم شناسايي اين تروجان توسط سه آنتي ويروس معروف يعني Kaspersky , McAfee ,Nod32
ميباشد .

در دي وي دي عرضه شده توسط MRT بيش از 30 فايل آلوده به اين ويروس وجود دارد .

طريقه حذف‌:

1. به مسير C:\Program Files\MRT Win2Frasi رفته و فايل Garmaseh.exe را حذف كنيد .

2. به پوشه C:\Windows\Temp‌ رفته و در آن فايل Winmrt.exe‌را حذف نمائيد .

3. همچنين در صورت وجود فايل Garmaseh.exe در مسير زير

C:\WINDOWS\system32\GroupPolicy\Machine\Scripts\Shutdown

اين فايل را حذف كنيد .

4. به ويرواش رجيستري رفته (با درج regedit در پنجره Run) و در مسير زير

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache
متغير
C:\Program Files\MRT Win2Farsi.com\Garmaseh.exe
را حذف كنيد .

نكته : البته با توجه به اينكه من در تمام سيستمهايي كه ويندوز ام آر تي را نصب كرده بودم ، آنتي ويروس كسپرسكي نيز نصب شده بود ، لذا تا امروز عملكرد اين تروجان را مشاهده نكردم و ممكن است اين تروجان بصورت غيرفعال همراه با ويندوز MRT به سيستمها منتقل مي شود و شايد هم كسپرسكي مانع از فعاليت آن مي شود .

منبع ♣ سايت ايران اكسپرت

پ.ن .1-،اين مطلب را به پرشين ديگ بفرستيد.ارسال به پرشين ديگ

2- نظرتان را درباره اين مطلب حتمن حتمن  بنويسيد.

3- براي تبادل لينك در قسمت كامنت اطلاع دهيد.

Advertisements
  1. 1 ژوئن, 2008 در 4:53 ق.ظ.

    من که دیگه خیلی وقته از این ویندوز دستکاری شده استفاده نمیکنم.بلا چند تا آنتی ویروس هم که اسکن می کردم نصف بیشتر فایل ها رو آلوده می دونستند.
    البته من نمی دونم این تروجان هم داخلشون بود یا نه…

    ممنون از اطلاعاتتون

  2. ابراهیم
    1 ژوئن, 2008 در 10:45 ب.ظ.

    میشه این ویروس یا تروجان یا هر ویروس دیگه ای رو برای من بفرستید؟ اگه rar کنیدش بعد یه password روش بذارید که خود gmail نفهمه ویروس هست که عالی میشه!! دستتون درست 🙂

  3. am
    5 ژوئن, 2008 در 6:19 ب.ظ.

    salaam dooste aziz mitoonam khosoosi bahat harf bezanam
    age mishe be mailam ye payaam bede
    hatman gheid kon ke modire mar2mak hasti
    azat kheili mamnoonam
    age behem meil bezani
    آموختم زندگي سخت است ولي من از او سخت تر
    با تشكر

    مردمك :سلام جناب مهندس توكلي
    خوشحال شدم ازينكه به مردمك سر زدين.
    اگه اشتباه نكنم منبع خبر در ايران اكسپرت خودتون بودين.
    از طريق لينك با ما تماس بگيريد، منتظر تماس خصوصي شما هستم.
    با احترام

  4. هاشم
    10 اکتبر, 2010 در 4:21 ب.ظ.

    وقتي تروجان داره يعني نخريم.

  5. هاشم
    10 اکتبر, 2010 در 4:23 ب.ظ.

    شما رواني هستيد داريد به اونايي كه شما رو قبول دارند ميسگيد نخرنتون خدايا جمع كامپيوتريها رو از روي زمين بردار تا همه از لحاظ رواني در عذاب نباشند خدايا اين ديوونه ها رو بفرست تو قبرستون در ضمن جناب توكلي خيلي از سي ديهاتون راضي هستم

  6. هاشم
    10 اکتبر, 2010 در 4:24 ب.ظ.

    هاشم :شما رواني هستيد داريد به اونايي كه شما رو قبول دارند ميگيد نخرنتون خدايا جمع كامپيوتريها رو از روي زمين بردار تا همه از لحاظ رواني در عذاب نباشند خدايا اين ديوونه ها رو بفرست تو قبرستون در ضمن جناب توكلي خيلي از سي ديهاتون راضي هستم

  7. هاشم
    10 اکتبر, 2010 در 4:25 ب.ظ.

    هاشم :شما رواني هستيد داريد به اونايي كه شما رو قبول دارند ميسگيد نخرنتون خدايا جمع كامپيوتريها رو از روي زمين بردار تا همه از لحاظ رواني در عذاب نباشند شايد از روش بر عكس داريد استفاده ميكنيد خدايا اين ديوونه ها رو بفرست تو قبرستون در ضمن جناب توكلي خيلي از سي ديهاتون راضي هستم

  1. No trackbacks yet.

پاسخی بگذارید

در پایین مشخصات خود را پر کنید یا برای ورود روی شمایل‌ها کلیک نمایید:

نشان‌وارهٔ وردپرس.کام

شما در حال بیان دیدگاه با حساب کاربری WordPress.com خود هستید. بیرون رفتن / تغییر دادن )

تصویر توییتر

شما در حال بیان دیدگاه با حساب کاربری Twitter خود هستید. بیرون رفتن / تغییر دادن )

عکس فیسبوک

شما در حال بیان دیدگاه با حساب کاربری Facebook خود هستید. بیرون رفتن / تغییر دادن )

عکس گوگل+

شما در حال بیان دیدگاه با حساب کاربری Google+ خود هستید. بیرون رفتن / تغییر دادن )

درحال اتصال به %s

%d وب‌نوشت‌نویس این را دوست دارند: