تروجان Bckdr-QKU

توضیحات :

Bckdr-QKU تروجانی برای سیستم های ویندوزی است .

این تروجان می تواند به اینترنت متصل شود و از طریق HTTP با سرور راه دور ارتباط برقرار کند .

همچنین Bckdr-QKU فایل های زیر را در سیستم آلوده ایجاد می کند :

\_check32.bat – (به راحتی حذف می شود )
\s32.txt - (به راحتی حذف می شود )

\aspimgr.exe – (مانند خود تروجان تشخیص داده می شود )
\ws386.ini - (به راحتی حذف می شود )

فایل aspimgr.exe نیز همچون یک سرویس درایور جدید با نام ظاهری "Microsoft ASPI Manager" که "aspimgr", نامیده می شود در سیستم ثبت می شود . این سرویس به طور اتوماتیک اجرا می شود . مدخل های زیر نیز در رجیستری ایجاد می شوند :

HKLM\SYSTEM\CurrentControlSet\Services\aspimgr

مدخل های زیر نیز ایجاد می شوند :



HKLM\SOFTWARE\Microsoft\Sft



توصیه ها :

1 . به روز كردن آنتي ويروس



2.روش پاك سازي دستي توسط آنتي ويروس سوفوس براي Windows NT مدل 4.5x و Windows NT/2000/XP/2003 مدل 4.1x و پايين تر :



براي حذف يك تروجان كارهاي زير را انجام دهيد :



· همه ي برنامه هاي خود را ببنديد

· مراحل Start|Programs| SophosAnti-Virus را بگذرانيد وبرنامه آنتي ويروس را اجرا كنيد

· تب ''''Immediate'''' را انتخاب كنيد

· به Options|Configuration رفته و تب ''''Disinfection'''' يا ''''Action'''' را انتخاب كرده سپس ''''Infected files'''' وبعد از آن ''''Delete'''' را انتخاب كنيد و در آخر ''''OK. را بزنيد

· براي اجرا كردن پويش، ''''scan'''' يا دكمه ''''GO'''' را بزنيد

· فايل هاي مورد نظر را پاك كنيد ، سپس يك پويش ديگر را اجرا كنيد تا مطمئن شويد پاك سازي صورت گرفته است

· به Options|Configuration برگرديد و تب ''''Disinfection'''' يا ''''Action'''' انتخاب كرده سپس ''''Infected files'''' وبعد از آن ''''Delete'''' را انتخاب كنيد و در آخر ''''OK. را بزنيد

· كاپيوتر را Reboot كرده و پويش نهايي را اجرا كنيد تا كاملا مطمئن شويد پاك ساري صورت گرفته است



3. روش پاك سازي به صورت دستي :

ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه"''''''''Export Registry File و در پنل''''''''''''''''Export range''''''''''''''''گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.

حال در مدخلHKEY_LOCAL_MACHINE رجيستري زير مدخلهاي:

HKLM\SYSTEM\CurrentControlSet\Services\aspimgr



HKLM\SOFTWARE\Microsoft\Sft

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.
samanvilli is offline