ویروس قدیمی که اینبار با قدرتی چندین برابر برگشت.

svxhost over network

Computer Network Virus

حتما به یاد دارید که زمان های قدیم همیشه در Process Manager ویندوز هایمان همیشه Process هایی به نام های svchost و SMSs.exe همیشه اجرا بود ؟!

اغلب کاربران این پردازش ها را مهم نمیدانستند و به اشتباه فکر میکردند که فقط یکی از سرویس های معمولی ویندوز در حال اجراست /

کمی از این ویروس بگویم : در آن زمان این ویروس ها به صورت گروهی تعدادی بالا مثلا ۴۰ پردازش را به اجرا در می آوردند و تمامی مخازن فیزیکی سیستم از قبیل CPU و Ram و در آخر کار هارد سیستم را سنگین میکرند , که بعد از مدنی که سیستم با این ویروس پابرجا بود به دلیل درگیر بودن همیشگی Head هارد , هارد را از بین میبرد یا قسمتی از اطلاعات کاربر گم میشد.

همچنین نرم افزار هایی که با شبکه و اینترنت کار میکرد را بعد از مدتی از بین میبرد.

پس از گذشت چندین سال این ویروس با قدرتی بسیار مخرب تر از قبل  برگشت و شروع کار خود را با سیستم عامل های Open Source از قبیل Linux و Unix قراردادند.. به نظرتان چه میشود ؟!

کافیست تا کمی عمیق تر فکر کنید اکثر سرور های ما و دیگر کشور ها Linux می باشند .. این ویروس به راحتی شبکه را آلوده کرده و گام بعدی به  کاربران شبکه میپردازد

پیشنهاد میکنم به ادامه مطلب مراجعه نمایید تا با هم به بررسی و در پایان “روش حذف این ویروس خطرناک” را که تا کنون هیچ منبعی جز این سایت گزارش نداده و فراهم گردیده بپردازیم  ( این ویروس بسیار خطرناک است حتما بخوانید و اجرا کنید )

تصاویر Process Manager ویندوز XP و ۷!”:

XP Process Manager SVCHOST

XP P Manager

Win7 P Manager

Win7 P Manager

 

خب دوستان اینبار ویروس به نام SvxHOST میباشد!!

۱- ابتدا جالب است بدانید که این ویروس توسط پروتکل TCP از طرق مختلف وارد سیستم سرور ها که مثال ما یک سرور لینوکس است میشود.

۲- در مرحله دوم ویروس هنوز قدرتی ندارد و اول سیستم را بررسی میکند , البته چون ویروس با شبکه بیشتر کار دارد اینبار سرعت اینترنت و ارتباطات دیگر را بررسی میکند .

۳- در مرحله سوم ویروس خود را در مسیر /etc/svxhost کپی میکند , سپس بعد از تغییر حق دسترسی به مقدار ۰۰۰ که سیستم قادر به پاک سازی فایل نیست شروع به تغییر فایل های سیستمی مهم از قبیل rc.local ( برای بالا آمدن در زمان ریبوت شدن مجدد ) و فایل /etc/init.d/ ( برای ساخت سرویس مجزا ) میکند , سرویس Iptables را stop کرده تا راحت به بیرون وصل شود !!!! و  در پایان یک فایل کمکی در مسیر /etc/svchost میکند تا به طور جد برنامه قدرت داشته باشد .

۴- در این مرحله کار تروجان شروع میشود… یک سرویس به نام svxhost در لیست سرویس های سیستم عامل اضافه شده و با بالاترین ارجعیت شروع به اجرا میشود .

جالب است که این ویروس در بوت شدن ( ریستارت شدن سیستم ) به قوی ترین حد خود میرسد , چون که در حالت قبلی  به دلیل در حال استفاده بودن فایل های سیستمی اجازه تغییر بعضی از فایل ها را ندارد .

تا به اینجا ویروس هیچ نشانی از خود به جا نمیگذارد ! حتی Temp را که مسیر ایجاد فایل های خود بوده را خالی کرده و منتظر ریستارت شدن می ماند.

حال فرض میکنیم سیستم ریستارت شده است …

۵ – در این  گام که ویروس خود را نشان میدهد شروع به جستجو سرور های نزدیک میکند … ( به جستجوی فایل سرور های تورنت و سرور های خود کمپانی تهیه کننده ویروس میگردد )

۶ – خب سرور ها آماده شد .. حال از طریق پورت ۷۰۰۰  شروع به ارسال اطلاعات میکند .

مهم است که بدانید حداقل تعداد ۲۰۰ الی ۳۰۰ کانشکن به سرور های مختلف می زند و میزان بسیار کمی از طریق هر کانشکن ارسال میشود .

۷- بعد از گذشت دقایقی به دلیل توانایی استفاده از چندین core پردازشگر فشار عجیبی به سیستم وارد میشود , همچنین به دلیل بالارفتن ارسال از طریق کارت شبکه اتصالات سیستم ( و تمامی سرویس های تحت شبکه ) کند میشود .

نکته قابل توجه اینست که حدود ۵ -۸ Mbps اطلاعات ارسال میشود که دستگاه های دیگر از قبیل روتر ها و .. را درگیر خود میکند و بسته های ارسالی غیر قابل مشاهده و آنالیز هستند , و هیچ نرم افزار Monitoring قابلیت نمایش اطلاعات اضافی آنرا ندارد.

 

خب حال برای پاک کردن ویروس بر روی تمامی سیستم های لینوکس یک shell نوشته ام و همچنین تست کرده ام که کاملا جواب داد .

 

مراحل پاک سازی به ترتیب انجام شود :

۱- ابتدا با root وارد شوید و دسترسی خود را به حد اکثر خود برسانید

۲ – فایل  /etc/rc.local را باز کنید

در پایان فایل خواهید دید که آنتی ویروس در فایل استارتاپ بعد از مقدار exit 0 که بیانگر boot شدن کامل سیستم عامل است خود را اجرا میکند و سرویس iptables را stop میکند تا برای خود آزادی عمل داشته باشد .

خب ۲ خط فوق را پاک کنید

اگر خط مشکوکی دیدید هم آنرا پاک کنید .

حال سیستم را ریستارت کرده و دوباره با دسترسی root  وارد شوید .

 

۳- در این مرحله Anti Trojan  که توسط خودم نوشته و تست شده را دانلود کنید

دستورات زیر را وارد کنید

mkdir -p /var/achoopani/

cd /var/achoopani

wget http://achoopani.ir/dl/develop/svxhost.zip

apt-get update

apt-get install zip unzip

unzip svxhost.zip

chmod 777 /var/achoopani/svxhost.sh

 

۴ – پس از دانلود بایل انرا زمان بندی کنید

دستور زیر را بزنید

crontab -e

اگر دفعه اولتان باشد که این فایل را ویرایش میکنید از شما ویرایشگر خواهد خواست میتوانید از nano یا همان شماره ۲ که از همه بهتر و ساده تر است استفاده کنید .

در انتهای فایل باز شده خط زیر را با دقت اضافه کنید

*/۱ * * * * /./var/achoopani/svxhost.sh

دقیقا مانند تصویر زیر

Crontab After Edit

Linux Crontab

بعد از بستن فایل توجه کنید که هیچ خطایی داده نشود .

 

خب حال ۵ دقیقه صبر کنید تا کار شروع شود ..

دقیقا بعد از مدت ۳۰ دقیقه سیستم را ریستارت کنید

 

تبریک میگویم ….

شما موفق به پاکسازی شبکه خود و سیستم های خود از دست یک ویروس قوی مخرب شدید …

 

این ویروس توسط یگ گروه در New York در همین هفته پیش مطابق ۱۹ ام ساخته شده است …..و تا کنون هیچ سایت و مرجعی آنرا گزارش نداده است.

این ویروس در تاریخ ۲۲ ام آبان سال ۱۳۹۳ کشف شد و روش از بین بردن این ویروس در تاریخ ۲۳ ام پس از ۱۹ ساعت آماده شد . حق کپی برداری  از روش و شیوه فقط  در صوت قرار دادن منبع گزارش دهنده سایت شخصی احمد چوپانی مجاز است ….

 

در صورت داشتن هر گونه مشکل / سوال / پیشنهادات  <> آن ها را در بخش نظرات اعلام نمایید …

منتظر نظرات گرم شما هستم

 

Incoming search terms:

  • فرمت کردن فلش
  • آموزش راه اندازی pppoe در میکروتیک
  • saidchwpani@gmail com
2+

8 پاسخ به ویروس قدیمی که اینبار با قدرتی چندین برابر برگشت.

  1. صابر گفت:

    با سلام و خسته نباشید.

    اگر در اسکریپت از killall -9 svxhost استفاده کنید فکر می کنم مطمئن تر باشد.

    با سپاس

    0
    • احمد چوپانی گفت:

      با سلام خدمت شما
      به فکر خودمم رسید ولی جالبه که بدونید که ویروس این دستور رو بلاک کرده بود .
      به خاطر همین من با این دستور شروه به بستن پروسس ها کردم

      موفق باشید

      0
  2. Mohamad گفت:

    لینک دانلود اسکریپت مشکل دارند لطفا بررسی کنید

    0
  3. behnam گفت:

    سلام داداش الان ما این ویروس رو در ویندوز ۷ داریم چطوری حذف کنیم ممنون راهنمایی کنید

    0
  4. saeid گفت:

    سلام
    کامپیوترم به این ویروس آلوده شده
    توی ویندوز چه جوری باید پاکش کنم لطفا راهنمایی کنید

    0
  5. رسول گفت:

    سلام
    مهندس برای حذف ویروس svchost در ویندوز ۷ چکار کنیم؟

    0

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *