يكي از شركتهاي معروف توزيع نرم افزار در كشور MRT است كه البته ويندوز توزيع شده توسط اين شركت در بين كاربران ايراني از محبوبيت خاصي برخوردار است و من روي سيستم شخصي خود اين ويندوز را نصب كرده بودم و از آن راضي بودم و حتي به بسياري از دوستان نصب اين ويندوز را توصيه ميكردم .

اما اخيرا متوجه شدم اين ويندوز به تروجان Backdoor.CWZ آلوده است و بنظر ميرسد آلودگي اين ويندوز به تروجان "بك دور سي دابليو زد " از روي غفلت نبوده بلكه با توجه به خصوصيات و اعمالي كه اين تروجان انجام مي دهد و همچنين پوشه اي كه تروجان در آن قرار ميگيرد(MRT Win2Frasi ) ، عمدي بودن آن بعيد نيست .

اين تروجان كه ميزان خطر آن "High" لحاظ شده ، اجازه دسترسي راه دور به سيستم شما بدون اطلاع كاربر را مي دهد !

اين تروجان اولين بار در اكتبر 2006 مشاهد شده و آخرين نسخه از آن مربوط به ماه مارس 2008 است .

 در صورتيكه از ويندوز محصول ام آر تي را بر روي سيستم خود نصب كرده ايد به مسير C:\Program Files\MRT Win2Frasi رفته و در اين پوشه در صورت وجود فايل Garmaseh.exe  ، سيستم شما آلوده به اين تروجان است.

نكته جالب توجه اينكه من اين تروجان را با Kaspersky 7.0 و همچنين Nod32 كه هردو آپديت 3 آوريل 2008 بودند اسكن كردم و هيچكدام از ايندو موفق به شناسايي آن نشدند اما وقتي با آنتي ويروس بيت ديفندر BitDefender10 سيستم را اسكن كردم قادر به شناسايي اين تروجان شدم و همچنين AVG 8.0 نيز موفق به شناسايي اين تروجان شد .
AVG  اين تروجان را بانام Backdoor.BZD ميشناسد .

نتيجه اسكن و بررسي آنلاين فايلها  توسط شركت توتال وايرس براي اين فايل را در زير مشاهده مي كنيد :


File: Garmaseh.exe
Result: 19/31 = 61.29%

آنتي ويروس

نتيجه شناسايي و نام

AhnLab-V3

BAT/Killav.30208

AntiVir

BDS/CWZ.A.2

Authentium

W32/Hupigon.AVO

Avast

Win32:BeastDoor-BE

AVG

BackDoor.Generic2.BZD

BitDefender

Backdoor.CWZ

CAT-QuickHeal

(Suspicious) - DNAScan

ClamAV

-

DrWeb

Trojan.MulDrop.8497

eSafe

-

eTrust-Vet

-

Ewido

Backdoor.Hupigon.ws

F-Prot

W32/Hupigon.AVO

F-Secure

W32/Smalldoor.AHMX

FileAdvisor

-

Fortinet

PossibleThreat

Ikarus

Backdoor.Win32.Hupigon.WS

Kaspersky

-

McAfee

-

Microsoft

Worm:IRC/Randon.BD

NOD32v2

-

Norman

W32/Smalldoor.AHMX

Panda

Generic Backdoor

Prevx1

-

Rising

-

Sophos

Mal/Generic-A

Symantec

-

TheHacker

-

VBA32

Trojan.Win32.StartPage.ail

VirusBuster

-

Webwasher-Gateway

Trojan.Backdoor.CWZ.A.2

 

همچنين جدول بالا را در لينك شركت توتال وايرس ببينيد  :
http://www.virustotal.com/analisis/550cbbc98555a09e2fdc236902295fcd

نكته جالب عدم شناسايي اين تروجان توسط سه آنتي ويروس معروف يعني Kaspersky , McAfee ,Nod32
ميباشد .

در دي وي دي عرضه شده توسط MRT بيش از 30 فايل آلوده به اين ويروس وجود دارد .

طريقه حذف‌:

1. به مسير C:\Program Files\MRT Win2Frasi رفته و فايل Garmaseh.exe  را حذف كنيد .

2. به پوشه C:\Windows\Temp‌ رفته و در آن فايل Winmrt.exe‌را حذف نمائيد .

3. همچنين در صورت وجود فايل Garmaseh.exe در مسير زير

C:\WINDOWS\system32\GroupPolicy\Machine\Scripts\Shutdown
اين فايل را حذف كنيد .

 4. به ويرواش رجيستري رفته (با درج regedit در پنجره Run) و در مسير زير

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache
متغير
 C:\Program Files\MRT Win2Farsi.com\Garmaseh.exe
را حذف كنيد .

نكته : البته با توجه به اينكه من در تمام سيستمهايي كه ويندوز ام آر تي را نصب كرده بودم ، آنتي ويروس كسپرسكي نيز نصب شده بود ، لذا تا امروز عملكرد اين تروجان را مشاهده نكردم و ممكن است اين تروجان بصورت غيرفعال همراه با ويندوز MRT به سيستمها منتقل مي شود و شايد هم كسپرسكي مانع از فعاليت آن مي شود .

در صورتيكه شما هم اطلاعات مفيدي در اين رابطه كسب كرديد در بخش نظرات اين پست قرار دهيد .


 كلمات كليدي :
بررسي فايل    بررسي ويروس
تست آنلاين ويروس    ويندوز ام آر تي MRT Win2Farsi.com WinFarsi
  محمد رضا توکلی محمدرضا MRT Win Xp
Win2Farsi ویندوز ام آر تی ویندوز MRT Windows Xp
بك دور سي دابليو زد  ویندوز فارسی ویروس   بك دور سي دبليو زي
Trojan Backdoor.cwz    بي زد دي Backdoor.BZD
Malware Backdoor.cwz  win Xp Sp3 XP SP2