يكي از ويروسهايي كه اخيرا گريبانگير كاربران شده است ، ويروسي موسوم به autorun.HN.Worm يا Trojan.Keyogger.Delf.N ميباشد كه توسط بسياري از آنتي ويروسهاي معروف نيز قابل شناسايي و حذف نيست .
اين ويروس كه فايل اصلي آن winsrv.exe  نام دارد موجب نمايش پيام هشداري با عنوان Winsrv  و پيام .Winsrv Jpeg Error #xx ميگردد .
 

اين ويروس با ايجاد اين پيام دائما موجب آزار كاربر را فراهم مي آرود  و از آنجايي كه نوعي كيلاگر (KeyLogger) است ميتواند كليه حروف و كلمات تايپ شده توسط كاربر را ثبت و براي نويسنده ويروس ارسال كند .  (مانند رمزهاي عبور و كلمات مورد جستجوي شما )
يكي از ويژگيهاي اين ويروس همانند ويروسهاي شايع اخير ، عدم شناسايي آن توسط آنتي ويروسهاي معروف ميباشد .
متاسفانه باز Kaspersky Internet Security كه مدتها آنتي ويروس محبوب مورد استفاده من بود ، از شناسايي اين ويروس عاجز است ! و بيت ديفندر 10 اگر بروز نشده باشد قادر به شناسايي آن نيست اما Nod32 حتي اگر آپديت ماه 7 سال 2007 آن را داشته باشيد قادر به شناسايي اين ويروس ميباشد اما قادر به حذف كامل آن نيست و شما بايد عمليات حذف ويروس را به طور دستي انجام دهيد .
 

اين ويروس بيشتر از طريق كارت مموري گوشيها و فلشها منتقل ميگردد و با ايجاد يك كليد رجيستري در مسير
HKLM\Software\Microsoft\Windows\ CurrentVersion\RunServices\ winsrv = Windows\winsrv.exe
خود را در استارت آپ ويندوز قرار ميدهد .
فايل اصلي اين ويروس در پوشه system32 شاخه ويندوز قرار ميگيرد . البته ممكن است در شاخه اصلي ويندوز نيز قرار گيرد .
نتيجه بررسي 36 آنتي ويروس معروف روي اين فايل آلوده را در جدول زير مي بينيد : ( من اين فايل را در سايت  www.VirScan.org   آپلود كردم كه نتايج زير بدست آمده )
FileName : WinSrv.exe
File Size : 547840 Byte
Time Scan  : 2008/04/18 19:21:11

Scanner

Engine Ver

Sig Date

Scan result

Time

A-Squared

3.5.0.15

04-17

-

27.047

AhnLab V3

2008.04.19.00

04-19

-

3.263

AntiVir

7.8.0.8

04-18

TR/Keylogger.Delf.N

4.398

Arcavir

1.0.4

04-17

-

1.839

Avast

1.0.8

04-17

-

3.049

AVG

7.5.51.442

04-18

-

2.226

BitDefender

7.60825.1158398

04-18

Trojan.KeyLogger.Delf.N

5.987

CA (VET)

9.0.0.143

04-18

-

40.542

ClamAV

0.92

04-18

-

0.097

Comodo

2.11

04-18

-

26.867

CP Secure

1.1.0.715

04-18

-

6.758

Dr.Web

4.44.0.9170

04-18

-

13.348

Ewido

4.0.0.2

04-17

-

2.834

F-Prot

4.4.1.52

04-18

-

4.562

F-Secure

5.51.6100

04-18

-

0.082

Fortinet

2.81-3.11

04-18

-

3.957

Ikarus

T3.1.01.26

04-13

-

3.613

JiangMin

10.00.650

04-18

-

3.571

Kaspersky

5.5.10

04-18

-

12.741

KingSoft

2007.6.20.249

04-18

-

1.189

McAfee

5.2.00

04-17

-

4.467

Microsoft

1.3408

04-18

-

7.340

mks_vir

2.01

04-17

-

4.278

Norman

5.91.10

04-11

-

14.156

nProtect

04-18.01

04-18

Trojan.KeyLogger.Delf.N

5.903

Panda

9.04.03.0001

04-17

Trj/Keylogger.CY    

4.320

Prevx

V2

04-18

TROJAN.DOWNLOADER.GEN

4.407

Quick Heal

9.00

04-18

-

2.660

Rising

20.0

04-18

-

1.499

Sophos

2.72.0

04-14

-

10.967

Symantec

1.3.0.24

04-17

-

0.287

The Hacker

6.2.92

04-17

-

1.224

Trend Micro

8.500-1001

04-17

-

0.051

VBA32

3.12.6.4

04-17

-

4.785

ViRobot

20080418

04-18

-

0.705

VirusBuster

4.3.19:9

04-18

-

4.860

طبق جدول فوق تنها 5 آنتي ويروس قادر به شناسايي اين ويروس شده اند يعني 14 درصد !


نسخه اي از اين ويروس را در سايت وايرستوتال آپلود كردم و باز نتايج جالبي بدست آمد .
 نتيجه بررسي اين فايل آلوده در سايت virustotal.com  را در جدول زير ببينيد :

 

File winsrv.exe received on 04.18.2008 18:05:34 (CET)
Current status: Loading ...    finished   queuedwaitingscanningNOT FOUNDSTOPPED

Result: 7/32 (21.88%)


Antivirus

Version

Last Update

Result

AhnLab-V3

2008.4.19.0

2008.04.18

-

AntiVir

7.8.0.8

2008.04.18

TR/Keylogger.Delf.N

Authentium

4.93.8

2008.04.18

-

Avast

4.8.1169.0

2008.04.17

-

AVG

7.5.0.516

2008.04.18

-

BitDefender

7.2

2008.04.18

Trojan.KeyLogger.Delf.N

CAT-QuickHeal

9.50

2008.04.18

-

ClamAV

0.92.1

2008.04.18

-

DrWeb

4.44.0.09170

2008.04.18

-

eSafe

7.0.15.0

2008.04.17

-

eTrust-Vet

31.3.5709

2008.04.18

-

Ewido

4.0

2008.04.18

-

F-Prot

4.4.2.54

2008.04.18

-

F-Secure

6.70.13260.0

2008.04.18

-

FileAdvisor

1

2008.04.18

-

Fortinet

3.14.0.0

2008.04.18

-

Ikarus

T3.1.1.26

2008.04.18

-

Kaspersky

7.0.0.125

2008.04.18

-

McAfee

5277

2008.04.18

-

Microsoft

1.3408

2008.04.18

-

NOD32v2

3038

2008.04.18

Win32/AutoRun.HN

Norman

5.80.02

2008.04.18

-

Panda

9.0.0.4

2008.04.18

Trj/Keylogger.CY

Prevx1

V2

2008.04.18

Generic.Malware

Rising

20.40.42.00

2008.04.18

-

Sophos

4.28.0

2008.04.18

-

Sunbelt

3.0.1056.0

2008.04.17

Trojan-Keylogger.Delf.N

Symantec

10

2008.04.18

-

TheHacker

6.2.92.282

2008.04.18

-

VBA32

3.12.6.4

2008.04.16

-

VirusBuster

4.3.26:9

2008.04.18

-

Webwasher-Gateway

6.6.2

2008.04.18

Trojan.Keylogger.Delf.N


البته اين فايل را در اسكن آنلاين لابراتوار كسپرسكي مورد آزمايش قرار دادم و با كمال تعجب باز پيام عدم آلودگي فايل نمايش داده شد و اين آنتي ويروس قادر به شناسايي ويروس فوق نشد :


طريقه حذف :

ابتدا با زدن همزمان كليدهاي alt+ctrl+delet  ، پنجره task manager ‌ را باز كرده و در تبِ processe برنامه winsrv.exe‌را پيدار كرده و روي آن كليك كنيد و سپس بازدن دكمه End task ، اين فايل را ببنديد .

سپس وارد مسيرهاي زير شده و فايلهايي كه نامشان Winsrv.exe را حذف كنيد :
Windows\Winsrv.exe

Windows\system32\Winsrv.exe

با درج دستور regedit‌ در پنجره Run‌، وارد برنامه ويرايش رجيستري شده و وارد مسير

 HKLM\Software\Microsoft\Windows\ CurrentVersion\RunServices

شده و درآن كليد Winsrv  را حذف كنيد .

همچنين مي توانيد با زدن  دكمه F3 در برنامه ويرايش رجيستري وارد پنجره جستجو شده و دنبال كلمه Winsrv.exe بگرديد و درصورت يافت آن ( به صورت تنها)  آن را حذف كنيد .
در پايان سيستم را ري استارت كنيد .
بررسي و نوشته :‌الياس ملكي معاف
 كلمات كليدي :
وينسرو وين سرو دات اگزه دات اگز
ويروس جي پي جي ارور جاسوس spy spyware
خطاي جي پي جي
توجان JPEG Error
Winsrv.exe
autorun.HN.Worm
Trojan.Keyogger.Delf.N
TROJAN.DOWNLOADER.GEN
Generic.Malware
Delete remove Trojan
طريقه روش چگونگي چگونه  ازبين بردن نحوه ويروس تروجان
پيام پيغام خطا دايره ضربدر قرمز كيلاگر كي لاگر
مقاله مقالات مطلب مجموعه مقاله هاي كامپيوتر
شناسايي remove removal
 clear anti trojan antivirus  جديد مطالب