‫ﻣﻘﺪﻣﻪ‬

‫ﭘﺲ از ﺁﻧﮑﻪ ﺳﺎﯾﺖ ﻣﺎﮐﺮوﺳﺎﻓﺖ و هﻤﭽﻨﻴﻦ ‪ windowsupdate.com‬در ﺳﺎﻋﺖ ‪ 2:14‬ﺑﻪ وﻗﺖ اﯾﺮان‪ ،‬در ﺣﺪود دو ﺳﺎﻋﺖ ﻏﻴﺮ ﻗﺎﺑﻞ‬
‫دﺳﺘﺮس ﺷﺪ‪ .‬ﻣﺴﺌﻮﻻن اﻣﻨﻴﺘﯽ ﻣﺎﮐﺮوﺳﺎﻓﺖ اﻗﺪام هﺎی ﺧﻮد را ﺟﻬﺖ ﻣﻘﺎﺑﻠﻪ ﺑﺎ اﯾﻦ ﺣﻤﻠﻪ ‪ DoS‬ﺁﻏﺎز ﻧﻤﻮدﻧﺪ‪ DoS ) .‬ﯾﮑﯽ از روش هﺎی‬
‫ﻣﻮرد ﻋﻼﻗﻪ هﮑﺮان ﻣﯽ ﺑﺎﺷﺪ ﺑﻪ ﺻﻮرﺗﯽ ﮐﻪ ﺑﺎ اﯾﺠﺎد ﺗﺮاﻓﻴﮏ در ﺷﺒﮑﻪ ﻣﻮﺟﺐ از ﮐﺎر اﻓﺘﺎدن و اﺧﺘﻼل در ﺳﻴﺴﺘﻢ ﻗﺮﺑﺎﻧﯽ ﻣﯽ ﺷﻮﻧﺪ (‬
‫ﻧﮑﺘﻪ ‪ DoS :‬ﻣﺨﻔﻒ ﮐﻠﻤﻪ ‪ Denial Of Service‬ﻣﯽ ﺑﺎﺷﺪ‪.‬‬
‫ﭘﺲ از ﺻﺮف ﻣﺪت زﻣﺎن ﮐﻮﺗﺎﻩ ﻣﺴﺌﻮﻻن اﻣﻨﻴﺘﯽ ﺳﺎﯾﺖ ﻣﺎﮐﺮوﺳﺎﻓﺖ‪ ،‬ﺳﺎﯾﺖ ‪ windowsupdate.com‬را ﺑﻪ‬
‫‪ windowsupdate.microsoft.com‬ﺗﻐﻴﻴﺮ دادن و ﺳﭙﺲ ﺑﺎ ﺗﻐﻴﻴﺮات در ﺳﻴﺴﺘﻢ ‪ DNS‬ﺧﻮد ﺑﺎﻋﺚ از ﺑﻴﻦ رﻓﺘﻦ اﯾﻦ ﺗﺤﺪﯾﺪ ﺷﺪﻧﺪ‪ .‬در ﻋﻴﻦ‬
‫ﺣﺎل ﯾﮑﯽ از ﻧﺴﺨﻪ هﺎی ﻟﻴﻨﻮﮐﺲ را ﮐﻪ در ﺑﺮاﺑﺮ ﺣﻤﻼت ‪ DoS‬ﻣﻘﺎوم ﻣﯽ ﺑﺎﺷﺪ را ﺑﺮای اﯾﻦ وب ﺳﺎﯾﺖ اﻧﺘﺨﺎب ﻧﻤﻮدﻧﺪ‪ ) .‬ﺑﺮای اوﻟﻴﻦ ﺑﺎر‬
‫ﻣﺎﮐﺮوﺳﺎﻓﺖ ﻋﻠﻨﺎ و ﺁﺷﮑﺎرا از ﻟﻴﻨﻮﮐﺲ ﺑﻪ ﺟﺎی ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﺿﻌﻴﻒ ﺧﻮد اﺳﺘﻔﺎدﻩ ﻧﻤﻮد (‬

‫– ‪ RPC – Remote Procedure Call‬ﯾﮏ ﭘﺮوﺗﮑﻞ ﻣﯽ ﺑﺎﺷﺪ و در ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ وﯾﻨﺪوز ﻧﻴﺰ ﻣﻮرد اﺳﺘﻔﺎدﻩ ﻗﺮار ﻣﯽ ﮔﻴﺮد‪ .‬اﯾﻦ ﭘﺮوﺗﮑﻞ ﯾﮏ‬
‫ﻣﮑﺎﻧﻴﺰم ‪ InterProcess‬اﯾﺠﺎد ﻣﯽ ﮐﻨﺪ‪ .‬اﯾﻦ ‪ Process‬اﯾﻦ اﺟﺎزﻩ را ﻣﯽ دهﺪ ﮐﻪ ﯾﮏ ﺑﺮﻧﺎﻣﻪ از ﯾﮏ ﮐﺎﻣﭙﻴﻮﺗﺮی ﺑﻪ ﮐﺪ اﺟﺮاﯾﯽ ﺑﺮ روی ﯾﮏ‬
‫ﺳﻴﺴﺘﻢ دﯾﮕﺮ ﻣﻨﺘﻘﻞ ﺷﻮد‪ RPC .‬ﺧﻮد ﻧﻴﺰ از – ‪ OSF – Open Software Foundation‬ﮔﺮﻓﺘﻪ ﺷﺪﻩ اﺳﺖ‪ ،‬ﭘﺲ از ﺁن ﻣﺎﮐﺮوﺳﺎﻓﺖ ﺑﺎ‬
‫اﻓﺰودن ﭼﻨﺪ ﻣﺤﺼﻮل دﯾﮕﺮ‪ ،‬ﺑﺮای ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﺧﻮد ﻣﺤﺼﻮل ﺟﺪﯾﺪو ﭘﺮﮐﺎرﺑﺮدی را اﺿﺎﻓﻪ ﻧﻤﻮد‪.‬‬
‫اﯾﻦ ﻣﺸﮑﻞ اﻣﻨﻴﺘﯽ در ﻗﺴﻤﺘﯽ از ‪ RPC‬ﮐﻪ در ارﺗﺒﺎط ﺑﺎ ﺗﻐﻴﻴﺮ ﭘﻴﻐﺎم در ‪ TCP/IP‬ﻣﯽ ﺑﺎﺷﺪ‪ ،‬ﭘﺪﯾﺪ ﺁﻣﺪﻩ اﺳﺖ‪ .‬ﺑﻪ اﯾﻦ دﻟﻴﻞ ﮐﻪ اﯾﻦ ﺑﺮﻧﺎﻣﻪ‬
‫رﺳﻴﺪﮔﯽ ﻧﺎدرﺳﺖ ﺑﻪ ﭘﻴﻐﺎم هﺎ ﺑﻪ ﻋﻤﻞ ﻣﯽ ﺁورد‪ .‬اﯾﻦ ﺁﺳﻴﺐ ﭘﺬﯾﺮی ﺑﻪ ﺧﺼﻮص‪ ،‬در ‪DCOM – Distribute Component Object Modet‬‬
‫ﮐﻪ ﺑﺮ روی ‪ RPC‬ﻗﺮار دارد ﺑﻴﺸﺘﺮ ﺑﻪ ﭼﺸﻢ ﻣﯽ ﺧﻮرد‪.‬‬
‫ﺑﺎ ﭘﻴﺪاﯾﺶ اﯾﻦ ﻣﺸﮑﻞ هﮑﺮ ﻗﺎدر اﺳﺖ از راﻩ دور دﺳﺘﺮﺳﯽ ﮐﺎﻣﻞ ﺑﺮ روی ﺳﻴﺴﺘﻢ ﻗﺮﺑﺎﻧﯽ داﺷﺘﻪ ﺑﺎﺷﺪ و ﺳﭙﺲ ﺑﺎ ﺑﺮﻧﺎﻣﻪ هﺎﯾﯽ ﻧﻈﻴﺮ‬
‫‪ Netcat‬و ‪ TFTP‬از اﻃﻼﻋﺎت ﺳﻴﺴﺘﻢ ﻗﺮﺑﺎﻧﯽ اﺳﺘﻔﺎدﻩ ﻧﻤﺎﯾﺪ‪.‬‬
‫‪ : NetCat‬ﻧﺖ ﮐﺖ ﮐﻪ ﺑﻪ ﭼﺎﻗﻮی هﻤﻪ ﮐﺎرﻩ ارﺗﺶ اﻟﮑﺘﺮوﻧﻴﮑﯽ ﺳﻮﺋﻴﺲ ﻣﻌﺮوف اﺳﺖ‪ .‬ﺑﻪ ﻧﻔﻮذﮔﺮ اﯾﻦ اﻣﮑﺎن را ﻣﯽ دهﺪ ﮐﻪ ﺑﻪ ﭘﻮرت‬
‫هﺎی ﻣﺨﺘﻠﻒ در ﺷﺒﮑﻪ و ‪ ...‬ﻣﺘﺼﻞ ﺷﻮد‪ .‬ﺑﺮای ﻣﺜﺎل از راﻩ دور ﻓﺎﯾﻞ اﺟﺮا ﮐﻨﺪ و ‪. ...‬‬
‫‪ : TFTP‬ﯾﮑﯽ از ﺑﺴﺘﮕﺎن ‪ FTP‬ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ وﻇﻴﻔﻪ اﻧﺘﻘﺎل اﻃﻼﻋﺎت را داراﺳﺖ‪.‬‬

‫اﯾﻦ ﮐﺮم هﺎ ﺑﺎ اﺳﺘﻔﺎدﻩ از ﺁﺳﻴﺐ ﭘﺬﯾﺮی وﯾﻨﺪوز از ﭘﻮرت ‪ 135‬وارد ﺳﻴﺴﺘﻢ ﻣﯽ ﺷﻮﻧﺪ و ﺑﺴﺘﻪ ﺑﻪ ﻧﻮع ﮐﺮم ﮐﺎرهﺎی ﻣﺘﻔﺎوﺗﯽ را اﻧﺠﺎم‬
‫ﻣﯽ دهﻨﺪ‪ ،‬از ﻣﻌﻤﻮﻟﺘﺮﯾﻦ ﮐﺎرهﺎ‪ ،‬اﻗﺪام ﺑﻪ ‪ Denial Of Service‬ﺑﺮ روی ‪ windowsupdate.com‬ﻣﯽ ﺑﺎﺷﺪ‪.‬‬
‫ﻧﮑﺘﻪ ‪ :‬ارﺳﺎل ﯾﮏ ‪ SYN FLOOD‬ﺑﺮ روی ﭘﻮرت ‪ 80‬ﺑﺮای ‪ windowsupdate.com‬ﮐﻪ دارای ‪ 50‬ﻋﺪد ‪ Packets HTTP‬در هﺮ دﻗﻴﻘﻪ ﻣﯽ‬
‫ﺑﺎﺷﺪ و هﺮ ﭘﮑﺖ دارای ‪ 40‬ﺑﺎﯾﺖ‪.‬‬
‫اﻗﺪام ﺑﻪ ﺣﻤﻼت داس ﺑﺮ روی رﻧﺞ هﺎی ‪IP‬‬
‫ﺑﺎﻋﺚ ‪ Crash‬ﮐﺮدن ‪ DCOM‬ﻣﯽ ﺷﻮد و در ﻧﺘﻴﺠﻪ ﮐﺎﻣﭙﻴﻮﺗﺮ ﻗﺮﺑﺎﻧﯽ ﭘﺲ از ‪ 1‬دﻗﻴﻘﻪ راﻩ اﻧﺪازﻩ ﻣﯽ ﺷﻮد‪.‬‬
‫ﻧﮑﺘﻪ ‪ :‬اﯾﻦ ﮐﺮم هﺎ از ﭘﻮرت هﺎی ‪ TCP 4444‬و از ﭘﻮرت ‪ UDP 69‬ﮐﻪ ﺑﺮای ﻧﺮم اﻓﺰار ‪ TFTP‬ﻣﻮرد اﺳﺘﻔﺎدﻩ ﻗﺮار ﻣﯽ ﮔﻴﺮد ﻧﻴﺰ ﺟﻬﺖ ﻣﻨﺘﺸﺮ‬
‫ﺷﺪن اﺳﺘﻔﺎدﻩ ﻣﯽ ﮐﻨﻨﺪ‪.‬‬
‫ﻧﮑﺘﻪ ‪ :‬اﯾﻦ ﮐﺮم هﺎ ﺧﻮد را ﺑﺮ روی ‪ RUN‬رﺟﻴﺴﺘﺮی ﻗﺮار ﻣﯽ دهﻨﺪ ﺗﺎ ﭘﺲ از هﺮ ﺑﺎر راﻩ اﻧﺪازی ﺳﻴﺴﺘﻢ ﺑﻪ ﺻﻮرت ﺧﻮدﮐﺎر ﺑﺮ روی‬
‫ﺳﻴﺴﺘﻢ اﺟﺮا ﺷﻮﻧﺪ‪.‬‬

‫‪: W32Blaster‬‬

‫ﺗﻮﺿﻴﺢ ﻣﺨﺘﺼﺮ ‪ :‬اﯾﻦ ﻧﺴﺨﻪ را ﻣﯽ ﺗﻮان ﭘﺪر ﮐﺮم هﺎی ﺑﻠﺴﺘﺮ ﻧﺎم ﮔﺬاری ﮐﺮد‬
‫ﺣﺠﻢ ‪ 6.176 :‬ﺑﺎﯾﺖ‬
‫ﭘﺲ از ورود ﺑﻪ ﺳﻴﺴﺘﻢ ﻓﺎﯾﻞ ‪ msblast‬را در ﺷﺎﺧﻪ ‪ windows/system32‬ﻗﺮار ﻣﯽ دهﺪ‪ .‬ﺳﭙﺲ ﺑﺮ روی رﺟﻴﺴﺘﺮی = ‪“ms blast.exe‬‬
‫“ ‪ windows auto update‬را در ﺷﺎﺧﻪ‬
‫‪ HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN‬ﻗﺮار ﻣﯽ دهﺪ‪.‬‬

‫و در اداﻣﻪ ﺧﻄﺎب ﺑﻪ ﻣﻮﺳﺲ ﻣﺎﮐﺮوﺳﺎﻓﺖ ‪:‬‬

‫‪I Just Want to Say Love You San‬‬
‫‪Billy Gates Why Do You Make This Possible? Stop Maiking Money And Fix Your Software‬‬

‫‪: W32Blaster.B‬‬

‫ﺗﻮﺿﻴﺢ ‪ :‬اﯾﻦ ﻧﺴﺨﻪ ﻃﺒﻖ ﺁﻣﺎر ﮔﺮوﻩ اﻣﻨﻴﺘﯽ ‪ Hat-Squad‬در اﯾﺮان ﺑﻴﺸﺘﺮ ﺑﻪ ﭼﺸﻢ ﻣﯽ ﺧﻮرد‪.‬‬
‫ﺣﺠﻢ ‪ 7.200 :‬ﺑﺎﯾﺖ‬
‫ﭘﺲ از ورود ﺑﻪ ﺳﻴﺴﺘﻢ ﻓﺎﯾﻞ ‪ penis32.exe‬را در ﺷﺎﺧﻪ ‪ windows/system32‬ﻗﺮار ﻣﯽ دهﺪ‪ .‬ﺳﭙﺲ ﺑﺮ روی رﺟﻴﺴﺘﺮی‬
‫”‪ “peinis32.exe= updatw Windows auto‬در ﺷﺎﺧﻪ‬
‫‪ HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN‬ﻗﺮار ﻣﯽ دهﺪ‬

‫‪: W32Blaster.C‬‬

‫ﺗﻮﺿﻴﺢ ‪ :‬اﯾﻦ ﻧﺴﺨﻪ ﻧﻴﺰ ﻣﺘﺸﮑﺮ از ﯾﮏ ‪ Backdoor‬ﺑﻪ هﻤﺮاﻩ ﯾﮏ ﺗﺮوﺟﺎن در ﮐﻨﺎر ﮐﺮم ﻣﯽ ﺑﺎﺷﺪ‪ .‬اﯾﻦ ﮐﺮم ﭘﺲ از ورود ﻓﺎﯾﻞ ‪Teekids.exe‬‬
‫را در ﺷﺎﺧﻪ ‪ windows/system32‬ﻗﺮار ﻣﯽ دهﺪ و ﺳﭙﺲ ﺑﺮ روی رﺟﻴﺴﺘﺮی “ ‪ “ Teekids.exe = .. Microsoft Intel XP‬را در ﺷﺎﺧﻪ‬
‫‪ HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN‬ﻗﺮار ﻣﯽ دهﺪ‪.‬‬
‫ﻧﮑﺘﻪ ‪ :‬ﻻزم ﺑﻪ ذﮐﺮ اﺳﺖ اﯾﻦ ﮐﺮم از ‪ 3‬ﻓﺎﯾﻞ اﺳﺘﻔﺎدﻩ ﻣﯽ ﮐﻨﺪ ﮐﻪ ﻋﺒﺎرﺗﻨﺪ از ‪:‬‬
‫‪ : Index.exe‬در اﺑﺘﺪا اﯾﻦ ﻓﺎﯾﻞ وارد ﮐﺎﻣﭙﻴﻮﺗﺮ ﺷﺪﻩ ﺳﭙﺲ ﻗﻄﻌﺎت دﯾﮕﺮ ﮐﺮم را درﯾﺎﻓﺖ ﻣﯽ ﮐﻨﺪ و ﺗﺤﺖ ﻋﻨﻮان ‪W32Blaster.C.Worm‬‬
‫ﺗﻮﺳﻂ ﺿﺪ وﯾﺮوس هﺎ ﺷﻨﺎﺳﺎﯾﯽ ﻣﯽ ﺷﻮد‪.‬‬
‫ﺣﺠﻢ ‪ 32.045 :‬ﺑﺎﯾﺖ‬
‫‪ : Root32.exe‬ﯾﮏ ﺗﺮﮐﻴﺐ ‪ Backdoor‬ﮐﻪ ﺑﺎ ﻧﺎم ‪ Lithium‬ﺗﻮﺳﻂ ﺿﺪ وﯾﺮوس هﺎ ﺷﻨﺎﺳﺎﯾﯽ ﻣﯽ ﺷﻮد‪.‬‬
‫ﺣﺠﻢ ‪ 19.798 :‬ﺑﺎﯾﺖ‬
‫‪ : Teekids.exe‬ﻓﺎﯾﻞ اﺻﻠﯽ ﮐﺮم ﮐﻪ ﺑﺎ ﻧﺎم ‪ W32Blaster.C.Worm‬ﺗﻮﺳﻂ ﺁﻧﺘﯽ وﯾﺮوس هﺎ ﺷﻨﺎﺳﺎﯾﯽ ﻣﯽ ﺷﻮد‪.‬‬
‫ﺣﺠﻢ ‪ 5.360 :‬ﺑﺎﯾﺖ‬

‫‪: W32Blaster.D‬‬

‫ﺗﻮﺿﻴﺢ ‪ :‬اﯾﻦ ﮐﺮم ﻧﻴﺰ ﻣﺎﻧﻨﺪ ﻧﺴﺨﻪ اول در رﺟﻴﺴﺘﺮی ﺧﻄﺎب ﺑﻪ ﺑﻴﻞ ﮔﻴﺘﺲ ﺳﺨﻦ ﻣﯽ ﮔﻮﯾﺪ‪.‬‬
‫ﺣﺠﻢ ‪ 11.776 :‬ﺑﺎﯾﺖ‬
‫ﭘﺲ از ورود ﻓﺎﯾﻞ ‪ Mspatch‬را در ﺷﺎﺧﻪ ‪ windows/system32‬ﻗﺮار ﻣﯽ دهﺪ‪ .‬ﺳﭙﺲ ﺑﺮ روی رﺟﻴﺴﺘﺮی ‪“mspatch.exe = AntiVIrus‬‬
‫“ ‪ Nonton‬را در ﺷﺎﺧﻪ‬
‫‪ HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RU‬ﻗﺮار ﻣﯽ دهﺪ‪.‬‬
‫ﻻزم ﺑﻪ ذﮐﺮ اﺳﺖ ‪:‬‬
‫‪I Just Want To Say Love You SAN‬‬
‫‪Billy Gates Why Do you Make This possible? Stop Making Money And Fix Your Software‬‬

‫‪: W32Blaster.E‬‬

‫ﺗﻮﺿﻴﺢ ‪ :‬اﯾﻦ ﮐﺮم ﭘﺲ از اﺟﺮا اﻗﺪام ﺑﻪ ‪ DoS‬ﺁی ﭘﯽ ‪ 127.0.0.1‬ﻣﯽ ﮐﻨﺪ‪ ) .‬اﯾﻦ ﺁی ﭘﯽ‪ ،‬در هﻤﻪ ﮐﺎﻣﭙﻴﻮﺗﺮهﺎ رزرو ﺷﺪﻩ ﻣﯽ ﺑﺎﺷﺪ و‬
‫ﻣﻮرد اﺳﺘﻔﺎدﻩ ﻗﺮار ﻧﻤﯽ ﮔﻴﺮﻧﺪ وﻟﯽ ﺻﺮﻓﺎ ﺑﺮای اﺳﺘﻔﺎدﻩ هﻤﺎن ﮐﺎﻣﭙﻴﻮﺗﺮ ﺑﺮای ﺧﻮد ﻣﻮرداﺳﺘﻔﺎدﻩ ﻗﺮار ﻣﯽ ﮔﻴﺮد‪( .‬‬
‫ﺣﺠﻢ ‪ 6.176 :‬ﺑﺎﯾﺖ‬
‫ﭘﺲ از اﺟﺮا ﻓﺎﯾﻞ ‪ Mslaugh.exe‬را در ﺷﺎﺧﻪ ‪ windows/system32‬ﻗﺮار ﻣﯽ دهﺪ‪ .‬و ﺳﭙﺲ ﺑﺮ روی رﺟﻴﺴﺘﺮی = ‪“ mslaugh.exe‬‬
‫“ ‪ windows automation‬را در ﺷﺎﺧﻪ‬
‫‪ HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN‬ﻗﺮار ﻣﯽ دهﺪ‪.‬‬
‫و ﺳﭙﺲ ﭘﻴﻐﺎم‬
‫‪Forget The Promise for me B/DAY this particular strain to me ANG3L – hope yer enjoying yerself and don’t I Dedicate‬‬
‫را در رﺟﻴﺴﺘﺮی ﻗﺮار ﻣﯽ دهﺪ‪.‬‬

‫‪: W32Blaster.F‬‬

‫ﺗﻮﺿﻴﺢ ‪ :‬ﺑﻪ ﻧﻈﺮ ﺑﺴﻴﺎری از ﻣﺴﺌﻮﻻن اﻣﻨﻴﺖ اﯾﻦ ﺁﺧﺮﯾﻦ ﻧﺴﺨﻪ از ﮐﺮم ﺑﻠﺴﺘﺮ ﻣﯽ ﺑﺎﺷﺪ‪.‬‬
‫ﺣﺠﻢ ‪11.808 :‬‬
‫= ‪“ Enbiei.exe‬‬ ‫اﯾﻦ ﮐﺮم ﻧﻴﺰ ﭘﺲ از اﺟﺮا ‪ Enbiei.exe‬را در ‪ windows/system32‬را ﻗﺮار ﻣﯽ دهﺪ‪ .‬ﺳﭙﺲ در رﺟﻴﺴﺘﺮی‬
‫‪ www.hidro.4t.com‬را در ﺷﺎﺧﻪ‬
‫‪ HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN‬ﻗﺮار ﻣﯽ دهﺪ‬

‫در ﺻﻮرﺗﯽ ﮐﻪ ﯾﮑﯽ از اﯾﻦ ﮐﺮم هﺎ ﺳﻴﺴﺘﻢ ﺷﻤﺎ را ﺁﻟﻮدﻩ ﻧﻤﻮدﻩ اﻧﺪ ﺑﻪ ﺗﺮﺗﻴﺐ ﻣﺮاﺣﻞ زﯾﺮ را ﻣﺮﺣﻠﻪ ﺑﻪ ﻣﺮﺣﻠﻪ اﻧﺠﺎم دهﻴﺪ ‪:‬‬

‫ﺧﺎرج ﮐﺮدن از ﻓﺎﯾﻞ هﺎی اﺟﺮاﯾﯽ‬

‫اﺑﺘﺪا ﮐﻠﻴﺪ هﺎی ‪ CTRL+ALT+DELET‬را ﺑﺎ هﻢ ﺑﻔﺸﺎرﯾﺪ‪ .‬ﺳﭙﺲ دﮐﻤﻪ ‪ Processe‬را ﻓﺸﺎر دهﻴﺪ و ﺑﻪ ﺟﺴﺘﺠﻮی ﻓﺎﯾﻞ هﺎ ) ﮐﻪ در ﺑﺎﻻ ﺑﻪ‬
‫ﺁﻧﻬﺎ اﺷﺎرﻩ ﺷﺪ ( ﺑﭙﺮدازﯾﺪ و ﭘﺲ از ﯾﺎﻓﺘﻦ ﯾﮏ ﺑﺎر ﺑﺮ روی ﺁﻧﻬﺎ ﮐﻠﻴﮏ ﭼﭗ ﮐﻨﻴﺪ و ﺳﭙﺲ دﮐﻤﻪ ‪ End Process‬را اﻧﺘﺨﺎب ﮐﻨﻴﺪ‪.‬‬
‫ﻧﮑﺘﻪ ‪ :‬در اﯾﻦ ﻣﮑﺎن ﻓﺎﯾﻞ هﺎﯾﯽ ﮐﻪ در هﻤﻴﻦ ﻟﺤﻈﻪ در ﺳﻴﺴﺘﻢ ﺷﻤﺎ در ﺣﺎل اﺟﺮا ﻣﯽ ﺑﺎﺷﻨﺪ ﻗﺮار ﮔﺮﻓﺘﻪ اﺳﺖ و ﻧﺸﺎن دادﻩ ﻣﯽ‬
‫ﺷﻮد‪.‬‬

‫ﻧﮑﺘﻪ ‪ :‬ﻣﻌﻤﻮﻻ ﺑﺮﻧﺎﻣﻪ ﻧﻮﯾﺴﺎن ﺑﺎ ﻧﻮﺷﺘﻦ ﯾﮏ ﺧﻂ در ﺑﺮﻧﺎﻣﻪ ﺧﻮد‪ ،‬ﺑﻪ وﯾﺮوس اﻋﻼم ﻣﯽ ﮐﻨﻨﺪ در ﺻﻮرﺗﯽ ﮐﻪ ﺳﻴﺴﺘﻢ در ﺣﺎﻟﺖ ﺧﺎﻣﻮش‬
‫ﺷﺪن اﺳﺖ‪ ،‬ﺑﻪ رﺟﻴﺴﺘﺮی و ﺁدرس ﺷﺎﺧﻪ وﯾﻨﺪوز رﻓﺘﻪ و ﻧﮕﺎﻩ ﮐﻨﺪ ﮐﻪ هﻨﻮز ﻓﺎﯾﻞ هﺎ و ﺁدرس در ﺁﻧﺠﺎ ﻗﺮار دارد ﯾﺎ ﺧﻴﺮ‪ .‬ﺳﭙﺲ در ﺻﻮرت‬
‫وﺟﻮد ﻧﻴﺎﻓﺘﻦ‪ ،‬ﯾﮏ ﻧﺴﺨﻪ از ﺧﻮد دوﺑﺎرﻩ در ﺁن ﮐﭙﯽ ﮐﻨﺪ‪.‬‬

‫اﯾﻤﻦ ﺳﺎزی رﺟﻴﺴﺘﺮی‬

‫ﺑﻪ ﺷﺎﺧﻪ رﺟﻴﺴﺘﺮی‬

‫‪HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN‬‬
‫رﻓﺘﻪ و ﺳﭙﺲ ﺑﺎ ﺗﻮﺿﻴﺤﺎﺗﯽ ﮐﻪ در ﺑﺎﻻ ﯾﺎد ﺷﺪ‪ ،‬ﺑﻪ ﯾﺎﻓﺘﻦ ﯾﮑﯽ از ﺟﺰﺋﻴﺎت ﺑﭙﺮدازﯾﺪ و ﺳﭙﺲ ﮐﻠﻴﮏ راﺳﺖ را ﺑﺮ روی ﮔﺰﯾﻨﻪ ﻣﻮرد ﻧﻈﺮ زدﻩ و‬
‫ﭘﺲ از ﺁن ‪ Delet‬را اﻧﺘﺨﺎب ﮐﻨﻴﺪ‪.‬‬
 ‫ﻧﮑﺘﻪ ‪ :‬ﺑﺎ اﯾﻦ ﮐﺎر‪ ،‬دﯾﮕﺮ ﭘﺲ از دوﺑﺎرﻩ راﻩ اﻧﺪازی ﺳﻴﺴﺘﻢ‪ ،‬ﮐﺮم هﺎ ﻗﺎدر ﺑﻪ ﺑﺎرﮔﺬاری ﻣﺠﺪد ﻧﻴﺴﺘﻨﺪ‪.‬‬
‫ﻧﮑﺘﻪ ‪ :‬ﺑﺮای رﻓﺘﻦ ﺑﻪ رﺟﻴﺴﺘﺮی اﯾﻦ ﻣﺮاﺣﻞ را ﻃﯽ ﮐﻨﻴﺪ ‪Start>RUN>Regedit‬‬

‫از ﺑﻴﻦ ﺑﺮدن ﻓﺎﯾﻞ هﺎی اﺻﻠﯽ ﮐﺮم‬

‫ﺳﭙﺲ ﺑﺎ رﻓﺘﻦ ﺑﺎ ﺷﺎﺧﻪ ‪ system32‬اﻗﺪام ﺑﻪ ﺟﺴﺘﺠﻮ ﻓﺎﯾﻞ هﺎی ذﮐﺮ ﺷﺪﻩ و ﺳﭙﺲ ‪ delet‬ﮐﺮدن ﺁن ﺑﭙﺮدازﯾﺪ‪.‬‬
‫ﭘﺲ از ﺁن ﺳﻴﺴﺘﻢ ﺧﺪ را دوﺑﺎرﻩ راﻩ اﻧﺪازی ﮐﻨﻴﺪ‪.‬‬

‫دوﺑﺎرﻩ راﻩ اﻧﺪازی ﺳﺮوﯾﺲ ‪RPC‬‬

‫اﺑﺘﺪا ﺑﺮ روی ‪ Start‬ﮐﻠﻴﺪ ﻧﻤﺎﯾﻴﺪ ﺳﭙﺲ ‪ Run‬را اﻧﺘﺨﺎب ﮐﻨﻴﺪ‪ .‬در ﺧﻂ ﻓﺮﻣﺎن ﻋﺒﺎرت ‪ service.msc /s‬را ﺗﺎﯾﭗ ﮐﻨﻴﺪ و ﺳﭙﺲ ‪ Enter‬را‬
‫ﺑﻔﺸﺎرﯾﺪ‪ .‬ﭘﺲ از ﺁن در ﻟﻴﺴﺖ ﻣﻮﺟﻮد ) ‪ Remote Procedure Call ( RPC‬را ﮐﻠﻴﮏ راﺳﺖ را زدﻩ‪ ،‬از ﻣﻴﺎن ﮔﺰﯾﻨﻪ هﺎی ﻣﻮﺟﻮد ‪Recover‬‬
‫را اﻧﺘﺨﺎب ﮐﻨﻴﺪ‪ .‬در ﭘﻨﺠﺮﻩ ﺟﺪﯾﺪ هﺮ ﺳﻪ ﮔﺰﯾﻨﻪ ‪ Change Failure, Subswquent Failure First Failure, Second‬را ﺑﻪ ‪Service Restart‬‬
‫ﺗﻐﻴﻴﺮ دهﻴﺪ و ‪ Ok‬را ﮐﻠﻴﮏ ﮐﻨﻴﺪ‪.‬‬
‫ﻧﮑﺘﻪ ‪ :‬اﯾﻦ ﻗﺒﻞ از اﻧﺠﺎم اﯾﻦ ﮐﺎر ﺳﻴﺴﺘﻢ از وﯾﺮوس ﭘﺎﮐﺴﺎزی ﺷﺪﻩ ﺑﺎﺷﺪ‪.‬‬

‫ﻣﺎﮐﺮوﺳﺎﻓﺖ ﺑﺮای اﯾﻦ ﻣﺸﮑﻞ اﻣﻨﻴﺘﯽ ‪ Patch‬اﯾﻤﻦ ﺳﺎز را اراﺋﻪ دادﻩ اﺳﺖ وﻟﯽ ﺑﻪ دﻟﻴﻞ اﯾﻨﮑﻪ ﮐﻼ روی ﻣﺎﮐﺮوﺳﺎﻓﺖ از ﻟﺤﺎظ اﻣﻨﻴﺘﯽ‬
‫ﻧﻤﯽ ﺷﻮد ﺣﺴﺎب ﮐﺮد در ﻧﺘﻴﺠﻪ اﺑﺘﺪا ‪ Start‬را ﮐﻠﻴﮏ ﮐﻨﻴﺪ ﺳﭙﺲ ‪ Run‬را اﻧﺘﺨﺎب ﻧﻤﺎﯾﻴﺪ‪ .‬در ﺧﻂ ﻓﺮﻣﺎن ‪ dcomcnfg‬را ﺗﺎﯾﭗ ﮐﻨﻴﺪ‪ ،‬ﺳﭙﺲ‬
‫‪ Enter‬را ﻓﺸﺎر دهﻴﺪ‪ .‬در ﭘﻨﺠﺮﻩ ﺟﺪﯾﺪ ﺑﺮ روی ‪ Component service‬ﮐﻠﻴﮏ ﮐﻨﻴﺪ ﺳﭙﺲ ﻓﻮﻟﺪر ‪ Computers‬را اﻧﺘﺨﺎب ﻧﻤﺎﯾﻴﺪ‪ .‬ﭘﺲ از ﺁن‬
‫ﺑﺮ روی ﺁن ‪ Right Click‬ﮐﻨﻴﺪ و ﺳﭙﺲ ‪ Properties‬را اﻧﺘﺨﺎب ﮐﻨﻴﺪ‪ .‬ﭘﺲ از ﺁن از ﻣﻴﺎن ‪ Tab‬هﺎی ﻣﻮﺟﻮد ‪ Properties Defualt‬را اﻧﺘﺨﺎب‬
‫ﮐﻨﻴﺪ و ﭘﺲ از ﺁن ‪ Uncheck‬ﮐﻨﻴﺪ ﮔﺰﯾﻨﻪ ‪Computer Enable Distributed COM On This‬‬

‫اﯾﻦ روش ﺑﺎﻋﺚ از ﺑﻴﻦ رﻓﺘﻦ ﻣﺪت دوﺑﺎرﻩ راﻩ اﻧﺪازی ﺳﻴﺴﺘﻢ ﻧﺨﻮاهﺪ ﺷﺪ وﻟﯽ اﯾﻦ اﻣﮑﺎن را ﺑﻪ ﺷﻤﺎ ﻣﯽ دهﺪ ﮐﻪ ﺑﻪ اﻓﺰاﯾﺶ ﻣﺪت‬
‫زﻣﺎن دوﺑﺎرﻩ راﻩ اﻧﺪازی ﺳﻴﺴﺘﻢ اﻗﺪام ﮐﻨﻴﺪ‪.‬‬
‫ﺑﺮای ﻣﺜﺎل ﮐﺎﻣﭙﻴﻮﺗﺮ ﺷﻤﺎ در ﺳﺎﻋﺖ ‪ 9:00‬ﺷﺎهﺪ ﭘﻴﻐﺎم دوﺑﺎرﻩ راﻩ اﻧﺪازی اﺳﺖ و در ﺳﺎﻋﺖ ‪ 9:01‬ﺳﻴﺴﺘﻢ ﺷﻤﺎ دوﺑﺎرﻩ راﻩ اﻧﺪازی ﻣﯽ‬
‫ﺷﻮد‪ .‬ﺣﺎل ﮐﺎﻓﻴﺴﺖ ﺳﺎﻋﺖ وﯾﻨﺪوز ﺧﻮد را ﺑﻪ هﻤﺎن ﻣﻘﺪار ﮐﻪ اﺣﺘﻴﺎج دارﯾﺪ ﺑﻪ ﻋﻘﺐ ﺑﮑﺸﻴﺪ‪.‬‬
‫ﻋﻠﺖ وﺟﻮد داﺷﺘﻦ اﯾﻦ ﺑﺎگ در ﮐﺮم هﺎی ﺑﻠﺴﺘﺮ ‪ :‬هﮑﺮ هﺎ ﺑﺮای ﮐﻢ ﮐﺮدن ﺣﺠﻢ وﯾﺮوس ﺧﻮد دﯾﮕﺮ ﯾﮏ ‪ Timer‬ﻃﺮاﺣﯽ ﻧﮑﺮدﻩ و در ﻧﺘﻴﺠﻪ‬
‫از ﺳﺎﻋﺖ وﯾﻨﺪوز ﺑﺮای اﯾﻦ ﮐﺎر ﮐﻤﮏ ﮔﺮﻓﺘﻪ اﻧﺪ‪.‬‬

‫اﻣﻴﺪوارم از اﯾﻦ ﻣﻘﺎﻟﻪ ﻟﺬت ﺑﺮدﻩ ﺑﺎﺷﻴﺪ‬

‫ﺑﺎ ﺗﺸﮑﺮ ﻟﺮد ﻧﺎﯾﮑﺎن ) ﺳﻬﻨﺪ (‬