Thursday, December 9, 2021

Kabe ver.2 virus

Type: Worm

විශේෂය: පණුවකු ලෙස ක්‍රියාත්මක වේ.

සමස්ථ අවදානම් මට්ටම:        අඩු මට්ටම

බෙදා හැරීමේ හැකියාව:        සමාන්‍ය මට්ටම

වාර්තාගත ආසාදනය:           අඩු මට්ටම

තොරතුරු නිරාවරණය:         මධ්‍යම මට්ටම

පැතිරෙන ආකාරය:

USB Pen ඩ්‍රයිව්, External හාර්ඩ් ඩිස්ක්, CD, DVD, මගින්, email මගින් අතහැර දැමු ගොනුවක් ලෙසින් දැක්වෙන අතර ඒවා double click කිරීම නිසා පරිගණකයේ

Operating system එකේ කිහිප තැනක ක්‍රියාත්මක වෙමින් ඉහත සඳහන් ආකාර තුලින් පැතිරීම සිදුවේ.

වෛරසයේ නියම නම : msfold.exe



මෙම වෛරසය නිර්මාතෘ ගේ නම K. Abe.......e විය නොහැකිද,



මන්ද යත් මෙම වෛරස නිර්මාණකරණයේ මුල් කාලයේ සිට ඔහු ඔහුගේ නම කියා ගැනීමට සහ අනුන්ගේ දත්ත අවදානමකට ලක් කරමින් ආදායමක් ලබන්නට මේ ශ්‍රීලංකාවේ සිට කටයුතු කරමින් සිටියා

ඔහුගේ නම සුජීව වුවත් නම තවත් අයුරකින් සජිත් නමින් ද වෛරසයේ ඇතුලත සඳහන් කරමින් අරමුණ කුමක් වුවත්

බඩගෝසතරවාදින් සේ තම වැඩසටහන් මෙහෙයවන්නේ මොහු කලක සිටයි තවමත් ඔහුගේ අරමුණු සාර්ථක කරගැනීමට නොහැකි වී ඇත්තේ ඔහුගේ මේ ප්‍රාථමික මුදල් ඉපියීමේ අරමුණයි.

මෙවර මෙම වෛරසය මගින් ඔහු ඇත්තෙන්ම කරල තියෙන්නෙ විහිළුවක් වගේ ලඳ බොලඳ නිර්මාණ කරුවෙක් ලෙස  VB 6  මගින්  Project එකක Form 2 ක් ලියා ඒකට Timer 2 ලිවීමෙන් පසු මුදල් උපයා ගැනීමට උත්සහ කර තිබුනා මෙවර ඔහු 4$ ලෙස ඉංග්‍රීසියෙන් මුදල් ඉල්ලා ඇත මෙම වෛරසය පරිශීලකයා මොඩයන් සේ සලකා සාදන ලද මෙම වෛරසයේ ඇත්තේ නම් ගනනාවකින් මෙම බ්ලොගයේම විවිධ වසර වලදී ඔහු නිර්මාණය කරන ලද බොලඳ වැඩසටහනම වේ. 

 අපි දැන් බලමු ඔහුගේ වැඩ

වෛරසයේ නියම නම : msfold.exe

ලියල තියන වැඩසටහන් මාධ්‍ය : VB 6 සහ assembly

 එය

Project එකට form දෙකයි

එකක් පෙන්ඩ්‍රයිව් ඒක හෝ යුඑස්බී මාධ්‍ය තුල ඇති සියල්ල ඒකවිට folder ඒකක් සාදා කොපි කර එම  folder එක attribute වෙනස් කරමින් සඟවා වෛරසයේ පැතිරීම ක්‍රියාත්මක වන application files වල icons folders ලෙස වෙනස් කර user ලවාම මෙම වෛරසය පතුරවා මුදල් ගරා ගැනීමට user ගේ Desktop එක Lock කර 4$ මංකොල්ල කෑමට උත්සහ කරන්නේ බොහොම අඩු මුදලක් ආදායමක් ලෙස ලබන්නට දෝ සැකයක් නැතිවාම නොවේ

 මෙම වෛරසය ඇතුල් වූ පරිගණක timer ක්‍රියා කාරීත්වය නිසා ටික වේලාවක් 4$ පෙනෙන අතර ටිකවේලාවකින් තිරය මත කිසිම ක්‍රියාවක් කරන්නට user ට නොදීම යන කාරණාවේදී වෛරසය ලිව්ව මිනිහ දිනුම්



ඉහත රූපසටහන අනුව Folder සැඟවීමටත් වෙනම සාදන ලද explorer command එකද දැක්වේ.


 

Form 1 ඒකෙන් client ගේ Desktop එකේ වපසරියේ (Screen area) කොපි කර ගනී.

Frm_lock එක මගින් client ගේ Desktop එකේ පින්තූරය යොදා ගනිමින් client ගේ Desktop එක Lock කරනු ලබයි එහිදී 4$ ක් ඉල්ලීමට මෙම නිර්මාණ කරු එසේත් නොමැති නම් සුජීව විසින් email address එකක නමක් (allosfix@hotmail.com) යොදා ඇත.

එම පින්තූරය windows default එක බවට පත් කෙරේ.

Form 1 එකේ වැඩසටහනේ කොටස් කිහිපයක් ඔබට පහතින් දැකගත හැකිවේ

මෙම වෛරසය පොදු ක්‍රමයම භාවිතා කරමින් wscript.shell  සහ explorer භාවිතා කරමින් Run (ක්‍රියාත්මක වීම සහ පැතිරීම සිදුවේ)

 

මෙම වෛරසයේදී මුදල් ඉල්ලා 4$ allosfix@hotmail.com ඊමේල් මගින් යම් දැන්වීමක් ඔබේ තිරයේ පළවුවහොත් කිසිම ගෙවීමක් කරන්න එපා

පරිගණකය Restart කර F8 මගින් safe mode වලට පහත පරිදි යන්න 

ගොස් පහත දැක්වෙන පරිදි user වෙතට ගොස් kukula නමින් ඇත්තෙ මම සාදන ලද user වන අතර 

එය ඔබේ පරිගණකයේ  user වෙත යාම සඳහා උදාහරණ සපයයි

ඒ අනුව ඔබේ පරිගනකයේ ඇති user වෙත ගොස් පහත පියවරයන් අනුගමනය කරමින් වෛරසය ඔබම ඉවත් කරගන්න


ඊතලයෙන් දක්වා ඇති ස්ථානයේ තිබෙන msfold.exe නැමති file එක මකා දමා Restart කරන්න

දැන් ඔබ නිදහස් ඔබේ වෛරසය ඔබම ඉවත් කරගත්තා

මේ සඳහා ඔබ ඔබේ පරිගණකය Format කිරීමක් අවශ්‍ය නොවේ.

 මෙම වෛරසය ඉතාම කරදරකාරී වන්නේ කිසිම වෛරස ගාඩ් එකකට අහු නොවන නිසා 

එම නිසා කිසිම වෛරස ගාඩ් එකක් පිළිබද විස්වාස නොකරන්න. යම් පරිගණක විශ්ලේෂයකු ඔබට පරිගණකයේ මෙම දෝෂය නිවැරදි කිරීමට Format කලයුතු යයි උපදෙස් ලබාදීමක් කලේ නම් ඔහුගේ දැනුම පිළිබදව ඔබ සැලකිලිමත් වන්න.

 ඒ වගේම ඔබේ USB Pen drive වල ඇති සියළු දත්ත ලබා ගැනීමට DOS Command වලට පහත පරිදි ගොස් ඒවා නැවත ලබා ගන්න.

 

1.  USB drive එකේ Drive letter ඉහත රූපසටහන අනුව පලමුව හොයාගන්න

(Ex. G: , F: )

2. Search ඒකේ “cmd” type කර 







administrator මගින් log වී 




Yes කරන්න එවිට පහත තිරය ලැබේ









ඉහත තිරයේ පහත පරිදි drive (f: ) මාරුවී

attrib -s -h /s /d ගසන්න

Pen drive ඒක තුල සියළු දත්ත ඔබට ලැබී ඇත. නමුත් මතක තබාගන්න file type එක බලා  application, shortcut නමින් ඇති සියළු දේ මකා දමන්න

රවුම් කර ඇති autorun, Kabe නමින් මකා දමන්න හෝ යටින් ඉරි ඇඳි type - file folder ඉතිරි කර application මකා දමන්න ඒ්වා නැවත double click කලහොත් නැවත වෛරසය ඇතුළු වේ. ඒවිට ඔබට නැවත මේ ඉහත දක්වා ඇති පරිදිම පරිගණකයේ වෛරසය ඉවත් කල යුතුවේ.

 

මින් ඔබට යම් සේවාවක් වූයේ නම් සටහනක් යොදන්න

ස්තූතියි. 



Sunday, September 27, 2020

Winlogoo නම් වෛරසය


වෛරස වෛරස කොරෝනාත් වෛරසයකි කවරකු හෝ නිර්මාණය කරන ලද පරිගණක තුලද මෙම වෛරස නිර්මාණය කරමින් කෙනෙකුගේ වටිනා කාලය කා දමමින් නිරර්ථක උත්සහයක යෙදෙන්නේ කවරකුගේ උවමනාවටද මුදල් අරඹයාද යන්න දන්නෙ ලියන ඔහු පමනි

මා මෙතෙක් සොයාගත් ඒවැනි නිරමාණ මා ඉදිරිපිට දණ නැමුයේ දෙකයි පනහෙ බැට් ෆයිල් වලිනි අදත් මේ ලියන්නෙ ඒවැනි නව ආරක වෛරසයක දිග හැරුමක් සමගිනි.

මා හට ඒය ලැබුනේ මා මින් පෙර රැකියාවක් ලෙස නිරත වූ හමුදා රෝහලෙන් වීම කණගාටුවෙන් වුවද කිව යුතුවේ මා ඒවකට මා හට තිබූ දැනුම කිසි ලොබකින් තොරව දෙවැනි පෙළ හදනු පිනිස දුන් දැනුම අපතේ ගියාදෝ යි මාහට දැනුනේ ඒහි නිරත වූ බාල සහෝදරයෙකුගේ නොසරුප් බස් නිසාමය මා මගේ දැනුම සියළු නාවිකයන් වෙත විටින් විට ඒක් ඒක් ආකාරයෙන් ලබා දුන්නේ මා ගුරුවරයෙකු විටෙක දෙමාපියකු විටෙක සහොදරයකු ලෙස මෙන් සිට වුවද ඔහු මා දැන් ඔහුට පෙනුනේ පිට කෙනෙකු ලෙසින් වීම මා සලිත කර වීමට සමත් වූ නමුත් මා මේ වෛරසය පිළිබඳ සටහන් තබන්නේ ඔහුට නොවේ.

 



   මෙම වෛරසය ලියන ලද පුද්ගලයා windows system restore පිළිබඳව වැඩි අවධාණයක් යොමුකර ඇති බව පහත ඔහු විසින් ලියා තිබෙන ඔහුගේ program ඒකෙන් දැකගත හැකියි මෙහිදී ඔහු user ගේ දත්ත සම්පූර්ණයෙන් විනාස කල බව පරිගණක වේදියා ද රුවටීමට ලක් කර ඇත.

Network වලට ද යම් ආකාරයකට සම්බන්ධ වී ඇතැයි පහත රූ සටහනෙන් අවබොධයක් ලැබේ මෙහි දී මට හැඟී යන්නේ යම් server ඒකකට මෙය ඇටෑක් කර ඇත්නම් ඒවා වෙනත් අන්තයකට යැවීමකට යයි හැඟේ.

තව දුරටත් මෙම වෛරසය‌ේ දිගහැරුම තවත් දිනයක සටහන් තබන්නම්.....
ඒතෙක් ඔබට ජය!

Sunday, May 17, 2020

Kabe.exe  
වෛයිරසයක් කියල හඳුනන්නේ නැති KABE


බොහොම කාලෙකින් නැවතත් පැරණි වෛරසයක් ඒක්ක ඔට්ටු වුනා

ඇත්තටම කිව්වොත් මමත් මේ වෛරස සොයා යන කම්මැලි ක්‍රමය මා නාවික හමුදාවේ රාජකාරියෙන් විශුාම ගිය පසු අතහැර දැම්මා මොකද මා ආශාවෙන් ඉගෙන ගත් දෙයට නිසි රැකියාවක් මේ දක්වා සොයාගත නොහැකි වූ නිසාවෙන්

මා සොයාගත්  Data Recovery ක්‍රම සියල්ලක්ම මම අතහැර දැම්මා........ වසර 02 ක් වෙනවා කනගාටුයි...

මේ වෛරසය මා දැන් වැඩකරන ආයතනයට ඉතා කරදරයක් මෙය නැති කිරීමට පියවරයන් ගොඩක් ඒ් අය අරන් තිබුනත් පැතිරී යන ක්‍රමය පිලිබඳ නිවැරදි වැටහීමක් නොමැති නිසා මෙම වෛරසය පසුපස හඹායන ඒක ඔවුන් නවතා තිබුනා (මා හිතන්නේ ඒහෙමයි)

අන්තිමේදී ආයෙත් මම මගේ පිලිවෙලට වෛරසය හඹායන්න පටන් ගත්තා

අපි දැන් බලමු මේ වෛරසය වැඩ කරන්නේ කොහොමද කියල මේකත් ටිකක් විතර shortcut virus ඒකට සමානයි

පින්තූරයක් දෙකක් බලමු

පෙන් ඩ්‍රයිව් ඒකෙන් තමයි පැතිරෙන්නේ





ඔන්න දැක්ක ද 

බලාගෙන යනකොට මහලොුකු දෙයක් නැහැ

නමුත් මේ වෛරසය ලියපු කෙනා ලංකාවේ කෙනෙක් වග නම් පැහැදිලියි

රැන්සම් ගන්න බලාපොරොන්තුවක් මෙකේ ඇති බව දැක්කම පුදුමත් හිතුනා



මම මේ රූපයේ මගේ නම දැම්මෙ මේ කරුණු බොහොම අමාරුවෙන් සහ උත්සහයෙන් කරපු අධ්‍යයනයක ප්‍රථිපලයක් ආවාට ගියාට දැම්මාම අගයක් නැති කෙනෙක් ඒ්වා ඔහුගේ වෙබ් අඩවි වල දාන නිසා

මෙවැනි වෛරස තුලින් අපේ රට අපකීර්තිමත් වන බව මේවා ලියන හුඟක් අය දන්නෙ නැහැ හොඳට හිතන්න ඔබේ ප්‍රදේශයේ කොරොනා ලෙඩෙක් හිටියොත් වටේම ඉන්න මිනිස්සු ඔබ ඒලියට බැස්සත් ඔබට මොන සහතික තිබුනත් ඔබට වඩා ඈතින් ඉන්න බව ටිකක් විතර පිලිකුලෙන් බලන බව.......... 

අන්න ඒ්වගේ මේ ඔබේ රට මුදල් ගැන විතරක්ම හිතන්න ඒපා වෛරස හදල රට බාල්දු කරන්න ඒපා....... 


හා ......හා මම කියන්නෙ පරිගණක වෛරස ගැන මම දන්න විදිහට බයෝ වෛරස හදන අය ලංකාවෙ නැහැ

බොහොම ශූක්ෂම විදිහට $4 ක් ඉල්ලලා....


මෙම වෛයරසය ලියල තියෙන්නෙ VB 6 වලින් බොහොම කාලයකට ඉස්සර ඒ් දවස්වල වෛරස් ගාඩ් වලට මේක අහු වුනා මොනව හරි හේතුවකට මේ ක දැන් අල්ලන්නේ නැහැ


මේක Run වෙන විට මේකෙ හැම තැනම ක්‍රියාත්මක වෙන හැටි බලන්න

වෛරස ප්‍රෝග්‍රෑම් ඒකේ පෙන් ඩ්‍රයිව් ඒකේ ලියන්න දීල තියන Command පහතින් දැක්වේ





නොමග යැවීමට කර ඇති උත්සහය




අන්තිමට අපි බලමු මේ වෛරසය PC ඒකේ වැඩ කරන්නෙ කොහෙද වැඩ කරන්න දාල තියන නම මොකක්ද කියල

ලියපු කෙනා (මෙහිදී මෙයාගෙ නම කොතන හරි දැම්මෙ නැත්නම් මෙම වෛරස කෝඩ් ඒක විකුණන්න බැරිවෙනවා )

PC ඒකේ කෙලින්ම දැක හඳුනා ගැනීමට බැරි විදිහට දීල තියන නම msfold


PC ඒකේ ඒ්ක ලියල තිබෙන තැන 



දැන් හරිම ලේසියි මේක මකල දාන්න යන්න SAFE MODE ඉන් පසු user Account ඒකේ ඉහත රූ සටහන පරිදි පහතින් දක්වා ඇති තැනට ගොස් Manually මකල දාන්න

C:\USERS\<USER ACCOUNT>\APPDATA\ROMMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP

වලට ගිහින් 

msfold.exe කියන File ඒක මකල 

Restart කරන්න 

මේක ලියල තියන VB code ඒහෙම ඔන අය ඉන්නවනම් comment ඒකක් දාන්න


ස්තූතියි







Wednesday, March 28, 2018

CD Or DVD ROM not indicate in my computer folder (පරිගණකයක සීඩි රොම් එක Mycomputer එකේ නොපෙන්වයි නම් ) Format කරන්න එපා

මේක බොහොම ඉස්සර ඉදන් කට්ටියට ආපු ප්‍රශ්ණයක්  පහත රූපසටහනේ පෙන්වන විදිහට තමයි පෙන්වන්නේ



මේකට හුඟක් අය කියන්නේ conflict එකක් කියල ඒකියන්නේ මෙහෙම වෙන්න බොහොම හේතුව වියහැක්කේ බොහෝදුරට Drivers Update එකක් හෝ DriverGuide වගේ Software එකකින් Drivers දාලා තිබීම ඒ Software එක හෝ වින්ඩෝස් Drivers Update වීමක දී වන්න පුළුවන් 

මේ වගේ වෙලාවකට ඕනෑම කෙනෙක් කියන්නේ පරිගණකය Format කරන්න කියලනේ නේද......


හදිස්සි වෙන්න එපා මේක වෛරසයක් නොවෙයි....

CD ROM එක ලේසියෙන් ම පෙන්වාගන්න එක මම කියල දෙන්නම්

එකට ඔබ පලමුවෙන් මම කියන විදිහට 

Windows 7/8/10 ඕනෑම O/S එකක RUN එකට යන්න (Windows Key  + R)

එතන තියන කොටුවේ 
regedit කියල Type කරල OK කරන්න



    








දැන් පහතින් පෙන්වන තැනට යන්න


මෙතැනදී හොඳින් බලල පහතින් මම කියන දේ පමණක් කරන්න වෙනත් කිසිම දෙයක් කරන්න එපා මෙහි ඕනෑම වෙනස් වීමක් මෙහෙයුම් පද්ධතියට (Operating System) බලපානවා



ඉහත රූපසටහනේ දක්වා ඇති පරිදි Lowercase සහ Uppercase යන දෙකම මකල දාන්න ඉන්පසු Regedit වලින් අයින් වෙන්න

මේ මම දක්වල තියන {4d36e965-e325-11ce-bfc1-08002be10318} අංකය පහසුවෙන් හොයාගන්න මම පහතින් තිබෙන රූප සටහන් දක්වන්නම්

Right Click කරල Properties යන්න පහත රූපය පරිදි

මේ රූප සටහනේ Drivers වලට යන්න පහත රූප සටහනේ පෙනෙන අංකය බලාගන්න එය Regedit වලට ගිහින් තියන තැන සොයාගන්න ඉන්පසු ඉහත පරිදි මකා දමන්න දැන් ඔබට ඔබේ පරිගණකයේ CD ROM එක පෙන්වයි.



වැඩේ කෙරුන නම් පහතින් පුංචි comment එකකුත් දාන්න.....




Tuesday, November 28, 2017



Chrom Virus

ක්‍රෝම් වෛරසය

මම අද නිකමට වගේ වෛරසයකට නමක් යෙදුවත් එය කොහෙවත් වෛරස ගාඩ් එකක සඳහන් වෛරසයක් නොවේ. මෙම වෛරසය ආසාදනය වන්නේ බොහෝ විට USB Pen සහ ඒහා සමාන ‍portable Devices හරහා ඒක පේන්නේ පහලින් පෙන්වා ඇති රූප සටහනේ වගේ

මේ ෆයිල් එක සැක සහිතයි කියල මට එවපු අපේ සහෝදරයට පලමුව මම ගරුකරනවා මොකද මෙවැනි ‍ෆයිල් එකක් ගැන කෙනෙකුට කෙලින්ම අදහසක් එන්නෙ නැති නිසා ඔබට තුති! 



මේ වෛරසය Run වන පරිගණකයේ වෙන දේවල් මම හිතනවා ඔබලා දැනගන්න කැමති ඇති කියල ඒවා පහතින් දක්වන්නම්


 ඉහත රූපසටහන අනුව තියන ෆයිල් එක යම් කෙනෙක් Dabble Click කළහොත් පහත පරිදි Message (රූපසටහන-02) එකක් එන අතර රූපසටහන් අංක 03 අනුව එය Run වන Process ඔබට බලා ගැනීමට පුළුවන්


රූපසටහන-02


මෙහිදී වෛරසය Run වන බැවින් Sysinternal suit නැමැති Microsoft එකේ Tools මගින් මෙම වෛරසයේ ක්‍රියාකාරකම් සොයා බැලීමට රූපසටහන-03 සඳහා Procmon Tool එක භාවිතා කර ඇත.

රූපසටහන-03



රූපසටහන-04 හි මම මෙම process එක පමණක් Select කරගන්න ආකාරය ගැන පෙන්වා දෙන්නම් හැබැයි මෙම වෛරසයේ ඉහත රූපසටහන-02හි සඳහන් Message එක OK කළහම තමයි ඉහත රූපසටහන-03 අ‍ාකාරයට Process ටික ඔබට බලාගත හැකිවන්නේ 


රූපසටහන-04
 







මම මේ වෛරසය තාවකාලිකව අයින් කරන විදිහ ඔබලාට කියල දෙන්නම් නමුත් මේක හරියටම ඉවත්වන්න නම් වෛරස් ගාඩ් සමාගමට මේ වෛරසය පිළිබඳ දැනුම් දෙන්න ඕන

මම හදපු bat File එකේ අන්තර්ගතය පහතින් දක්වන්නම් ඉහතින් දක්වා ඇති රූපසටහන-03 හි සඳහන් පරිදි වෛරසය ක්‍රියාත්මක වන PID අගය දැනගත්තම පහත සඳහන් File එක Notepad එකෙන් Open කරගෙන පහත රූපසටහන-05 අනුව වෙනස් කර Save කරන්න 


රූපසටහන-05
 



ඇත්තෙන්ම මෙම උපදෙස මෙහිදි පරිගණකය පරිශීලකය‍ාට දුන් සමාන්‍ය දැනුමක් පමණයි මෙය සමහරවිට අපේ පරිගණක ශිල්පීන්ටත් වඩා වැදගත්වේවි.

මම මේ සමග මා සෑදු bat file එකේ link එකකුත් එවන්නම් කාටහරි ඕනම නම් ඒ ගැන comment එකක් දාන්න ඊලඟ නිරීක්ෂණයන් Next post දාන්නම්