توسط: www.IRVirus.com - سید آرش حسینیان
نام :: W32/Rbot-UU
نام مستعار :: Backdoor.Win32.Rbot.gen و W32/Sdbot.worm.gen.j
طریقه پخش :: اشتراکات شبکه
سیستم عامل هدف :: ویندوز
شدت پخش ::
وظایف ::
1 - دسترسی دیگران به منابع سیستم
2 - دانلود کد های خود از اینترنت
3 - کم کردن قدرت امنیت سیستم
4 - نصب خود بر روی رجیستری
5 - استفاده از سیستم آسیب پذیری
تشریح ::
این کرم حاوی کد های تروجان مانندی است که از طریق کانال های IRC اجازه نفوذ به هکر می دهد . این سرویس در پشت پردازش ها اجرا می شود به دور از چشم کاربر . همچنین این کرم خود را در داخل شاخه سیستم ویندوز به نام فایل USBHARDWARE32C.EXE کپی می کند . و این شاخه ها را برای اجرا مجدد خود می سازد ::
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
همچنین این مقدار ها را تغییر می دهد ::
"HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N
"HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrict anonymous = "1
سید آدرش حسینیان www.IRVirus.Com
نام :: W32/Rbot-UW
نوع :: کرم
طریقه پخش :: اشتراکات شبکه
سیستم عامل هدف :: ویندوز
شدت پخش ::
وظایف ::
1 - دسترسی دیگران به منابع سیستم
2 - دزدین اطلاعات
3 - دانلود کد از اینتر نت
4 - کم کردن قدرست امنیت سیستم
5 - عوض کردن کلمات عبور
6 - ضبط صفحه کلید
تشریح ::
این کرم همچنین شامل کد های تروجان مانندی است که از طریق کانال های IRC کار می کند . کار این کرم ساختن یک اکانت در سطح ادمین است و دزدن اطلاعات و اطلاعات مانند کلمات عبور سریال برنامه ها و باز ها و همچنین حملات D.O.S و همچنین ضبط صفحه کلید . و از کار انداختن آنتی ویروس ها و دیوار اتش ها و همچنین این کرم شاخه های زیر را در رجیستری می سازد ::
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
Default =
lsassM.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\
Default =
lsassM.exe
توسط: سید آرش حسینیان http://www.irvirus.com
نام :: VBS/Mcon-G
نام مستعار :: VBS.Mcon.c و VBS/Pica.worm.gen و VBS.Sorry.A و VBS_MCON.A
سیستم عامل هدف :: ویندوز
نوع :: کرم
طریقه پخش :: چت و اشتراکات شبکه
وظایف ::
1 - نصب خود بر روی رجیستری
تشریح ::
این کرم از کانال های IRC جابجا می شود . هنگامی که اجرا می شود خود را در شاخه هایی که در نام انها startup استفاده شده باشد به نام ttfload.vbs کپی میکند و شاخه های زیر را در رجیستری می سازد ::
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
ttfload
"wscript.exe \Fonts\ttfload.vbs"
HKCU\Software\Microsoft\Windows Scripting Host\Settings
Timeout
0
HKCU\Software\Microsoft\Windows Script Host\Settings
Timeout
همچنین وقتی که اجرا شد این پیغام را نمایش می دهد ::
INVALID FILE FORMAT
این کرم این شاخه را هم تغییر می دهد ::
HKLM\Software\Microsoft\Internet Explorer\Main\
Start
"http://www.zonelabs.com
منبع : http://www.P30Net.com
هنگام چت (CHAT) در یاهو و یا سرویس های دیگر مسنجر ممکن است از افراد مختلف فایلی را دریافت کنید که گاهی اوقات این فایلها برای نفوذ به کامپیوتر شما ویا دزدیدن پسوورد شما می باشند. در این زمینه روشی وجود دراد که با استفاده از آن هنگام دریافت فایل، تا حد زیادی از امنیت آن اطمینان حاصل فرمائید:
- وقتی شخصی فایلی را برای شما ارسال می کند، در پیغامی که برای شما مبنی بر تایید آن می آید، نام شخص فرستنده، نام فایل، حجم آن و همچنین فرمت و از این قبیل اطلاعات در آن قید شده است. شما باید توجه داشته باشید که آیا فایلی که برای شما ارسال شده است ، از لحاظ نوع و فرمت، همان فایلی است که قرار بوده ارسال شود، یا خیر؟
در حقیقت مثلا اگر میخواهید عکسی را دریافت نمایید، باید فایل مربوطه پسوند JPG یا یکی از پسوند های فایلهای گرافیک را داشته باشد، ( نه اینکه فایلی با پسوند Exe و یا Bat یا Com برای شما ارسال شود و فرستنده هم مدعی باشد که این یک فایل تصویری است). در واقع فایلهایی که با نرم افزارها Magic-ps ساخته شده اند، دارای پسوند هایی نظیر SCR یا Exe و ... و یا مثل (mypic.jpg.exe) می باشند، که نشان دهنده آن است که فایل فرستاده شده، یکی از انواع فایل های ساخته شده توسط برنامه Magic-ps یا برنامه های مشابه است، که برای به دست آوردن پسوورد شما می باشد. بنا براین همواره نوع پسوند فایلهای دریافتی را زیر نظر داشته باشید و بدانید که از این طریق و قبل از هر جیز میتوانید تا حد زیادی از کیفیت، نوع و چگونگی عملکرد و ماهیت یک فایل اطلاع حاصل کنید.
برای اطمینان و امنیت بیشتر حتما یک نرم افزار ضد ویروس معروف و به روز شده بر روی کامپیوتر خود داشته باشید و همواره فایلهای دریافتی از اینترنت را اسکن نمایید تا امنیت و اطمینان شما درصد بالاتری داشته باشد و درصد تخریب اطلاعات کامپیوتر توسط ویروس ها بسیار کم شود.
اینبار میخواهیم به شما آموزش دهیم که اگر کسی پسورد شما را به دست آورد راه بازگرداندن آن چیست؟
این هم یک نکته جالب که خیلی ها به آن توجه نمیکنند. در واقع اگر یک زمانی بر اثر بی توجهی، شخصی ID مربوط به ایمیل شما را هک کرده و پسورد شما را عوض نمود، در چنین مواقعی از امکان Forgot Password استفاده کنید! ضمنا این نکته را فراموش نکنید که به هنگام Sign up، در اغلب سایت ها، مثل Yahoo! یا Hotmail، سئوالاتی در زمینه تاریخ تولد، کدپستی، کشور، سئوال کوتاه و جواب کوتاه و یک آدرس Mail برای مواقع اضطراری از شما سئوال می شود! این سئولات بسیار مهم هستند.
لازم است این موارد را همیشه به خاطر داشته باشید و یا آنها را جایی یادداشت کنید، که اگر کسی شما را هک کرد، بتوانید اط این طریق پسوورد خود را پس بگیرید و عوض کنید. به هر حال برای انجام این کار در صفحه Email Login روی گزینه Password lookup کلیک کنید.
در این صفحه همان اطلاعات کلیدی که در قسمت بالا گفته شد را باید وارد کنید، اگر این اطلاعات را به خاطر دارید که جای امید باقی است، در غیر این صورت از ادامه این کار صرف نظر کنید. خب حالا بعد از وارد کردن این اطلاعات، سایت ایمیل شما درست بودن آنها را چک میکند و در صورت درست بودن آنها، شما به مرحله بعدی هدایت می شوید. در این مرحله که به منظور ایجاد امنیت بیشتر ایجاد شده است، سایت ایمیل از شما یک سئوال کوتاه میپرسد و شما باید به آن پاسخ صحیح بدهید. البته دقت کنید که این پرسش و پاسخ را خودتان به هنگام Sign up تعیین کرده اید و باید آن را به خاطر داشته باشید. ( مثلا فیلم مورد علاقه شما کدام است؟ که شما باید در اینجا همان پاسخی را بدهید که قبلا و در هنگام راه اندازی صندوق پستی خود داده بودید). بعد از وارد کردن پاسخ کوتاه در صورت درست بودن آن، شما قادرید به دو صورت موجود، پسورد خود را مجددا تصاحب کنید و آن را تغییر دهید.
1- Display New Password که به شما رمز عبور جدیدتان را نشان میدهد.
2- Email New Password که رمز عبور جدید شما را به آدرس ایمیلی که به هنگام Sign up داده اید، میل می کند. ( Alternate Email).
معرفی سه کرم اینترنتی Mydoom.AE و Zar.A , Bropia.A (شماره 413)
منبع: www.pandasoftware.com
ترجمه: مرجان دارابی
Bropia.A:
شرکت آنتی ویروس پاندا این کرم را در تاریخ 21 ژانویه شناسائی کرد. این کرم از طریق مسنجر MSN منتشر می شود و یا ورود به سیستم به دنبال یک برنامه کاربردی مثل " "IMWindowClass " می گردد اگر نمونه ای از این برنامه روی سیستم پیدا کند با یکی از نامهای Drunk_lol.pif Webcam_004.pif, sexy_bedroom.pif, naked_party.pif یا love_me.pif به آن نفوذ
می کند. این کرم پس از نصب خود روی سیستم ، درفایلهای سیستم دایرکتوری به دنبال فایلهای adaware.exe, VB6.exe, lexplore.exe و Win32.exe می گردد. اگر این فایلها را پیدا نکرد خودش یک فایل به همراه یک کپی از انواع مختلف Gaobot را ایجاد می کند .
این کرم تعداد زیادی فایلهای خالی روی سیستم دایرکتوری ایجاد کرده و از فعالیت taskmgr.exe و cmd.exe جلوگیری می کند. همچنین کلیدهای ترکیبی CTRL+ALT+Del و کلید سمت راست ماوس را از کار می اندازد. از آنجا که این کرم پس از نفوذش به سیستم پیغام خاصی به کاربر نمی دهد و هیچ مشخصه خاصی هم ندارد در صورتی که کلیدهای ترکیبی سیستم خوب کار نکرد و یا کلیدهای ماوس از کار افتاد بهتر است به پیشنهاد Panda Lab فورا با Free Active Scan در سایت http://www.pandasoftware.com سیستم خود را اسکن کرده و آنتی ویروس خود را به روز کنید.
Zar.A :
پاندا تاریخ اولین ظهور این کرم را 18 ژانویه می داند. این کرم از طریق ایمیل و با موضوع مصیبت سونامی و درخواست کمک برای آسیب دیدگان این حادثه، سیستم ها را آلوده می کند. فایل ضمیمه نامه های الکترونیکی آلوده به این ویروس Tsunami.exe است که به محض اجرا شدن، ویروس
Zar.A را نصب و یک کپی از آنرا از طریق outlook سیستم به کلیه آدرسهای ذخیره شده در آن می فرستد.
Zar.A برای اطمینان از اجرا شدن بعد از هر بار روشن کردن کامپیوتر، سه فایل را ایجاد و در رجیستری ویندوز ثبت می کند. این کرم تلاش می کند با استفاده از حفره امنیتی Dos به وب سایت های مختلف نفوذ کند.
به گفته پاندا نامه های آلوده به این ویروس با موضوع "Tsunami Donation! Please help" و پیغام
Please help us with your donation and view the attachment below! We need you!" "
می باشد.
Mydoom.ae :
تاریخ اولین ظهور این کرم اینترنتی توسط پاندا 15 ژانویه اعلام شده. این کرم نیز از طریق ایمیل و به شکلهای مختلف و از طریق فایلهای به اشتراک گذاشته شده شیوع پیدا می کند. این کرم پس از آلوده کردن سیستم عملیات زیر را انجام می دهد:
1- برنامه Notepad را باز کرده و یک نوشته نامفهوم را روی آن نمایش می دهد.
2- با ایجاد تغییراتی در host file به کاربر اجازه دسترسی به سایت های شناخته شده آنتی ویروس را نمی دهد و راه سیستم را برای ورود سایر فایلهای مخرب باز می کند.
3- تا زمانیکه کار خود را به پایان نرسانده عملکرد بد افزارهای دیگر را محدود می کند.
4- تلاش می کند از اینترنت فایلهای مختلفی را download کند.
به گفته مدیر بخش فوریت های ویروسی کمپانی پاندا، لوئیس کرونز، از آنجا که این کرم به محض ورودش به سیستم یک برنامه notepad را باز می کند، فورا می توان آنرا شناسائی کرد و با به روز کردن آنتی ویروس جلوی فعالیتهای مخرب آنرا گرفت.
چگونه ID یاهوی خود را از هکر پس بگیرید؟ (شماره 396)
اینبار میخواهیم به شما آموزش دهیم که اگر کسی پسورد شما را به دست آورد راه بازگرداندن آن چیست؟ این هم یک نکته جالب که خیلی ها به آن توجه نمیکنند. در واقع اگر یک زمانی بر اثر بی توجهی، شخصی ID مربوط به ایمیل شما را هک کرده و پسورد شما را عوض نمود، در چنین مواقعی از امکان Forgot Password استفاده کنید! ضمنا این نکته را فراموش نکنید که به هنگام Sign up، در اغلب سایت ها، مثل Yahoo! یا Hotmail، سئوالاتی در زمینه تاریخ تولد، کدپستی، کشور، سئوال کوتاه و جواب کوتاه و یک آدرس Mail برای مواقع اضطراری از شما سئوال می شود! این سئولات بسیار مهم هستند.
لازم است این موارد را همیشه به خاطر داشته باشید و یا آنها را جایی یادداشت کنید، که اگر کسی شما را هک کرد، بتوانید اط این طریق پسوورد خود را پس بگیرید و عوض کنید. به هر حال برای انجام این کار در صفحه Email Login روی گزینه Password lookup کلیک کنید. در این صفحه همان اطلاعات کلیدی که در قسمت بالا گفته شد را باید وارد کنید، اگر این اطلاعات را به خاطر دارید که جای امید باقی است، در غیر این صورت از ادامه این کار صرف نظر کنید. خب حالا بعد از وارد کردن این اطلاعات، سایت ایمیل شما درست بودن آنها را چک میکند و در صورت درست بودن آنها، شما به مرحله بعدی هدایت می شوید. در این مرحله که به منظور ایجاد امنیت بیشتر ایجاد شده است، سایت ایمیل از شما یک سئوال کوتاه میپرسد و شما باید به آن پاسخ صحیح بدهید. البته دقت کنید که این پرسش و پاسخ را خودتان به هنگام Sign up تعیین کرده اید و باید آن را به خاطر داشته باشید. ( مثلا فیلم مورد علاقه شما کدام است؟ که شما باید در اینجا همان پاسخی را بدهید که قبلا و در هنگام راه اندازی صندوق پستی خود داده بودید). بعد از وارد کردن پاسخ کوتاه در صورت درست بودن آن، شما قادرید به دو صورت موجود، پسورد خود را مجددا تصاحب کنید و آن را تغییر دهید.
1- Display New Password که به شما رمز عبور جدیدتان را نشان میدهد.
2- Email New Password که رمز عبور جدید شما را به آدرس ایمیلی که به هنگام Sign up داده اید، میل می کند. ( Alternate Email).
آشنایی با ویروس W32/Rbot-SX (شماره 380)
توسط: سید آرش حسینیان، www.IRVirus.Com
نام :: W32/Rbot-SX
نوع :: کرم
شیوه پخش :: از طریق فایل های به اشتراک گزاشته شده در شبکه
سیستم عامل هدف :: ویندوز
نام مستعار :: WORM_SPYBOT.KV
کارهای پخش ::
1 – دسترسی دیگران به منابع کامپیوتر
2 – دزدیدن اطلاعات
3 – دانلود کردن کد های مخرب از اینترنت
4 – کم کردن قدرت ایمنی سیستم
5 – ضبط صفحه کلید
6 – نصب خود بر روی ریجیستری
شرح::
این کرم دارای کدهای یک بکدور است که این بکدور بر روی کانال های IRC می باشد. این بکدور اطلاعات و دستور ها را از هکر میگیرد و بر روی سیستم انجام می دهد . همچنین این کرم از آسیب پذیری های LSASS و RPC-DCOM و WebDav برای پخش استفاده می کند شماره تخصصی این آسیب پذیری ها به ترتیب MS04-011 و MS03-039 و MS03-007 می باشد . همچنین این کرم هنگامی که برای اولین بار اجرا می شود خود را به نام فایل win32src.exe به صورت مخفی در پوشه سیستم ویندوز ذخیره می کند. همچنین این کرم شاخه های زیر را در ریجستری وارد می کند::
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Win32 Src Service
win32src.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Win32 Src Service
win32src.exe
The worm also creates the following registry entry:
HKCU\Software\Microsoft\OLE
Win32 Src Service
win32src.exe
همچنین این کرم می تواند DoS کند و همچنین می تواند اطلاعاتی مانند CD keys و log keystrokes را بدزدد و همچنین می تواند وارد MS SQL servers شود و فرمانها را وارد کند
برای پاک سازی این کرم به صورت دستی باید اول بدنه کرم را از حالت فعالیت خارج کنید که این کار را می توانید با یافتن فایل بدنه کرم در Processes انجام دهید فایل بدنه در بالا ذکر شده است و بعدàWindows Task Manager از طی این مراحل شما باید شاخه های ریجیستری که در بالا پیدا شده است را یافته و مقادیر آن را پاک کنید .
آشنایی با ویروس W32/Sdbot-TB (شماره 381)
از: www.IRVirus.Com
نام :: W32/Sdbot-TB
نوع :: کرم
سیستم عامل هدف :: ویندوز
راه پخش :: برنامه های گفتمان (چت)
کارها ::
1 – دسترسی هکر به منابع سیستم
2 – دانلود کردن کدهای خود از اینترنت
3 – ضبط صفحه کلید
4 – نصب خود بر روی ریجستری
5 – دزدین اطلاعات
6 – کم کردن قدرت امنیت سیستم
شرح ::
این کرم از راه کانال های IRC خود را انتقال می دهد . و حاوی کد بکدوری است که دسترسی کامل هکر را به سیستم میدهد . این کرم در اولین بار که اجرا می شود فایل wupdated.exe را بر روی شاخه سیستم ویندوز می سازد . و بر روی سیستم های NT خود را Wupdated معرفی می کند که شباهت زیادی به سرویس Windows Update Service دارد و همچنین شاخه های زیر را در ریجستری می سازد ::
HKLM\SYSTEM\CurrentControlSet\Services\Wupdated\Security
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WUPDATED
همچنین این کرم سعی می کند خود را از طریق اشتراکات شبکه جابجا کند . همچنین این کرم یک HTTP proxy server بر روی سیستم قربانی نصب می کند . و می تواند حملات DoS کند . و همچنین اطلاعات سیستم را می دزدد و همچنین انها را در فایلی به نام keys.txt در شاخه سیستم قرار می دهد و به هکر می رساند . همچنین این کرم سعی می کند خود را از طریق جابجایی فایل های DCC در کانال های IRC انتقال دهد . با متن پیغام زیر ::
The message text can be of any of the following:
dude, chk out this new AdminMOD exploit, it gives you admin
privs on any server running AM, plz dont give it out tho, thnx
i just caught this guy cheating with the Cheat Scanner in the
CAL Demo Viewer, chk it out
omfg this is so cool! i just caught this guy cheating with
this cal demoviewer or whatever its called, here"s a copy of it
Here is the new CAL Demo Viewer, it includes
همچنین فایل های آلوده عبارت از ::
AdminMOD-ExploitHack.exe
cheater-caught.pif
CAL-DemoViewer.exe
Setup.exe
آشنایی با ویروس W32/Agobot-ADH (شماره 379)
منبع: www.IRVirus.Com
توسط: سید آرش حسینیان
نام :: W32/Agobot-ADH
نوع :: کرم
شیوه پخش :: از طریق فایل های به اشتراک گزاشته شده در شبکه
سیستم عامل هدف :: ویندوز
نام مستعار :: WORM_SPYBOT.KV
کارهای پخش ::
1 – دسترسی دیگران به منابع کامپیوتر
2 – دزدیدن اطلاعات
3 – دانلود کردن کد های مخرب از اینترنت
4 – کم کردن قدرت ایمنی سیستم
5 – ضبط صفحه کلید
6 – نصب خود بر روی ریجیستری
7 – از کار انداختن برنامه های آنتی ویروس
شرح::
این کرم حاوی یک در پشتی است که به هکر اجازه استفاده از سیستم را می دهد . و این کرم قدرت پخش خوبی بر روی شبکه های محلی دارد و همچنین برای اولین بار که اجرا می شود خود را بر روی شاخه سیستم کپی می کند . و همچنین این شاخه ها را می سازد ::
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
بکدور این کرم از طریق کانال های IRC به هکر اجازه استفاده از منابع سیستم را می دهد و همچنین این کرم می تواند جلوی بازدید و اتصال به سایت های آنتی ویروس را به شکل ایجاد یک فایل HOSTS در مسیر %SYSTEM%\Drivers\etc\HOSTS بگیرد بدین شکل که در این فایل آدرس های زیر را وارد می کنند ::
127.0.0.1 http://www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 http://www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 http://www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 http://www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 http://www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 http://www.avp.com
127.0.0.1 http://www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 http://www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 http://www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 http://www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 http://www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 http://www.trendmicro.com
برای پاک سازی این کرم به صورت دستی باید اول بدنه کرم را از حالت فعالیت خارج کنید که این کار را می Processes انجام دهیدàتوانید با یافتن فایل بدنه کرم در Windows Task Manager فایل بدنه در بالا ذکر شده است و بعد از طی این مراحل شما باید شاخه های ریجیستری که در بالا پیدا شده است را یافته و مقادیر آن را پاک کنید . اگر نتوانستید فایل بدنه کرم را پیدا کنید باید از ریجستری ویندوز مدد بگیرید و به شاخه RUN یا زیر شاخه های ان رفته و فایل های مشکوک را پیدا کنید و بررسی کنید.
