آشنایی با کرم اینترنتی SDBOT.UH (شماره101)
شواهد حاکی از ظهور کرم اینترنتی جدیدی بنام SDBOT.UH می باشد که در تاریخ هشتم سپتامبر کشف گردیده است و در حال گسترش در اینترنت می باشد. این کرم اینترنتی بر اساس چهار نقطه ضعف عمده که در سیستم های مبتنی بر ویندوز وجود دارند خود را اشاعه می دهد و با توجه به اینکه بعد از نصب بعنوان یک Sniffer به ترافیک داده های دستگاه قربانی گوش داده و کلمات عبور و مشخصات بانکی قربانی را به هکر گزارش می دهد بسیار حائز اهمیت و خطرناک است.
جزئیات :
این کرم با استفاده از نقاط ضعف :
• Remote Procedure Call (RPC) Distributed Component Object Model (DCOM) vulnerability
• Buffer Overflow in SQL Server 2000 vulnerability
• IIS5/WEBDAV buffer overrun vulnerability
• LSASS vulnerability
به سیستم قربانی وارد می شود و سپس با نام Win32x.exe خود را در شاخه ویندوز کپی می نماید. همچنین مسیرهای
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
Microsoft Time Manager = "dveldr.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunServices
Microsoft Time Manager = "dveldr.exe"
و
HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
Microsoft Time Manager = "dveldr.exe"
را به رجیستری سیستم هدف اضافه می کند که امکان اجرای دوباره را بعد از restart شدن کامپیوتر قربانی به این کرم می دهد. این کرم قابلیت های گوناگونی از جمله Sniffing ، Keylogging و همچنین ایجاد Backdoor را دارا می باشد و نیز از سیستم قربانی بعنوان یک TFTP Server برای انتقال خود به سایر کامپیوتر ها استفاده می کند . شاید مهلک ترین قابلیت این کرم همان Sniffing باشد که سعی در دریافت کلمات عبور و مشخصات کارت های اعتباری قربانی و گزارش آن به هکر است. ضمن اینکه اصولاً شناسائی Sniffer ها کار مشکلی می باشد.
راه حل:
1- برنامه ضد ویروس خود را بروز نمائید و سریعاً سیستم خود را چک کنید .
2- Task Manager را اجرا و در صورت مشاهده task ای با نامهای Win32x.exe یا dveldr.exe
آنها را End Task کرده و سپس با اجرای Regedit ، در صورت وجود مسیرهائی که قبلاً اشاره شد آنها را پاک نمائید .
جهت اطلاعات بیشتر به آدرس http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SDBOT.UH
مراجعه نمائید.
ضمناً تیم امنیتی آشیانه آماده راهنمائی هموطنان گرامی است.