سلام
بااجازه اساتيدمحترم
يكسري مطالب دارم كه درمورد ويروسها مي باشدومي خواهم آنهارادراختياردوستان خوب سايت برنامه نويس قراردهم
اميداورم موردقبول واقع شود

ويروس Bredolab.gen.a چيست ؟



ويروسی با درجه خطر متوسط که عملکرد "اسب تروا" (Trojan) دارد. اولين نمونه های اين ويروس در چند ماه گذشته مشاهده شده اند و اکنون گونه جدید و فعالی از آن منتشر شده است. این اسب تروا، کاربران سایت اجتماعی FaceBook را هدف گرفته و اقدام به سرقت رمزهای دسترسی اعضای این سایت می نماید.

انتشار
اسب های تروای Bredolab از طریق نامه های الکترونیکی که حاوی فایل پیوست (attachment) آلوده هستند، منتشر می شود. این نامه های آلوده که در طی روزهای گذشته بصورت انبوه برای کاربران اینترنت در اقصی نقاط دنیا ارسال شده اند، در رنگ آمیزی و شکل ظاهری، بسیار شبیه سایت faceBook هستند.
در این نامه های جعلی به کاربر گفته می شود که برای افزایش امنیت وی، رمز دسترسی او به سایت FaceBook تغییر کرده و رمز جدید در فایل پیوست نامه می باشد. فایل پیوست یک فایل فشرده است که دارای نام Facebook_Password_4cf91.zip می باشد. این فایل فشرده حاوی فایل Facebook_Password_4cf91.exe است. اجرای این فایل اجرایی، اسب تروای Bredolab را بر روی کامپیوتر قرابانی نصب و فعال خواهد کرد.

خرابکاری
با اجرا کردن فایل Facebook_Password_4cf91.exe توسط کاربر، اسب تروای Bredolab بر روی کامپیوتر فعال شده و فایل آلوده زیر را ایجاد میکند.


- C:\Documents and Settings\%user%\Start Menu\Programs\Startup\isqsys32.exe
سپس بلافاصله اقدام به دریافت فایلهای مخرب بیشتر از اینترنت می نماید. نام دامنه mms*****system.ru در برنامه ویروس مشاهده شده است.
برای عبور از دیواره های آتش، ویروس برنامه مخرب خود را به فایلهای اجرایی دیگر (نظیر مرورگر IE) تزریق می کند. همچنین، گونه های جدید این ویروس دارای قابلیت مخفی ساختن خود از دید نرم افزارهای ضدویروس هستند. لذا اگر ویروس احساس کند که تحت نظر و بررسی است، فعالیت خود را متوقف می کند.

پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات مناسب در ضـد ويـروس McAfee، نظير فعـال کـردن قاعده
- Prevent common programs from running files from the Temp folder
در کنـار آگـاه کـردن کـاربـران شبکه از خطـرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5742 استفاده می کنند از گزند اين ويروس در امان خواهند بود.
ويروسی با درجه خطر متوسط که عملکرد "اسب تروا" (Trojan) دارد. اولين نمونه های اين ويروس در چند ماه گذشته مشاهده شده اند و اکنون گونه جدید و فعالی از آن منتشر شده است. این اسب تروا، کاربران سایت اجتماعی FaceBook را هدف گرفته و اقدام به سرقت رمزهای دسترسی اعضای این سایت می نماید.

انتشار
اسب های تروای Bredolab از طریق نامه های الکترونیکی که حاوی فایل پیوست (attachment) آلوده هستند، منتشر می شود. این نامه های آلوده که در طی روزهای گذشته بصورت انبوه برای کاربران اینترنت در اقصی نقاط دنیا ارسال شده اند، در رنگ آمیزی و شکل ظاهری، بسیار شبیه سایت faceBook هستند.
در این نامه های جعلی به کاربر گفته می شود که برای افزایش امنیت وی، رمز دسترسی او به سایت FaceBook تغییر کرده و رمز جدید در فایل پیوست نامه می باشد. فایل پیوست یک فایل فشرده است که دارای نام Facebook_Password_4cf91.zip می باشد. این فایل فشرده حاوی فایل Facebook_Password_4cf91.exe است. اجرای این فایل اجرایی، اسب تروای Bredolab را بر روی کامپیوتر قرابانی نصب و فعال خواهد کرد.

خرابکاری
با اجرا کردن فایل Facebook_Password_4cf91.exe توسط کاربر، اسب تروای Bredolab بر روی کامپیوتر فعال شده و فایل آلوده زیر را ایجاد میکند.


- C:\Documents and Settings\%user%\Start Menu\Programs\Startup\isqsys32.exe
سپس بلافاصله اقدام به دریافت فایلهای مخرب بیشتر از اینترنت می نماید. نام دامنه mms*****system.ru در برنامه ویروس مشاهده شده است.
برای عبور از دیواره های آتش، ویروس برنامه مخرب خود را به فایلهای اجرایی دیگر (نظیر مرورگر IE) تزریق می کند. همچنین، گونه های جدید این ویروس دارای قابلیت مخفی ساختن خود از دید نرم افزارهای ضدویروس هستند. لذا اگر ویروس احساس کند که تحت نظر و بررسی است، فعالیت خود را متوقف می کند.

پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات مناسب در ضـد ويـروس McAfee، نظير فعـال کـردن قاعده

- Prevent common programs from running files from the Temp folder
در کنـار آگـاه کـردن کـاربـران شبکه از خطـرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5742 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

ويروس StealthMBR.a چيست ؟

ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در دسته ويروسهای آلوده کننده MBR قرار می گيرد. اولين نمونه اين ويروس در ماه جاری (فروردین 88) مشاهده شده است.

انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ويروس StealthMBR.a نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل، دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
آخرین گونه این ویروس برای انتشار خود از حفره ای امنیتی موجود در نرم افزار Adobe Reader سود برده است. شرکت Adobe نیز جزئیات مربوط به این حفره و نحوه اصلاح آنرا از طریق لینک زیر در اختیار کاربران قرار داده است:


http://www.adobe.com/support/security/bulletins/apsb09-03.html



خرابکاری
ويروس StealthMBR.a نوعی آلوده کننده Master Boot Record محسوب می شود. MBR برنامه ای کوچک، حاوی جدولی در خصوص تقسيم بندی و محل ذخيره اطلاعات بر روی ديسک سخت می باشد که بطور معمول در اولين سکتور ديسک سخت ذخيره می شود. از ويژگی های MBR اجرا شدنش پيش از سيستم عامل است و ويروس StealthMBR با تزريق خود به MBR و با استفاده از همين ويژگی، پيش از سيستم عامل اجرا و در ادامه خود را از ديد برنامه های امنيتی و ضدويروس ها مخفی می سازد.

با آلوده شدن يک کامپيوتر به اين ويروس، فايلهای مخرب زير ايجاد می گردند:


%TEMP%\B.tmp


%TEMP%\C.tmp


%WINDIR%\Temp\D.tmp
همچنین ويروس StealthMBR.a این قابلیت را دارد که پس از دزدیدن اطلاعات کاربر (نظیر حروف تایپ شده توسط او) آنها را به سرویس دهنده ای خاص ارسال کند.
پيشگيري
اولين راه برای پيشگيری از آلودگی، عدم كنجكاوی درباره فايل های مشكوك و ناشناس و يا با عناوين جذاب است كه در سايت های اشتراك فايل، فراوان ديده مي شوند. بهتر است فايل ها و ابزار مورد نياز از سايت های معتبر تهيه شود. به روز نگه داشتن ضدويروس همچنين نصب آخرين اصلاحيه های سيستم عامل و نرم افزارهای کاربردی آن مي تواند کامپيوتر را در مقابل اين اسب تروا محافظت کند.
پاکسازی ويروسهای آلوده کننده MBR در محيط Windows ميسر نيست و علاوه بر اینکه ضدویروس باید حداقل به DAT 5590 (در مورد این ویروس) مجهز باشد می بایست دستگاه با Windows XP CD بوت شده و در محیط Recovery Console آن فرمان fixmbr اجرا شود.

ويروس JS/Twettir چيست ؟


ويروسی با درجه خطر کم که عملکرد "کرم اینترنتی" (Internet Worm) داشته و در دسته کدهای مخرب Java Script قرار می گیرد. اولين نمونه اين ويروس درفروردین ماه 88 مشاهده شده است.
انتشار
ویروس JS/Twettir کد مخربی به زبان Java Script است که از طریق حفره امنیتی موجود در سایت اجتماعی Twettir توانسته است پروفایل بسیاری از کاربران این سایت را آلوده کند.
همچنین سایت Twettir اعلام کرده است که با اعمال برخی تغییرات در سایت خود انتشار این ویروس متوقف شده است.
نویسنده این ویروس که نوجوانی 17 ساله است در گفتگو با سایت اینترنتی CNET ادعا کرده است که از سه سال پیش ویروس نویسی را آغاز نموده و امیدوار است روزی بتواند در یک شرکت امنیتی مشغول بکار شود.


خرابکاری
این ویروس پس از آلوده کردن پروفایل یک کاربر پیامهایی که حاوی یکی از عبارتهای زیر هستند را به لیست اعضای موجود در آن پروفایل ارسال می کند و از آنها می خواهد که برای مشاهده جزئیات بیشتر وارد پروفایل الوده شوند:

Dude, www.StalkDaily.com is awesome. What's the fuss?

Join www.StalkDaily.com everyone!


Woooo, www.StalkDaily.com :)

Virus!? What? www.StalkDaily.com is legit!

Wow...www.StalkDaily.com


@twitter www.StalkDaily.com (http://www.stalkdaily.com/)

Twitter has been hacked !!!

Twitter worm, read here

StalkDaily worm on Twitter, more info

HOWTO: Remove StalkDaily.com Auto-Tweets From Your Infected Twitter Profile | Twittercism


#Stalkdaily virus runs riots on twitter. Learn how to remove it
با ورود هر یک از دریافت کنندگان پیام به پروفایلی که پیشتر ویروس به آن تزریق شده است پروفایل آنها نیز آلوده خواهد شد.

پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينکهای ناآشنا همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5583 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

ویروس Twitter نوجوان چيست؟


ویروس Twitter با سوء استفاده از یک نقطه ضعف از نوع Cross Site Scripting در سایت Twitter، توانست انبوهی از پیام (Tweet) که در ظاهر از جانب اعضای سایت برای یکدیگر ارسال می شد، توزیع نماید. ویروس Twitter توسط یک نوجوان 17 ساله و به علت سررفتن حوصله اش نوشته شده و در ظرف یک هفته، چند گونه مختلف از آن تهیه شده و انتشار یافته است. در عنوان پیام های ارسالی توسط این ویروس، کلمه StalkDaily و یا Mikeyy دیده می شود. این ویروس از طریق صفحه Profile هر عضو Twitter که آلوده شده باشد، منتشر می گردد. نقطه ضعف موجود در سایت Twitter امکان اجرای هر برنامه مخرب را تنها با مشاهده صفحه Profile فراهم می آورد. لذا توصیه می شود فعلاً از مشاهده صفحه Profile اعضای جدید و ناآشنا در سایت Twitter خودداری کنید. برای جلوگیری از آلوده شدن به این ویروس، در صورت استفاده و عضویت در سایت Twitter از مراجعه مستقیم به سایت از طریق مرورگر خود خودداری نمایید و بجای آن، از ابزارهای جانبی نظیر Twhirl و یا TweetDesk استفاده کنید. در صورتیکه از طریق مرورگر به این سایت مراجعه می کنید، امکانات JavaScript را در مرورگر غیرفعال سازید. اگر هم فعالیت های عجیب در صفحه Profile خود مشاهده می کنید و یا دوستان و اعضای دیگر سایت از طرف شما پیام های مرتبط با ویروس دریافت کرده اند، مطمئناً شما نیز آلوده به ویروس Twitter شده اید. از طریق تنظیمات مرورگر خود، حافظه Cache مرورگر را پاک و خالی کنید. امکان JavaScript را در مرورگر خود غیرفعال نمایید. سپس وارد سایت Twitter شده و پیام هایی که عنوان Mikeyy و یا StalkDaily دارند را حذف کنید. تنظیمات Profile خود را به حالت پیش فرض برگردانید. جهت اطمینان خاطر، رمز عبور خود را نیز تغییر دهید.

ويروس Backdoor-DZG.dll چيست ؟


ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و نفوذگران از آن بعنوان ابزاری برای نفوذ به سایتهای اینترنتی استفاده می کنند.



انتشار
ویروس Backdoor-DZG.dll از طریق ویروس دیگری بنام Backdoor-DZG.dr بصورت پشت صحنه دریافت و در حافظه مقیم می شود.



خرابکاری
فایلهای مخرب این ویروس در مسیر نصب یکی از برنامه های زیر (که اکثر آنها نرم افزارهای مدیریت FTP هستند) کپی می شوند:


FTP Voyager (RhinoSoft.com)
AceFTP 3 (Visicom Media)
Auto FTP Manager 4
Whisper Technology\FTP Surfer
FTP Desktop
WS_FTP 12 (Ipswitch)
LeechFTP
FlashFXP
GoFTP
FileZilla FTP Client
CoreFTP
FTP Commander
CuteFTP
SmartFTP Client
WinSCP
Total Commander
FTP Explorer
Mozilla Firefox
Internet Explorer
Opera
K-Meleon
FineBrowser
TurboFTP
NetSurf
SlimBrowser
Avant Browser
SphereXPlorer
Navigator 9
SEAGULL
Acoo Browser
Safari
Fast Browser
EmFTP
FTP Now
Far

عناوین فایلهای مخرب این ویروس عبارتند از:


ntshrui.dll
rasadhlp.dll

دو پروسه مجاز شرکت مایکروسافت نیز از این نامها استفاده می کنند. در واقع انتخاب این نامها برای فریب کاربر در کشف مخرب بودن آنها می باشد.
همچنین این فایلهای DLL زمانی که در حافظه مقیم شدند برقرار بودن ارتباط با اینترنت را از طریق ارسال درخواست به سایتهای yahoo.com و google.com بررسی می کنند و در صورت دریافت پاسخ از این سایتها اقدام به برقراری ارتباط با سرویس دهنده goo oodbill.cn کرده و اطلاعات مورد نظر نفوذگر به ویروس مقیم در دستگاه قربانی منتقل می شود.
در ادامه این ویروس به سرویس دهنده vividns. net متصل شده و نام کاربری، رمز و نشانی سرویس دهنده FTP سایتهایی که پیشتر مورد نفوذ قرار گرفته اند و اطلاعات هویت سنجی آنها سرقت شده را در قالب username:password@ftpsite دریافت می کند.
در همین خصوص بیش از 68 هزار سرویس دهنده FTP نامهای کاربری و رمزشان توسط نفوذگران بسرقت رفته است که برخی از مهمترین آنها عبارتند از:


ftp.bbc.co.uk
ftp.cisco.com
ftp.amazon.com
ftp.monster.com
زمانی که ویروس به نشانی هایی که از سایت vividns. net دریافت کرده است متصل شد کدهای مخرب را به فایلهای مروبط به صفحات اینترنتی موجود بر روی سرویس دهنده FTP تزریق می کند و پس از آن هر زمان که کاربری به یکی از این 68 هزار سایت مجاز مراجعه کند به ویروسهای مورد نظر نفوذگر آلوده می شود.
در حال حاضر بسیاری از مدیران این سایتها در حال کشف و اصلاح کدهای مخرب درون صفحات سایتشان هستند و اطلاع رسانی از سوی شرکتهای امنیتی به مسئولین سایتهایی که تا کنون متوجه وجود این نفوذ نشده اند ادامه دارد.



پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينکهای ناآشنا همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنين مشترکينی که از ضدويروس مک آفی با حداقل DAT 5664 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

ويروس Downloader-BRM چيست ؟


ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در دسته دریافت کننده فایلهای مخرب (Downloader) قرار می گیرد. اولين نمونه اين ويروس در ماه جاری (تیر 88) مشاهده شده است.



انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ويروس Downloader-BRM نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل، دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.



خرابکاری
به محض آلوده شدن يک کامپيوتر به اين ويروس، در مسيرهای زير فایل مخرب کپی می شود:


%SysDir%\Documents and Settings\%USER%\Start Menu\Programs\Startup\rncsys32.exe
همچنین اطلاعات مورد نیاز این ویروس در قالب یک فایل LOG در مسیر زیر ذخیره می شود:


%SysDir%\Documents and Settings\%USER%\Application Data\wiaserva.log
سپس، ويروس Downloader-BRM، کليدهای زير را در محضرخانه تعریف می کند:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers "C:\WINDOWS\explorer.exe"
Data: EnableNXShowUI
در ادامه ويروس Downloader-BRM با سرويس دهنده مخرب زیر ارتباط برقرار نموده و بعد از دریافت ویروسهایی دیگر، آنها را بر روی کامپیوتر قربانی اجرا می کند:


78.109.29.116
از دیگر خرابکاری های این ویروس غیرفعال کردن ضدویروس، دیواره آتش و بخش آپدیت خودکار سیستم عامل می باشد.



پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينکهای ناآشنا همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنين مشترکينی که از ضدويروس مک آفی با حداقل DAT 5664 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

ويروس Generic Rootkit.d!rootkit چيست ؟


ويروسي با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در دسته "Rootkitها" قرار می گيرد. اولين نمونه آن در اردیبهشت هشتادوشش مشاهده شده و از آن زمان تاکنون، گونه های متعددی از Generic Rootkit.d!rootkit ايجاد شده است.


انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ويروس Generic Rootkit.d!rootkit نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل، دارای حفره های امنيتی هستند اين اسب تروا را دريافت کنند.
همچنین ویروس Generic Rootkit.d!rootkit ممکن است از طریق ویروسهای دیگری نظیر DNSChanger.ad از اینترنت دریافت شده و بر روی کامپیوتر قربانی اجرا شود.
خرابکاری
ویروس Generic Rootkit.d!rootkit در دسته ابزارهای مخرب Rootkit قرار می گیرد. Rootkitها برنامه هاي خطرناکی هستند که تلاش می کنند خود را از ديد کاربر يا برنامه هاي امنيتی مخفی کنند.
این ویروس برای مخفی ساختن خود توابع زیر را در سیستم عامل تحت کنترل خود در می آورد:


IofCallDriver
IofCompleteRequest
NtFlushInstructionCache
NtEnumerateKey
NtQueryValueKey
عنوان فایلهای آلوده این ویروس در گونه های قدیمی تر tdss*.sys و seneka*.sys بود که در گونه های اخیر به skynet*.sys تغییر نام یافته اند. ضمن اینکه تمامی فایلهای مخرب این ویروس در مسیر Windows\System32\Drivers ذخیره می شوند.
پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينکهای ناآشنا همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنين مشترکينی که از ضدويروس مک آفی با حداقل DAT 5655 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

ويروس Autorun.worm.gen چيست ؟


ويروسی با درجه خطر کم که عملکرد "کرم" (Worm) داشته و در سيستم عامل Windows از نوع 32 بيتی فعال می گردد. اولين نمونه اين ويروس، در فروردين هشتاد و هفت مشاهده شده و از آن زمان تاکنون، گونه های متعددی از Autorun.worm.gen با حجمهای مختلف ايجاد شده است.

نامگذاري
اين ويروس با نامهای زير توسط ضدويروسهای مختلف شناسايی می شود:


Worm.Win32.AutoRun.dve (Kaspersky & eScan)


Worm/Autorun.dve (AntiVir)

انتشار
در صورت اجرای فايل آلوده بر روی دستگاه، فايلی بنام autorun.inf توسط ويروس در ريشه درايوهای ديسک سخت (درايوهای C و D و …) و ابزارهای ذخيره سازی USB (در صورت وجود) ايجاد می شود. درون اين فايل، نام فايل اجرايی ويروس مانند autoplay.exe (در آخرين گونه مشاهده شده در ايران) آورده شده است. کامپيوتر آلوده می تواند هر ديسک USB را نيز که به آن کامپيوتر وصل می شود، آلوده سازد. همچنين اين ويروس از طريق پوشه های به اشتراک گذاشته شده بر روی شبکه نيز اقدام به تکثير خود می کند.
بسياری از گونه های اين ويروس با کپی کردن خود در شاخه های اشتراکی (Share) ساير دستگاه های شبکه، آنها را هم در معرض آلودگی قرار می دهد. به اين صورت که اگر درايو C یک دستگاه در شبکه، برای کامپيوتر آلوده قابل دسترسی باشد، کافی است دو فايل autorun.inf و autoplay.exe در ريشه آن کپی شود تا بعد از راه اندازی دستگاه، کاربر با دوبار کليک کردن بر روی درايو C، کامپیوتر خود را آلوده کند.
در شبکه هايی که رمز عبور Administrator برای همه دستگاه ها يکی باشد و يا از رمز عبورهای ضعيف (مانند Blank، 1 و 123 و ...) استفاده شده باشد، آلودگی به سرعت گسترش خواهد يافت. منبع انتشار اوليه اين ويروس را احتمالاً می توان به برنامه ها و سايت هايی که برای اشتراک فايل بين کاربران استفاده می شوند، نسبت داد. (اينگونه برنامه ها را P2P می نامند.)
خرابكاري
به محض اجرا شدن ویروس، فايل آلوده lsass.exe در پوشه Windows کپی می شود.
تذکر: فايل lsass.exe (Local Security Authentication Server) يکی از فايلهای اصلی سيستم عامل می باشد که در پوشه سيستمی Windows ذخيره می شود. اين ويروس با انتخاب اين نام برای فايل اجرايی آلوده خود و ذخيره آن در محلی ديگر (پوشه Windows) سعی در فريب کاربر دارد. در همين رابطه، گزينه Prevent Windows Process spoofing در بخش Access Protection ضدويروس، وظيفه جلوگیری از ويروسهايی را دارد که بخواهند با سوءاستفاده از نام پروسه های اصلی Windows به اهداف خرابکارانه خود برسند.

در ادامه فايلهای زير در ريشه درايوها کپی می شوند:


autorun.inf


autoplay.exe

همچنين ويروس Autorun.worm.gen، کليدهای زير را نيز در محضرخانه ايجاد می کند.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\

Internet Settings\ProxyEnabled: "FALSE"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\

Run\Microsoft Windows Update Client: "%WinDir%\lsass.exe"

HKEY_USERS\S-1-5-21-746137067-299502267-1547161642-1003\Software\

Microsoft\Windows NT\CurrentVersion\Windows\Run: "%WinDir%\lsass.exe"



پيشگيری
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص بسته امنيتی (Service Pack) شماره 3 سيستم عامل Windows XP، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط کارشناسان شرکت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده های
Prevent Windows Process spoofing
USB

در کنـار آگـاه کـردن کاربران شبکه از خطرات کليک بر روی فايلهای ناآشنا در پوشه های به اشتراک گذاشته شده، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.

Downloader.QM چيست؟


ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در محیط Windows از نوع 32 بيتی فعال می‏گردد. اولين نمونه آن در آبان هشتاد و سه مشاهده شده و از آن زمان تاکنون، گونه‏های متعددی از Downloader-QM با حجمهای مختلف مشاهده شده است.
نامگذاری
اين ويروس با نام‏های زير توسط نرم‏افزارهای ضدويروس مختلف شناسايی می‏گردد:


Trojan.Spambot (Dr Web)

TROJ_LAGER.AL (Trend)
Troj/Tibs-AX (Sophos)
انتشار
اسب‏های تروا برنامه‏هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می‏شوند و او هنگامی که تلاش می‏کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می‏گيرد. اسب‏های تروا بر خلاف گونه‏های ديگر ويروس‏ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه‏انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی، تنها حذف فايل آن لازم است.
انتشار ویروس Downloader-QM نيز همانند ساير اسب‏های ‏تروا با دريافت آن از اينترنت و اجرا بر روی ‏دستگاه صورت می‏‏پذيرد. هرزنامه‏هايی ‏که سعی ‏می‏‏کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای ‏IRC، پوشه‏های ‏به اشتراک گذاشته شده (Shared) در شبکه‏های ‏نقطه به نقطه و گروه‏‏های ‏خبری،‏ همگی ‏بسترهای ‏مناسبی ‏برای ‏انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی ‏که دارای ‏نام کاربری ‏رايج و رمز عبور ضعيف هستند و یا نرم‏افزارهای ‏نصب شده بر روی ‏آنها، بخصوص سيستم‏عامل که دارای ‏حفره‏های ‏امنيتی ‏هستند، اين اسب تروا را دريافت کنند.
خرابکاری
ویروس Downloader-QM همانطور که از نام آن پيداست نوعی دريافت‏کننده محسوب می‏شود. به نحوی که با برقراری ارتباط با مرکز فرماندهی خود، فايلهای مخرب ديگری را دريافت می‏کند.

نام فايلهای اين ويروس و محل ذخيره آن در گونه‏های مختلف آن متفاوت گزارش شده که برخی نمونه‏های آن در زير آمده است:
%SYSTEMDIR%\taskdir.dll
%SYSTEMDIR%\zlbw.dll
%SYSTEMDIR%\ctfmona.exe
%SYSTEMDIR%\do2zs5.exe
%SYSTEMDIR%\gendel32.exe
%SYSTEMDIR%\llviq3.exe.exe
%SYSTEMDIR%\spools.exe

اين ويروس، با دستکاری کليدهایی در محضرخانه، اجرا شدن خود را در هر بار راه‏اندازی سيستم‏عامل تضمين می‏کند. همچنين، ویروس کليد زير را نيز در محضرخانه ايجاد می‏کند:

hkey_local_machine\software\microsoft\downloadmana ger
پيشگيری
اولين راه برای پيشگيری از آلودگی،‏ عدم كنجكاوی درباره فايل‏های مشكوك و ناشناس و يا با عناوين جذاب است كه در سايت‏های اشتراك فايل، فراوان ديده می‏شوند. بهتر است فايل‏ها و ابزار مورد نياز از سايت‏های معتبر تهيه شود. همچنين به‏روز نگه داشتن ضدويروس و نصب آخرين اصلاحيه‏های سيستم های ‏عامل می‏تواند سیستمها را در مقابل اين ويروس محافظت کند.

چيستHTool-T2W ؟




ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) دارد. اولين نمونه اين ويروس در ماه جاری مشاهده شده است. همچنين HTool-T2W عضو خانواده "ابزارهای مخرب" است و اين قابليت را دارد که هر فايل اجرايی را به يک ويروس خطرناک تبديل کند (Trojan2Worm).
نامگذاری
این ويروس با نام‏های زیر توسط نرم‏افزارهای ضدویروس مختلف شناسایی می‏گردد:
· Constructor.Win32.VB.ec [Kaspersky]
· Constructor.VB.ec [Quick Heal]
· Constructor.Win32.VB.ec [VBA32]
· Constructor/Wormer [Panda]
انتشار
ابزارهای مخرب آگاهانه و به منظور فعالیتهای مزاحمت آمیز و خرابکارانه مورد استفاده افراد سودجو و نفوذگران قرار می گیرد.
خرابکاری
ویروس HTool-T2W ابزار مخربی است که نفوذگران می‏توانند از آن جهت تبديل فايلهای اجرايی خود به "کرمهای خوداجرا" (Autorun Worm) استفاده کنند. به عبارت دیگر، تنها کافی است نفوذگر فايل خود را در اين ابزار مخرب مشخص کند و تنها با يک کليک، ويروسی کامل و بدون نقص، بعنوان خروجی دريافت کند! طراحی اين ابزار بنحوی است که حتی يک نفوذگر تازه‏کار و کم‏تجربه نيز می‏تواند براحتی از آن استفاده کند.
بارزترين قابليتهای اين ابزار مخرب عبارتند از:


فشرده‏سازی فايل با استفاده از ابزار UPX
تغيير شمايل (Icon) فايل برای فريب کاربر
استفاده از روشهای مختلف برای اجرای خودکار فايل در هنگام راه اندازی سيستم‏عامل؛ نظير قرار گرفتن در قسمت Run محضرخانه، ثبت فايل بعنوان يک سرويس و غيره.
نمايش پيامهای مختلف به انتخاب نفوذگر در هنگام اجرای فايل
غيرفعال کردن Task Manager، Windows Registry Editor، Folder Options و حتی يک مرورگر اينترنتی خاص
ایجاد خودکار فایل autorun.inf در دیسکهای سخت و دیگـر ابـزارهای ذخیره سازی (نظیر USB)

پيشگيری
به‏روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه‏های سيستم‏عامل، پيکربندی صحيح بخشAccess Protection ضدویروس McAfee (نظیر تفریف قاعده USB) و پرهيز از به اشتراک‏گذاری پوشه‏ها بر روی شبکه با حق دسترسی نوشتن برای همه افراد (Everyone) می‏تواند خطر آلوده شدن به ويروسهای ايجاد شده توسط اين ابزار مخرب را به حداقل برساند.

ويروس W32/Conficker.worm چيست ؟


ويروسی با درجه خطر کم که عملکرد "کرم" (Worm) داشته و در سيستم عامل Windows از نوع 32 بيتی فعال می گردد. اولين نمونه اين ويروس، در آذر ماه 87 مشاهده شده و از آن زمان تاکنون، گونه های متعددی از این ویروس بسیاری از کامپیوترها را در سراسر جهان از جمله ایران آلوده نموده است.
انتشار
ويروس Conficker برای تکثير، از یک حفره امنيتی در سیستم های عامل Windows (موضوع اصلاحیه شماره *MS08-067 مایکروسافت) سوء استفاده می کند. این ویروس پس از آلوده کردن کامپیوتر، با راه اندازی یک سرویس دهنده HTTP و از طریق یک درگاه با شماره متغیر (در محدوده 1024 تا 10000)، دستگاه آلوده را تبدیل به یک سرویس دهنده ویروس می کند. بدین ترتیب که با اسکن پی در پی IPهای در محدوده دستگاه آلوده، کامپیوترهای پیرامون را شناسایی و در صورتی که دارای حفره امنیتی مذکور باشند، از طریق سرویس دهنده HTTP که بر روی دستگاه آلوده اولیه راه اندازی شده، فایل مخرب را بر روی کامپیوتر جدید کپی می کند.

خرابکاری
به محض اجرا، فایل مخرب با نامهای متغیر در پوشه %SysDir% کپی می شود.
برخی از گونه های این ویروس فایل مخرب را در مسیرهای زیر کپی می کنند:


%ProgramFiles\Internet Explorer


%ProgramFiles\Movie Maker


%temp%


C:\Documents and Settings\All Users\Application Data
در ادامه با دستکاری کلیدهای زیر در محضرخانه، سرویسهایی با نامهای متغیر ایجاد می کند تا در هر بار راه اندازی دستگاه، به سيستم عامل تزريق شود:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\{random}\Parameters\"ServiceDll" = "Path to worm"


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\{random}\"ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs
ویروس Conficker با وصل شدن به سرویس دهنده های زیر می کوشد تا IP عمومی (Public) دستگاه آلوده را برای سوءاستفاده های بعدی بدست آورد:


hxxp://www.getmyip.org


hxxp://getmyip.co.uk


hxxp://checkip.dyndns.org


hxxp://whatsmyipaddress.com
همچنین این ویروس با برقراری ارتباط با سرویس دهنده زیر (که یک سرویس دهنده روسی است) فایل مخرب دیگری را دریافت کند:


hxxp://trafficconverter.biz/[Removed]antispyware/[Removed].exe
سپس سرویسهای زیر توسط ویروس Conficker غیرفعال می شوند:


WerSvc (Microsoft Vista Windows Error Service)


ERSvc (Microsoft XP Windows Error Service)


BITS (Microsoft Background Intelligent Transfer Service – Updates)


wuauserv (Microsoft Windows Update)


WinDefend (Microsoft AV)


Wscsvc (Microsoft Windows Security Centre)
ضمن اینکه پروسه هایی را که در نام آنها یکی از عبارتهای زیر (که مربوط به برنامه های امنیتی هستند) وجود داشته باشد، نیز از کار خواهد انداخت:


wireshark (Network packet tool)


unlocker (Rootkit detection tool)


tcpview (Network packet tool)


sysclean (Trend Micro AV tool)


scct_ (Splinter Cell?)


regmon (Sys internals registry monitoring tool)


procmon (Sys internals registry monitoring tool)


procexp (Sys internals registry monitoring tool)


ms08-06 ( Privilege escalation HotFix)


mrtstub (Microsoft Malicious Software Removal Tool)


mrt. (Microsoft Malicious Software Removal Tool)


Mbsa . (Microsoft Malicious Software Removal Tool)


klwk (Kaspersky AV Tool)


kido (Less common name for W32/Conficker.worm or W32/downad.worm)


kb958 (Blocks MS08-067, KB958644)


kb890 (Microsoft Malicious Software Removal Tool)


hotfix (Microsoft hot fixes)


gmer (Rootkit detection tool)


filemon (Sys internals registry monitoring tool)


downad (Common names for Conficker.worm or downad.worm)


confick (Common names for Conficker.worm or downad.worm)


avenger (Rootkit detection tool)


autoruns (Hooking point detection tool)
بطور کلی، گونه های مختلفی را که از زمان پیدایش این ویروس ظاهر شده اند، می توان به سه گروه تقسیم نمود.
نسل اول:
- استفاده از درگاه 445
- راه اندازی سرویس دهنده HTTP بر روی کامپیوتر آلوده
- استفاده از پروسه Rundll32.exe برای مقیم کردن فایلهای dll در حافظه

نسل دوم:
- استفاده از درگاه 445
- راه اندازی سرویس دهنده HTTP بر روی کامپیوتر آلوده
- استفاده از پروسه Rundll32.exe برای مقیم کردن فایلهای dll در حافظه
- استفاده از پوشه به اشتراک گذاشته شده در شبکه برای انتشار فایلهای مخرب
- استفاده از فایل Autorun.inf برای اجرای ویروس

نسل سوم:
- استفاده از درگاه 445
- راه اندازی سرویس دهنده HTTP بر روی کامپیوتر آلوده
- استفاده از پروسه Rundll32.exe برای مقیم کردن فایلهای dll در حافظه
- استفاده از پوشه به اشتراک گذاشته شده در شبکه برای انتشار فایلهای مخرب
- استفاده از فایل Autorun.inf برای اجرای ویروس
- ارتقاء حق دسترسی کاربر (از یک کاربر عادی و محدود، به کاربر Administrator)
- از کار انداختن پروسه های مربوط به نرم افزارهای امنیتی

همچنین در نگارشهای جدید این ویروس، اجرای اتوماتیک فایل مخرب از طریق بخش Scheduled Tasks صورت می پذیرد. ضدویروس مک آفی بهمراه آخرین DAT این گونه از ویروسها را با نام W32/Conficker.worm autorun!job شناسایی می کند.

پيشگيري
رعایت موارد زیر برای پیشگیری از آلوده شدن به این ویروس توصیه می شود:

- اصلاحیه MS08-067 باید بر روی همه کامپیوترها (بصورت دستی، اتوماتيک و يا از طريق سرويس WSUS) نصب گردد. حتی یک دستگاه فاقد این اصلاحیه، می تواند امنیت شبکه را به خطر بیاندازد.

- به روز نگه داشتن نرم افزارهای ضدویروس.

- استفاده از تنظيمات تـوصيـه شـده تـوسـط کارشناسان شرکت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده USB و برای کامپيوترهای پرخطر، فعال کردن قاعده های زیر:


Prevent creation of new executable files in the Windows folder


Prevent creation of new executable files in the Program Files folder
- در مواقعی که برخی از کامپیوترها فاقد اصلاحیه مذکور هستند و ویروس در شبکه فعال شده است می توان در ضـد ويـروس McAfee در بخش Access Protection و با استفاده از گزینه AntiVirus Outbreak Control : Make all Shares Read-Only، پوشه های به اشتراک گذاشته شد را بحالت "فقط خواندنی" (Read Only) در آورد.

- با تعریف قاعده ای در بخش Access Protection درگاه های 139 و 445 غیرفعال شوند.

- فعال بودن گزینه BufferOverflow در ضدویروس McAfee بخصوص بر روی سرویس دهنده ها توصیه می شود.

- برای پاکسازی کامپیوترهای آلوده شده به این ویروس باید بعد از انجام On-Demand Scan دستگاه راه اندازی شده و مجدداً عمل اسکن انجام شود. همچنین می توانید از برنامه زیر که تنها برای پاکسازی این ویروس تهیه شده استفاده کنید:


http://www.sg-update.net/download/tools/Stinger_Coficker.exe (http://www.sg-update.net/download/tools/Stinger_Coficker.exe)
توجه داشته باشید که این ابزار همزمان با انتشار گونه های جدید ویروس Conficker تغییر خواهد کرد. بنابراین بهتر است از نسخه ای که در همان روز دریافت کرده اید، استفاده کنید.

ويروس Opachki.a چيست ؟


یک "اسب تروا" (Trojan) با درجه خطر کم می باشد و توسط دیگر برنامه های مخرب منتشر می شود. تنها نکته قابل توجه درباره این اسب تروا، اقدام شیطنت آمیز او در حذف امکان اجرای سیستم عامل در حالت Safe Mode است.

انتشار
اسب تروا Opachki توسط دیگر برنامه های مخرب (از گروه Dropper) از سایت های خاصی دریافت می شود و بر روی کامپیوتر قربانی قرار می گیرد. این اسب تروا نیز مانند دیگر اسب های تروا قابلیت تکثیر نداشته و تنها با دخالت کاربر می تواند فعال شده و باعث آلودگی گردد.
خرابكاري
پس از آلوده شدن کامپيوتر، اسب تروا اقدام به ایجاد فایل های زیر می نماید.
- %UserProfile%\ntuser.dll
- %UserProfile%\local settings\temp\rundll32.dll
- %UserProfile%\Start Menu\Programs\Startup\scandisk.dll
- %UserProfile%\start menu\programs\startup\scandisk.lnk
- %SystemDir%\calc.dll
همچنین دستورات جدیدی به Registry اضافه می شود تا در هر بار راه اندازی کامپیوتر، ویروس مجدداً فعال گردد.
- HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Runcalc = rundll32.exe %USERPROFILE%\ntuser.dll,_IWMPEvents@0
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Runcalc = rundll32.exe %SystemDir%\calc.dll,_IWMPEvents@0
اسب تروا Opachki.a در یک اقدام شیطنت آمیز، دستور اجرای سیستم عامل در حالت Safe Mode را از Registry حذف میکند تا بدین ترتیب امکان پاکسازی او برای کاربر دشوارتر گردد.

پيشگيري
آگاه کردن کاربران از خطرات نامه های الکترونیکی ناخواسته (هرزنامه یا SPAM) و کليک بر روی لينک های ناآشنا، می تواند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5793 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

ويروس Rootkit.dt.dr چيست ؟


یک "اسب تروا" (Trojan) با درجه خطر کم می باشد و وظیفه نصب دیگر برنامه های مخرب را بر عهده دارد. تنها نکته قابل توجه درباره این اسب تروا، نوع برنامه مخربی است که بر روی کاپیوتر قربانی قرار می دهد. این برنامه مخرب از نوع Rootkit است که در سطح است که در سطح Kernel سیستم عامل فعالیت میکند.

انتشار
اسب تروا Rootkit.dt.dr وظیفه قرار دادن و فعال کردن دیگر برنامه های مخرب را بر روی کامپیوتر قربانی دارد. این اسب تروا نیز مانند دیگر اسب های تروا قابلیت تکثیر نداشته و تنها با دخالت کاربر می تواند فعال شده و باعث آلودگی گردد.
خرابكاري
به محض اجرای فایل حاوی اسب تروا Rootkit.dt.dr فایلهای زیر بر روی کامپیوتر قربانی ایجاد می گردد.


- %Temp%\[Random file name].bat [Non malicious batch file]
- %System%\drivers\[Random file name].sys [Detected as Generic Rootkit.dt]
فایلی که دارای پسوند .sys است از قابلیت های مخرب گروه Rootkit بهره مند است. ازجمله قابلیت مخفی سازی خود از دید ابزارهای امنیتی و یا امکان غیرفعال شدن هوشمند، در صورت تشخیص اینکه تحت نظر قرار گرفته است. همچنین این فایل مخرب برخلاف دیگر فایلهای مخرب رایج، مستقیماً از سطح Kernel سیستم عامل اجرا می گردد.
بعلاوه، اسب تروا Rootkit.dt.dr دستورات جدیدی را به Registry اضافه می کند تا در هر بار راه اندازی کامپیوتر، مجدداً فعال گردد.


- HKEY_Local_Machine\System\CurrentControlSet\Servic es\zacypxeepnjv7
ImagePath = "%System%\Drivers\[Random file name].sys"
DisplayName = "[Random filename]"

پيشگيري
آگاه کردن کاربران از خطرات نامه های الکترونیکی ناخواسته (هرزنامه یا SPAM) و کليک بر روی لينک های ناآشنا، می تواند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5799 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

ويروس PWS-CuteMoon چيست ؟


"اسب تروا" (Trojan) با درجه خطر کم می باشد و هدف اصلی آن، سرقت انواع اطلاعات از کامپیوتر قربانیان خود است. این ویروس با آنکه دارای نام متفاوتی است، ولی در حقیقت همان ویروس قدیمی Pinch است که نزدیک به دوسال قبل، دو جوان روسی به خاطر نوشتن و سوء استفاده از آن، به یک سال و اندی زندان محکوم شدند.

انتشار
هیچ مورد و رفتار خاصی از سوی اسب تروا CuteMoon در نحوه انتشار آن مشاهده نشده است.
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و هنگامی که او سعی می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سـالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
اسب های تروا به خودی خود منتشر نمی شوند و دخالت کاربر برای انتشار و فعال شدن آن ضروری است. لذا دقت و هوشیاری کاربران، یکی از مهمترین عوامل جلوگیری از آلودگی به اینگونه اسب های تروا می باشد.


خرابكاري
به محض اجرای اسب تروا CuteMoon، یک تصویر غیراخلاقی بر روی صفحه کامپیوتر قربانی به نمایش در می آید تا بدین ترتیب کاربر متوجه اتفاقاتی که در حال رخ دادن است، نشود.
اسب تروا اقدام به ایجاد فایل زیر می نماید:
- %Windir%\exploree.exe [Detected as PWS-CuteMoon (http://vil.nai.com/vil/content/v_240279.htm)]
- %Windir%\svcoost.exe [Detected as PWS-CuteMoon (http://vil.nai.com/vil/content/v_240279.htm)]
- %System%\154.bat [Non malicious batch file]
همچنین دستورات زیر به فایل Hosts سیستم عامل اضافه می شود تا در صورت درخواست کاربر برای مراجعه به سایت های اجتماعی زیر، به جای نمایش این سایتها، کاربر به سایت های مخرب مورد نظر اسب تروا CuteMoon، هدایت شود.
- 95.168.163.129 www.vkontakte.ru
- 95.168.163.129 vkontakte.ru
- 95.168.163.129 www.odnoklassniki.ru
- 95.168.163.129 odnoklassniki.ru
سپس اسب تروا CuteMoon اقدام به جمع آوری همه نوع اطلاعات از روی کامپیوتر قربانی کرده و این اطلاعات را به سایت خبری CuteNews که توسط نویسندگان این ویروس کنترل می شود، ارسال می کند. افراد خلافکار به راحتی می توانند این اطلاعات را جمع آوری کرده و مورد سوء استفاده قرار دهد.

پيشگيري
آگاه کردن کاربران از خطرات نامه های الکترونیکی ناخواسته (هرزنامه یا SPAM) و کليک بر روی لينک های ناآشنا، می تواند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5791 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

wormW32 / Winko.worm چيست ؟

Dat براي شناسايي 5332 ويروسی با درجه خطر کم که عملکرد "کرم" (Worm) داشته و در سيستم های عامل Windows از نوع 32 بيتی فعال می گردد. اولين نمونه اين کرم، در خرداد هشتاد و شش مشاهده شده و از آن زمان تاکنون، گونه های متعددی از Winko.worm با حجمهای مختلف ايجاد شده است. انتشار در صورت اجراي فايل آلوده بر روی دستگاه، فايلي بنام autorun.inf توسط ویروس در ريشه درايو های ديسك سخت (درایوهای C و D و ...) و ابزارهای ذخیره سازی USB (در صورت وجود) ایجاد می شود. درون اين فايل، نام فايل اجرايی ويروس (نظیر auto.exe در يکی از گونه ها) آورده شده است. کامپیوتـر آلـوده می تـوانـد هر دیسک USB را نیـز کـه به آن کامپیوتر وصل می شود، آلوده سازد. همچنين اين ويروس از طريق پـوشه هـای بـه اشتـراک گذاشته شده بر روی شبکه نيز اقدام به انتشار خود می کند. بسياری از گونه های اين ويروس با كپی كردن خود در شاخه های اشتراكی (Share) ساير دستگاه های شبكه، آنها را هم در معرض آلودگی قرار می دهند. به اين صورت كه اگر درايو C دستگاهی در شبكه برای كامپيوتر آلوده قابل دسترسی باشد، كافی است دو فايل autorun.inf و auto.exe در ريشه آن كپی شود تا بعد از راه اندازی دستگاه، كاربر با دوبار كليك كردن بر روی درايو C آلوده گردد. در شبكه هايی كه رمز عبور Administrator براي همه دستگاه ها يكی باشد و يا از رمز عبورهای ضعيف (مانند Blank، 1 و 123 و ...) استفاده شده باشد، آلودگی به سرعت گسترش خواهد يافت. منبع انتشار اوليه اين ويروس را احتمالاً می توان به برنامه ها و سايت هايی كه برای اشتراك فايل بين كاربران استفاده می شوند، نسبت داد. (اينگونه برنامه ها را P2P می نامند.) خرابکاری به محض آلـوده شدن يک کامپيـوتـر بـه ويـروس Winko، در مسيرهـای زيـر فـايلهای مخرب کپی می شوند. (نام اين فايل در گونه های مختلف متفاوت گزارش شده است.): - %WinDir%\system32\auto.exe - %WinDir%\system32\rising.exe - %WinDir%\system32\auto.dll - %WinDir%\system32\rising.dll سپس با تزريق خود به چندين پروسه سيستم عامل، از جمله Explorer.exe فعاليتهای خرابکارانه خود را آغاز می کند. اين ويروس، با ايجاد کليد زیر در محضرخانه (Registry)، اجرا شدن خود را در هر بار راه اندازی سيستم عامل تضمين می کند. - HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\Auto: “%WinDir%\system32\auto.exe” ويروس Winko در خانواده "دريافت کننده ها" (Downloader) قرار می گيرد. بدين ترتيب که با برقراری ارتباط با مرکز فرماندهی خود، پس از دريافت فايل Update.txt که حاوی ليستی از برنامه های مخرب است، اقدام به دريافت و اجرای آنها بر روی کامپيوتر قربانی می کند. پيشگيری استفاده از رمزهای عبور قوي و عدم به اشتراک گذاشتن کل درايوها، از نکات اوليه برای پيشگری در مقابل کرمها می باشد. ضمن اينکه به کاربران نيز توصيه می شود از كنجكاوي درباره فايل های مشكوك و يا با عناوين جذاب كه در سايت های اشتراك فـايـل، فراوان ديده می شوند، اجتناب کنند. به روز نگه داشتن ضدويروس و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در نرم افزار ضدويروس (نظیر قاعده USB) می تواند کامپيوتر را در مقابل اين ويروس محافظت کند.

BraveSentry چيست ؟


Dat براي شناسايي 5332
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در محیط های Windows از نوع 32 بيتی فعال می گردد. اولين نمونه آن در اسفند هشتاد و چهار مشاهده شده و از آن زمان تاکنون، گونه های متعددی از BraveSentry با حجمهای مختلف ايجاد شده است.
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ویروس BraveSentry نيز همانند ساير اسب های تروا با دريافت آن از اينتـرنت و اجـرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و یا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
ویروس BraveSentry که در خانواده "پيامهای جعلی" (Fake Alert) قرار می گيرد، با نمايش پيامهای هشدار غيرواقعی مبنی بر آلوده بودن دستگاه، کاربر را به صفحات اينترنتی ای که در ظاهر حاوی يک برنامه ضدجاسوسی (AntiSpy) هستند، اما در واقع خود برنامه ای مخرب محسوب می شوند، هدايت می کند.
خرابکاری
به محض اجرای ويروس، يک برنامه ضدويروس دروغين بر روی دستگاه قربانی نصب می گردد. نشان اين ضدويروس جعلی در نوار ابزار (System Tray) ظاهر شده و بصورت پی در پی پيـامهـایی غيـرواقعی در خصـوص آلـوده بـودن دستـگاه، نمـايش می دهد. در ظاهر، نسخه غير ثبت شدهاین ضدویروس تنها فايلها را اسکن کرده و با نشان دادن يک گزارش اشتباه، از کاربر می خواهد با خريد نرم افزار، کامپيوتر خود را پاکسازی کند.
نام فايلها و پوشه های ايجاد شده توسط اين ويروس، در گونه های مختلف آن متفاوت گزارش شده که برخی نمونه های آن در زير آمده است:
- "%TrojDir%\BraveSentry.exe
- %SysDir%Sys[RandomNumber].exe
- %SysDir%SysF[RandomNumber].exe
- %SysDir%SysFA.exe
در ادامه، با ايجاد کليد زير در محضرخانه، اجرا شدن خود را در هر بار راه اندازی سيستم عامل تضمين می کند:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run\Brave-Sentry: "%TrojDir%\BraveSentry.exe"

ضمن اينکه کليدهای جدیدی را نيز در محضرخانه ايجاد می کند.
پيشگيری
بـه روز نگه داشتـن ضـدوـيروس، نصب آخرين اصلاحيه های سيستم عامل و همچنين پيکـربنـدي صحيح بخش Access Protection ضدويروس McAfee (نظير فعال کردن قاعده Protect Internet Explorer favorites and settings) در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينکهای ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.

چيست ؟PWS-Yahmali




Dat براي شناسايي 5332
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و اقدام به دزديدن نامهای کاربری و رمزهای عبور نرم افزار Yahoo Messenger از روی دستگاه آلوده می کند. اولين نمـونه آن در آبـان هشتـاد و شش مشـاهـده شده و از آن زمان تاکنون، چندين گونه از PWS-Yahmali با حجمهای مختلف ايجاد شده است.
انتشار
اسب های تروا بـرنـامـه هـايی هستند کـه بعنوان يک بـرنـامـه سـودمنـد بـه کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ویروس PWS-Yahmali نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرای آن بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتـراک گـذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و یا نرم افزارهای نصب شده بر روی آنها، بخصـوص سيستـم عـامـل کـه دارای حفـره هـای امنيتـی هستنـد، ايـن اسب تروا را دريافت کنند.
خرابکاری
ويروس PWS-Yahmali يک اسب تروای "رمز دزد" (Password Stealer) است که نرم افزار Yahoo Messenger را بر روی سيستم آلوده، هدف قرار می دهد. اين ويروس اقدام به دزديدن نامهای کاربری و رمزهای وارده شده توسط کاربر در نرم افزار Yahoo Messenger و ارسال آنها به سايت http://www.ilam-mind-makers.com می کند.
به محض اجرای ویروس، فايلهای زير ايجاد می شوند:

· %Temp%\Services.exe

· %Temp%\LSASS.EXE

· %Temp%\SMSS.EXE

· %Temp%\CSRSS.EXE

· %Temp%\WINLOGON.EX
همچنين اين ويـروس بـرای فـريب کـاربـر، نشان (Icon) ايـن فـايلهـا را همـاننـد نشان پوشه (Folder) نمایش می دهد.
در آخرين نمونه مشاهده شده در ايران، ويروس PWS-Yahmali به ازای هر پوشه ای که کاربر باز می کند، يک فايل اجرايی همنام و هم نشان با آن پوشه ايجاد نموده و برای فريب کاربر، پوشه واقعی را از نوع سيستم (System Type) می کند.
همچنين اين ويروس، با دستکاری کليد زير در محضرخانه، خود را در هر بار راه اندازی دستگاه، به سيستم عامل تزريق می کند:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\

Winlogon\"shell" = "explorer.exe "C:\DOCUME~1\{username}\LOCALS~1\

Temp\services.exe""
ضمن اينکه با تغيير دادن کليدهای زير سبب می شود که پسوند فايلها و همچنين پوشه ها و فايلهای سيستمی در Explorer نشان داده نشوند:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\
Explorer\Advanced "HideFileExt = [REG_DWORD, value: 00000001]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\

Explorer\Advanced "ShowSuperHidden" =[REG-DWORD, value 00000000]

پيشگيری
اولين راه برای پيشگيری از آلودگي، عدم كنجكاوی درباره فايل های مشكوك و ناشناس و يا با عناوين جذاب است كه در سايت های اشتراك فايل و يا پيام رسانها (Messenger) فراوان ديده می شوند. بهتر است فايل ها و ابزار مورد نياز از سايت های معتبر تهيه شود. بـه روز نگه داشتـن ضـدويـروس و همچنين نصب آخـريـن اصـلاحيه های سيستم عامل و نرم افزار پيام رسان Yahoo Messenger، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برسانند.

CoreFlood.dr چيست ؟


Dat براي شناسايي 5324
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در دسته دريافت کنندگان فایلهای مخرب (Dropper) قرار می گيرد. اولين نمونه آن در شهريور هشتاد و دو مشاهده شده و از آن زمان تاکنون، چندين گونه از CoreFlood.dr با حجمهای مختلف ايجاد شده است.
انتشار
انتشار ویروس CoreFlood.dr نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و یا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
اين اسب تروا پس از اجرا شدن بر روی کامپيوتر قربانی اقدام به دريافت ويروس CoreFlood که يک ويروس نفوذگر در شبکه يا در واقع نوعی Administration Tool است می کند. سپس هنگامی که مدير شبکه با نام کاربری Administrator برای بررسی های دوره ای به سيستم آلوده وارد می شود، ویروس CoreFlood با استفاده از برنامه PsExec - برنامه کوچکی که توسط مايکروسافت برای مديران شبکه جهت نصب نرم افزارها، از راه دور تهیه شده است - تمام کامپيوترهای شبکه را آلوده می سازد.
خرابکاری
به محض اجرا شدن اين اسب تروا، فايلهای زير ايجاد می شوند:

- %SystemDir%\[Random_DLL_Name].dat

- %SystemDir%\[Random_DLL_Name].dIl

- %SystemDir%\[Random Name].dat

- %SystemDir%\[Random Name].dat

- %SystemDir%\[Random Name].dat

- %SystemDir%\[Random Name].dat
در آخرين گونه از ویروس CoreFlood.dr، فايل آلوده با نام wmedia106.exe اقدام به تزريق خود در Explorer.exe نموده و کليدهای زير را در محضرخانه دستکاری می کند:
</span>
- HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\
explorer\shelliconoverlayidentifiers\[Random_DLL_Name]\ (default)
= {[Random_CLSID]}


پيشگيری
اولين راه برای پيشگيری از آلودگی، عدم كنجكاوی درباره فايل های مشكوك و ناشناس و يا با عناوين جذاب است كه در سايت های اشتراك فايل و يا پيام رسانها فراوان ديده می شوند. بهتر است فايل ها و ابزار مورد نياز خود را از سايت های معتبر تهيه کنید. به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، پرهيز از به اشتراک‏گذاری پوشه‏ها بر روی شبکه با حق دسترسی نوشتن برای همه افراد (Everyone) و عدم استفاده از نام کاربری Administrator برای کارهای عادی، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برسانند.

PWS-Mmorpg.gen چيست ؟


Dat براي شناسايي 5343
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و بـا استفـاده از زبـان برنامه نويسی Delphi نوشته شده است. اين ويروس اقدام به دزديدن نامهای کاربری و رمزهای عبور بازی های کامپيوتری MMORPG * می کند.
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يـا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ویروس Mmorpg.gen نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و یا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
خرابکاری
ويروس Mmorpg.gen يک اسب تروای "رمز دزد" (Password Stealer) است که بازی های MMORPG را بر روی سيستم آلوده هدف قرار می دهد. اين ويروس اقدام به دزديدن نامهای کاربری و رمزهای وارده شده توسط کاربر در اين بازی ها می کند. برخی نمونه های اين ويروس اطلاعات دزديده شده را به سايتهای مخرب می فرستند.
به محض اجرا شدن، در مسيرهای زير فايلهای مخرب که بصورت پنهان و سيستمی هستند کپی می شوند. (نام فايل آلوده در گونه‏های مختلف متفاوت می باشد.):

.\Shell.exe (در ريشه همه درايوها)

- .\autorun.inf (در ريشه همه درايوها)

- %WINDIR%\Help\ACDF4F3D0FD.exe

- %WINDIR%\Help\ACDF4F3D0FD.dll
در آخرين نمونه مشاهده شده در ايـران، نـام فـايـل اصـلـی ويـروس، ckvo0 بـوده و مسير ذخيره سازی آن %System32% گزارش شده است.
همچنين اين ويروس، با دستکاری کليدهایی در محضرخانه، خود را در هر بار راه اندازی دستگاه، به سيستم عامل تزريق می کند.
ویروس Mmorpg.gen پس از مقيم شدن در حافظه، ارتباط هایی را که با سايتهای MMORPG برقرار می شوند، زير نظر گرفته و نامهای کاربری و رمزهای عبور رد و بدل شده ميان کاربر و این سايتها را به آدرسی که نفوذگر آنرا مشخص نموده ارسال می کند.
پيشگيری
اولين راه برای پيشگيری از آلودگی، عدم كنجكاوی درباره فايل های مشكوك و ناشناس و يا با عناوين جذاب است كه در سايت های اشتراك فايل و يا پيام رسانها فراوان ديده می شوند. بهتر است فايل ها و ابزار مورد نياز خود را از سايت های معتبر تهيه کنید.
به روز نگه داشتن ضدويروس و استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در نرم‏افزار ضدويروس (نظیر قاعده USB)، در کنـار نصب آخـريـن اصلاحيه های سيستم عامل، به ویژه بسته امنيتی (Service Pack) شماره 3 سیستم عامل Windows XP، همگی می توانند خطر آلوده شدن به اين ويـروس و يـا گونه های مشابه را به حداقل برسانند.

ويروس BackDoor-DTN چيست ؟
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و نفوذگران از آن به عنوان ابزاری برای نفوذ به شبکه استفاده می کنند.
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
ويروس BackDoor-DTN نيز همانند ساير اسب های تروا، با دريافت ویروس از اينترنت و اجرای آن بر روی دستگاه انتشار می یابد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، به خصوص سيستم عامل که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
خرابکاری
به محض آلوده شدن يک کامپيوتر به اين ويروس، در مسيرهای زير فایلهای مخرب ایجاد می شود:

- %Temp%\[اعدادی تصادفی].exe
- %Windir%\system32\drivers\[کاراکترهای تصادفی].sys

فایل اول توسط ضدویروس مک آفی، با نام BackDoor-DTN و فایل دوم بعنوان BackDoor-DTN!sys شناسایی می گردد.
سپس این ويروس با تعريف کليدهای زير در محضرخانه، خود را در هر بار راه اندازی دستگاه (حتی درحالت Safe Mode)، به سيستم عامل تزريق می کند:

- HKLM\SYSTEM\CurrentControlSet\Services\[کاراکترهای تصادفی].sys ImagePath =
\??\%Windir%\system32\drivers\[کاراکترهای تصادفی].sys
- HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Min imal\[کاراکترهای تصادفی].sys
- HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Net work\[کاراکترهای تصادفی].sys
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunOnce tdss = %Temp%\[ اعدادی تصادفی].exe



همچنین این ویروس با بررسی مجوزهای دسترسی کاربر جاری، در صورتی که کاربر فاقد حق دسترسی Administrator باشد، خواهد کوشید با سوءاستفاده از یک حفره امنیتی (موضوع اصلاحیه MS08-066)، حق دسترسی را به Administrator ارتقاء دهد.
در ادامه، اين ويروس به سرويس دهنده های زير متصل می شود:
- hxxp://update-product.net
- hxxp://updb-update.com
این ویروس پروسه هایی را که در نام آنها یکی از عبارتهای زیر باشد، غیرفعال می کند:
- Penis32.exe
- teekids.exe
- Microsoft Inet XpMSBLAST.exe
- windows auto update
- mscvb32.exe
- System MScvb
- sysinfo.exe
- PandaAVEngine
- taskmon

ویروس BackDoor-DTN این توانایی را دارد که نرم افزارهای امنیتی AVG، Avira، CA، Outpost، Kaspersky، Windows Defender و بخش Windows Firewall را از کار بیاندازد.
همچنین این ویروس در صورت وجود فایلهای زیر در پوشه سیستمی Windows آنها را حذف می کند:
- vcutil.dll
- hlfkt.dll
- phfkt.dll
- rdshost2.dll
- rdssrv2.exe
- dofckt.dll
- hdfkt.dll
- rdshost.dll
- rdssrv.exe
از نکات مثبت این ویروس، حذف برخی برنامه های مخرب نصب شده بر روی سیستم نظیر ضدویروسهای جعلی Antivirus 2009 است که در مسیرهای زیر به آنها اشاره شده است:
- HKLM\System\CurrentControlSet\Control\SafeBoot\Net work
- HKLM\System\CurrentControlSet\Control\SafeBoot\Min imal
- HKLM\System\CurrentControlSet\Services
- HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\W inlogon\Notify
- HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects
- HKLM\Software\Microsoft\Windows\CurrentVersion\She llServiceObjectDelayLoad
- HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings

بطور کلی ویروس BackDoor-DTN دارای قابلیتهای زیر است که نفوذگر می تواند از آنها سوءاستفاده کند:
- ارسال اطلاعات ذخیره شده بر روی سیستم (نظیر سایتهای مشاهده شده)
- سرقت اطلاعات کاربر از نرم افزارهایی نظیر Outlook و Google Talk
- گرفتن عکس از کارهای کاربر
- حذف و نصب برنامه ها
- از کار انداختن پروسه ها
- ذخیره کلیدهای زده شده بر روی صفحه کلید
- به روز کردن خود

[B]

[B]پيشگيري
به روز نگه داشتن ضدويروس و نصب تمامی اصلاحيه های سيستم عامل بخصوص اصلاحیه MS08-066 در کنار آگاه کردن کاربران در خصوص خطر کليک بر روی لينک های ناآشنا، همگی می توانند خطر آلوده شدن به اين ويـروس و يـا گونه های مشابه را به حداقل برسانند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5545 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

ويروس Exploit-MSExcel.r چيست ؟
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و از حفره امنيتی موجود در نرم افزار Microsoft Office Excel که در نگارشهای 2000، 2002، 2003، 2007، for Mac 2004/2008 و Excel Viewer 2003 کشف شده است، سوء استفاده می کند.

انتشار
ویروس Exploit-MSExcel.r به نفوذگر این امکان را می دهد تا از طریق حفـره امنيتی موجود در نرم افزار Microsoft Excel از راه دور اقدام به اجرای برنامه های مخرب کند. این ویروس بعد از باز شدن یک فایل XLS دستکاری شده، در حافظه قرار می گیرد و پس از آن نفوذگر می تواند کنترل دستگاه در دست گیرد.
شرکت مایکروسافت هنوز راه حلی برای پوشش این حفره امنیتی عرضه نکرده اما اعلام نموده است که به زودی اصلاحیه ای در این خصوص منتشر خواهد شد.

خرابکاری
اين ويروس پس از مقيم شدن در حافظه، فایلهای مخربی را بر روی کامپیوتر کپی می کند که توسط ضدویروس مک آفی با نام BackDoor-DUE شناسایی می شوند.

پيشگيري
به روز نگه داشتن ضدويروس و نصب تمامی اصلاحيه های سيستم عامل و نرم افزار Office (بصورت دستی، اتوماتيک و يا با استفاده از سرويس WSUS) در کنار آگاه کردن کاربران در خصوص خطر کليک بر روی لينک های ناآشنا، همگی می توانند خطر آلوده شدن به اين ويـروس و يـا گونه های مشابه را به حداقل برسانند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5534 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

ويروس W32/Virut.n چيست ؟
ويروسی با درجه خطر کم که در دسته ويروسهای "چندشکلی" (Polymorphic) قرار می گيرد. نفوذگر می تواند از اين ويروس به عنوان ابزاری برای نفوذ به شبکه استفاده کند.

انتشار

مشخصه مشترک تمام ويروسها، قابلیت "خودتکثيری" آنها است. برنامه هايی که دائماً در حال ايجاد نسخه هايی ديگر از خود هستند و سعی می کنند با اين روش، سيستمهای پيرامون خود را نيز آلوده کنند. ویروس Virut.n نوعی آلوده کننده فايل محسوب می شود. بدين ترتيب که دستورالعملهای اين ويروس به انتهای فايل اجرايی سالم چسبيده و در سرآيند (Header) فايل نيز، نشانی آغاز دستورالعملهای اجرايی تغيير کرده و آدرس اولين دستورالعمل ويروس جایگزین می شود. در انتهای دستورات ويروس، دستوری نیز برای انتقال به نشانی اصلی فایل گذاشته می شود. در اين صورت، وقتی دستور اجرای يک فايل آلوده داده می شود، ابتدا ويروس اجرا میگردد و سپس برنامه اصلی. بنابراين کاربر متوجه اجرای ويروس نمی گردد.

خرابکاری
به محض اجرا شدن ویروس، کد آلوده به پروسه Winlogon.exe تزریق شده و فایل مخرب در مسیر زیر ایجاد می شود:


WINDOWS\TEMP\VRT7.tmp
در ادامه فایل svchost آلوده جایگزین فایل svchost سالم که یکی از اصلی ترین فایلهای سیستم عامل است می شود و پس از کپی شدن فایلهای مخرب زیر در مسیر WINDOWS\System32، فایل VRT7.tmp که پیش از این توسط ویروس ایجاد شده بود حذف می گردد:


8.tmp


9.tmp
فایل 8.tmp حاوی اطلاعات جمع آوری شده از کامپیوتر قربانی می باشد در حالی که فایل 9.tmp بعد از اجرا شدن، عبارت زیر را به فایل hosts که در مسیر Windows\System32\drivers\etc قرار دارد اضافه می کند:


127.0.0.1 ZieF.pl
بدین ترتیب نشانی 127.0.0.1 که در حالت عادی نشانی خود دستگاه (localhost) می باشد، از این پس معادل سرویس دهنده مخرب ZieF.pl خواهد شد.
همچنین ویروس Virut.n با تزریق کد آلوده به فایل ntdll.dll کنترل توابع زیر را در اختیار می گیرد تا از این طریق، کد آلوده را به فایلهای اجرایی تزریق کند:


NtCreateFile


NtCreateProcess


NtCreateProcessEx


NtOpenFile


NtQueryInformationProcess
ضمن اینکه این ویروس توانایی آلوده کردن فایلهای HTML را نیز دارد و از همین راه می تواند کامپیوتر کاربرانی را که صفحات HTML آلوده را مشاهده می کنند، ویروسی کند.
در ادامه اين ويروس، کليدهای زير را در محضرخانه تعریف می کند:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\-


SharedAccess\Parameters\FirewallPolicy\StandardPro file\AuthorizedApplications\List


- HKEY_USER\SOFTWARE\Microsoft\Windows\CurrentVersio n\Explorer\UpdateHost
همچنین این ویروس با برقراری ارتباط با سرویس دهنده های زیر، دستورات جدید را از ویروس نویس (ها) دریافت می کند:


irc.zief.pl


proxim.ircgalaxy.pl
علاوه بر موارد فوق، ویروس Virut.n فایلهای مخرب بیشتری را از سرویس دهنده های زیر دریافت و در ادامه بر روی کامپیوتر قربانی اجرا می کند:


horobl.cn


goasi.cn


setdoc.cn


209.205.196.18


66.232.126.195


lorentil.cn
از دیگر خرابکاری های این ویروس، جمع آوری آدرسهای پست الکترونیکی از روی کامپیوتر آلوده و ارسال آنها به سرویس دهنده زیر برای سوءاستفاده های بعدی می باشد:


69.46.16.191
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط کارشناسان شرکت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، در کنـار آگـاه کـردن کاربران شبکه از خطرات کليک بر روی فايلهای ناآشنا در پوشه های به اشتراک گذاشته شده، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنين مشترکينی که از ضدويروس مک آفی با حداقل DAT 5528 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط کارشناسان شرکت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، در کنـار آگـاه کـردن کاربران شبکه از خطرات کليک بر روی فايلهای ناآشنا در پوشه های به اشتراک گذاشته شده، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنين مشترکينی که از ضدويروس مک آفی با حداقل DAT 5528 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

ويروس BackDoor-CEP چيست ؟
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و از آن به عنوان ابزاری برای نفوذ به شبکه توسط نفوذگران استفاده ميشود.
نامگذاری ها
اين ويروس با نامهای زير توسط ضدويروسهای مختلف شناسايی می شود:


Backdoor.Win32.Bifrose.a (Kaspersky & eScan)


Bck/Bifrose.AP (Panda)


Troj/Bckdr-CEP (Sophos)


W32/Bifrose.A (Norman)
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
ويروس BackDoor-CEP نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه قربانی ، انتشار می یابد. هرزنامه هايی که سعی می کنند کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل، که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
ويروس BackDoor-CEP در آخـريـن گـونـه خـود، بـا استفـاده از سوژه های اجتماعی و اخبار روز، کاربــر را تشویق به اجرای فایلی می کند که در ظاهر یک نوار ابزار (Toolbar) قانونی برای مرورگر اینترنت است اما در واقع فایل اصلی ویروس بوده و پس از اجرا شدن کامپیوتر کاربر را آلوده خواهد کرد.


خرابکاری
بـه مـحـض آلـوده شـدن کـامـپـيـوتـر بـه ايـن ويــروس، در مـسيــر زيـــر یــک فــایــل متنـی ایـجـاد شده و سپس این فـایـل تـوسـط نـرم افزار Notepad.exe باز می شود.


%USER_PROFILE%\Local Settings\Temp\Message
همچنین یک فایل مخرب در مسیر زیر ایجاد می شود (نام فایل مخرب در گونه های مختلف متفاوت گزارش شده است):


%WinDir%\system32\ali.exe
سپس، ويروس BackDoor-CEP، با تعريف کليدهای زير در محضرخانه، خود را در هر بار راه اندازی دستگاه، به سيستم عامل تزريق می کند:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\


{B6A807N6-42DF-4W02-93E5-B156B3FA8AL1}\StubPath: "%WinDir%\System32\ali.exe"


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce\


*andk: "%WinDir%\System32\ali.exe"


HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\andk:


"%WinDir%\System32\ali.exe"
از ديگر خرابکاری های اين ويروس، گرفتن عکس از پنجره های باز شده و ذخیره کلیدهای وارد شده توسط کاربر و ارسال این اطلاعات به سرویس دهنده ای است که ویروس نویس آنرا مشخص نموده است.

پيشگيري

به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده


Prevent common programs from running files from the Temp folder
و برای کامپيوترهای پرخطر، فعال کردن قاعده هاي


Prevent creation of new executable files in the Windows folder


Prevent creation of new executable files in the Program Files folder
در کنـار آگـاه کـردن کـاربـران شبکه از خطـرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنين مشترکينی که از ضدويروس مک آفی با حداقل DAT 5423 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

ويروس FakeAlert-IO چيست ؟
یک "اسب تروا" (Trojan) با درجه خطر کم می باشد و می تواند از طریق پیوند (link) هایی که در نتیجه جستجو در سایت Office.microsoft.com در اختیار کاربر گذاشته می شود، به کامپیوتر کاربر رخنه کند. نتایج نمایش داده شده، اکثراً مربوط به صفحات سایت مایکروسافت می باشند ولی این احتمال نیز وجود دارد که نتایج ارائه شده کاربر را به سایت های دیگر هدایت کند. سایت هایی که به سلامت آنها اطمینانی نیست.
انتشار :
در صورت استفاده از امکان Search در سایت Office.microsoft.com نتیجه جستجو شامل فهرستی از پیوندهایی خواهد بود که اکثراً مربوط به صفحات سایت مایکروسافت می باشند ولی این احتمال نیز وجود دارد که نتایج ارائه شده کاربر را به سایت های دیگر هدایت کند. سایت هایی که به سلامت آنها اطمینانی نیست. به ویژه اینکه نشانی این سایت های غیرمایکروسافتی با عبارت http://Office.microsoft.com شروع می شوند و احتمال خطای کاربر در باور اینکه سایت متعلق به مایکروسافت است، افزایش می یابد. حتی احتمال دارد که ابزارهای امنیتی نیز دچار چنین اشتباهی شده و به اینگونه سایت ها مجوز نمایش بدهند.
یکی از اینگونه سایت های جعلی که کاربر از این طریق به سایت هدایت می شود، نرم افزار جعلی و دروغین ضدویروس به کاربر پیشنهاد می دهد.
خرابكاري :
پس از آلوده شدن کامپيوتر و فعال شدن اسب تروا FakeAlert-IO، کلید زیر در Registry ایجاد می شود.

- HKEY_CURRENT_USER\Software\EVAE88
jhpbjhadeh = "<< <5"
mhdbdgkcogpf = ""
فایل زیر که حاوی برنامه اسب تروا است، بر روی کامپیوتر ایجاد می شوند.

- c:\tmp.[نام متغیر]
این اسب تروا با سایت زیر تماس برقرار کرده و اطلاعاتی را رد و بدل می کنند.

- download.cnet.com/windows/[Hidden]
- greatnorthwill.com/?mod=[Hidden]&i=[Hidden]&id[Hidden]
پيشگيري :
آگاه کردن کاربران از خطرات کليک بر روی لينک های ناآشنا، می تواند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند. همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5860 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

ويروس BackDoor.DOQ چيست ؟

یک "اسب تروا" (Trojan) با درجه خطر کم می باشد و توسط سایت های واقعی که به خاطر ضعف های امنیتی قابل رخنه بوده اند و آلوده شده اند، منتشر می شود. تنها نکته قابل توجه درباره این اسب تروا، ترکیب روش های مختلف نفوذ و آلودگی است.
انتشار
سایت های واقعی و پرطرفدار که دارای نقاط ضعف امنیتی هستند و قابل رخنه می باشند، توسط افراد خلافکار شناسائی شده و برنامه مخربی در صفحات اینگونه سایت ها قرار داده می شوند. در این گونه خاص ، از روش SQL Injection برای نفوذ به سایت ها استفاده می گردد.
تنها مشاهده این صفحات دستکاری شده کافی است تا برنامه مخرب بر روی کامپیوتر قربانی قرار گیرد. سپس، این برنامه اقدام به جستجوی نرم افزارهای کاربردی آسیب پذیر (مانند مرورگر، Office، Flash، Adobe Acrobat و ...) نموده و در صورت یافتن اقدام به سوء استفاده از آن برای نصب برنامه جاسوسی به نام BackDoor.Win3.Buzus.Croo می نماید. این برنامه جاسوسی اطلاعات شخصی کاربر را جمع آوری کرده و به سایت خاصی ارسال می کند.
خرابكارى
برنامه جاسوسی بر روی کامپیوتر قربانی بصورت یک سرویس سیستم عامل نصب و اجرا می گردد. بدین منظور کلیدهای زیر در Registry ایجاد می شود.


- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[file name]
در کلید فوق، File Name می تواند فایل مخربی با نام های متفاوت باشد.
همچنین اسب تروا backdoor.DOQ اقدام به ایجاد فایل های زیر می نماید.


- %DIR%\auto.exe
- %DIR%\AutoRun.inf
- %DIR%\Documents and Settings\[user]\Local Settings\Temp\~t11A.tmp
- %DIR%\Documents and Settings\[user]\Local Settings\Temp\~t219.tmp
- %DIR%\Documents and Settings\[user]\Local Settings\Temp\8458750.bat
- %DIR%\Documents and Settings\[user]\Local Settings\Temp\jxfqt.tmp
- %DIR%\Program Files\dnf.exe
- %DIR%\Program Files\Common Files\auto.exe
- %SYSDIR%\system32\imm32.dll.bak
- %SYSDIR%\system32\kb011164832.dll
- %SYSDIR%\system32\kb811164841.dll
- %SYSDIR%\system32\wmitpfs.dll
- %SYSDIR%\system32\wsconfig.db
- %SYSDIR%\system32\drivers\bmtpws31.dat
- %SYSDIR%\system32\drivers\Encionc_ch.dat
این اسب تروا با سایت های زیر ارتباط برقرار می کند.


- dns.win[removed].com.cn
- ver.win[removed].com.cn
- temp.cxx[removed].com.cn
پيشگيرى
آگاه کردن کاربران از خطرات نامه های الکترونیکی ناخواسته (هرزنامه یا SPAM) و کليک بر روی لينک های ناآشنا، می تواند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین علاوه بر سیستم های عامل، نصب آخرین اصلاحیه های امنیتی برای نرم افزارهای کاربردی مانند مرورگرها، Office، Adobe Acrobat و ... می تواند مانع بسیاری از حملات و نفوذ به کامپیوترها شود.
مشترکينی که از ضدويروس مک آفی با حداقل DAT 5830 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

ويروس Redirector.b چيست ؟
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و فقط بر روی مرورگر Firefox تاثیر می گذارد.
این ویروس نتایج به دست آمده در مرورگر Firefox را تغییر داده و به سایت های دیگر هدایت می کند.
انتشار
تاکنون نحوه دقیق انتشار اسب تروای Redirector.b شناسائی نشده ولی به احتمال زیاد توسط برخی برنامه های مخرب دیگر که اقدام به دریافت ویروسها از سایت های خاص و نصب و آنها بر روی کامپیوتر کاربران میکنند، منتشر میگردد.
فایل حاوی اسب تروای Redirector.b در فایلی بنام overlay.xul است. فایل همنامی نیز در مرورگر Firefox وجود دارد که ابزار مفیدی برای بسیاری از برنامه نویسان بشمار می آید. یک برنامه JavaScript در فایل overlay.xul که آلوده به این اسب تروا باشد، بطور ماهرانه ای مخفی شده است که به همراه فایل اصلی اجرا میگردد.
لذا تنها وجود فایل overlay.xul دلیل آلودگی نمی تواند باشد. فایل آلوده دارای حجم 7716 بایت است.
خرابكارى
هنگامی که نامهای جستجوگر در اینترنت نظیر Yahoo, Google و ... در مرورگر Firefox مورد استفاده قرار میگیرند، این اسب تروا وارد عمل شده و نتایج جستجوی صورت گرفته را دستکاری کرده و کاربر را به یک سایت خاص هدایت میکند.
فایل حاوی اسب تروای Redirector.b در فایلی بنام overlay.xul است. فایل همنامی نیز در مرورگر Firefox وجود دارد که ابزار مفیدی برای بسیاری از برنامه نویسان بشمار می آید. یک برنامه JavaScript در فایل overlay.xul که آلوده به این اسب تروا باشد، بطور زیرکانه ای مخفی شده است که به همراه فایل اصلی اجرا میگردد. فایل دستکاری شده overlay.xul بطرز ماهرانه ای ساخته شده است و در نگاه اول به محتوای فایل، چیز خاصی را نشان نمی دهد.
پيشگيرى
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگرهای مورد استفاده و همچنين استفاده از تنظيمات توصيه شده در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.

همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5836 استفاده می کنند از گزند اين ويروس در امان خواهند بود

ويروس FakeAlert-AntiVirusPro چيست ؟
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در Windows از نوع 32 بيتی فعال می گردد. این اسب تروا در شکل نرم افزارهای ضدویروس جعلی و دروغین، سعی در فریب کابران دارد. تنها تفاوتی که این ویروس با گونه های مشابه خود دارد، ابتکار بسیار جالب آن در استفاده از علامت سایت گوگل در صفحه اصلی گوگل برای فریب کاربران است.
انتشار
ویروس FakeAlert-AntiVirusPro که در خانواده "پيامهای جعلي" (Fake Alert) قرار می گيرد، با نمايش پيامهای هشدار غير واقعی مبنی بر آلوده بودن دستگاه، سعی در فریب کاربر دارد تا وی را وسوسه به خرید نرم افزار امنیتی جعلی نماید.
این ویروس با استفاده از از روش های خاص، نتایج جستجوی گوگل را دستکاری کرده و تغییر ميدهد. در روز سه شنبه 24 آذر که به مناسبت 150 سالگی تولد مخترع زبان اسپرانتو، علامت گوگل در صفحه اصلی آن تغییر داده شده و دارای پیوند به صفحات مرتبط با زبان اسپرانتو بود، نتایج نمایش داده شده، کاربر را به سایت های مخرب هدایت می کرد.
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سـالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
خرابكارى
این اسب تروا از طریق سایت های مختلف منتشر میشود. همچنین امکان دریافت این اسب تروا توسط دیگر ویروس ها و برنامه های مخرب نیز وجود دارد.
به محض آلوده شدن يک کامپيوتر به اين ويروس، نرم افزار ضدویروس دروغین و جعلی بر روی صفحه نمایش داده شده و در ظاهر شروع به کنترل درايوها و فايلها می کند. در نهايت با نشان دادن يک گزارش غير واقعی ادعا می کند دستگاه آلوده به ويروس است. سپس از کاربر خواسته می شود برای پاکسازی کامپیوتر خود، با ثبت کردن (Register) این نرم افزار ضدویروس و کنترل دستگاه با نسخه ثبت شده، از شر آلودگی کامپیوتر خود خلاص شود !
بر روی کامپیوتر آلوده، شاخه های زیر ایجاد می شوند.


- C:\Documents and Settings\Administrator\Application Data\Internet Antivirus Pro
- C:\Documents and Settings\Administrator\Application Data\Internet Antivirus Pro\db
- C:\Documents and Settings\All Users\Start Menu\Programs\Internet Antivirus Pro
- C:\Program Files\Internet Antivirus Pro
- C:\Program Files\Internet Antivirus Pro\db
- C:\Program Files\Internet Antivirus Pro\Languages
همچنین فایلهای زیر توسط ویروس بر روی کامپیوتر کپی می شوند.


- %Appdata%\Internet Antivirus Pro\db\config.cfg
- %Appdata%\Internet Antivirus Pro\db\Timeout.inf
- %Appdata%\Internet Antivirus Pro\db\Urls.inf
- %Appdata%\Microsoft\Internet Explorer\Quick Launch\Internet Antivirus Pro.lnk
- %Appdata%\Microsoft\Windows\winlogon.exe
- %AllUserProfile%\Desktop\Internet Antivirus Pro.lnk
- %AllUserProfile%\Start Menu\Programs\Internet Antivirus Pro\Internet Antivirus Pro Home Page.lnk
- %AllUserProfile%\Start Menu\Programs\Internet Antivirus Pro\Internet Antivirus ro.lnk
- %AllUserProfile%\Start Menu\Programs\Internet Antivirus Pro\Purchase License.lnk
- %AllUserProfile%\Start Menu\Programs\Internet Antivirus Pro\Uninstall Internet Antivirus Pro.lnk


- C:\Program Files\Common Files\118172char.exe
- C:\Program Files\Common Files\222507paint.exe
- C:\Program Files\Common Files\715805calc.exe
- C:\Program Files\Internet Antivirus Pro\activate.ico
- C:\Program Files\Internet Antivirus Pro\Explorer.ico
- C:\Program Files\Internet Antivirus Pro\IAPro.exe
- C:\Program Files\Internet Antivirus Pro\unins000.dat
- C:\Program Files\Internet Antivirus Pro\unins000.exe
- C:\Program Files\Internet Antivirus Pro\uninstall.ico
- C:\Program Files\Internet Antivirus Pro\working.log
- C:\Program Files\Internet Antivirus Pro\db\DBInfo.ver
- C:\Program Files\Internet Antivirus Pro\db\ia080614.db
- C:\Program Files\Internet Antivirus Pro\db\ia080618x.db
- C:\Program Files\Internet Antivirus Pro\db\ia091024r.db
- C:\Program Files\Internet Antivirus Pro\db\ia190908g.db
- C:\Program Files\Internet Antivirus Pro\db\lists.ini
- C:\Program Files\Internet Antivirus Pro\db\WMILib.dll
- C:\Program Files\Internet Antivirus Pro\Languages\IAEs.lng
- C:\Program Files\Internet Antivirus Pro\Languages\IAFr.lng
- C:\Program Files\Internet Antivirus Pro\Languages\IAGer.lng
- C:\Program Files\Internet Antivirus Pro\Languages\IAIt.lng
پيشگيرى
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5836 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

ويروس PWS-Zbot.ab چيست؟
یک "اسب تروا" (Trojan) با درجه خطر کم می باشد و بطور انبوه از طریق نامه های الکترونیکی جعلی که در ظاهر از یک سرویس دهنده پست الکترونیکی است، پخش می شود. ظاهر نامه نشان دهنده این است که بطور خودکار و به علت بروز مشکلی در ارسال نامه های کاربر، از سوی سرویس دهنده ای که نامه های کاربر را ارسال می نموده، فرستاده شده است.
انتشار:
در نامه های الکترونیکی جعلی که به کاربران ارسال می شود، یک پیوند (Link) وجود دارد. از کاربر خواسته می شود که برای مشاهده مشکل رخ داده در ارسال نامه های وی، بر روی پیوند کلیک کند. در صورت انجام اینکار، کاربر به سایتی هدایت می شود که دارای عنوان OutLook Web Access است و در ظاهر بنظر می رسد که یکی از صفحات سایت مایکروسافت است. در این صفحه از کاربر خواسته شده تا برای بروز کردن سیستم پست الکترونیکی خود، اصلاحیه ای را دریافت و بر روی کامپیوتر خود نصب کند. ولی در حقیقت، تنها چیزی که بر روی کامپیوتر قربانی نصب خواهد شد، اسب تروای PWS-Zbot.ab است.
خرابكاري :
پس از آلوده شدن کامپيوتر و فعال شدن اسب تروا PWS.Zbot.ab، فایل های زیر بر روی کامپیوتر ایجاد می شوند.


- %system%\sdra64.exe -copy of itself
- %system%\lowsec\local.ds - information files
- %system%\lowsec\user.ds
- %system%\lowsec\user.ds.lll
همچنین شاخه مخفی زیر ایجاد می شود.


- %System%\lowsec
کلیدهای زیر در Registry ساخته می شوند.


- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Explorer\{334613DB-50C1-B3BE-95ED-E9915A134FF1}
- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Explorer\{4776C4DC-E894-7C06-2148-5D73CEF5F905}
- HKEY_USERS\S-1-5-19\Software\Microsoft\Windows NT\CurrentVersion\Network "UID" "computer name_B4DF7611864C7708"
- HKEY_USERS\.DEFAULT\Software\Microsoft\Protected Storage System Provider
کلید زیر نیز دستکاری شده و تغییر داده می شود.


- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Userinit"
"C:\WINDOWS\system32\userinit.exe," "C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\sdra64.exe,"
اسب تروا PWS-Zbot.ab با سایت زیر تماس برقرار کرده و اطلاعاتی را رد و بدل می کنند.


- http://nekoxxx.ru/cbd/nexxxx.bri
پيشگيري:
آگاه کردن کاربران از خطرات نامه های الکترونیکی ناخواسته (هرزنامه یا SPAM) و کليک بر روی لينک های ناآشنا، می تواند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5858 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

ويروس FakeAlert-IO چيست ؟
یک "اسب تروا" (Trojan) با درجه خطر کم می باشد و می تواند از طریق پیوند (link) هایی که در نتیجه جستجو در سایت Office.microsoft.com در اختیار کاربر گذاشته می شود، به کامپیوتر کاربر رخنه کند. نتایج نمایش داده شده، اکثراً مربوط به صفحات سایت مایکروسافت می باشند ولی این احتمال نیز وجود دارد که نتایج ارائه شده کاربر را به سایت های دیگر هدایت کند. سایت هایی که به سلامت آنها اطمینانی نیست.
انتشار :
در صورت استفاده از امکان Search در سایت Office.microsoft.com نتیجه جستجو شامل فهرستی از پیوندهایی خواهد بود که اکثراً مربوط به صفحات سایت مایکروسافت می باشند ولی این احتمال نیز وجود دارد که نتایج ارائه شده کاربر را به سایت های دیگر هدایت کند. سایت هایی که به سلامت آنها اطمینانی نیست. به ویژه اینکه نشانی این سایت های غیرمایکروسافتی با عبارت http://Office.microsoft.com شروع می شوند و احتمال خطای کاربر در باور اینکه سایت متعلق به مایکروسافت است، افزایش می یابد. حتی احتمال دارد که ابزارهای امنیتی نیز دچار چنین اشتباهی شده و به اینگونه سایت ها مجوز نمایش بدهند.
یکی از اینگونه سایت های جعلی که کاربر از این طریق به سایت هدایت می شود، نرم افزار جعلی و دروغین ضدویروس به کاربر پیشنهاد می دهد.
خرابكاري :
پس از آلوده شدن کامپيوتر و فعال شدن اسب تروا FakeAlert-IO، کلید زیر در Registry ایجاد می شود.

- HKEY_CURRENT_USER\Software\EVAE88
jhpbjhadeh = "<< <5"
mhdbdgkcogpf = ""
فایل زیر که حاوی برنامه اسب تروا است، بر روی کامپیوتر ایجاد می شوند.

- c:\tmp.[نام متغیر]
این اسب تروا با سایت زیر تماس برقرار کرده و اطلاعاتی را رد و بدل می کنند.

- download.cnet.com/windows/[Hidden]
- greatnorthwill.com/?mod=[Hidden]&i=[Hidden]&id[Hidden]
پيشگيري :
آگاه کردن کاربران از خطرات کليک بر روی لينک های ناآشنا، می تواند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند. همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5860 استفاده می کنند از گزند اين ويروس در امان خواهند بود.




ويروس BackDoor.DOQ چيست ؟
یک "اسب تروا" (Trojan) با درجه خطر کم می باشد و توسط سایت های واقعی که به خاطر ضعف های امنیتی قابل رخنه بوده اند و آلوده شده اند، منتشر می شود. تنها نکته قابل توجه درباره این اسب تروا، ترکیب روش های مختلف نفوذ و آلودگی است.
انتشار
سایت های واقعی و پرطرفدار که دارای نقاط ضعف امنیتی هستند و قابل رخنه می باشند، توسط افراد خلافکار شناسائی شده و برنامه مخربی در صفحات اینگونه سایت ها قرار داده می شوند. در این گونه خاص ، از روش SQL Injection برای نفوذ به سایت ها استفاده می گردد.
تنها مشاهده این صفحات دستکاری شده کافی است تا برنامه مخرب بر روی کامپیوتر قربانی قرار گیرد. سپس، این برنامه اقدام به جستجوی نرم افزارهای کاربردی آسیب پذیر (مانند مرورگر، Office، Flash، Adobe Acrobat و ...) نموده و در صورت یافتن اقدام به سوء استفاده از آن برای نصب برنامه جاسوسی به نام BackDoor.Win3.Buzus.Croo می نماید. این برنامه جاسوسی اطلاعات شخصی کاربر را جمع آوری کرده و به سایت خاصی ارسال می کند.
خرابكارى
برنامه جاسوسی بر روی کامپیوتر قربانی بصورت یک سرویس سیستم عامل نصب و اجرا می گردد. بدین منظور کلیدهای زیر در Registry ایجاد می شود.


- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[file name]
در کلید فوق، File Name می تواند فایل مخربی با نام های متفاوت باشد.
همچنین اسب تروا backdoor.DOQ اقدام به ایجاد فایل های زیر می نماید.


- %DIR%\auto.exe
- %DIR%\AutoRun.inf
- %DIR%\Documents and Settings\[user]\Local Settings\Temp\~t11A.tmp
- %DIR%\Documents and Settings\[user]\Local Settings\Temp\~t219.tmp
- %DIR%\Documents and Settings\[user]\Local Settings\Temp\8458750.bat
- %DIR%\Documents and Settings\[user]\Local Settings\Temp\jxfqt.tmp
- %DIR%\Program Files\dnf.exe
- %DIR%\Program Files\Common Files\auto.exe
- %SYSDIR%\system32\imm32.dll.bak
- %SYSDIR%\system32\kb011164832.dll
- %SYSDIR%\system32\kb811164841.dll
- %SYSDIR%\system32\wmitpfs.dll
- %SYSDIR%\system32\wsconfig.db
- %SYSDIR%\system32\drivers\bmtpws31.dat
- %SYSDIR%\system32\drivers\Encionc_ch.dat
این اسب تروا با سایت های زیر ارتباط برقرار می کند.


- dns.win[removed].com.cn
- ver.win[removed].com.cn
- temp.cxx[removed].com.cn
پيشگيرى
آگاه کردن کاربران از خطرات نامه های الکترونیکی ناخواسته (هرزنامه یا SPAM) و کليک بر روی لينک های ناآشنا، می تواند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین علاوه بر سیستم های عامل، نصب آخرین اصلاحیه های امنیتی برای نرم افزارهای کاربردی مانند مرورگرها، Office، Adobe Acrobat و ... می تواند مانع بسیاری از حملات و نفوذ به کامپیوترها شود.
مشترکينی که از ضدويروس مک آفی با حداقل DAT 5830 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

ويروس Rootkit.dt.dr چيست ؟
یک "اسب تروا" (Trojan) با درجه خطر کم می باشد و وظیفه نصب دیگر برنامه های مخرب را بر عهده دارد. تنها نکته قابل توجه درباره این اسب تروا، نوع برنامه مخربی است که بر روی کاپیوتر قربانی قرار می دهد. این برنامه مخرب از نوع Rootkit است که در سطح است که در سطح Kernel سیستم عامل فعالیت میکند.

انتشار
اسب تروا Rootkit.dt.dr وظیفه قرار دادن و فعال کردن دیگر برنامه های مخرب را بر روی کامپیوتر قربانی دارد. این اسب تروا نیز مانند دیگر اسب های تروا قابلیت تکثیر نداشته و تنها با دخالت کاربر می تواند فعال شده و باعث آلودگی گردد.
خرابكاري
به محض اجرای فایل حاوی اسب تروا Rootkit.dt.dr فایلهای زیر بر روی کامپیوتر قربانی ایجاد می گردد.


- %Temp%\[Random file name].bat [Non malicious batch file]
- %System%\drivers\[Random file name].sys [Detected as Generic Rootkit.dt]
فایلی که دارای پسوند .sys است از قابلیت های مخرب گروه Rootkit بهره مند است. ازجمله قابلیت مخفی سازی خود از دید ابزارهای امنیتی و یا امکان غیرفعال شدن هوشمند، در صورت تشخیص اینکه تحت نظر قرار گرفته است. همچنین این فایل مخرب برخلاف دیگر فایلهای مخرب رایج، مستقیماً از سطح Kernel سیستم عامل اجرا می گردد.
بعلاوه، اسب تروا Rootkit.dt.dr دستورات جدیدی را به Registry اضافه می کند تا در هر بار راه اندازی کامپیوتر، مجدداً فعال گردد.


- HKEY_Local_Machine\System\CurrentControlSet\Servic es\zacypxeepnjv7
ImagePath = "%System%\Drivers\[Random file name].sys"
DisplayName = "[Random filename]"

پيشگيري
آگاه کردن کاربران از خطرات نامه های الکترونیکی ناخواسته (هرزنامه یا SPAM) و کليک بر روی لينک های ناآشنا، می تواند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5799 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

ویروس Opachki.a چیست ؟
یک "اسب تروا" (Trojan) با درجه خطر کم می باشد و توسط دیگر برنامه های مخرب منتشر می شود. تنها نکته قابل توجه درباره این اسب تروا، اقدام شیطنت آمیز او در حذف امکان اجرای سیستم عامل در حالت Safe Mode است.

انتشار
اسب تروا Opachki توسط دیگر برنامه های مخرب (از گروه Dropper) از سایت های خاصی دریافت می شود و بر روی کامپیوتر قربانی قرار می گیرد. این اسب تروا نیز مانند دیگر اسب های تروا قابلیت تکثیر نداشته و تنها با دخالت کاربر می تواند فعال شده و باعث آلودگی گردد.
خرابکاری
پس از آلوده شدن کامپیوتر، اسب تروا اقدام به ایجاد فایل های زیر می نماید.
- %UserProfile%\ntuser.dll
- %UserProfile%\local settings\temp\rundll32.dll
- %UserProfile%\Start Menu\Programs\Startup\scandisk.dll
- %UserProfile%\start menu\programs\startup\scandisk.lnk
- %SystemDir%\calc.dll
همچنین دستورات جدیدی به Registry اضافه می شود تا در هر بار راه اندازی کامپیوتر، ویروس مجدداً فعال گردد.
- HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Runcalc = rundll32.exe %USERPROFILE%\ntuser.dll,_IWMPEvents@0
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Runcalc = rundll32.exe %SystemDir%\calc.dll,_IWMPEvents@0
اسب تروا Opachki.a در یک اقدام شیطنت آمیز، دستور اجرای سیستم عامل در حالت Safe Mode را از Registry حذف میکند تا بدین ترتیب امکان پاکسازی او برای کاربر دشوارتر گردد.

پیشگیری
آگاه کردن کاربران از خطرات نامه های الکترونیکی ناخواسته (هرزنامه یا SPAM) و کلیک بر روی لینک های ناآشنا، می تواند خطر آلوده شدن به این ویروس و یا گونه های مشابه را به حداقل برساند.
همچنین مشترکینی که از ضدویروس مک آفی با حداقل DAT 5793 استفاده می کنند از گزند این ویروس در امان خواهند بود.

ويروس FFSearcher چيست ؟
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در Windows از نوع 32 بيتی فعال می گردد. اولين نمونه اين ويروس در ماه جاری (تیر 88) مشاهده شده است.
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سـالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است .
انتشار ويروس FFSearcher نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
خرابکاری

به محض آلوده شدن يک کامپيوتر به اين ويروس، فایل مخرب netcfgx.dll در پوشه سیستمی سیستم عامل کپی شده و کد مخرب svchost.exe تزریق می شود.
در ادامه فایلهای آلوده در مسيرهای زير ایجاد و بعنوان راه انداز (Driver) در هر بار راه اندازی اجرا می شوند:


%windows%\win32k.sys:1
%windows%\win32k.sys:2
ضمن اینکه با تعريف کليد زير در محضرخانه نیز، خود را در هر بار راه اندازی دستگاه، به سيستم عامل تزريق می کند:


HKEY_CLASSES_ROOT\CLSID\{5B035261-40F9-11D1-AAEC-00805FC1270E}\InProcServer32 "(Default)"=%system%\netcfgx.dll:Zone.Identifier
همچنین ويروس FFSearcher با متصل شدن به سرویس دهنده wxtr 812.com تنظیمات جدید ویروس را دریافت و آنها را در فایل زیر ذخیره می کند:


%Documents and Settings%\All Users\Documents\gifnoc.xtx
پس از آن هر زمان که کاربر به جستجو در سایت گوگل بپردازد نتایج آن با استفاده از فایل بالا دستکاری شده و کاربر به سمت سایتهای مخرب هدايت مي شوند.
از خرابکاری های دیگر این ویروس، سوءاستفاده از بخش Google Custom Search شرکت گوگل است. این ابزار که از طریق آن مدیران شبکه می توانند با قرار دادن تبلیغات سایت گوگل در سایت خود به ازای هر کلیک بیننده مبلغی را از شرکت گوگل دریافت کنند با استفاده از این ویروس بنحوی تغییر داده می شود که با مراجعه کاربر به صفحات اینترنتی تبلیغات مربوط به Google Custom Search نفوذگر ظاهر شود و کلیکهای کاربری که از پشت دستگاه آلوده صفحات اینترنتی را مرور می کند سبب می شود پول بیشتری به حساب نفوذگر واریز شود!

پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينکهای ناآشنا همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5665 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

ويروس W32/Mydoom.cf چيست ؟
ويروسی با درجه خطر کم که عملکرد "کرم" (Worm) داشته و در سيستم عامل Windows از نوع 32 بيتی فعال می گردد. اولين نمونه ويروس W32/Mydoom.cf، در ماه جاری (تیر 88) مشاهده شده است.

انتشار
در صورت اجرای فايل آلوده بر روی دستگاه، فايلی بنام autorun.inf توسط ويروس در ريشه درايوهای ديسک سخت (درايوهای C و D و ...) و ابزارهای ذخيره سازی USB (در صورت وجود) ايجاد می شود. درون اين فايل، نام فايل اجرايی ويروس مانند wmcfg.exe (در آخرين گونه مشاهده شده) آورده شده است. کامپيوتر آلوده می تواند هر ديسک USB را نيز که به آن کامپيوتر وصل می شود، آلوده سازد. همچنين اين ويروس از طريق پوشه های به اشتراک گذاشته شده بر روی شبکه نيز اقدام به تکثير خود می کند.
بسياری از گونه های اين ويروس با کپی کردن خود در شاخه های اشتراکی (Share) ساير دستگاه های شبکه، آنها را هم در معرض آلودگی قرار می دهد. به اين صورت که اگر درايو C دستگاهی در شبکه برای کامپيوتر آلوده قابل دسترسی باشد، کافی است دو فايل autorun.inf و wmcfg.exe در ريشه آن کپی شود تا بعد از راه اندازی دستگاه، کاربر با دوبار کليک کردن بر روی درايو C آلوده شود.

خرابکاری
بمحض اجرا شدن، فايلهای مخرب در مسيرهای زير ذخيره می شوند:


%WinDir%\system32\[random character].nls
%WinDir%\system32\wmcfg.exe
%WinDir%\system32\wmiconf.dll
فایل اول با نام W32/Mydoom!txt، فایل دوم با نام W32/Mydoom.cf و فایل سوم با نام W32/Mydoom.cf.dll توسط ضدویروس مک آفی می شود.
پس از آن، این ویروس، فایلهای زیر را بمنظور برقرار کردن ارتباطات شبکه ای و در ادامه انتشار خود بر روی دستگاه های دیگر کپی می کند:


%WinDir%\system32\drivers\npf.sys
%WinDir%\system32\Packet.dll
%WinDir%\system32\WanPacket.dll
%WinDir%\system32\npptools.dll
%WinDir%\system32\packet.dll
%WinDir%\system32\WanPacket.dll
%WinDir%\system32\wpcap.dl
همچنين ويروس W32/Mydoom.cf، کليدهای زير را در محضرخانه ايجاد می کند.


HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\FileExts\.ex_
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\FileExts\.ex_\OpenWithList
HKEY_CLASSES_ROOT\CLSID\{425882B0-B0BF-11CE-B59F-00AA006CB37D}
HKEY_CLASSES_ROOT\CLSID\{425882B0-B0BF-11CE-B59F-00AA006CB37D}\InProcServer32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_NM
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_NM\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_NM\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_NPF
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_NPF\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_NPF\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\n m\Enum
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\N PF\Enum
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\W miConfig
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\W miConfig\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\W miConfig\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\nm\Enum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\NPF\Enum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WmiConfig
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WmiConfig\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WmiConfig\Security
این ویروس برای اجرا شدن اتوماتیک فایلها و کلیدهای مخربی که در بالا به آنها اشاره شد کلیدهای زیر را نیز در محضرخانه کپی می کند:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WmiConfig "Description"
Data: Configures and manages performance library information from WMI HiPerf providers.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WmiConfig "DisplayName"
Data: WMI Performance Configuration
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WmiConfig "ErrorControl"
Data: [Value]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WmiConfig "ImagePath"
Data: %SystemRoot%\system32\svchost.exe -k wmiconf
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WmiConfig "ObjectName"
Data: LocalSystem
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WmiConfig "Start"
Data: [Value]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WmiConfig "Type"
Data: [Value]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WmiConfig\Parameters "ServiceDll"
Data: %WinDir%\System32\wmiconf.dll
l از دیگر خرابکاری های این ویروس برقراری ارتباط با سرویس دهنده های زیر برای دریافت فایلهای مخرب بیشتر می باشد:
213.33.[Removed]
216.199.[Removed]
213.023.[Removed]

پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص اصلاحیه MS08-067 و همچنين استفاده از تنظيمات توصيه شده توسط کارشناسان شرکت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده
USB
و برای کامپيوترهای پرخطر، فعال کردن قاعده های
Prevent creation of new executable files in the Windows folder
Prevent creation of new executable files in the Program Files folder
همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنين مشترکينی که از ضدويروس مک آفی با حداقل DAT 5671 استفاده می کنند و سیستم عاملشان به اصلاحیه MS08-067 مجهز است از گزند اين ويروس در امان خواهند بود.

ويروس FakeAlert-MalDef چيست ؟
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در Windows از نوع 32 بيتی فعال می گردد. این ویروس اقدام به دریافت برنامه های مخرب دیگر و نصب آنها بر روی کامپیوتر قربانی میکند.

انتشار
ویروس FakeAlert-MalDef که در خانواده "پيامهای جعلي" (Fake Alert) قرار می گيرد، با نشان دادن پيامهای هشدار غير واقعی مبنی لزوم نصب نرم افزارهای جانبی جهت نمایش فایلهای تصویری، کاربر را به صفحات اينترنتی که در ظاهر حاوی این نرم افزارهای جانبی و ضروری هستند، اما در واقع خود برنامه هایی مخرب محسوب می شوند، هدايت می کند.
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سـالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
ويروس FakeAlert-DA نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه قربانی، انتشار می یابد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.

خرابکاری

این اسب تروا از طریق سایت زیر منتشر میگردد:


hxxp://video.report-{blocked}/Erin_Andrews_Peephole_Video
به محض مراجعه به این سایت، پیام هشداری به نمایش در می آید و از کاربر می خواهد که ابزار کمکی را برای مشاهده فایلهای تصویری بر روی این سایت، دریافت و نصب نماید. در صورت پاسخ مثبت کاربر به این هشدار، فایل مخربی زیر دریافت می شود:


hxxp://newfileexe.com/streamvie{blocked}.exe
با اجرا شدن این فایل دریافت شده، فایل های زیر نیز به نوبت دریافت شده و بر روی کامپیوتر قربانی قرار می گیرند.


hxxp://isyouimageshere.com/item/2b647e4{blocked}/titem.gif
hxxp://imgesinstudioonline.com/perce/2b140e{blocked}/qwerce.gif
hxxp://yourimagesstudio.com/werber/{blocked}/217.gif
گرچه این فایلها دارای قالب تصویری (gif) می باشند، ولی حاوی برنامه های اجرایی (exe) رمزگداری شده و مخربی هستند که تحت نام FakeAlert-EL شناسائی می گردند.
اسب تروا FakeAlert-DA پس از دریافت این سه فایل، آنها را اجرا کرده و فایلهای اجرایی دورن آنها را استخراج و در شاخه موقت Windows تحت نام های زیر قرار می دهد.


%Temp%\a.exe
%Temp%\b.exe
%Temp%\c.exe

پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، به خصوص بسته امنيتی (Service Pack) شماره 3 سيستم عامل Windows XP و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينک های ناآشنا همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5687 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

ويروس Proxy-Agent.af.dr چيست ؟
Dat براي شناسايي 5343
ويروسی با درجه خطر کم که در دسته "دريافت کننده های فايل مخرب" (Dropper) جای می گيرد. اولين نمونه آن در اسفند هشتاد و شش مشاهده شده و از آن زمان تاکنون، گونه های متعددی از Agent.af.dr با حجمهای مختلف ايجاد شده است.

انتشار
آخرين نمونه اين ويروس، سايتهای دولتی کشورهای مختلف را هدف قرار داده و با تزريق خود به اين سايتها، کاربران آنها را نيز آلوده می کند. شکل زير سايت رسمی شهر سانفرانسيسکو را نشان می دهد که اسکريپت آلوده به آن تزريق شده است. (در حال حاضر کد آلوده بر روی صفحات اين سايت وجود ندارد، تصوير زير از کاشه Yahoo برداشت شده است.)
خرابکاری
به محض آلوده شدن يک کامپيوتر به اين ويروس، در مسيرهای زير فايلهای مخرب کپی می شوند:
- %Temp%\ _check32.bat
- %Windir%\s32.txt
- %Windir%\gs32.txt
- %Windir%\db32.txt
- %Windir%\ws386.ini
- %System%\aspimgr.exe

فايلهای متنی (.txt)، تنظيمات ويروس را در خود دارند. اين فايلها می بايست بصورت دستی حذف گردند.
Agent.af.dr با برقراری ارتباط با سرويس دهنده های آلوده، فايلهای مخرب ديگری که عمدتاً ويروسهای Proxy-Agent.af و Proxy-Agent.af.gen هستند را نيز دريافت و بر روی کامپيوتر قربانی اجرا می کند.
همچنين اين ويروس اقدام به دستکاری کليدهای زير در محضرخانه می کند:

- Hkey_Local_Machine\System\CurrentControlSet\Servic es\aspimgr Data: Image Path “%Windir%\aspimgr.exe”

- Hkey_Local_Machine\Software\Microsoft\Sft

پيشگيری
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص بسته امنيتی (Service Pack) شماره 3 سيستم عامل Windows XP و آگاه کردن کاربران در خصوص خطر کليک بر روی لينکهای ناآشنا، همگی می توانند خطر آلوده شدن به اين ويـروس و يـا گونه های مشابه را به حداقل برسانند.

Dat براي شناسايي 5356
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در سیستم های عامل Windows از نوع 32 بيتی فعال می گردد
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويـروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ويروس FakeAlert-AB نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها که بخصوص سيستم عامل، دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
FakeAlert-AB که در خانواده "پيامهای جعلي" (Fake Alert) قرار می گيرد، با نمايش پيامهای هشدار غيرواقعی مبنی بر آلوده بودن دستگاه، کاربر را به صفحات اينترنتی ای که در ظاهر حاوی يک برنامه ضدجاسوسی (AntiSpy) هستند، اما در واقع خود برنامه ای مخرب محسوب می شوند، هدايت می کند.

خرابكاري
به محض اجرا شدن فايل scui.cpl در پوشه سيستمی کامپیوتر کپی می شود. در ادامه، کليدهای متعددی در مسير زیر در محضرخانه ايجاد می گردد.


HKEY_CURRENT_USER\Software\(random hex strings)\Options

اين ويروس با نمايش يك پنجره بر روی نشانی که در نوار ابزار Windows قرار گرفته، به کاربر اينطور القا می کند که کامپيوترش به يک برنامه جاسوسی خطرناک آلوده شده است.
پيامهای اين پنجره در گونه های مختلف اين ويروس متفاوت گزارش شده است.
سپس پنجره ضدويروس جعلی به نام XP ظاهر شده و شروع به اسکن درايوها و فايلها می کند. در نهايت با نشان دادن يک گزارش غيرواقعی ادعا می کند دستگاه، آلوده به ويروس بوده و تنها راه پاکسازی آن، ثبت کردن (Register) نرم افزار جعلی XP Antivirus 2008 و اسکن دستگاه با نسخه ثبت شده آن است!
پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص بسته امنيتی (Service Pack) شماره 3 سيستم عامل Windows XP و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در بخش Access Protection ضدويروس McAfee (نظير فعال کردن قاعده Protect Internet Explorer favorites and settings) در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينکهای ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.

Dat برای شناسایی 5361
ویروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و از آن بعنوان ابزاری برای نفوذ به شبکه توسط نفوذگران استفاده می گردد.
انتشار
اسب های تروا برنامه هایی هستند که بعنوان یک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دیر یا زود گریبانش را می گیرد. اسب های تروا بر خلاف گونه های دیگر ویروس ها که ممکن است به یک فایل اجـرایی سالم بچسبند یا درون بخش راه انداز یک دیسک جا بگیرند، موجودیت مستقلی داشته و در هنگام پاکسازی تنها حذف فایل آن لازم است.
انتشار ویروس BackDoor-DNM نیز همانند سایر اسب های تروا با دریافت آن از اینترنت و اجرا بر روی دستگاه صورت می پذیرد. هرزنامه هایی که سعی می کنند که کاربر را تشویق به دریافت این اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار این اسب تروا هستند. بعلاوه ممکن است کامپیوترهایی که دارای نام کاربری رایج و رمز عبور ضعیف هستند و یا نرم افزارهای نصب شده بر روی آنها، بخصوص سیستم عامل که دارای حفره های امنیتی هستند، این اسب تروا را دریافت کنند.
آخریـن گونـه ویروس BackDoor-DNM از روشهای "مهندسـی اجتماعی" (Social Engineering) استفاده می کند. بدین ترتیب که با ارسال پیام هایی که در عنوان آنها از نام بازیگران مشهور استفاده شده است، کاربر را تشویق به کلیک بر روی لینک جعلی "Download and Watch" می کند. با کلیک کاربر بر روی لینک مربوطه کامپیوتر آلوده خواهد شد.
خرابکاری
به محض اجرا شدن ویروس، فایل CbEvtSvc.exe در پوشه سیستمی سیستم عامل کپی می شود.
همچنین این ویروس، با دستکاری کلیدهایی در محضرخانه، خود را در هر بار راه اندازی دستگاه، به سیستم عامل تزریق می کند.
از دیگر خـرابکـاری هـای ایـن ویـروس، بـرقـراری ارتبـاط بـا سرویس دهنده های زیـر در بازه های زمانی 30 دقیقه ای، به منظور دریافت فایلهای مخرب بیشتر می باشد:


- http://digitaltreath.info/a[REMOVED].exe

- http://207.10.234.217/ldrctl/user/2[REMOVED].exe

- http://digitaltreath.info/d[REMOVED].exe
پیشگیری
به روز نگـه داشـتـن ضـد ویــروس، نصب آخـریـن اصلاحیـه هـای سیستم عامل، بخصوص بسته امنیتی (Service Pack) شماره 3 سیستم عـامـل Windows XP و همچنین استـفـاده از تـنـظیـمـات تـوصـیـه شـده تـوسط کـارشـنــاسـان شـرکت مـهـنــدسی شبکه گستـر در بــخــش Access Protection ضــد ویـــروس McAfee (نــظـیــر فــعــال کـــردن قــــاعــــده Prevent common programs from running files from the Temp folder) در کنار آگاه کردن کاربران شبکه از خطرات کلیک بر روی لینک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به این ویروس و یا گونه های مشابه را به حداقل برساند.

Dat برای شناسایی 5372
ویروسی است بـا درجـه خطـر کم کـه عملکـرد "اسب تـروا" (Trojan) داشتـه و در دسته دریافت کننده های فایلهای مخرب ( Dropper) جای می گیرد
انتشار
در آخرین گونه این ویروس، فایل آلوده بصورت پیوست هرزنامه (Spam) و با سوء استفاده از سوژه های مختلف عاطفی، سیاسی و اجتماعی، انتشار یافته است. این هرزنامه با عنوان "ما کودک شما را ربوده ایم" ادعا می کند در ازای پرداخت 50 هزار دلار کودک شما صحیح و سالم آزاد خواهد شد! در گونه اخیر جهت تشویق کاربر به اجرای فایل آلوده که پیوست هرزنامه است، عنوان آنرا photo.zip قرار داده است که در صورت اجرا شدن، کامپیوتر آلوده خواهد شد.
خرابکاری
این ویروس فایلهای مخرب زیر را در این مسیرها کپی می کند:

%CommonAppData%\Microsoft\Network\Downloader\qmgr0 .dat

- %CommonAppData%\Microsoft\Network\Downloader\qmgr1 .dat

- %Temp%\D2.tmp

- %Temp%\D4.tmp

- %Temp%\LOADER.1312D7D.EXE
از دیگر خرابکاری های این ویروس، برقراری ارتباط با سرویس دهنده زیر، با استفاده از سرویس MS Background Intelligent Transfer Service به منظور دریـافـت فـایلهـای مخـرب بیشتـر می باشد:

- reddii.org
پیشگیری
به روز نگه داشتن ضدویروس، نصب آخرین اصلاحیه های سیستم عامل، بخصوص بسته امنیتی (Service Pack) شماره 3 سیستم عامل Windows XP، پرهیز از بکارگیری رمزهای ضعیف و همچنین استفاده از تنظیمات توصیه شده توسط کارشناسان شرکت مهندسی شبـکه گستـر در بخش Access Protection ضـد ویـروس McAfee، نظیر فعـال کـردن قاعده های

- Prevent common programs from running files from the Temp folder
و برای کامپیوترهای پرخطر، فعال کردن قاعده های
- Prevent creation of new executable files in the Windows folder
- Prevent creation of new executable files in the Program Files folder
در کنـار آگـاه کـردن کاربران شبکه از خطرات کلیک بر روی لینک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به این ویروس و یا گونه های مشابه را به حداقل برساند

Dat براي شناسايي 5383
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و اقدام به دزديدن نامهای کاربری و رمزهای مربوط به حسابهای بانکی ذخيره شده بر روی کامپيوتر قربانی می کند.
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يـا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ويروس PWS-Banker نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
در آخرين نمونه مشاهده شده، اين ويروس از يک شبکه اجتماعی (Social Networking) به نام Twitter برای تکثير خود استفاده کرده است. بدين ترتيب که با قرار دادن يک لينک جعلی در اطلاعات يک شخصیت ساختگی، کاربر را تشويق به کليک بر روی آن می کند. با کليک بر روی لينک، پيغام جعلی ديگری نمايش داده شده و از کاربر می خواهد برای مشـاهده تصاويری، نرم افزار Flash خـود را به روز کند. اين پيــام جعلی در نهـايت کـاربـر را بـه دريـافت ويــروس PWS-Banker هدايت می کند.
خرابكاري
اين ويروس فايل مخرب زير را در اين مسير کپی می کند:


%windir%\system32\ lsd_f3.dll
در ادامه، اين ويروس، با دستکاری کليد زير در محضرخانه، خود را در هر بار راه اندازی دستگاه، به سيستم عامل تزريق می کند:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro l\MPRServices\TestService "DllName" = lsd_f3.dll
ويروس PWS-Banker با جستجوی در درايوهای ديسک سخت، نامهای کاربری و رمزهای عبور مربوط به حسابهای بانکی ذخيره شده بر روی کامپيوتر قربانی را به سايتی که ويروس نويس آنرا مشخص ساخته است، ارسال می کند.
همچنين ويروس PWS-Banker پس برقراری ارتباط با یک سرويس دهنده خاص، فايلهای مخرب ديگری را نيز دريافت می کند.

پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص بسته امنيتی (Service Pack) شماره 3 سيستم عامل Windows XP، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده های


Prevent common programs from running files from the Temp folder

و برای کامپيوترهای پرخطر، فعال کردن قاعده های


Prevent creation of new executable files in the Windows folder


Prevent creation of new executable files in the Program Files folder
در کنـار آگـاه کـردن کاربران شبکه از خطرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.

Dat براي شناسايي 5384
ويـروسـی بـا درجـه خطـر کـم کـه عملکـرد "اسب تــروا" (Trojan) داشتـه و در Windows از نـوع 32 بيتی فعال می گردد
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سـالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ويروس Generic StartPage.l نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانـالهـای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
خرابكاري
اين ويروس فايل مخرب زير را در اين مسير کپی می کند:

C:\Windows\System32\iexplorer.exe
در ادامه، با دستکاری کليد زير در محضرخانه، خود را در هر بار راه اندازی دستگاه، به سيستم عامل تزريق می کند:
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] Shell = "Explorer.exe iexplorer.exe"
همچنین ویـروس Generic StartPage.l بـا دستـکاری کلیـدهـای زیـر در مـحـضـرخـانـه، صـفـحـه www.021cd.com/page.htm (در آخـريـن گـونـه مشـاهـده شـده در ايـران) را بعنوان صفحه اول مرورگر (HomePage) و موتور جستجوگر پيش فرض قرار می دهد:
توجه: اکيداً توصيه می شود وارد سايتهای مذکور نشويد؛ ذکر نام آن تنها برای اطلاع رسانی به مديران شبکه بمنظور اتخاذ تدابير پيشگيرانه می باشد.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\
Main\Search Page
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\
Main\Start Page
Default_Page_URL HKEY_LOCAL_MACHINE\Software\
Microsoft\Internet Explorer\Main\Search Page

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Start Page
از ديگر خرابکاری های اين ويروس، برقراری ارتباط با سرويس دهنده زير، با استفاده از پودمان HTTP می باشد:
207.210.83.67

پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص بسته امنيتی (Service Pack) شماره 3 سيستم عامل Windows XP، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده های


Prevent common programs from running files from the Temp folder
و برای کامپيوترهای پرخطر، فعال کردن قاعده های


Prevent creation of new executable files in the Windows folder


Prevent creation of new executable files in the Program Files folder
در کنـار آگـاه کـردن کاربران شبکه از خطرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند

Dat براي شناسايي 5394
برنامه ای که در گروه "برنامه های ناخواسته" (Unwanted Program) جای می گيرد و در محیط Windows از نوع 32 بيتی فعال می گردد.
انتشار
برنامه های ناخواسته، برنامه هايی هايی هستند که استفاده دوگانه دارند؛ يعنی علاوه بر استفاده نفوذگران از آنها، توسط مديران شبکه يا ارزيابان امنيتی هم بکار می رود و مانند ویروسها، قابلیت تکثير ندارند.
انتشار ويروس Generic PUP.z نيز همانند ساير برنامه های ناخواسته با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند کاربر را تشويق به دريافت اين ويروس کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين برنامه ناخواسته هستند. بعلاوه کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف باشند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، ممکن است اين برنامه ناخواسته را دريافت کنند.
در آخرين گونه مشاهده شده، اين ويروس با نمايش پيامهای هشدار غيرواقعی مبنی بر آلوده بودن دستگاه، کاربر را به صفحات اينترنتی ای کـه در ظاهر حـاوی يـک بـرنـامـه ضدجاسوسی (Anti-Spy) هستند، ولی در واقع خود برنامه ای مخرب محسوب می شوند، هدايت می کند
خرابكاري
بطور کلی ويروسهايی که با نام Generic PUP.z شناخته می شوند می توانند کارهای زير را بر روی کامپيوتر قربانی انجام دهند:

- دريافت و کپی فايلهای مخرب
- پنهان شدن از ديد برنامه امنيتی نصب شده بر روی دستگاه
- تزريق خود به برنامه های کاربردی
- غيرفعال کردن برنامه های امنيتي
- تغيير در تنظيمات برنامه هايی نظير Internet Explorer
- ارسال اطلاعات ذخيره شده به سايت مشخص شده توسط نفوذگر
- نمايش پنجره های تبليغاتي
- باز کردن درگاه بر روی کامپيوتر قربانی برای اتصال نفوذگر به دستگاه
- تغيير صفحه اول (Home Page) و موتور جستجوی پيش فرض در مرورگر اينترنت
- اضافه کردن نوارهای ابزار جديد به برنامه Internet Explorer
- اعمال تغيير در بخش LSP دستگاه برای نمايش سايت مشخص شده توسط نفوذگر
هنگام مراجعه کاربر به سايتها و نتايج جستجوی خاص
آخرين گونه اين ويروس که در ايران مشاهده شده، خود را بعنوان Antivirus 2009 معرفی کرده و فايلهای مخرب زير را در اين مسيرها کپی می کند:


C:\Program Files\Antivirus 2009\av2009.exe


C:\Windows\System32\scui.cpl


C:\ Windows \System32\ieupdates.exe


C:\ Windows \System32\winsrc.dll


ضدويروس مک آفی فايل winsrc.dll را بعنوان ويروس Generic.dx شناسايی می کند.
از ديگر خرابکاری های جدیدترین گونه اين ويروس، برقراری ارتباط با سرويس دهنده های زير، به منظور دريافت فايلهای مخرب بيشتر می باشد:


antivirus-database .com / firstrun .php?product=AV9&aff=&update=0808/av2009nag&time=16:11:48


fastupdateserver .com / zsa09 / zs880000 .exe


89.149.226.24


58.65.238.106

پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص بسته امنيتی (Service Pack) شماره 3 سيستم عامل Windows XP، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده های


Prevent common programs from running files from the Temp folder
در کنـار آگـاه کـردن کاربران شبکه از خطرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.

ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در دسته دریافت کننده فایلهای مخرب (Downloader) قرار می گیرد.
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ويروس Generic Downloader.s نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل، دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
آخرین نمونه این ویروس که در تیر ماه 88 منتشر شده است با استفاده از عناوین فریبنده در خصوص حادثه مرگ مایکل جکسون، خواننده مشهور پاپ، کاربر را به کلیک بر روی روی پیوندهای مخرب درون هرزنامه تشویق می کند. این پیوندها کاربر را به سایتهای مخرب هدایت نموده و در نهایت کامپیوتر کاربر به این ویروس آلوده می شود.

خرابکاری
ويروس Generic Downloader.s با سرويس دهنده هایی که ویروس نویس آنها را پیشتر مشخص نموده ارتباط برقرار کرده و بعد از دریافت ویروسهایی دیگر، آنها را بر روی کامپیوتر قربانی اجرا می کند.

پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينکهای ناآشنا همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنين مشترکينی که از ضدويروس مک آفی با حداقل DAT 5649 استفاده می کنند از گزند اين ويروس در امان خواهند بود

ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و از طریق نرم افزار Internet Explorer اقدام به سوءاستفاده از حفره امنيتی موجود در نرم افزار Microsoft DirectShow ActiveX می کند.

انتشار
ویروس Exploit-MSDirectShow.b به نفوذگر این امکان را می دهد تا از طریق حفـره امنيتی موجود در نرم افزار Microsoft DirectShow ActiveX و با استفاده از مرورگر اینترنت IE از راه دور اقدام به اجرای برنامه های مخرب خود کند. در حال حاضر نفوذگران توانسته اند بیش از یک هزار سایت را که بیشتر آنها در چین قرار دارند به کد مخربی آلوده کنند که سبب می شود مراجعه کنندگان این سایتها بسمت سرویس دهنده مخرب oy4t.8~866.org هدایت شده و در آنجا از طریق حفره امنیتی مذکور، این ویروس را بر روی کامپیوترشان اجرا شود.
همچنین ویروس Exploit-MSDirectShow.b تنها توانایی اجرا شدن در سیستمهای عامل XP و 2003 را دارد و سیتمهای عامل Vista و 2008 در مقابل این ویروس ایمن هستند.
شرکت مایکروسافت هنوز راه حلی برای پوشش این حفره امنیتی عرضه نکرده اما اعلام نموده است که بزودی اصلاحیه ای در این خصوص منتشر خواهد شد. در عین حال از کاربران خواسته است تا با غیر فعال کردن گزینه Microsoft Video ActiveX Control در نرم افزار Internet Explorer بصورت موقت از کامپیوتر خود در مقابل ویروسها و حملاتی که بخواهند از این حفره امنیتی سوءاستفاده کنند محافظت نمایند. جزئیات بیشتر در این خصوص را می توانید در مسیر زیر بیابید:


http://www.microsoft.com/technet/security/advisory/972890.mspx

خرابکاری

-------

پيشگيري
به روز نگه داشتن ضدويروس و نصب تمامی اصلاحيه های سيستم عامل و نرم افزار IE (بصورت دستی، اتوماتيک و يا با استفاده از سرويس WSUS) در کنار آگاه کردن کاربران در خصوص خطر کليک بر روی لينکهای ناآشنا، همگی می توانند خطر آلوده شدن به اين ويـروس و يـا گونه های مشابه را به حداقل برسانند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5668 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

ويروس FakeAlert-AG.gen.a چيست ؟
Dat براي شناسايي 5400
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در Windows از نوع 32 بيتی فعال می گردد.
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سـالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ويروس FakeAlert-AG.gen.a نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
ویروس FakeAlert-AG.gen.a که در خانواده "پيامهای جعلي" (Fake Alert) قرار می گيرد، با نمايش پيامهای هشدار غيرواقعی مبنی بر آلوده بودن دستگاه، کاربر را به صفحات اينترنتی که در ظاهر حاوی يک برنامه ضدجاسوسی (AntiSpy) هستند، اما در واقع خود برنامه ای مخرب محسوب می شوند، هدايت می کند.
خرابكاري
به محض اجرا شدن ویروس، فايلهای مخرب در مسيرهای زير کپی می شوند. (نام فايل آلوده در گونه های مختلف متفاوت می باشد.):
%WinDir%\system32\lphcc01j0e77r.exe


%WinDir%\system32\blphcco1j0e77r.scr


%WinDir%\system32\phcco1j0e77r.bmp
در آخرين گونه مشاهده شده در ايران، نام فايل اصلی ويروس lphcp89j0erea.exe گزارش شده است.
همچنين اين ويروس، با تعريف کليد زير در محضرخانه، خود را در هر بار راه اندازی دستگاه، به سيستم عامل تزريق می کند:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
Run "lphcco1j0e77r" = %WinDir%\System32\lphcco1j0e77r.exe
از ديگر خرابکاری های اين ويروس دستکاری کليدهای زير در محضرخانه بمنظور تغيير تصوير پس زمينه (شماره های 1 و 2)، تغيير فايل مربوط به Screen Saver (شماره 3) و غيرفعال کردن بخش System Restore سيستم عامل (شماره 4) می باشد:


1- HKEY_CURRENT_USER\Control Panel\Desktop "OriginalWallpaper" = %WinDir%\System32\phcco1j0e77r.bmp


2- HKEY_CURRENT_USER\Control Panel\Desktop "Wallpaper" = %WinDir%\System32\phcco1j0e77r.bmp


3- HKEY_CURRENT_USER\Control Panel\Desktop "SCRNSAVE.EXE" = %WinDir%\System32\blphcco1j0e77r.scr

4- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore "DisableSR" = 0




پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص بسته امنيتی (Service Pack) شماره 3 سيستم عامل Windows XP، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده های


Prevent common programs from running files from the Temp folder
در کنـار آگـاه کـردن کـاربـران شبکه از خطـرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.

ويروس BackDoor-BAC.gen چيست ؟
Dat براي شناسايي 5403
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و از آن بعنوان ابزاری برای نفوذ به شبکه توسط نفوذگران استفاده ميگردد.
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ويروس BackDoor-BAC.gen نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
ويروس BackDoor-BAC.gen در آخرين نمونه خود از روشهای مهندسی اجتماعی (Social Engineering) استفاده نموده است. بدين ترتيب که با ارسال يک ايميل که فايل آلوده به آن پيوست شده است، اينطور القا می کند که نامه از سوی بخش امنيت شرکت مايکروسافت فرستاده شده است و از کاربر می خواهد تا با اجرای فايل مذکور يکی از حفره های اساسی سيستم عاملش را برطرف سازد. حال آنکه با اجرای فايل پيوست کامپيوتر کاربر آلوده خواهد شد.
در متن اين هرزنامه، ليستی از سيستمهای عامل قرار دارد که به فايل پيوست ارتباط داده شده اند و در ميان آنها نامهای Windows 98 و Windows Millennium نيز مشاهده می شود. در حالی که اين دو سيستم عامل مدتهاست که توسط شرکت مايکروسافت پشتيبانی نمی شوند. ارسال خبرنامه از سوی مايکروسافت به مشترکين، در خصوص اصلاحيه های امنيتی جديد، امری است که هر ماه توسط اين شرکت اجرا می گردد. اما در تمامی خبرنامه های رسمی اين شرکت، تنها لينک اصلاحيه قرار داده شده و تاکنون، هيچگاه فايل آپديت بصورت پيوست ارسال نشده است.
متن اين هرزنامه بشرح زير است.


Dear Microsoft Customer,


Please notice that Microsoft company has recently issued a Security Update for OS Microsoft Windows. The update applies to the following OS versions: Microsoft Windows 98, Microsoft Windows 2000, Microsoft Windows Millenium, Microsoft Windows XP, Microsoft Windows Vista.


Please notice, that present update applies to high-priority updates category. In order to help protect your computer against security threats and performance problems, we strongly recommend you to install this update.


Since public distribution of this Update through the official website http://www.microsoft.com would have result in efficient creation of a malicious software, we made a decision to issue an experimental private version of an update for all Microsoft Windows OS users.


As your computer is set to receive notifications when new updates are available, you have received this notice.


In order to start the update, please follow the step-by-step instruction:


1. Run the file, that you have received along with this message.


2. Carefully follow all the instructions you see on the screen.


If nothing changes after you have run the file, probably in the settings of your OS you have an indication to run all the updates at a background routine. In that case, at this point the upgrade of your OS will be finished.


We apologize for any inconvenience this back order may be causing you.





Thank you,


Steve Lipner


Director of Security Assurance


Microsoft Corp.

خرابكاري
به محض آلوده شدن يک کامپيوتر به اين ويروس، در مسيرهای زير فايلهای مخرب کپی می شوند:


%WINDIR%\system32\gzipmod.dll


%WINDIR%\system32\vbagz.sys BackDoor-BAC.gen


%WINDIR%\system32\k86.bin
فايل اول توسط ضدويروس مک آفی بعنوان ويروس Generic PWS.y شناسايی می گردد.
در ادامه، اين ويروس، با تعريف کليد زير در محضرخانه، خود را در هر بار راه اندازی دستگاه، به سيستم عامل تزريق می کند:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gzipmod


"DllName" = "gzipmod.dll"


"Startup" = "gzipmod"


"Impersonate" = "0x00000001"


"Asynchronous" = "0x00000001"


"MaxWait" = "0x00000001"
از ديگر خرابکاری های اين ويروس، برقراری ارتباط با سرويس دهنده زير بمنظور ارسال اطلاعات جمع آوری شده از روی سيستم قربانی (اين اطلاعات در فايل k86.bin ذخيره می شوند) و همچنين دريافت فايلهای مخرب بيشتر می باشد.


hxxp://social-[blocked].biz/jerken2/data.php

پيشگيري
استفاده از رمزهای عبور قوی و عدم به اشتراک گذاری کل درايوها از نکات اوليه برای پيشگری در مقابل اينگونه ويروسها می باشد. ضمن اينکه به کاربران نيز توصيه می شود از كنجكاوی درباره فايل های مشكوك و يا با عناوين جذاب است كه در سايت های اشتراك فايل، فراوان ديده می شوند اجتناب کنند. به روز نگه داشتن ضدويروس و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در نرم افزار ضدويروس (نظير قاعده Prevent common programs from running files from the Temp folder) می تواند کامپيوتر را در مقابل اين ويروس محافظت کند.

ويروس StealthMBR چيست ؟

Dat براي شناسايي 5423
ويروسی با درجـه خطـر کم که عملکرد "اسب تروا" (Trojan) داشته و در دسته ويروسهای آلوده کننده MBR (Master Boot Record) قرار می گيرد.

انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبان کاربر را می گيرد. اسب های تروا بر خلاف انواع ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ويروس StealthMBR نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای کاربردی و سيستم عامل که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
خرابکاری
ويروس StealthMBR نـوعی آلـوده کننـده Master Boot Record محسوب می شود. MBR برنامه ای کوچک، حاوی جدولی در خصوص تقسيم بندی و محل ذخيره اطلاعات بر روی ديسک سخت می باشد که بطور معمول در اولين سکتور ديسک سخت ذخيره می شود. از ويژگی های MBR اجرا شدنش پيش از سيستم عامل است و ويروس StealthMBR با تزريق خود به MBR و با استفاده از همين ويژگی، پيش از سيستم عامل اجرا و در ادامه خود را از ديد برنامه های امنيتی و ضدويروس ها مخفی می سازد.
با آلوده شدن يک کامپيوتر به اين ويروس، فايلهای مخرب زير ايجاد می گردند:


%TEMP%\cln5.tmp


%WINDIR%\Temp\00000219.tmp


%WINDIR%\Temp\ldo6.dll


%WINDIR%\Temp\ldo6.tmp
اين ويروس با زير نظر گرفتن آدرسهای وارد شده در مرورگر اينترنت توسط کاربر و مطابقت دادن آنها با نشانی های موجود در بانک اطلاعاتی خود (که حاوی 2700 آدرس سايتهای خدمات بانکی معروف جهان می باشد)، اطلاعات مربوط به نام کاربری و رمز عبور وارد شده را ذخيره و سپس آنها را به آدرس زير ارسال می کند:
http:\\ogercnt.info\[removed]



پيشگيری
اولين راه برای پيشگيری از آلودگی، عدم كنجكاوی درباره فايل های مشكوك و ناشناس و يا با عناوين جذاب است كه در سايت های اشتراك فايل، فراوان ديده مي شوند. بهتر است فايل ها و ابزار مورد نياز از سايت های معتبر تهيه شود. به روز نگه داشتن ضدويروس و همچنين نصب آخـريـن اصلاحيه های سيستـم عـامـل، مي تـوانـد کامپيوتر را در مقابل اين اسب تروا محافظت کند.
پاکسازی ويروسهای آلوده کننده MBR در محيط Windows ميسر نيست و باید دستگاه را با استفاده از DAT CD (با نگارش حداقل 5423) راه اندازی کرده و سپس اسکن نمود تا پاکسازی بصورت کامل انجام پذيرد.
DAT CD همان CD هایی است که هر دو ماه یکبار برای مشترکین ارسال می شود و در صورت لزوم، مشترکین می توانند درخواست ارسال جدیدترین نسخه آنرا نمایند.

ويروس Generic PWS.y!6F939359 چيست ؟

Dat براي شناسايي 5427
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و اقدام به دزديدن رمزهای عبور ذخيره شده بر روی دستگاه آلوده مي کند.
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونـه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
ويـروس Generic PWS.y!6F939359 در آخــريـن گـونــه خـود از سـوژه هـای اجتماعی روز، برای فریب کاربران استفاده نموده است. بدين ترتيب که ابتدا کاربر هرزنامه ای (Spam) با عناوين و متن زير را دريافت می کند.
عناوين هرزنامه:

Election Results Winner

The New President's Cabinet?

Fear of a Black President
متن هرزنامه:

Barack Obama Elected 44th President of United States



Barack Obama, unknown to most Americans just four years ago, will become the 44th president and the first African-American president of the United States.

Watch His amazing speech at November 5! ...... "
با کليک بر روی لينک موجود در هرزنامه، کاربر به صفحه ای که در ظاهر متعلق به دولت آمریکا است، هدايت می شود.
در بالای تصوير مذکور، عبارت America.gov نمايش داده شده است تا اينطور القا شود که اين سايت مربوط به دولت ايالات متحده و سايتی رسمی است در حالی که آدرس واقعی سايت که در نوار آدرس مرورگر قابل مشاهده می باشد چيزی متفاوت با اين عبارت است. چند ثانيه بعد از بالا آمدن تصوير، پنجره ای جعلی ظاهر شده و از کاربر می خواهد برای مشاهده فيلم، فايل adobe_flash9.exe (که فايل اجرايی ويروس Generic PWS.y!6F939359 است) را دريافت کند. با اجرای اين فايل سيستم کاربر آلوده خواهد شد.
خرابکاری
به محض اجرا شدن، در مسيرهای زير فايلهای مخرب کپی می شوند:


%WINDIR%\9129837.exe
%WINDIR%\new_drv.sys

اين ويروس با دستکاری کليدهای زير در محضرخانه، فعال شدن خود را در هر بار راه اندازی دستگاه تضمین نموده و همچنین سرويسی بنام "!!!!" را به ليست سرويسهای سيستم عامل اضافه می کند.
- HKey_users\s-1-5-21-1202660629-602609370-839522115-500\software
\microsoft\windows\currentversion\run\ttool=%WINDI R%\9129837.exe
- HKey_users\s-1-5-21-1202660629-602609370-839522115-500\software\microsoft\inetdata\ k1 = 671634 k2 = 339167 version = 50
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\new_drv
ImagePath = %WINDIR%\new_drv.sys DisplayName = "!!!!"
اصلی ترين خرابکاری اين ويروس، برقراری ارتباط با سرويس دهنده زير و ارسال نامهای کاربری و کلمات عبور ذخيره شده بر روی کامپيوتر قربانی می باشد:


hxxp://91.203.93.57/cgi-bin/[Removed]
پيشگيری
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص بسته امنيتی (Service Pack) شماره 3 سيستم عامل Windows XP، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده
Prevent common programs from running files from the Temp folder
در کنـار آگـاه کـردن کـاربـران شبکه از خطـرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر
آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.

ويروس W32/Autorun.worm.dw چيست ؟
ويروسی با درجه خطر کم که عملکرد "کرم" (Worm) داشته و در سيستم عامل Windows از نوع 32 بيتی فعال می گردد.

Dat براي شناسايي

انتشار
ويروس Autorun.worm.dw در خانواده ويروسهای Autorun قرار می گيرد. اينگونه ويروسها، پس از اجرا شدن فايلی بنام autorun.inf در ريشه درايـوهای ديسک سخت (درايوهای C و D و …) و ابـزارهـای ذخيــره سـازی USB (در صورت وجود) ايـجـاد می کنند. درون اين فايل، نام فايل اجرايی ويروس مانند autoplay.exe آورده شده است. پس از آن، کامپيوتر آلوده می تواند هر حافظه فلش را نيز که به آن کـامپيـوتـر وصـل می شـود، آلـوده سـازد. همچنين ايـن ويـروس از طريق پوشه های به اشتراک گذاشته شده بر روی شبکه نيز اقدام به تکثير خود می کند.
بسياری از گونه های اين ويروس با کپی کردن خود در شاخه های اشتراکی (Share) ساير دستگاه های شبکه، آنها را هم در معرض آلودگی قرار می دهد. به اين صورت که اگر درايو C دستگاهی در شبکه برای کامپيوتر آلوده قابل دسترسی باشد، کافی است دو فايل autorun.inf و autoplay.exe در ريشه آن کپی شود تا بعد از راه اندازی دستگاه، کاربر با دوبار کليک کردن بر روی درايو C آلوده شود.
در شبکه هايی که رمز عبور Administrator برای همه دستگاه ها يکی باشد و يا از رمز عبورهای ضعيف (مانند Blank، 1 و 123 و ...) استفاده شده باشد، آلودگی به سرعت گسترش خواهد يافت. منبع انتشار اوليه اين ويروس را احتمالاً می توان به برنامه ها و سايت هايی که برای اشتراک فايل بين کاربران استفاده می شوند، نسبت داد. (اينگونه برنامه ها را P2P می نامند.)
ويروس Autorun.worm.dw در آخرين گونه خود سبب شد تا وزارت دفاع ايالات متحده علیرغم دارا بودن تجهیزات امنیتی پيشرفته، استفاده از ديسکهای خارجی (External) و حافظه های فلش را درشبکه های نظامی تا اطلاع ثانوی ممنوع کند. اين در حالی است که در بسياری از موقعيتهای نظامی بدليل در دستـرس نبـودن وسـايل ارتباطاتی رايج نظير ايميل، استفاده از اين گونه حافظه ها به نوعی تنها وسيله انتقال اطلاعات ذخيره شده محسوب می شود.
خرابكاري
به محض اجرا شدن فايل آلوده، فايلهای مخرب زير ایجاد می شوند:


- %SYSTEM%\[Random Named DLL File


- %SYSTEM%\mswmpdat.tl


- %SYSTEM%\winview.ocx
در ادامه کليدهای زير در محضرخانه دستکاری می شوند:


- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8F147B2 8-EF39-44A0-B6EC-3CC6F2F08794}


- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\StrtdCfg


- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8F147B2 8-EF39-44A0-B6EC-3CC6F2F08794}\ InprocServer32 default = %SYSTEM%\[Random Named DLL File]


- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8F147B2 8-EF39-44A0-B6EC-3CC6F2F08794}\ InprocServer32 ThreadingModel: "Apartment"


- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8F147B2 8-EF39-44A0-B6EC-3CC6F2F08794} default = "Java.Runtime.52"


- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ ShellServiceObjectDelayLoad UpdateCheck = {8F147B28-EF39-44A0-B6EC-3CC6F2F08794}
از ديگر خرابکاری های Autorun.worm.dw، برقراری ارتباط با سرويس دهنده های مشخص شده در برنامه ويروس، بمنظور دريافت فايلهای مخرب بيشتر و ارسال اطلاعات جمع آوری شده از روی کامپيوتر قربانی (نظير کلمات عبور) می باشد.

پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص بسته امنيتی (Service Pack) شماره 3 سيستم عامل Windows XP، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط کارشناسان شرکت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده USB و برای کامپيوترهای پرخطر، فعال کردن قاعده هاي


- Prevent creation of new executable files in the Windows folder


- Prevent creation of new executable files in the Program Files folder]
در کنـار آگـاه کـردن کاربران شبکه از خطرات کليک بر روی فايلهای ناآشنا در پوشه های به اشتراک گذاشته شده، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.

ويروس Cutwail.gen.o چيست؟
یک "اسب تروا" (Trojan) با درجه خطر کم می باشد که از طریق روش های مختلف باعث آلودگی کامپیوتر کاربر شده و آن کامپیوتر را به شبکه ای از کامپیوترهای تسخیر شده و قابل کنترل توسط افراد بیگانه، ملحق می کند. این کامپیوترهای به تسخیر درآمده در یک حمله هماهنگ و مستمر به سایت های CIA, PayPal و Yahoo حمله می کنند. ولی شدت حملات به میزانی نیست که این سایت ها را از کار بیندازد و به همین دلیل نیز مورد شناسائی و جلب توجه بسیاری از سیستم های امنیتی قرار نمی گیرند.
انتشار:
اسب های تروا برنامه هايی هستند که به عنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبان کاربر را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است. اسب های تروا به خودی خود قابلیت تکثیر و انتشار نداشته و برای اینکار نیازمند دخالت کاربر می باشند. بدین دلیل نیز از روش های مختلف برای فریب و وسوسه کاربر برای دریافت فایل های آلوده به اسب های تروا و اجرای آن بر روی کامپیوتر استفاده می شود.
خرابكاري :
پس از آلوده شدن کامپيوتر و فعال شدن اسب تروا Cutwail.Gen.O، فایل های آلوده زیر بر روی کامپیوتر قربانی ایجاد می شوند.


- %UserProfile%\imPlayok.exe
- %System%\imPlayok.exe
همچنین کلیدهای زیر در Registry ایجاد می شوند تا در هر بار راه اندازی کامپیوتر، اسب تروا فعال گردد.


- HKEY_Local_Machine\Software\Microsoft\Windows\Curr entVersion\Run
imPlayok = "%System%\imPlayok.exe"
- HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
imPlayok = "%UserProfile%\imPlayok.exe"
کامپیوترهای آلوده به این اسب تروا در یک شبکه مخرب (botnet) به نام Pushdo قرار می گیرند که اخیراً یک حمله هماهنگ و مستمر بر علیه سایت هایی نظیر CIA.gov, Yahoo.com, sans.org و AmericanExpress.com آغاز کرده اند.
در این حمله از درگاه 443 ویژه پروتکل SSL استفاده شده و بطور همزمان میلیونها درخواست توسط صدها هزار کامپیوتر تسخیرشده در شبکه Pushdo به سایت های مورد هدف ارسال می گردد. به دلیل استفاده از پروتکل امن SSL میزان منابع لازم برای پاسخگویی به درخواست دریافت شده توسط سایت بسیار بیشتر از یک درخواست عادی است. ولی شدت حملات به میزانی نیست که این سایت ها را از کار بیندازد و به همین دلیل نیز مورد شناسائی و جلب توجه بسیاری از سیستم های امنیتی قرار نمی گیرند.
پيشگيري :

به روز بودن ابزارهای امنیتی و نصب اصلاحیه های سیستم عامل و دیگر نرم افزارهای کاربردی، در کنار آگاه کردن کاربران از خطرات کليک بر روی لينک های ناآشنا، می تواند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند. همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5881 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

ویروس W32/Waledac.gen.b چیست ؟
ویروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در محیط Windows از نوع 32 بیتی فعال می گردد.

نامگذاری
این ویروس با نامهای زیر توسط ضدویروسهای مختلف شناسایی می شود:


Email-Worm.Win32.Iksmas.y (Kaspersky & eScan)



Worm_Waledac.kax (Trend Micro)



W32.Waledac (Symantec)



Trojan:Win32/Waledac.A (Microsoft)


انتشار
اسب های تروا برنامه هایی هستند که بعنوان یک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دیر یا زود گریبانش را می گیرد. اسب های تروا بر خلاف گونه های دیگر ویروس که ممکن است به یک فایل اجرایی سالم بچسبند یا درون بخش راه انداز یک دیسک جا بگیرند، موجودیت مستقلی داشته و در هنگام پاکسازی تنها حذف فایل آن لازم است.
آخرین گونه از ویروس Waledac.gen.b از سوژه های اجتماعی و خبرهای روز برای فریب کاربران استفـاده می نماید. بـدیـن تـرتیب کـه با ارسال هـرزنـامـه درباره رئیس جمهور جدید ایالات متحده، کاربر را تشویق به کلیک بر روی لینکهای هرزنامه می کند. این لینکها که کاربر را به سایتهای bamaonline.com، *.bamaguide.com و *.bamadirect.com - با ظاهری کاملاً شبیه به سایت رسمی باراک اوباما - هدایت می کنند، خود حاوی لینکهای مخربی هستند که می توانند دستگاه کاربر را آلوده سازند.
استفاده از نام روسای جمهور منتخب، سالهاست که مورد سوءاستفاده ویروس نویسان قرار می گیرد. پیش از این نیز جورج بوش، بیل کلینتون و حتی رونالد ریگان سوژه چنین هرزنامه ها و ویروسهایی بوده اند.

خرابکاری
ویروس Waledac.gen.b، پس از اجرا شدن، کلیدهای زیر را در محضرخانه تعریف می کند:


HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion "MyID"



HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion "RList"



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run "PromoReg"

سپس این ویروس به جستجوی آدرس ایمیل در فایلهای خاصی می پردازد و پس از جمع آوری، آنها را در فایلهایی با نامی متغیر و پسوند PNG ذخیره و سپس به IPهای خاصی ارسال می کند.


پیشگیری
به روز نگه داشتن ضدویروس، نصب آخرین اصلاحیه های سیستم عامل و همچنین استفاده از تنظیمات توصیه شده توسط کارشناسان شرکت مهندسی شبـکه گستـر در بخش Access Protection ضـد ویـروس McAfee، نظیر فعـال کـردن قاعده های


USB



Prevent mass mailing worms from sending mail

می توانند خطر آلوده شدن به این ویروس و یا گونه های مشابه را به حداقل برساند.

ويروس Exploit-MSWord.k چيست ؟
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و از حفره امنيتی موجود در نرم افزار Internet Explorer 7 که سبب بروز خطای "سر ريز حافظه" (Buffer Overfllow) می شود، سوء استفاده می کند.



انتشار
اين ويـروس در قـالـب یـک فـایـل Word که چنـد ماکروی (Macro) مخـرب در آن جـاسازی شده، از طریق هرزنامه به کاربر ارسال می گردد. چنانچه کامپیوتر کاربر دارای نرم افزار Internet Explorer 7 باشد باز شدن فـایـل مذکور سبب خواهد شد تا ویروس با سوء استفاده از یک حفره امنیتی جدید مقاصد شوم خود را دنبال می کند. این حفره امنیتی جدید به تازگی توسط اصلاحیه MS09-002 مایکروسافت ترمیم شده است.

خرابکاری
اين ويروس پس از مقيم شدن در حافظه به سايت زير متصل شده و فايلهای مخرب بيشتری را دريافت و بر روی سيستم قربانی اجرا می کند:


http://www.chen####.com/bbs/images/alipay/mm/jc/jc.html



پيشگيري
به روز نگه داشتن ضدويروس و نصب تمامی اصلاحيه های سيستم عامل و مرورگر (بصورت دستی، اتوماتيک و يا با استفاده از سرويس WSUS) بخصوص اصلاحیه های MS08-067، MS08-078 و MS09-002 در کنار آگاه کردن کاربران در خصوص خطر کليک بر روی لينک های ناآشنا، همگی می توانند خطر آلوده شدن به اين ويـروس و يـا گونه های مشابه را به حداقل برسانند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5529 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

ويروس Exploit-XMLhttp.d چيست ؟
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و از حفره امنيتی موجود در نرم افزار Internet Explorer 7 که سبب بروز خطای "سر ريز حافظه" (Buffer Overfllow) می شود، سوء استفاده می کند.

انتشار
اين ويـروس از حفـره امنيتی کـه در نرم افزار Internet Explorer7 کشف شده، برای مقاصد شوم خود استـفـاده می کند. بدين نحو که بعد از مراجعه کاربر به يکی از سايتهای آلوده (بصورت مستقيم و يا از طريق هرزنامه ها) شرایط سوء استفاده از حفره موجود در IE 7 فراهم گردیده و فايل مخرب اجرا و کامپيوتر کاربر آلوده خواهد شد.
اولین گونه این ویروس که در آذر ماه 87 منتشر شد از یک حفره امنیتی استفاده میکرد که توسط اصلاحیه MS08-078 مایکروسافت برطرف گردید. اطلاعات بیشتر درباره اصلاحیه این حفره را می توانید از نشانی زیر دریافت کنید.


http://www.microsoft.com/technet/security/bulletin/ms08-078.mspx
اما جدیدترین گونه این ویروس از یک حفره امنیتی جدید سوءاستفاده می کند. حفره ای که تنها چند روز است شرکت مایکروسافت اصلاحیه MS09-002 را برای ترمیم آن عرضه کرده است. اصلاحیه MS09-002 را می توانید از مسیر زیر دریافت کنید:


http://www.microsoft.com/technet/security/bulletin/MS09-002.mspx

خرابکاری
اين ويروس پس از مقيم شدن در حافظه به سايت زير متصل شده و فايلهای مخرب بيشتری را دريافت و بر روی سيستم قربانی اجرا می کند:


http://www{blocked}yyy.cn/{blocked}.exe

پيشگيري
به روز نگه داشتن ضدويروس و نصب تمامی اصلاحيه های سيستم عامل و مرورگر (بصورت دستی، اتوماتيک و يا با استفاده از سرويس WSUS) و به خصوص اصلاحیه های MS08-067، MS08-078 و MS09-002 در کنار آگاه کردن کاربران در خصوص خطر کليک بر روی لينک های ناآشنا، همگی می توانند خطر آلوده شدن به اين ويـروس و يـا گونه های مشابه را به حداقل برسانند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5529 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

ويروس Generic Downloader.c چيست ؟
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در Windows از نوع 32 بيتی فعال می گردد. اولين نمونه آن در مرداد هشتاد و دو مشاهده شده و از آن زمان تاکنون، گونه های متعددی از Generic Downloader.c با حجمهای مختلف ايجاد شده است.

اين ويروس توسط نرم افزار ضدويروس Panda با نام Nabload.U شناسايی می گردد.



انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل، دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
ويروس Generic Downloader.c بيشتر از طريق هرزنامه هايی که سعی می کنند با استفاده از روشهای مهندسی اجتماعی (Socail Engineering)، کاربر را تشويق به دريافت اين اسب تروا کنند، منتشر می شود.
برای نمونه آخرین گونه این ویروس در قالبی مشابه متن زیر بهمراه فایل آلوده details.rtf به ایمیل کاربر ارسال می شود و از او می خواهد تا با باز کردن فایل پیوست اطلاعات مالی درون آنرا بررسی کند. حال آنکه با اجرای فایل details.rtf کامپیوتر کاربر آلوده خواهد شد.
From: Kenneth Duford [mailto:ken.duford@]
Sent: Wednesday, June 0X, 2009 XX:XX PM
To:
Subject: Re:Please verify wire details
The wire transfer has been released.
BENEFICIARY :
ABA ROUTING# : XXXX1197
ACCOUNT# : XXX-XXX-XXX394
AMMOUNT : $17,653.15

Please check the wire statement attached and let me know if everything is correct.
I am waiting for your reply.
Kenneth Duford
--- On Sun, 02/06/09, wrote:
From:
Subject: wire transfer
To: ken.duford@
Date: Mon, 1 June 2009, 10:47 AM
We still haven't received the wire transfer.
Thank you



خرابکاری
به محض اجرا شدن ويروس، فايل ويروسی تلاش می کند با برقراری ارتباط با سايتهای زير، برنامه های مخرب ديگری (که معمولاً ويروس Generic PWS.y است) را دريافت کند:


12oaks.net/[blocked]/index.php
bluegorillamedia.net/[blocked]/ActiveContent/index.php
abfforms.com/[blocked]/index.php
www.understandinghealthcare.com
www.redeuniversidade.com.br
www.hywic.co.uk (http://www.hywic.co.uk/)
برنامه های مخرب دريافت شده در مسيرهای زير ذخيره می شوند. (نام فايلها در گونه های مختلف اين ويروس، متفاوت گزارش شده است.):
%UserProfile%\Application Data\wks.exe
%WinDir%\services.exe
%imesh%\my shared folder\adaware2008full.rar.scr
%imesh%\my shared folder\Ahead_Nero_9_new!_full+crack.zip.scr
%imesh%\my shared folder\antispyware.rar.scr
%imesh%\my shared folder\antivirus.rar.scr
C:\Documents and Settings\%USER%\Local Settings\temporary\internet files\content.ie5\ktx34vgq\coco2006[1].jpg
% WinDir %\system32\service\service.dll c:\Documents and Settings\%USER%\Local Settings\temp\391670.dmp
% WinDir %\System32\service\navupdt.exe c:\Documents and Dettings\%USER%\Local Settings\temp\wer2.tmp.dir00\appcompat.txt
که فایل آخر وظيفه دريافت برنامه های مخرب در برعهده دارد:
navupdt.exe server:hometown.aol.com.au port:80
همچنين اين ويروس دست اندازی های زير را در محضرخانه انجام می دهد:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ Shell= "Explorer.exe %WinDir%\services.exe"
HKey_Current_User\Software\Microsoft\Windows\Curre ntVersion\internet settings\zonemap\\intranetname="1"
HKey_Current_User\Software\microsoft\Windows\Curre ntVersion\internet settings\zonemap\\uncasintranet="1"
HKey_Current_User\Software\Microsoft\Windows\Curre ntVersion\internet settings\zonemap\\proxybypass="1"

پيشگيري
اولين راه برای پيشگيری از آلودگی، عدم كنجكاوی درباره فايل های مشكوك و ناشناس و يا با عناوين جذاب است كه در سايت های اشتراك فايل و هرزنامه ها، فراوان ديده می شوند. بهتر است فايل ها و ابزار مورد نياز از سايت های معتبر تهيه شود. به روز نگه داشتن ضدويروس همچنين نصب آخرين اصلاحيه های سيستم عامل می تواند کامپيوتر را در مقابل اين اسب تروا محافظت کند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5634 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

ويروس Spam-Mailbot.m چيست ؟
ويروسی با درجه خطر کم که در دسته "هرزنامه ها" (Spams) قرار می گیرد و پیوستهای مخرب آن در سيستمهای عامل Windows از نوع 32 بيتی فعال می گردند.
اين ويروس با نامهای زير توسط ضدويروسهای مختلف شناسايی می شود:
Email-Worm.Win32.Joleee.adq (Kaspersky & eScan)
Mal/WaledPak-A (Sophos)
Spammer:Win32/Tedroo.I (Microsoft)
Win32:TedoBot (Avast)


انتشار
ویروس Spam-Mailbot.m به نوعی جزو ويروس های از نوع "ارسال کنندگان انبوه" (Mass Mailer) قرار می گیرد. این گونه ویروسها پس از آلوده کردن يک دستگاه، تمامی نشانی های پست الکترونيکی (Email) موجود در کامپيوتر را جمع آوری کرده و برای آنها پيامهای با پيوست (Attachment) آلوده می فرستند تا هر چه بيشتر آلودگی را منتشر کنند. برای پيدا کردن نشانی ها از دفترچه نشانی (Address Book) نرم افزارهايی مانند Outlook استفاده می کنند و يا صفحات اينترنتی موجود در بخش فايلهای موقت مرورگر اينترنت (Temporary Internet Files) را برای بدست آوردن نشانی ها جستجو می کنند. این نوع ويروس ها در گذشته، برای فرستادن پیام ها به يک برنامه ارسال پیام (مانند Outlook) تکيه می کردند، اما با پيشرفتهای حاصل شده، امروزه اغلب اينگونه ويروس ها برنامه کوچکی بنام SMTP Engine درون خود دارند و رأساً اقدام به ارسال پیام می کنند.
ویروس Spam-Mailbot.m برای تشويق دريافت کننده نامه برای اجرای فایل آلوده پیوست (ويروس) و یا کلیک بر روی لینکها، از روشهای مهندسی اجتماعی استفاده می کند. برای مثال، آخرین گونه، اين ويروس وانمود می کند که از سوی Bank of America ارسال شده است. چنانچه کاربر بر روی لینکهای موجود در آن هرزنامه کلیک کند به صفحه ديگري هدایت می شود كه با ورود اطلاعات توسط کاربر، این اطلاعات به بانک اطلاعاتی نفوذگر منتقل می شود.

خرابکاری
ويروس Spam-Mailbot.m پس از کپی فایل servises.exe در پوشه %WinDir% دیواره آتش (Windows Firewall) را دستکاری و این فایل مخرب را بعنوان یک برنامه مجاز به سیستم عامل معرفی می کند. در ادامه در مسيرهای زير فایلهای مخرب دیگر را کپی می کند:
% WinDir%\system32\servises.exe
% WinDir%\system32\sdra64.exe
% WinDir%\system32\lowsec\user.ds
% WinDir%\system32\lowsec\local.ds
% WinDir%\Temp\3.tmp
پس از آن، این ويروس، کليدهای زير را در محضرخانه تعریف می کند:
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7}
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Explorer\{EAB536DF-0DAB-5F86-EB7D-D060B52E9606}
همچنین با تعريف کليدهای زير در محضرخانه، خود را در هر بار راه اندازی دستگاه، به سيستم عامل تزريق می کند:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"Userinit" = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system 32\sdra64.exe,
HKEY_CURRENT_USER\Software\Microsoft\Windows\curre ntversion\policies\explorer\run\servises = c:\windows\system32\servises.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\curr entversion\policies\explorer\run\servises = c:\windows\system32\servises.exe
از کلیدهای زیر نیز برای ذخیره تنظیمات این ویروس استفاده می شود:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktopid = "104214710971"host = "127.0.0.1"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security CenterFirewallOverride = 0x00000001
از ديگر خرابکاری های اين ويروس برقراری ارتباط با سرويس دهنده های زير بمنظور دريافت فرامین و فايلهای مخرب بيشتر می باشد:
توجه: اکيداً توصيه می شود وارد سايتهای مذکور نشويد؛ ذکر نام آن تنها برای اطلاع رسانی به مديران شبکه بمنظور اتخاذ تدابير پيشگيرانه می باشد.


66.96.248.21
91.207.7.234
91.207.5.66
206.51.234.126
206.137.17.89
209.20.130.33
[blocked].theplanet.com

پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده


Prevent common programs from running files from the Temp folder
و برای کامپيوترهای پرخطر، فعال کردن قاعده هاي


Prevent creation of new executable files in the Windows folder
- Prevent creation of new executable files in the Program Files folder
در کنـار آگـاه کـردن کـاربـران شبکه از خطـرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنين مشترکينی که از ضدويروس مک آفی با حداقل DAT 5631 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

ويروس BackDoor-BAC.gen چيست ؟
Dat براي شناسايي 5403
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و از آن بعنوان ابزاری برای نفوذ به شبکه توسط نفوذگران استفاده ميگردد
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ويروس BackDoor-BAC.gen نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
ويروس BackDoor-BAC.gen در آخرين نمونه خود از روشهای مهندسی اجتماعی (Social Engineering) استفاده نموده است. بدين ترتيب که با ارسال يک ايميل که فايل آلوده به آن پيوست شده است، اينطور القا می کند که نامه از سوی بخش امنيت شرکت مايکروسافت فرستاده شده است و از کاربر می خواهد تا با اجرای فايل مذکور يکی از حفره های اساسی سيستم عاملش را برطرف سازد. حال آنکه با اجرای فايل پيوست کامپيوتر کاربر آلوده خواهد شد.
در متن اين هرزنامه، ليستی از سيستمهای عامل قرار دارد که به فايل پيوست ارتباط داده شده اند و در ميان آنها نامهای Windows 98 و Windows Millennium نيز مشاهده می شود. در حالی که اين دو سيستم عامل مدتهاست که توسط شرکت مايکروسافت پشتيبانی نمی شوند. ارسال خبرنامه از سوی مايکروسافت به مشترکين، در خصوص اصلاحيه های امنيتی جديد، امری است که هر ماه توسط اين شرکت اجرا می گردد. اما در تمامی خبرنامه های رسمی اين شرکت، تنها لينک اصلاحيه قرار داده شده و تاکنون، هيچگاه فايل آپديت بصورت پيوست ارسال نشده است.
متن اين هرزنامه بشرح زير است.


Dear Microsoft Customer,


Please notice that Microsoft company has recently issued a Security Update for OS Microsoft Windows. The update applies to the following OS versions: Microsoft Windows 98, Microsoft Windows 2000, Microsoft Windows Millenium, Microsoft Windows XP, Microsoft Windows Vista.


Please notice, that present update applies to high-priority updates category. In order to help protect your computer against security threats and performance problems, we strongly recommend you to install this update.


Since public distribution of this Update through the official website http://www.microsoft.com would have result in efficient creation of a malicious software, we made a decision to issue an experimental private version of an update for all Microsoft Windows OS users.


As your computer is set to receive notifications when new updates are available, you have received this notice.


In order to start the update, please follow the step-by-step instruction:


1. Run the file, that you have received along with this message.


2. Carefully follow all the instructions you see on the screen.


If nothing changes after you have run the file, probably in the settings of your OS you have an indication to run all the updates at a background routine. In that case, at this point the upgrade of your OS will be finished.


We apologize for any inconvenience this back order may be causing you.





Thank you,


Steve Lipner


Director of Security Assurance


Microsoft Corp.

خرابكاري
به محض آلوده شدن يک کامپيوتر به اين ويروس، در مسيرهای زير فايلهای مخرب کپی می شوند:


%WINDIR%\system32\gzipmod.dll


%WINDIR%\system32\vbagz.sys BackDoor-BAC.gen


%WINDIR%\system32\k86.bin
فايل اول توسط ضدويروس مک آفی بعنوان ويروس Generic PWS.y شناسايی می گردد.
در ادامه، اين ويروس، با تعريف کليد زير در محضرخانه، خود را در هر بار راه اندازی دستگاه، به سيستم عامل تزريق می کند:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gzipmod


"DllName" = "gzipmod.dll"


"Startup" = "gzipmod"


"Impersonate" = "0x00000001"


"Asynchronous" = "0x00000001"


"MaxWait" = "0x00000001"
از ديگر خرابکاری های اين ويروس، برقراری ارتباط با سرويس دهنده زير بمنظور ارسال اطلاعات جمع آوری شده از روی سيستم قربانی (اين اطلاعات در فايل k86.bin ذخيره می شوند) و همچنين دريافت فايلهای مخرب بيشتر می باشد.


hxxp://social-[blocked].biz/jerken2/data.php

پيشگيري
استفاده از رمزهای عبور قوی و عدم به اشتراک گذاری کل درايوها از نکات اوليه برای پيشگری در مقابل اينگونه ويروسها می باشد. ضمن اينکه به کاربران نيز توصيه می شود از كنجكاوی درباره فايل های مشكوك و يا با عناوين جذاب است كه در سايت های اشتراك فايل، فراوان ديده می شوند اجتناب کنند. به روز نگه داشتن ضدويروس و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در نرم افزار ضدويروس (نظير قاعده Prevent common programs from running files from the Temp folder) می تواند کامپيوتر را در مقابل اين ويروس محافظت کند.

ويروس Exploit-PPT.k چيست ؟
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و از حفره امنيتی موجود در نرم افزار Microsoft PowerPoint که سبب بروز خطای "سر ريز حافظه" (Buffer Overfllow) می شود، سوء استفاده می کند.

انتشار
ویروس Exploit-PPT.k به نفوذگر این امکان را می دهد تا از طریق حفـره امنيتی موجود در نرم افزار Microsoft PowerPoint از راه دور اقدام به اجرای برنامه های مخرب کند. این ویروس بعد از باز شدن یک فایل PPT يا PPS دستکاری شده در حافظه قرار می گیرد و پس از آن نفوذگر می تواند کنترل دستگاه در دست گیرد.
شرکت مایکروسافت هنوز اصلاحیه ای برای پوشش این حفره امنیتی عرضه نکرده است اما انتظار می رود که بزودی اصلاحیه ای در این خصوص توسط این شرکت منتشر شود. در عین حال شرکت مایکروسافت اعلام نموده است که بخش پشتیبانی این شرکت برای کاربرانی که به این ویروس آلوده شده اند راه حلهایی را ارائه می دهد. اطلاعات بیشتر را می توانید در لینک زیر بیابید:


http://www.microsoft.com/technet/security/advisory/969136.mspx




خرابکاری
هنگام اجرای فایل دستکاری شده، فایل مخرب مورد نظر ویروس نویس، در پشت صحنه بر روی کامپیوتر قربانی اجرا می شود. پروسه های زیر، نمونه هایی از این فایلهای مخرب هستند.


fssm32.exe: 428,032 bytes


IEUpd.exe : 45,056 bytes


setup.exe : 13, 1072 bytes


PeerCM.exe : 80,666 bytes


ws2_42.dll :10,6740 bytes
ضدویروس مک آفی سه فایل اول را با عنوان Muster.c Trojan و دو فایل آخر را تحت نام Generic BackDoor.u Trojan شناسایی می شوند.

پيشگيري
به روز نگه داشتن ضدويروس و نصب تمامی اصلاحيه های سيستم عامل و نرم افزار Office (بصورت دستی، اتوماتيک و يا با استفاده از سرويس WSUS) در کنار آگاه کردن کاربران در خصوص خطر کليک بر روی لينکهای ناآشنا، همگی می توانند خطر آلوده شدن به اين ويـروس و يـا گونه های مشابه را به حداقل برسانند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5573 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

ويروس Spy-Agent.da چيست ؟
ويروسي با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و از آخرين حفره امينتی کشف شده در سيستم عامل Windows برای انتشار خود استفاده می کند.

Dat براي شناسايي 5414

انتشار
ويروس Spy-Agent.da با سوء استفاده از حفره امنيتی در بخش Server service سيستم عامل Windows، اقدام به آلوده کردن کامپيوتر قربانی می کند. شرکت مايکروسافت در یک اقدام غیرعادی، در دوم آبان ماه برای اين حفره امنيتی اصلاحيه MS08-067 را بطور فوق العاده منتشر ساخت. اين در حالی بود که اين شرکت، طبق برنامه ماهانه خود، يازده اصلاحيه امنیتی برای ماه اکتبر را حدود يک هفته قبل از آن ارائه نموده بود. اين حفره امنيتی به نفوذگر اجازه می دهد تا از راه دور اقدام به اجرای هرگونه دستور و فرمان بر روی سيستم قربانی کند.
اصلاحيه MS08-067 را می توانيد از مسير زير دريافت نمائيد:

http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx (http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx)
به محض آلوده شدن يک کامپيوتر به اين ويروس، فايلهايی با نام nx.exe ( كه X يک عدد متغير است) بر روی کامپيوتر قربانی ایجاد می شوند. با اجرای هر یک از این فایلها، فايل مخرب زير ايجاد می شود:

%SystemDir%\wbem\sysmgr.dll
پس از آن کليدهای زير در محضرخانه سيستم عامل ايجاد می گردند:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\sysmgr\Parameters

Servicedll = %SystemDir%\wbem\sysmgr.dll

Servicemain = servicemainfunc
به اين ترتيب سرويسی با عنوان System Maintenance Service و نام sysmgr به بخش سرويسهای سيستم عامل اضافه می شود.
در ادامه، اين ويروس اقدام به برقراری ارتباط با سرويس دهنده 59.106.145.58 می کند که در نتيجه آن فايل فشرده شده inetproc02x.cab دريافت و در پوشه سيستمی سيستم عامل ذخيره می شود. اين فايل فشرده شده حاوی فايلهای مخرب زير است:

sysmgr.dll

install.bat

syicon.dll

winbase.dll

winbaseInst.exe
سپس با اجرا شدن فايل install.bat تمامی اين فايلها در مسير زير کپی می شوند:

%SystemDir%\wbem
در مسير مذکور فايل winbaseInst.exe اجرا شده و کليدهای زير در محضرخانه ايجاد می گردند:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\BaseSvc\Parameters

Servicedll = %SystemDir%\wbem\winbase.dll

Servicemain = servicemainfunc
در نتيجه سرويس ديگری با عنوان Windows NT Baseline و نام BaseSvc به بخش سرويسهای سيستم عامل اضافه می شود.
از ديگر خرابکاری های اين ويروس برقراری ارتباط با سرويس دهنده های زير بمنظور دريافت فايلهای مخرب بيشتر می باشد:

59.106.145.58

doradora.atzend.com

perlbody.t35.com

summertime.1gokurimu.com
توجه: اکيداً توصيه می شود وارد سايتهای مذکور نشويد؛ ذکر نام آن تنها برای اطلاع رسانی به مديران شبکه جهت اتخاذ تدابير پيشگيرانه می باشد.

پاکسازی
اعمال اصلاحیه امنیتی MS08-067 مایکروسافت جهت جلوگیری از آلودگی به این ویروس ضروری است.
با استفاده از DAT 5414 و Engine 5300 پاکسازی بصورت کامل صورت می پذيرد.

ويروس FakeALert.AB چيست ؟
Dat براي شناسايي 5356
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در سیستم های عامل Windows از نوع 32 بيتی فعال می گردد
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويـروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ويروس FakeAlert-AB نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها که بخصوص سيستم عامل، دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
FakeAlert-AB که در خانواده "پيامهای جعلي" (Fake Alert) قرار می گيرد، با نمايش پيامهای هشدار غيرواقعی مبنی بر آلوده بودن دستگاه، کاربر را به صفحات اينترنتی ای که در ظاهر حاوی يک برنامه ضدجاسوسی (AntiSpy) هستند، اما در واقع خود برنامه ای مخرب محسوب می شوند، هدايت می کند.

خرابكاري
به محض اجرا شدن فايل scui.cpl در پوشه سيستمی کامپیوتر کپی می شود. در ادامه، کليدهای متعددی در مسير زیر در محضرخانه ايجاد می گردد.


HKEY_CURRENT_USER\Software\(random hex strings)\Options


اين ويروس با نمايش يك پنجره بر روی نشانی که در نوار ابزار Windows قرار گرفته، به کاربر اينطور القا می کند که کامپيوترش به يک برنامه جاسوسی خطرناک آلوده شده است.
پيامهای اين پنجره در گونه های مختلف اين ويروس متفاوت گزارش شده است.
سپس پنجره ضدويروس جعلی به نام XP ظاهر شده و شروع به اسکن درايوها و فايلها می کند. در نهايت با نشان دادن يک گزارش غيرواقعی ادعا می کند دستگاه، آلوده به ويروس بوده و تنها راه پاکسازی آن، ثبت کردن (Register) نرم افزار جعلی XP Antivirus 2008 و اسکن دستگاه با نسخه ثبت شده آن است!
پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص بسته امنيتی (Service Pack) شماره 3 سيستم عامل Windows XP و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در بخش Access Protection ضدويروس McAfee (نظير فعال کردن قاعده Protect Internet Explorer favorites and settings) در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينکهای ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.

ويروس JS/Downloader-BNL چيست ؟
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در دسته دریافت کننده فایلهای مخرب (Downloader) قرار می گیرد.
انتشار
ویروس JS/Downloader-BNL کد مخربی به زبان Java Script است که از طریق آن ویروسهای دیگر فراخوانی شده و بر روی کامپیوتر اجرا می گردند. یک نفوذگر می تواند با قرار دادن این کد آلوده در سایتی اینترنتی سبب شود مراجعین سایت، فایلهای مخرب مورد نظر نفوذگر را دریافت کنند. در ادامه این فایلهای مخرب در پشت صحنه اجرا شده و نفوذگر به اهداف شوم خود می رسد.
خرابکاری
آخرین گونه ویروس JS/Downloader-BNL، در هنگام مراجعه کاربر به سایتی که این ویروس به آن تزریق شده است، ویروس FakeAlert-BY (که یک ضدویروس جعلی است) بر روی کامپیوتر او اجرا می شود.
همچنین ویروس JS/Downloader-BNL برای دریافت ویروسها و فایلهای مخرب به سرویس دهنده های زیر متصل می گردد:
hxxp://91.212.65.12


hxxp://192.88.80.150

hxxp://195.88.80.207
hxxp://78.26.179.239
پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينکهای ناآشنا همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5579 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

ويروس IRCbot.gen.a چيست ؟
ويروسی با درجه خطر کم با قابلیتهای مختلف (Generic) که در سيستم های عامل Windows از نوع 32 بيتی فعال می گردد.
انتشار
نحوه انتشار این ویروس در گونه های مختلف آن متفاوت است. اما بطور کلی، هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين ویروس کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين ویروس هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، اين ویروس دريافت کنند
آخرین گونه ویروس IRCbot.gen.a که در ماه جاری (فروردین 88) مشاهده شده است عملکردی مشابه ویروس پرسروصدای Conficker دارد و همانند آن، از حفره امنیتی *MS08-067 برای نفوذ به کامپیوترها استفاده می کند.

خرابکاری
به محض اجرا شدن، در مسيرهای زير فايلهای مخرب کپی می شوند:


%Windir%\netmon.exe



%WinDir%\drivers\sysdrv32.sys

وظیفه فایل دوم، حذف محدودیتهای ارتباطی است که سیستم عامل توسط فایل tcpip.sys (که یکی از راه اندازهای Windows است) آن کنترلها را اعمال می کند. با این کار، محدودیتهایی که از بسته امنیتی 2 به بعد در Windows لحاظ شده اند غیرفعال شده و ویروس می تواند به سرویس دهنده های مورد نظرش بدون مزاحمت سیستم عامل متصل گردد. فایل sysdrv32.sys توسط ضدویروس مک آفی با عنوان Generic Rootkit.g شناسایی می شود.
در ادامه این ویروس با سرویس دهنده های زیر ارتباط برقرار می کند :


hxxp://98.1[removed]



hxxp://74.2[removed]

در هنگام اتصال به این سرویس دهنده ها عمل تعیین هویت (Ahutentication) انجام می شود که این ویروس از مشخصه های زیر برای این منظور استفاده می کند:


PASS h4xg4ng



NICK [00-USA-XP-9215671]



USER SP2-ojd, followed by the name of the infected computer.


در نهایت کنترل دستگاه بدست نفوذگر می افتد و او می تواند اهداف شوم خود را از راه دور بر روی کامپیوتر قربانی پیاده سازد.

پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص اصلاحیه MS08-067 و همچنين استفاده از تنظيمات توصيه شده توسط کارشناسان شرکت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده هاي USB و برای کامپيوترهای پرخطر، فعال کردن قاعده هاي:


Prevent creation of new executable files in the Windows folder

Prevent creation of new executable files in the Program Files folder
همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند
همچنين مشترکينی که از ضدويروس مک آفی با حداقل DAT 5572 استفاده می کنند و سیستم عاملشان به اصلاحیه MS08-067 مجهز است از گزند اين ويروس در امان خواهند بود.

ويروس Spy-Agent.BW چيست ؟
یک "اسب تروا" (Trojan) با درجه خطر کم می باشد و بطور انبوه از طریق نامه های الکترونیکی جعلی که در ظاهر از اداره مالیات آمریکا است، پخش می شود. هدف اصلی، فریب کاربران است تا کامپیوتر آنها را آلوده ساخته و سپس اقدام به سرقت پول از حسابهای بانکی آنان نماید. این اسب تروا که به Zeus نیز مشهور است، در آمریکا روزانه اقدام به سرقت بیش از نیم میلیون دلار از حساب کابران فریب خورده میکند.
انتشار :
اسب تروا Spy-Agent.BW بصورت پیوست (attachment) نامه های الکترونیکی، بطور انبوه به کاربران در اقصی نقاط جهان ارسال شده است. طی هفته های گذشته، نامه های الکترونیکی حاوی این اسب تروا، بیشترین آمار نامه های ناخواسته و مخرب را درجهان به خود اختصاص داده اند.
اين نامه های جعلی در ظاهر از طرف اداره مالیات آمریکا (IRS) است و موضوع نامه عبارت Notice of Underreported Income میباشد. در این نامه های دروغ، به کاربر اعلام می شود که اظهارنامه مالیاتی وی صحیح نبوده و کتمان درآمد کرده است و از کاربر خواسته می شود که برای مشاهده حساب مالیاتی خود، فایل پیوست را باز کرده و یا به یک سایت که نشانی آن در متن نامه است، مراجعه کند. اگر کاربر هر یک از دو حالت را انجام دهد، کامپیوتر وی آلوده به اسب تروا Spy-Agent.BW خواهد شد.
خرابكاري:
پس از آلوده شدن کامپيوتر، اسب تروا اقدام به سرقت مشخصات حساب بانکی کاربر نموده و این اطلاعات را به یک سایت خاص ارسال می کند.
بطور معمول، فایلهای زیر بر روی کامپیوتر آلوده ایجاد می شوند:


- %System%\sdra64.exe [Copy of Trojan]
- %System%\lowsec\local.ds [Data File]
- %System%\lowsec\user.ds [Data File]
- %System%\lowsec\user.ds.lll [Data File]
این اسب تروا برای کنترل فعالیت کاربر بر روی اینترنت و همچنین مخفی ساختن خود از دید ابزارهای امنیتی خود را به برخی از سرویس های سیستم عامل تزریق می کند.
پيشگيري :
آگاه کردن کاربران از خطرات نامه های الکترونیکی ناخواسته (هرزنامه یا SPAM) و کليک بر روی لينک های ناآشنا، میي تواند خطر آلوده شدن به اين ويروس يا گونه هاي مشابه را به حداقل برساند.همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5757 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

ويروس Downloader-BLV چيست ؟
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در دسته "دریافت کننده فایلهای مخرب" (Downloader) قرار می گیرد. این ویروس نیز مانند صدها گونه دیگر از ویروس Downloader هدفی بغیر از دریافت فایلهای مخرب و اجرای فرامین خرابکارانه بر روی کامپیوتر قربانی ندارد.
انتشار :
این اسب تروا نیز مانند صدها گونه دیگر از اسبهای تروای Downloader هدفی بغیر از دریافت فایلهای مخرب و اجرای فرامین خرابکارانه بر روی کامپیوتر قربانی ندارد. تنها نکته قابل توجه درباره این گونه خاص، نحوه دریافت فرامین جدید است. فایلها و دستورات در قالب فایلهایی که در ظاهر حاوی تصاویر و گرافیک هستند، از یک سرويس دهنده مرکزی (که شبکه کامپیوترهای آلوده و تسخیر شده را کنترل میکند) به هر یک از کامپیوترهای آلوده ارسال می شود.
این فایلهای مخرب دارای Header از نوع فایلهای گرافیکی JPEG هستند و لذا کمتر کنترل شده و امکان شناسائی آنها نیز کمتر خواهد بود. اسب تروای فعال بر روی کامپیوتر آلوده نیز پس از دریافت فایل (در ظاهر گرافیکی)، بخش header آنرا کنترل کرده و پس از تشخیص آن، محتوای رمز شده آنرا خوانده و فرامین مخرب جدید را به اجرا می گذارد.
اسب تروا Downloader-BLV نيز همانند ساير اسب های تروا، با دريافت از اينترنت و اجرا بر روی دستگاه قربانی انتشار می یابد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل، که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
خرابكاري :
پس از فعال شدن اسب تروا Downloader-BLV بر روی کامپیوتر قربانی، فایل زیر را ایجاد میکند.


- %System%\mst123.dll
کلیدهای جدیدی در Registry سیستم عامل ایجاد کرده و بسیاری از سرویس های فعال بر روی کامپیوتر آلوده را از کار می اندارد.
این اسب تروا برای دریافت فرامین جدید به سایت های زیر وصل می شود:


- http://88.80.[removed]/karaq/[removed].php
- http://cdn.cdt[removed]/karaq/[removed].php
- http://cdn.cl[removed]/karaq/[removed].php
پيشگيري :
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص بسته امنيتی (Service Pack) شماره 3 سيستم عامل Windows XP، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.

ويروس JS/Downloader-BNL چيست ؟
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در دسته دریافت کننده فایلهای مخرب (Downloader) قرار می گیرد.
انتشار
ویروس JS/Downloader-BNL کد مخربی به زبان Java Script است که از طریق آن ویروسهای دیگر فراخوانی شده و بر روی کامپیوتر اجرا می گردند. یک نفوذگر می تواند با قرار دادن این کد آلوده در سایتی اینترنتی سبب شود مراجعین سایت، فایلهای مخرب مورد نظر نفوذگر را دریافت کنند. در ادامه این فایلهای مخرب در پشت صحنه اجرا شده و نفوذگر به اهداف شوم خود می رسد.
خرابکاری
آخرین گونه ویروس JS/Downloader-BNL، در هنگام مراجعه کاربر به سایتی که این ویروس به آن تزریق شده است، ویروس FakeAlert-BY (که یک ضدویروس جعلی است) بر روی کامپیوتر او اجرا می شود.
همچنین ویروس JS/Downloader-BNL برای دریافت ویروسها و فایلهای مخرب به سرویس دهنده های زیر متصل می گردد:
hxxp://91.212.65.12


hxxp://192.88.80.150
hxxp://195.88.80.207
hxxp://78.26.179.239
پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينکهای ناآشنا همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5579 استفاده می کنند از گزند اين ويروس در امان خواهند بود.


ويروس JS/Downloader-BNL چيست ؟
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در دسته دریافت کننده فایلهای مخرب (Downloader) قرار می گیرد. اولين نمونه اين ويروس در ماه جاری (فروردین 88) مشاهده شده است.
انتشار
ویروس JS/Downloader-BNL کد مخربی به زبان Java Script است که از طریق آن ویروسهای دیگر فراخوانی شده و بر روی کامپیوتر اجرا می گردند. یک نفوذگر می تواند با قرار دادن این کد آلوده در سایتی اینترنتی سبب شود مراجعین سایت، فایلهای مخرب مورد نظر نفوذگر را دریافت کنند. در ادامه این فایلهای مخرب در پشت صحنه اجرا شده و نفوذگر به اهداف شوم خود می رسد.
خرابکاری
آخرین گونه ویروس JS/Downloader-BNL، در هنگام مراجعه کاربر به سایتی که این ویروس به آن تزریق شده است، ویروس FakeAlert-BY (که یک ضدویروس جعلی است) بر روی کامپیوتر او اجرا می شود.
همچنین ویروس JS/Downloader-BNL برای دریافت ویروسها و فایلهای مخرب به سرویس دهنده های زیر متصل می گردد:
hxxp://91.212.65.12


hxxp://192.88.80.150
hxxp://195.88.80.207
hxxp://78.26.179.239
پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينکهای ناآشنا همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5579 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

ويروس IRCbot.gen.a چيست ؟
ويروسی با درجه خطر کم با قابلیتهای مختلف (Generic) که در سيستم های عامل Windows از نوع 32 بيتی فعال می گردد.
انتشار
نحوه انتشار این ویروس در گونه های مختلف آن متفاوت است. اما بطور کلی، هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين ویروس کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين ویروس هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، اين ویروس دريافت کنند
آخرین گونه ویروس IRCbot.gen.a که در ماه جاری (فروردین 88) مشاهده شده است عملکردی مشابه ویروس پرسروصدای Conficker دارد و همانند آن، از حفره امنیتی *MS08-067 برای نفوذ به کامپیوترها استفاده می کند.

خرابکاری
به محض اجرا شدن، در مسيرهای زير فايلهای مخرب کپی می شوند:


%Windir%\netmon.exe


%WinDir%\drivers\sysdrv32.sys
وظیفه فایل دوم، حذف محدودیتهای ارتباطی است که سیستم عامل توسط فایل tcpip.sys (که یکی از راه اندازهای Windows است) آن کنترلها را اعمال می کند. با این کار، محدودیتهایی که از بسته امنیتی 2 به بعد در Windows لحاظ شده اند غیرفعال شده و ویروس می تواند به سرویس دهنده های مورد نظرش بدون مزاحمت سیستم عامل متصل گردد. فایل sysdrv32.sys توسط ضدویروس مک آفی با عنوان Generic Rootkit.g شناسایی می شود.
در ادامه این ویروس با سرویس دهنده های زیر ارتباط برقرار می کند :


hxxp://98.1[removed]


hxxp://74.2[removed]
در هنگام اتصال به این سرویس دهنده ها عمل تعیین هویت (Ahutentication) انجام می شود که این ویروس از مشخصه های زیر برای این منظور استفاده می کند:


PASS h4xg4ng


NICK [00-USA-XP-9215671]


USER SP2-ojd, followed by the name of the infected computer.

در نهایت کنترل دستگاه بدست نفوذگر می افتد و او می تواند اهداف شوم خود را از راه دور بر روی کامپیوتر قربانی پیاده سازد.

پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص اصلاحیه MS08-067 و همچنين استفاده از تنظيمات توصيه شده توسط کارشناسان شرکت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده هاي USB و برای کامپيوترهای پرخطر، فعال کردن قاعده هاي:


Prevent creation of new executable files in the Windows folder
Prevent creation of new executable files in the Program Files folder
همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند
همچنين مشترکينی که از ضدويروس مک آفی با حداقل DAT 5572 استفاده می کنند و سیستم عاملشان به اصلاحیه MS08-067 مجهز است از گزند اين ويروس در امان خواهند بود.

ويروس JS/Exploit-BO.gen چيست ؟
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در دسته کدهای مخرب Java Script قرار می گیرد.
اين ويروس با نامهای زير توسط ضدويروسهای مختلف شناسايی می شود:
JS_WINDEXP.A (Trend)
TrojanDownloader:Win32/Delf.DH (Microsoft)

انتشار
ویروس JS/Exploit-BO.gen کد مخربی به زبان Java Script است. یک نفوذگر می تواند با قرار دادن این کد آلوده در سایتی اینترنتی سبب شود مراجعین سایت، فایلهای مخرب مورد نظر نفوذگر را دریافت کنند. در ادامه این فایلهای مخرب در پشت صحنه اجرا شده و نفوذگر به اهداف شوم خود می رسد.
همچنین این ویروس با نفوذ به سرویس دهنده های سایتهای مجازی که دارای حفره (های) امنیتی هستند، کد آلوده را به صفحات آنها تزریق می کند. بدین ترتیب کاربران بمحض مشاهده صفحات این سایتها که سایتهایی قانونی هستند از طریق کد آلوده به سایتهای مخرب هدایت می شوند و بدنبال آن فایلهای مخرب دریافت و بر روی کامپیوتر اجرا می گردند. برای مثال آخرین گونه این ویروس توانسته است با تزریق کد آلوده به 20 هزار سایت اینترنتی قانونی، کامپیوتر بسیاری از کاربران را آلوده کند.
گونه های اخیر ویروس JS/Exploit-BO.gen از حفره های امنیتی زیر سوءاستفاده می کنند:
Microsoft Data Access Components (MDAC) Code Execution Vulnerability (Exploit-MS06-014)
Microsoft Windows Shell Remote Code Execution Vulnerability (Exploit-CVE2006-3730)
Microsoft Windows Animated Cursor Remote Code Execution Vulnerability (Exploit-AniFile.c)
Apple QuickTime RTSP buffer overflow (Exploit-QtRTSP)
Sky Software FileView ActiveX control buffer overflow vulnerability (Exploit-CVE2006-5198)

خرابکاری
در آخرین گونه ویروس JS/Downloader-BNL، در هنگام مراجعه کاربر به سایتی که این ویروس به آن تزریق شده است، ویروس Nebuler (که نوعی تروجان است) بر روی کامپیوتر او اجرا می شود.

پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر (بصورت دستی، اتوماتيک و يا با استفاده از سرويس WSUS) و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينکهای ناآشنا همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5617 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

ويروس Mokaksu چيست ؟
ويروسی با درجه خطر کم که در محیط های Windows از نوع 32 بیتی اجرا می شود.


انتشار
ویروس Mokaksu با تزریق کد آلوده به فایلهای Shortcut خود را منتشر می سازد. به این ترتیب در هنگام اجرای فایل، علاوه بر اجرای فایل اصلی که Shortcut به آن اشاره می کند، فایل مخرب نیز در پشت صحنه اجرا می شود.

خرابکاری
به محض اجرا شدن ويروس، فايلهای مخرب در مسیرهای زیر ایجاد می شوند:


%Windir%\Fonts\Config.Msi.exe


%Windir%\Fonts\BeCoolDog.inf


%Windir%\Fonts\LinkFinished.dll
سپس این ویروس، دستور Windir%\Fonts\Config.Msi.exe% را به فایلهای Shortcut تزریق می کند تا با اجرای هر فایل Shortcut، فایل مخرب Config.Msi.exe نیز اجرا شود.

پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده نظير فعـال کـردن قاعده USB همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.

ويروس Downloader-BMF چيست ؟
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در دسته "دریافت کننده فایلهای مخرب" (Downloader) قرار می گیرد.

انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
ويروس Downloader-BMF نيز همانند ساير اسب های تروا، با دريافت آن از اينترنت و اجرا بر روی دستگاه قربانی انتشار می یابد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل، که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.

خرابکاری
ویروس Downloader-BMF با استفاده از فایلهای Shortcut و با کمک گرفتن از فایل cmd.exe اجرا می شود. بدین نحو که زمانی که کاربر بر روی یک فایل Shortcut کلیک می کند، پشت صحنه، با یک سرویس دهنده FTP مخرب ارتباط برقرار شده و در ادامه اسکریپت های مخرب VBS دریافت و اجرا می شوند.

پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص بسته امنيتی (Service Pack) شماره 3 سيستم عامل Windows XP، پرهيز از بکارگيری رمزهای ضعيف در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينکهای ناآشنا همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند

ويروس Exploit-PDF.b.gen چيست ؟
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و از حفره امنيتی موجود در نرم افزار Adobe Acrobat که سبب بروز خطای "سر ريز حافظه" (Buffer Overfllow) می شود، سوء استفاده می کند.
اين ويروس با نامهای زير توسط ضدويروسهای مختلف شناسايی می شود:
Exploit.Win32.Pidief.auz (Kaspersky & eScan)
Exploit:Win32/Pdfjsc.AM (Microsoft)

انتشار
ويروس Exploit-PDF.b.gen، از طريق يک فايل PDF دستکاری شده که پيوست يک هرزنامه (Spam) است انتشار می يابد. اين هرزنامه با سوءاستفاده از سوژه های اجتماعی و سياسی از کاربر می خواهد تا با باز کردن فايل پيوست از جزئيات بيشتر نامه آگاه شود؛ حال آنکه با اجرای آن، ويروس از طریق حفره امنیتی موجود در نرم افزار Adobe Acrobat فعال خواهد شد.
آخرین گونه این ویروس برای انتشار از سایت mart.cn استفاده می کند. ضمن اینکه نام فایل دستکاری شده معمولاً ts0w[1].pdf می باشد.

[B]پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های نرم افزارهای کاربردی و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينکهای ناآشنا همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنين مشترکينی که از ضدويروس مک آفی با حداقل DAT 5621 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

ويروس Exploit-PPT.k چيست ؟
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و از حفره امنيتی موجود در نرم افزار Microsoft PowerPoint که سبب بروز خطای "سر ريز حافظه" (Buffer Overfllow) می شود، سوء استفاده می کند

انتشار
ویروس Exploit-PPT.k به نفوذگر این امکان را می دهد تا از طریق حفـره امنيتی موجود در نرم افزار Microsoft PowerPoint از راه دور اقدام به اجرای برنامه های مخرب کند. این ویروس بعد از باز شدن یک فایل PPT يا PPS دستکاری شده در حافظه قرار می گیرد و پس از آن نفوذگر می تواند کنترل دستگاه در دست گیرد.
شرکت مایکروسافت هنوز اصلاحیه ای برای پوشش این حفره امنیتی عرضه نکرده است اما انتظار می رود که بزودی اصلاحیه ای در این خصوص توسط این شرکت منتشر شود. در عین حال شرکت مایکروسافت اعلام نموده است که بخش پشتیبانی این شرکت برای کاربرانی که به این ویروس آلوده شده اند راه حلهایی را ارائه می دهد. اطلاعات بیشتر را می توانید در لینک زیر بیابید:


http://www.microsoft.com/technet/security/advisory/969136.mspx




خرابکاری
هنگام اجرای فایل دستکاری شده، فایل مخرب مورد نظر ویروس نویس، در پشت صحنه بر روی کامپیوتر قربانی اجرا می شود. پروسه های زیر، نمونه هایی از این فایلهای مخرب هستند.


fssm32.exe: 428,032 bytes


IEUpd.exe : 45,056 bytes


setup.exe : 13, 1072 bytes


PeerCM.exe : 80,666 bytes


ws2_42.dll :10,6740 bytes
ضدویروس مک آفی سه فایل اول را با عنوان Muster.c Trojan و دو فایل آخر را تحت نام Generic BackDoor.u Trojan شناسایی می شوند.

پيشگيري
به روز نگه داشتن ضدويروس و نصب تمامی اصلاحيه های سيستم عامل و نرم افزار Office (بصورت دستی، اتوماتيک و يا با استفاده از سرويس WSUS) در کنار آگاه کردن کاربران در خصوص خطر کليک بر روی لينکهای ناآشنا، همگی می توانند خطر آلوده شدن به اين ويـروس و يـا گونه های مشابه را به حداقل برسانند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5573 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

ويروس Mokaksu چيست ؟
ويروسی با درجه خطر کم که در محیط های Windows از نوع 32 بیتی اجرا می شود.


انتشار
ویروس Mokaksu با تزریق کد آلوده به فایلهای Shortcut خود را منتشر می سازد. به این ترتیب در هنگام اجرای فایل، علاوه بر اجرای فایل اصلی که Shortcut به آن اشاره می کند، فایل مخرب نیز در پشت صحنه اجرا می شود.

خرابکاری
به محض اجرا شدن ويروس، فايلهای مخرب در مسیرهای زیر ایجاد می شوند:


%Windir%\Fonts\Config.Msi.exe


%Windir%\Fonts\BeCoolDog.inf


%Windir%\Fonts\LinkFinished.dll
سپس این ویروس، دستور Windir%\Fonts\Config.Msi.exe% را به فایلهای Shortcut تزریق می کند تا با اجرای هر فایل Shortcut، فایل مخرب Config.Msi.exe نیز اجرا شود.

پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده نظير فعـال کـردن قاعده USB همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند

ويروس Downloader-BMF چيست ؟
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در دسته "دریافت کننده فایلهای مخرب" (Downloader) قرار می گیرد.

انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
ويروس Downloader-BMF نيز همانند ساير اسب های تروا، با دريافت آن از اينترنت و اجرا بر روی دستگاه قربانی انتشار می یابد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل، که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.

خرابکاری
ویروس Downloader-BMF با استفاده از فایلهای Shortcut و با کمک گرفتن از فایل cmd.exe اجرا می شود. بدین نحو که زمانی که کاربر بر روی یک فایل Shortcut کلیک می کند، پشت صحنه، با یک سرویس دهنده FTP مخرب ارتباط برقرار شده و در ادامه اسکریپت های مخرب VBS دریافت و اجرا می شوند.

پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص بسته امنيتی (Service Pack) شماره 3 سيستم عامل Windows XP، پرهيز از بکارگيری رمزهای ضعيف در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينکهای ناآشنا همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.

ويروس PWS-CuteMoon چيست ؟
"اسب تروا" (Trojan) با درجه خطر کم می باشد و هدف اصلی آن، سرقت انواع اطلاعات از کامپیوتر قربانیان خود است. این ویروس با آنکه دارای نام متفاوتی است، ولی در حقیقت همان ویروس قدیمی Pinch است که نزدیک به دوسال قبل، دو جوان روسی به خاطر نوشتن و سوء استفاده از آن، به یک سال و اندی زندان محکوم شدند.

انتشار
هیچ مورد و رفتار خاصی از سوی اسب تروا CuteMoon در نحوه انتشار آن مشاهده نشده است.
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و هنگامی که او سعی می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سـالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
اسب های تروا به خودی خود منتشر نمی شوند و دخالت کاربر برای انتشار و فعال شدن آن ضروری است. لذا دقت و هوشیاری کاربران، یکی از مهمترین عوامل جلوگیری از آلودگی به اینگونه اسب های تروا می باشد.


خرابكاري
به محض اجرای اسب تروا CuteMoon، یک تصویر غیراخلاقی بر روی صفحه کامپیوتر قربانی به نمایش در می آید تا بدین ترتیب کاربر متوجه اتفاقاتی که در حال رخ دادن است، نشود.
اسب تروا اقدام به ایجاد فایل زیر می نماید:
- %Windir%\exploree.exe [Detected as PWS-CuteMoon (http://vil.nai.com/vil/content/v_240279.htm)]
- %Windir%\svcoost.exe [Detected as PWS-CuteMoon (http://vil.nai.com/vil/content/v_240279.htm)]
- %System%\154.bat [Non malicious batch file]
همچنین دستورات زیر به فایل Hosts سیستم عامل اضافه می شود تا در صورت درخواست کاربر برای مراجعه به سایت های اجتماعی زیر، به جای نمایش این سایتها، کاربر به سایت های مخرب مورد نظر اسب تروا CuteMoon، هدایت شود.
- 95.168.163.129 www.vkontakte.ru
- 95.168.163.129 vkontakte.ru
- 95.168.163.129 www.odnoklassniki.ru
- 95.168.163.129 odnoklassniki.ru
سپس اسب تروا CuteMoon اقدام به جمع آوری همه نوع اطلاعات از روی کامپیوتر قربانی کرده و این اطلاعات را به سایت خبری CuteNews که توسط نویسندگان این ویروس کنترل می شود، ارسال می کند. افراد خلافکار به راحتی می توانند این اطلاعات را جمع آوری کرده و مورد سوء استفاده قرار دهد.

پيشگيري
آگاه کردن کاربران از خطرات نامه های الکترونیکی ناخواسته (هرزنامه یا SPAM) و کليک بر روی لينک های ناآشنا، می تواند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5791 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

ويروس Whitewell چيست ؟
یک "اسب تروا" (Trojan) با درجه خطر کم می باشد و بطور انبوه از طریق نامه های الکترونیکی جعلی که در ظاهر از طرف برخی شرکت های حمل و نقل مشهور مانند DHL و UPS هستند، منتشر شده است. تنها نکته قابل توجه درباره این اسب تروا که عملکردی مشابه هزاران اسب تروای دیگر دارد، نحوه دریافت فرامین و دستورات جدید از طرف کنترل کنندگان آن است. این اسب تروا از طریق سایت اجتماعی FaceBook دستورات جدید را دریافت کرده و به اجرا می گذارد.

انتشار
اسب تروا Whitewell بصورت پیوست (attachment) نامه های الکترونیکی، بطور انبوه به کاربران در اقصی نقاط جهان ارسال شده است. این نامه های جعلی در ظاهر از طرف برخی شرکت های حمل و نقل مشهور مانند DHL و UPS هستند و عبارت Problem with بخشی از موضوع نامه را تشکیل می دهد. در این نامه های دروغ، به کاربر اعلام می شود که یک بسته پستی برای وی ارسال شده ولی بنا به دلایلی تحویل بسته امکان پذیر نیست و از کاربر خواسته می شود که برای مشاهده جزئیات مشکل پیش آمده، فایل پیوست را باز کند. اگر کاربر اینکار را انجام دهد، کامپیوتر وی آلوده به اسب تروا Whitewell خواهد شد.

خرابکاری
پس از آلوده شدن کامپيوتر، اسب تروا اقدام به ایجاد فایل زیر می نماید.


- %Temp%\setup.exe
همچنین دستورات جدیدی به Registry اضافه می شود تا در هر بار راه اندازی کامپیوتر، ویروس مجدداً فعال گردد.


- HKEY_Current_User\Software\Microsoft\Windows\Curre ntVersion\RunKey:"MCAFEEIPS"
Data: "%Temp%\setup.exe"
سپس، اسب تروا Whitewell به سایت اجتماعی FaceBook وصل شده و توسط مجوزهای عبوری که در داخل برنامه ویروس گنجانده شده است، وارد سایت می شود. اسب تروا از بخش Note این سایت، اقدام به دریافت فرامین و دستورات جدید از کنترل کنندگان خود دریافت می کند.

پيشگيري
آگاه کردن کاربران از خطرات نامه های الکترونیکی ناخواسته (هرزنامه یا SPAM) و کليک بر روی لينک های ناآشنا، می تواند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5793 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

ويروس JS/Redirector.k چيست ؟ یک "اسب تروا" (Trojan) با درجه خطر کم می باشد که مرورگرها را به سایت خاصی هدایت کرده تا از این طریق برنامه های مخربی دریافت و بر روی کامپیوتر اجرا گردند. این اسب تروا یک برنامه JavaScript است که در نامه های الکترونیکی جعلی که در ظاهر از سوی شرکت Amazon می باشد، گنجانده شده است.
انتشار:
اسب تروا Redirector.k بصورت یک پیوند (link) که در نامه های الکترونیکی جعلی گنجانده شده است، انتشار می یابد. این نامه های الکترونیکی که در طی چند روز گذشته بصورت انبوه ارسال شده اند، جعلی هستند و در ظاهر از سوی شرکت Amazon.com می باشند.
خرابكاري:
در صورت کلیک کردن بر روی پیوند مخرب در نامه الکترونیکی جعلی، اسب تروای Redirector.k در قالب برنامه JavaScript مخرب اجرا شده و مرورگر را به سایت زیر هدایت میکند.


queoda[removed].in:3129/js
امکان دریافت و اجرای برنامه های مخرب دیگر از این سایت وجود دارد.
پيشگيري:
آگاه کردن کاربران از خطرات نامه های الکترونیکی ناخواسته (هرزنامه یا SPAM) و کليک بر روی لينک های ناآشنا، می تواند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5911 استفاده می کنند از گزند اين ويروس در امان خواهند بود.
اين هم آخرين پست بنده درسال 88مي باشد
انشاالله سال خوب وخوشي داشته باشيد
درپناه حق موفق ومويدباشيد
ياعلي

یک سوال دوست خوب این ویروسها توسط انتی ویروس ESET NOD32 Antivirus شناسای میشه

ويروس W32/Rimecud چيست ؟
یک ویروس است که از طرق مختلف انتشار می یابد و هدف اصلی آن، سرقت اطلاعات شخصی کاربران از کامپیوترهای آلوده و فراهم آوردن امکانات دسترسی غیرمجاز به کامپیوتر از راه دور توسط افراد بیگانه است. این ویروس نقش عمده ای در ایجاد و گسترش شبکه مخرب Mariposa که اخیراً اقداماتی توسط مقامات اسپانیایی برای برچیدن آن شده، داشته است. این شبکه از کامپیوترهای آلوده و به تسخیر درآمده ای تشکیل شده اند که توسط گردانندگان آن، برای سرقت اطلاعات، انجام حملات اینترنتی و ارسال انبوه نامه های الکترونیکی ناخواسته، مورد استفاده قرار می گرفتند.
انتشار:
ویروس Rimecud از طریق شبکه های کامپیوتری، شاخه های به اشتراک گذاشته شده، وسایل ذخیره سازی قابل حمل (USB Flash) و نظائر آن، انتشار می یابد.
نحوه و زمان انتشار ویروس توسط گردانندگان شبکه مخرب Mariposa و از طریق درب مخفی (Back-Door) که توسط ویروس بر روی کامپیوتر آلوده گشوده می شود، کنترل و مدیریت میگردد.
خرابكاري:
به محض آلوده شدن کامپیوتر به ویروس Rimecud، این ویروس فایلهای زیر را ایجاد می کند.


- %RootDir%\RECYLCER\[ID]\sysdate.exe
- %RootDir%\RECYLCER\[ID]\Desktop.ini
همچنین کلید جدیدی به Registry اضافه می کند.


- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion \Winlogon\Taskman:
"%RootDir%\RECYLCER\[ID]\sysdate.exe"

سپس برنامه مخرب ویروس به پروسه explorer.exe تزریق میگردد. همچنین برنامه دیگری نیز به یکی از پروسه های مرتبط با explorer.exe تزریق می شود تا بدین ترتیب ویروس بتواند پروسه اصلی explorer.exe را کنترل کرده و در صورت متوقف شدن آن، برنامه مخرب ویروس را مجدداً در هنگام راه اندازی پروسه explorer.exe به آن تزریق کند.
ویروس Rimecud سعی میکند که از طریق سایت های زیر، برنامه های مخرب دیگری را نیز دریافت و بر روی کامپیوتر آلوده به اجرا در آورد.


- Bfisb[removed].org
- Butte[removed].es
- San[removed]ica.com
- Butte[removed].biz
- Qwer[removed].es
بعلاوه ویروس اقدام به گشودن یک درب مخفی (Back-Door) بر روی کامپیوتر آلوده می کند تا امکان دسترسی غیرمجار افراد بیگانه به کامپیوتر فراهم گردد. از این درب مخفی برای ارسال فرامین و دستورات جدید به ویروس و همچنین دریافت اطلاعات جمع آوری شده از کامپیوتر توسط ویروس، استفاده می شود.
پيشگيري:
رعایت نکات ایمنی در هنگام اتصال به شبکه، استفاده صحیح و امن از وسایل ذخیره سازی قابل حمل (USB Flash) و همچنین آگاه کردن کاربران از خطرات نامه های الکترونیکی ناخواسته (هرزنامه یا SPAM) و کليک بر روی لينک های ناآشنا، می تواند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5909 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

ويروس Cutwail!6393442E چيست ؟
یک "اسب تروا" (Trojan) با درجه خطر کم می باشد که با یک روش بسیار جدید و جالب به صندوق های پستی live.com مایکروسافت نفوذ کرده و از این نشانی ها اقدام به ارسال نامه های الکترونیکی ناخواسته و انبوه (هرز نامه) می کنند.
امروزه اغلب سایت ها برای اطمینان از اینکه استفاده کنندگان سایت افراد واقعی هستند و امکانات سایت توسط کامپیوتر و برنامه های مخرب مورد سوء استفاده قرار نمی گیرند، قبل از ورود کاربر به سایت، از وی خواسته می شود که یک کد حاوی اعداد و حروف مخدوش شده را که فقط توسط انسان قابل تشخیص هستند، وارد کند. افرادی نیز که مشکل بینایی دارند، می توانند این اعداد و حروف را با یک پس زمینه پر سر و صدا، شنیده و پس از تشخیص، وارد نمایند. در این روش جدید بکار گرفته شده، کدهای شنیداری توسط اسب تروا قابل تشخیص هستند.

انتشار:
اسب های تروا برنامه هايی هستند که به عنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبان کاربر را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است. اسب های تروا به خودی خود قابلیت تکثیر و انتشار نداشته و برای اینکار نیازمند دخالت کاربر می باشند. بدین دلیل نیز از روش های مختلف برای فریب و وسوسه کاربر برای دریافت فایل های آلوده به اسب های تروا و اجرای آن بر روی کامپیوتر استفاده می شود.
اسب تروا Cutwail-E پس از آلوده کردن کامپیوتر کاربر، آن کامپیوتر را به شبکه ای از کامپیوترهای تسخیر شده و قابل کنترل توسط افراد بیگانه، ملحق می کند. این شبکه مخرب که با نام Cutwail و یا Pushdo مشهور است، یکی از بزرگترین شبکه های مخرب و فعال در جهان به شمار می رود که دارای صدها هزار کامپیوتر تحت کنترل می باشد.

خرابكاري:
پس از آلوده شدن کامپيوتر و فعال شدن اسب تروا Cutwail-E، فایل های آلوده زیر بر روی کامپیوتر قربانی ایجاد می شوند.


- %UserProfile%\reader_s.exe [Copy of malware]
- %System%\reader_s.exe [Copy of malware]
- %System%\dllcache\ndis.sys [Detected as Cutwail.gen]
همچنین کلیدهای زیر در Registry ایجاد می شوند تا در هر بار راه اندازی کامپیوتر، اسب تروا فعال گردد.


- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
- HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
reader_s = "%System%\reader_s.exe"
کامپیوترهای آلوده به این اسب تروا در یک شبکه مخرب (botnet) به نام Pushdo یا Cutwail قرار می گیرند.
اسب تروا Cutwail-E با یک روش بسیار جدید و جالب به صندوق های پستی live.com مایکروسافت نفوذ کرده و از این نشانی ها اقدام به ارسال نامه های الکترونیکی ناخواسته و انبوه (هرز نامه) می کنند.
امروزه اغلب سایت ها برای اطمینان از اینکه استفاده کنندگان سایت افراد واقعی هستند و امکانات سایت توسط کامپیوتر و برنامه های مخرب مورد سوء استفاده قرار نمی گیرند، قبل از ورود کاربر به سایت، از وی خواسته می شود که یک کد حاوی اعداد و حروف مخدوش شده را که فقط توسط انسان قابل تسخیص هستند، وارد کند. افرادی نیز که مشکل بینایی دارند، می توانند این اعداد و حروف را با یک پس زمینه پر سر و صدا، شنیده و پس از تشخیص، وارد نمایند.
در این روش جدید بکار گرفته شده، کدهای شنیداری توسط اسب تروا قابل تشخیص هستند. نحوه تشخیص این کدها هنوز کاملاً روشن نیست ولی بنظر می رسد که یا این فایلهای صوتی به یک سایت خاص ارسال می گردند و در آنجا توسط افراد واقعی شنیده شده و کد به اسب تروا پس فرستاده می شود و یا اینکه واقعاً یک برنامه تشخیص صدا در درون نگارش های جدید این اسب تروا تعبیه شده است.

پيشگيري:
به روز بودن ابزارهای امنیتی و نصب اصلاحیه های سیستم عامل و دیگر نرم افزارهای کاربردی، در کنار آگاه کردن کاربران از خطرات کليک بر روی لينک های ناآشنا، می تواند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند. همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5932 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

ويروس Generic Dropper.rn چيست ؟
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در گروه "انتقال دهنده ها" (Dropper) قرار دارد. این نوع اسب های تروا در درون خود برنامه های مخرب دیگری را حمل می کنند که در تحت شرایط خاص، آنها را آزاد کرده و بر روی کامپیوتر قربانی قرار می دهند.
انتشار:
"انتقال دهنده ها" (Dropper) نیز مانند بسیاری از اسب های تروا قابلیت انتشار خودکار ندارند و با دخالت کاربر منتشر می شوند ولی علاوه بر این، در مواردی نیز مشاده شده که "انتقال دهنده ها" توسط دیگر ویروس ها و اسب های تروا حمل شده و بر روی کامپیوتر قربانی قرار داده می شوند.
اسب های تروا برنامه هايی هستند که به عنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبان کاربر را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است. اسب های تروا به خودی خود قابلیت تکثیر و انتشار نداشته و برای اینکار نیازمند دخالت کاربر می باشند. بدین دلیل نیز از روش های مختلف برای فریب و وسوسه کاربر برای دریافت فایل های آلوده به اسب های تروا و اجرای آن بر روی کامپیوتر استفاده می شود.
خرابكاري:
با اجرا و فعال شدن اسب تروای Dropper.rn بر روی کامپیوتر قربانی، فایل های آلوده زیر ایجاد می شوند.


- %WinDir%\mssrvc\svchost.exe
- %WinDir%\system32\mssrv32.exe
هر دو فایل بعنوان فایلهای آلوده با نام های FakeAlert-ML و Generic PWS.coa شناسائی می شوند.
همچنین کلید زیر در Registry ایجاد می گردد تا در هر بار راه اندازی کامپیوتر، اسب تروا مجدداً فعال گردد.


- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Winlogon\Userinit =
"%WinDir%\system32\userinit.exe,%Temp%\filename.exe"
اسب تروای Dropper.rn گزارشی از فعالیت های خود را به سایت زیر ارسال می کند.


- xu[removed].ru/404/stat.php
پيشگيري:
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات مناسب در ضـد ويـروس McAfee، نظير فعـال کـردن قاعده


- Prevent common programs from running files from the Temp folder
در کنـار آگـاه کـردن کـاربـران شبکه از خطـرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5924 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

ويروس Bredolab.gen.o چيست ؟
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) دارد. اولين نمونه های اين ويروس در چند ماه گذشته مشاهده شده اند و اکنون گونه جدید و فعالی از آن منتشر شده است. این اسب تروا، کاربران سایت اجتماعی FaceBook را هدف گرفته و اقدام به سرقت رمزهای دسترسی اعضای این سایت می نماید.
انتشار:
اسب های تروای Bredolab از طریق نامه های الکترونیکی که حاوی فایل پیوست (attachment) آلوده هستند، منتشر می شود. در این نامه های آلوده که در طی هفته های گذشته بصورت انبوه برای کاربران اینترنت در اقصی نقاط دنیا ارسال شده اند، ادعا شده که برای بهبود امنیت کاربران سایت، رمز عبور کاربر تغییر یافته و کاربر می تواند با باز کردن فایل پیوست نامه از رمز جدید خود مطلع شود.
فایل پیوست اشاره شده، یک فایل فشرده است که دارای نام Facebook_Password_????.zip می باشد. بجای ???? هر عدد شانسی می تواند قرار گیرد. این فایل فشرده حاوی فایل Facebook_Password_4cf91.exe است. اجرای این فایل اجرایی، اسب تروای Bredolab را بر روی کامپیوتر قربانی نصب و فعال می کند و پس از آن تمام کلیدهای تایپ شده توسط کاربر توسط اسب تروا ثبت و ذخیره خواهد شد.
خرابكاري:
با اجرا کردن فایل پیوست توسط کاربر، اسب تروای Bredolab بر روی کامپیوتر فعال شده و فایل آلوده زیر را ایجاد میکند.


- %Temp%\6.tmp
- %System%\nnfj.tqo
سپس بلافاصله اقدام به دریافت فایلهای مخرب بیشتر از اینترنت و از طریق سایت زیر می نماید.


- http://fun[removed].ru
همچنین کلید زیر در Registry ایجاد می گردد تا در هر بار راه اندازی کامپیوتر، اسب تروا مجدداً فعال گردد.


- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Winlogon "Shell" =Explorer.exe rundll32.exe nnfj.tqo nhemkk

پيشگيري:
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات مناسب در ضـد ويـروس McAfee، نظير فعـال کـردن قاعده


- Prevent common programs from running files from the Temp folder
در کنـار آگـاه کـردن کـاربـران شبکه از خطـرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5925 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

ويروس FakeAlert !hu چيست ؟
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در Windows از نوع 32 بيتی فعال می گردد. اولين نمونه اين ويروس در ماه جاری (خرداد 89) مشاهده شده است. این ویروس در داخل یک فایل Word از نوع RTF مخفی می باشد.
انتشار:
نحوه انتشار این اسب تروا نیز به مانند دیگر اسب های تروا بصورت دستی و با دخالت کاربران صورت می گیرد. این اسب تروا در داخل یک فایل Word از نوع RTF مخفی بوده و اغلب به صورت فایل پیوست (attachment) نامه های الکترونیکی نا خواسته منتشر می شود.
ویروس FakeAlert !hu که در خانواده "پيامهای جعلي" (Fake Alert) قرار می گيرد، سعی در جمع آوری عادات جستجوی کاربر بر روی اینترنت را داشته و اطلاعات جمع آوری شده را به سایت های خاصی ارسال می کند.
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سـالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
ويروس FakeAlert !hu نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه قربانی، انتشار می یابد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.

خرابكاري:
در صورت باز کردن فایل حاوی ویروس که در قالب فایلهای Word از نوع RTF است، تصویری در داخل فایل قابل مشاهده است.



در صورت کلیک کردن بر روی این تصویر، ویروس فعال شده و با سایتی به نشانی 220.225.xxx ارتباط برقرار می کند و فایلهای آلوده جدید زیر را دریافت می نماید.


%CommonProgramFiles%\Adobe AIR\Versions\1.0\Resources\AdobeUpdater.exe
[Detected as Generic FakeAlert!hu]


%CommonProgramFiles%\InstallShield\IScript\IScript Engine.exe
[Detected as Generic FakeAlert!hu]


%CommonProgramFiles%\Microsoft Shared\OFFICE11\1033\SoapLocalCache11.0.5516.exe
[Detected as Generic FakeAlert!hu]


%CommonProgramFiles%\Microsoft Shared\TextConv\ConverterConverters.exe
[Detected as Generic FakeAlert!hu]


%CommonProgramFiles%\Microsoft Shared\TRANSLAT\ESEN\TranslationDictionaries102109 1.exe
[Detected as Generic FakeAlert!hu]


%ProgramFiles%\MSN\MSNCoreFiles\Install\WextractMi crosoftR.exe
[Detected as Generic FakeAlert!hu]

اسب تروا FakeAlert !hu سعی در جمع آوری عادات جستجوی کاربر بر روی اینترنت را داشته و اطلاعات جمع آوری شده را به سایت های خاصی ارسال می کند. این اسب تروا با سایت های زیر ارتباط برقرار کرده و اطلاعات رد و بدل می کند:


https[removed].com
httpssre[removed].com
httpssr[removed].com
logs.httpssr[removed].com
همچنین این ويروس، کليدهای زير را در محضرخانه تعریف می کند:


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunServices]
UpdaterLink = "%CommonProgramFiles%\Adobe AIR\Versions\1.0\Resources\AdobeUpdater.exe"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunServices]
msls2QuillDocument = "%CommonProgramFiles%\Microsoft Shared\TextConv\ConverterConverters.exe"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunServices]
WextractOperating = "%ProgramFiles%\MSN\MSNCoreFiles\Install\WextractMi crosoftR.exe"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunServices]
IScriptInstallShield = "%CommonProgramFiles%\InstallShield\IScript\IScript Engine.exe"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunServices]
lccwizlccwiz = "%CommonProgramFiles%\Microsoft Shared\OFFICE11\1033\SoapLocalCache11.0.5516.exe"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunServices]
MicrosoftTranslation = "%CommonProgramFiles%\Microsoft Shared\TRANSLAT\ESEN\TranslationDictionaries102109 1.exe"
پيشگيري:
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، به خصوص بسته امنيتی (Service Pack) شماره 3 سيستم عامل Windows XP، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينک های ناآشنا همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5983 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

ويروس FakeAlert-LR چيست ؟
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در Windows از نوع 32 بيتی فعال می گردد. این اسب تروا در شکل نرم افزارهای ضدویروس جعلی و دروغین، سعی در فریب کابران دارد. تنها تفاوتی که این ویروس با گونه های مشابه خود دارد، میزان برنامه ریزی و فعالیتی است که سازنده ویروس برای فریب و وسوسه کاربر به خرج داده است. در این روش از اسایت اجتماعی Facebook برای انتشار یک خبر دروغ برای فریب اعضای این سایت استفاده می شود.
انتشار:
در طی چند روز گذشته خبری در بین کاربران سایت اجتماعی Facebook در حال رد و بدل شدن است که در آن درباره یک فایل اجرایی تحت نام Unnamed App بحث می شود. برخی می گویند آلوده به ویروس است، برخی می گویند برای سرقت رمز عبور سایت است و برخی هم عقیده دارند که برای کنترل کاربران سایت می باشد. در این خبر راهنمایی می شود که برای اطمینان از اینکه این فایل در Facebook شما هم هست می توانید به بخش Settings/Application Settings رفته و از آنجا، گزینه Add to Profile را انتخاب کنید.
واقعیت این است که این فایل هیچ جرمی ندارد به غیر از اینکه یک نام سوال برانگیزی بر روی آن گذاشته شده و نباید قابل رؤیت باشد و تنها به دلیل اشتباه برنامه نویسی و طراحی سایت است که دیده می شود.
افراد خلافکار با انتشار این خبر، کاربرانی را که از روی کنجکاوی برای کسب اطلاعات بیشتر در سایت های جستجو به دنبال عبارت Unnamed App می گردند، به سایت های مخرب هدایت کرده و در آنجا برنامه های جاسوسی و آلوده به ویروس بر روی کامپیوتر این کاربران نصب می کنند.
خرابكاري :
این اسب تروا از طریق سایت های مخربی که با دستکاری در نتایج موتورهای جستجوگر (Search Engine) در صدر فهرست نتایج قرار می گیرند، منتشر می شود. به دنبال جستجوی کاربر برای کسب اطلاعات بیشتر درباره عبارت Unnamed App و با کلیک کردن بر روی نتایج جعلی، کاربر به سایت های مخربی هدایت می شود که در ظاهر ابزارهای نرم افزاری برای حذف و از بین بردن فایل Unnamed App و اثرات آن، عرضه می شود.در صورت دریافت (download) و اجرای این نرم افزارها، اسب تروای FakeAlert.LR بر روی کامپیوتر نصب می گردد. پس از آن، کاربر دائماً شاهد ظهور هشدارهای امنیتی جعلی مبنی بر آلوده بودن کامپیوتر و نیاز به خرید نرم افزار امنیتی اصلی و کامل برای از بین بردن این آلودگی ها، خواهد بود.
پيشگيري :
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5877 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

سلام به همه دوستان
من هم یه ویروس نوشتم به نام fpr_Reset. البته سورسش رو هم در اختیار کاربران گذاشتم. باید این رو هم بگم که من خودم آنتی ویروس NOD32 v4 و با جدیدترین آپدیت دیتابیسش رو دارم که نتونست این ویروس رو شناسایی کنه.

توضیحات رو می تونید از لینک زیر، توی سایتم زیر مشاهده کنید :
http://www.vbassistant.net/fpr-reset-virus-source-code

ويروس PWS-Banker.gen.de چيست ؟
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و اقدام به دزديدن نامهای کاربری و رمزهای مربوط به حسابهای بانکی ذخيره شده بر روی کامپيوتر قربانی می کند.
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.انتشار ويروس PWS-Banker.gen.de نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
خرابکاری
ويروس PWS-Banker.gen.de با ذخیره نامهای کاربری و رمزهای مربوط به حسابهای بانکی که توسط کاربر در صفحات اینترنتی وارد شده است آنها را با استفاده از روشهای زیر به سرویس دهنده مورد نظر نویسنده ویروس ارسال می کند:

FTP-
SMTP -
HTTP -
-BackDoor

آخرین گونه این ویروس اطلاعات سرقت شده را به سرویس دهنده هایی که در کشور چین قرار دارند ارسال می کند.

پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده


Prevent common programs from running files from the Temp folder
و برای کامپيوترهای پرخطر، فعال کردن قاعده های


Prevent creation of new executable files in the Windows folder
Prevent creation of new executable files in the Program Files folder
در کنـار آگـاه کـردن کـاربـران شبکه از خطـرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
ويروس PWS-Banker.gen.de چيست ؟
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و اقدام به دزديدن نامهای کاربری و رمزهای مربوط به حسابهای بانکی ذخيره شده بر روی کامپيوتر قربانی می کند.
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.انتشار ويروس PWS-Banker.gen.de نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
خرابکاری
ويروس PWS-Banker.gen.de با ذخیره نامهای کاربری و رمزهای مربوط به حسابهای بانکی که توسط کاربر در صفحات اینترنتی وارد شده است آنها را با استفاده از روشهای زیر به سرویس دهنده مورد نظر نویسنده ویروس ارسال می کند:

FTP-
SMTP -
HTTP -
-BackDoor

آخرین گونه این ویروس اطلاعات سرقت شده را به سرویس دهنده هایی که در کشور چین قرار دارند ارسال می کند.

پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده


Prevent common programs from running files from the Temp folder
و برای کامپيوترهای پرخطر، فعال کردن قاعده های


Prevent creation of new executable files in the Windows folder
Prevent creation of new executable files in the Program Files folder
در کنـار آگـاه کـردن کـاربـران شبکه از خطـرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.

ويروس BackDoor-AWQ.b چيست
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و از بسیاری از سریال های تلویزیونی دنیا طولانی تر شده است! بگونه ای که بیش از شش سال است نویسنده (های) این ویروس هر از چندی جدیدترین فناوری های ویروس نویسی را که فرا می گیرد برروی کدهای پیشین پیاده کرده و آنرا به عنوان گونه جدیدی ارائه می دهد. آخرین نگارش این ویروس که در روزهای پایانی ماه ژولای 2010 یافت شده، امکانات نرم افزار انتقال فایل معروفی به نام ServU FTP Daemon را در خود گنجانده است تا به راحتی بتواند فایل های آلوده را روی دستگاه قربانی کپی کند. تقریبا در تمام گونه های آن عملکرد "درپشتی" (BackDoor) برای ارسال اطلاعات به نویسنده ویروس وجود دارد.
انتشار:
این ویروس از طریق نامه های الکترونیکی که تصویر یک خانم جوان را در خود دارد به دست کاربر می رسد. همچنین برخی از گونه های آن از طریق شاخه های اشتراکی (Share Folders) دستگاه های دیگر شبکه را هم آلوده می کنند.
خرابكاري:
ویروس BackDoor-AWQ.b پس از فعال شدن چند فایل اجرایی را در پروفایل کاربر ( که در شاخه \Documents and Settings قرار دارد) کپی و اجرا می کند. با اجرای این کدهای آلوده جمع آوری اطلاعات مهم کاربر آغاز شده و در فواصل منظم به بیرون ارسال می گردد.
همچنین برای اطمینان از حضور همیشگی ویروس در دستگاه تغییراتی در محضرخانه (Registry) دستگاه صورت گرفته و نام فایل اجرایی ویروس در کلید زیر قرار داده می شود:


HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce
در برخی از گونه های آن کدهای آلوده درون پروسه Explorer.exe (که همیشه در حال اجراست) تزریق می گردند تا توقف و پاکسازی دستی (Manual) ویروس تقریبا غیرممکن شود، در اینصورت تنها یک ضدویروس قوی می تواند کدآلوده را از دل سیستم عامل درآورده و اقدام به پاکسازی کند.
پيشگيري:
به روز نگه داشتن ضدويروس و نصب تمامی اصلاحيه های سيستم عامل و نرم افزار IE (بصورت دستی، اتوماتيک و يا با استفاده از سرويس WSUS) در کنار آگاه کردن کاربران در خصوص خطر کليک بر روی لينکهای ناآشنا، همگی می توانند خطر آلوده شدن به اين ويـروس و يـا گونه های مشابه را به حداقل برسانند.
توصیه می شود دسترسی کاربران شبکه در حد کاربران معمولی (Restricted Users , Power Users) باشد تا در صورت آلودگی یک دستگاه، آلودگی به دستگاه های دیگر سرایت نکند. همچنین تنظیم مناسب دسترسی به شاخه های اشتراکی در شبکه، می تواند احتمال انتشار ویروس در شبکه را کم کند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 6057 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

ويروس Spam-Mespam چيست ؟
ويروسی با درجه خطر کم که در دسته "هرزنامه ها" (Spams) قرار می گیرد و با برقراری ارتباط با سایتهای مخرب و دریافت متن هرزنامه اقدام به ارسال آن به کاربران دیگر از طریق کامپیوتر آلوده می کند.
اين ويروس با نامهای زير توسط ضدويروسهای مختلف شناسايی می شود:


Email-Worm.Win32.Zhelatin.as (Kaspersky & eScan)
Mal/Cimuz-A (Sophos)
Trojan.Mespam (Symantec)
Win32/Difisim.AG (CA)



انتشار
ویروس Spam-Mespam به نوعی جزو ويروس های از نوع "ارسال کنندگان انبوه" (Mass Mailer) قرار می گیرد. این گونه ویروسها پس از آلوده کردن يک دستگاه، تمامی نشانی های پست الکترونيکی (Email) موجود در کامپيوتر را جمع آوری کرده و برای آنها پيامهای با پيوست (Attachment) آلوده می فرستند تا هر چه بيشتر آلودگی را منتشر کنند. برای پيدا کردن نشانی ها از دفترچه نشانی (Address Book) نرم افزارهايی مانند Outlook استفاده می کنند و يا صفحات اينترنتی موجود در بخش فايلهای موقت مرورگر اينترنت (Temporary Internet Files) را برای بدست آوردن نشانی ها جستجو می کنند. این نوع ويروس ها در گذشته، برای فرستادن پیام ها به يک برنامه ارسال پیام (مانند Outlook) تکيه می کردند، اما با پيشرفتهای حاصل شده، امروزه اغلب اينگونه ويروس ها برنامه کوچکی بنام SMTP Engine درون خود دارند و رأساً اقدام به ارسال پیام می کنند.
همچنین در اواخر خرداد 88 نفوذگران با حمله به بیش از 40 هزار سایت سبب انتشار این ویروس از طریق سایتهای مورد نفوذ شدند. در آن حمله که به Nine-Ball معروف شده است نفوذگران با رخنه به سرویس دهنده سایتها کد مخرب را به درون صفحات آنها تزریق می کردند تا با مراجعه کاربر به این سایتها مرورگر او بسمت سایتهای اصلی نفوذگران تغییر مسیر داده و در آنجا دستگاه به ویروس Spam-Mespam آلوده شود.


خرابکاری
ويروس Spam-Mailbot.m پس از مقیم شدن در حافظه اقدام به برقراری ارتباط با سرویس دهنده های مخرب می کنند تا از آنها فایلهای آلوده و یا متون جدید هرزنامه را دریافت کند. نشانی این سرویس دهنده های مخرب در گونه های مختلف این ویروس متفاوت گزارش شده که برخی نمونه های آن در زیر آمده است:


http://trafficshop.tw/[REMOVED]
http://skilltests.org/zu/[REMOVED]
http://zup.secondsite1.com/[REMOVED]
http://66.148.74.7/[removed].php
توجه: اکيداً توصيه می شود وارد سايتهای مذکور نشويد؛ ذکر نام آن تنها برای اطلاع رسانی به مديران شبکه بمنظور اتخاذ تدابير پيشگيرانه می باشد.
در ادامه، این ویروس، برای ارسال متون هرزنامه ای که در مرحله قبل دریافت کرده است به سرویس دهنده های ایمیل زیر متصل و از طریق آنها هرزنامه را به کاربران دیگران می فرستد:


webmail.tiscali.co.uk
earthlink.net
comcast.net
webmail.bellsouth.net
fastmail.fm
mail.google.com
care2.com
mail.com
mail.rambler.ru
hotmail.msn.com
mail.yahoo.com
lycos.com
webmail.aol.com
win.mail.ru
همچنین این ویروس از طریق سرویسهای پیام رسان (Messenger) زیر نیز اقدام به ارسال پیامهای مخرب می کند:


GoogleTalk
Yahoo! Messenger
AOL Instant Messenger
پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده نظير فعـال کـردن قاعده های


Prevent mass mailing worms from sending mail
Prevent common programs from running files from the Temp folder



و برای کامپيوترهای پرخطر، فعال کردن قاعده هاي


Prevent creation of new executable files in the Windows folder
Prevent creation of new executable files in the Program Files folder
در کنـار آگـاه کـردن کـاربـران شبکه از خطـرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنين مشترکينی که از ضدويروس مک آفی با حداقل DAT 5200 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

ويروسی که در چند ماه ابتدای تولدش در اسفند 1385 با درجه خطر کم بود اما حدود سه سال است که بخاطر بالابودن فعالیتش به درجه بالاتر (Low-Profiled) ارتقا یافته است. عملکرد "اسب تروا" (Trojan) داشته و پس از استفاده به عنوان یکی از بخشهای نرم افزار سرقت اطلاعات زئوس (Zeus) شهرتش فراوان و میزان انتشارش در دنیا زیاد شد. هدف نهایی این ویروس دزديدن نامهای کاربری و رمزهای مربوط به حسابهای بانکی ذخيره شده بر روی کامپيوتر قربانی می باشد. طی روزهای اخیر آمار آلودگی به این ویروس بالا رفته و درنتیجه درجه خطر آنهم بالاتر (Low-Profiled) رفته است. اولين نمونه اين ويروس که در رسانه ها به نام زئوس (Zeus) مشهور شده است، در آذرماه سال 1386 مشاهده شد و اینروزها از ظهور مجدد آن به عنوان زئوس 2 نام برده می شود.

انتشار:
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
فایل آلوده به این ویروس در هنگام بازدید کاربر از یک سایت آلوده برروی دستگاه کاربر کپی و اجرا می گردد. اگر سیستم عامل و مرورگر دستگاه مجهز به آخرین اصلاحیه ها (Patch) نباشد، این کار ممکن است به شکل خودکار و بدون اجازه کاربر صورت گیرد. در صورت بروز بودن سیستم عامل و مرورگر نیز پیغام ها و آگهی های سایتها کاربر را به دریافت فایل آلوده ترغیب خواهند کرد.

خرابكاري:
به محض اجرا شدن، در مسير زير فايل مخرب کپی می شوند:


- %Windir%\system32\ntos.exe
و با دستکاری در محضر خانه تلاش می کند دیواره آتش (Firewall) خودکار سیستم عامل Windows را عیرفعال کند.
همچنین با ساختن مدخلی در کلید Run محضرخانه، فایل مربوط به ویروس (ntos.exe) در هنگام راه اندازی دستگاه به شکل خودکار اجرا می گردد.
در گونه هایی از این اسب تروا، تلاشهایی برای دریافت نسخه جدیدتری از ویروس از طریق کانال مشخصی از یک سرویس دهنده IRC صورت می گیرد. در صورت موفقیت آخرین دستورات آماده شده از سوی ویروس نویس (ها) را دریافت و اجرا میکند.

پيشگيري: به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و پرهيز از بازکردن پیوست نامه های مشکوک، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
استفاده از امکانات پیشگیرانه مانند آنچه در بخش Access Protection ضدویروس McAfee VirusScan Enterprise وجود دارد، جلوی برخی از روشهای انتشار و اقدامات خلافکارانه آن را می گیرد.
همچنين مشترکينی که از ضدويروس مک آفی با حداقل DAT 6131 استفاده می کنند از گزند اين ويروس در امان خواهند بود.