معرفي ويروسها

[abolfazlab]

سلام
بااجازه اساتيدمحترم
يكسري مطالب دارم كه درمورد ويروسها مي باشدومي خواهم آنهارادراختياردوستان خوب سايت برنامه نويس قراردهم
اميداورم موردقبول واقع شود

[abolfazlab]

ويروس Bredolab.gen.a چيست ؟



ويروسی با درجه خطر متوسط که عملکرد "اسب تروا" (Trojan) دارد. اولين نمونه های اين ويروس در چند ماه گذشته مشاهده شده اند و اکنون گونه جدید و فعالی از آن منتشر شده است. این اسب تروا، کاربران سایت اجتماعی FaceBook را هدف گرفته و اقدام به سرقت رمزهای دسترسی اعضای این سایت می نماید.

انتشار

اسب های تروای Bredolab از طریق نامه های الکترونیکی که حاوی فایل پیوست (attachment) آلوده هستند، منتشر می شود. این نامه های آلوده که در طی روزهای گذشته بصورت انبوه برای کاربران اینترنت در اقصی نقاط دنیا ارسال شده اند، در رنگ آمیزی و شکل ظاهری، بسیار شبیه سایت faceBook هستند.
در این نامه های جعلی به کاربر گفته می شود که برای افزایش امنیت وی، رمز دسترسی او به سایت FaceBook تغییر کرده و رمز جدید در فایل پیوست نامه می باشد. فایل پیوست یک فایل فشرده است که دارای نام Facebook_Password_4cf91.zip می باشد. این فایل فشرده حاوی فایل Facebook_Password_4cf91.exe است. اجرای این فایل اجرایی، اسب تروای Bredolab را بر روی کامپیوتر قرابانی نصب و فعال خواهد کرد.

خرابکاری

با اجرا کردن فایل Facebook_Password_4cf91.exe توسط کاربر، اسب تروای Bredolab بر روی کامپیوتر فعال شده و فایل آلوده زیر را ایجاد میکند.

- C:\Documents and Settings\%user%\Start Menu\Programs\Startup\isqsys32.exe

سپس بلافاصله اقدام به دریافت فایلهای مخرب بیشتر از اینترنت می نماید. نام دامنه mms*****system.ru در برنامه ویروس مشاهده شده است.
برای عبور از دیواره های آتش، ویروس برنامه مخرب خود را به فایلهای اجرایی دیگر (نظیر مرورگر IE) تزریق می کند. همچنین، گونه های جدید این ویروس دارای قابلیت مخفی ساختن خود از دید نرم افزارهای ضدویروس هستند. لذا اگر ویروس احساس کند که تحت نظر و بررسی است، فعالیت خود را متوقف می کند.

پيشگيري

به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات مناسب در ضـد ويـروس McAfee، نظير فعـال کـردن قاعده
- Prevent common programs from running files from the Temp folder
در کنـار آگـاه کـردن کـاربـران شبکه از خطـرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5742 استفاده می کنند از گزند اين ويروس در امان خواهند بود.
ويروسی با درجه خطر متوسط که عملکرد "اسب تروا" (Trojan) دارد. اولين نمونه های اين ويروس در چند ماه گذشته مشاهده شده اند و اکنون گونه جدید و فعالی از آن منتشر شده است. این اسب تروا، کاربران سایت اجتماعی FaceBook را هدف گرفته و اقدام به سرقت رمزهای دسترسی اعضای این سایت می نماید.

انتشار

اسب های تروای Bredolab از طریق نامه های الکترونیکی که حاوی فایل پیوست (attachment) آلوده هستند، منتشر می شود. این نامه های آلوده که در طی روزهای گذشته بصورت انبوه برای کاربران اینترنت در اقصی نقاط دنیا ارسال شده اند، در رنگ آمیزی و شکل ظاهری، بسیار شبیه سایت faceBook هستند.
در این نامه های جعلی به کاربر گفته می شود که برای افزایش امنیت وی، رمز دسترسی او به سایت FaceBook تغییر کرده و رمز جدید در فایل پیوست نامه می باشد. فایل پیوست یک فایل فشرده است که دارای نام Facebook_Password_4cf91.zip می باشد. این فایل فشرده حاوی فایل Facebook_Password_4cf91.exe است. اجرای این فایل اجرایی، اسب تروای Bredolab را بر روی کامپیوتر قرابانی نصب و فعال خواهد کرد.

خرابکاری

با اجرا کردن فایل Facebook_Password_4cf91.exe توسط کاربر، اسب تروای Bredolab بر روی کامپیوتر فعال شده و فایل آلوده زیر را ایجاد میکند.

- C:\Documents and Settings\%user%\Start Menu\Programs\Startup\isqsys32.exe

سپس بلافاصله اقدام به دریافت فایلهای مخرب بیشتر از اینترنت می نماید. نام دامنه mms*****system.ru در برنامه ویروس مشاهده شده است.
برای عبور از دیواره های آتش، ویروس برنامه مخرب خود را به فایلهای اجرایی دیگر (نظیر مرورگر IE) تزریق می کند. همچنین، گونه های جدید این ویروس دارای قابلیت مخفی ساختن خود از دید نرم افزارهای ضدویروس هستند. لذا اگر ویروس احساس کند که تحت نظر و بررسی است، فعالیت خود را متوقف می کند.

پيشگيري

به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات مناسب در ضـد ويـروس McAfee، نظير فعـال کـردن قاعده

- Prevent common programs from running files from the Temp folder

در کنـار آگـاه کـردن کـاربـران شبکه از خطـرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5742 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

[abolfazlab]

ويروس StealthMBR.a چيست ؟

ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در دسته ويروسهای آلوده کننده MBR قرار می گيرد. اولين نمونه اين ويروس در ماه جاری (فروردین 88) مشاهده شده است.

انتشار

اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ويروس StealthMBR.a نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل، دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
آخرین گونه این ویروس برای انتشار خود از حفره ای امنیتی موجود در نرم افزار Adobe Reader سود برده است. شرکت Adobe نیز جزئیات مربوط به این حفره و نحوه اصلاح آنرا از طریق لینک زیر در اختیار کاربران قرار داده است:

http://www.adobe.com/support/securit...apsb09-03.html

خرابکاری

ويروس StealthMBR.a نوعی آلوده کننده Master Boot Record محسوب می شود. MBR برنامه ای کوچک، حاوی جدولی در خصوص تقسيم بندی و محل ذخيره اطلاعات بر روی ديسک سخت می باشد که بطور معمول در اولين سکتور ديسک سخت ذخيره می شود. از ويژگی های MBR اجرا شدنش پيش از سيستم عامل است و ويروس StealthMBR با تزريق خود به MBR و با استفاده از همين ويژگی، پيش از سيستم عامل اجرا و در ادامه خود را از ديد برنامه های امنيتی و ضدويروس ها مخفی می سازد.

با آلوده شدن يک کامپيوتر به اين ويروس، فايلهای مخرب زير ايجاد می گردند:

%TEMP%\B.tmp

%TEMP%\C.tmp

%WINDIR%\Temp\D.tmp

همچنین ويروس StealthMBR.a این قابلیت را دارد که پس از دزدیدن اطلاعات کاربر (نظیر حروف تایپ شده توسط او) آنها را به سرویس دهنده ای خاص ارسال کند.
پيشگيري
اولين راه برای پيشگيری از آلودگی، عدم كنجكاوی درباره فايل های مشكوك و ناشناس و يا با عناوين جذاب است كه در سايت های اشتراك فايل، فراوان ديده مي شوند. بهتر است فايل ها و ابزار مورد نياز از سايت های معتبر تهيه شود. به روز نگه داشتن ضدويروس همچنين نصب آخرين اصلاحيه های سيستم عامل و نرم افزارهای کاربردی آن مي تواند کامپيوتر را در مقابل اين اسب تروا محافظت کند.
پاکسازی ويروسهای آلوده کننده MBR در محيط Windows ميسر نيست و علاوه بر اینکه ضدویروس باید حداقل به DAT 5590 (در مورد این ویروس) مجهز باشد می بایست دستگاه با Windows XP CD بوت شده و در محیط RecoveryConsole آن فرمان fixmbr اجرا شود.

[abolfazlab]

ويروس JS/Twettir چيست ؟


ويروسی با درجه خطر کم که عملکرد "کرم اینترنتی" (Internet Worm) داشته و در دسته کدهای مخرب Java Script قرار می گیرد. اولين نمونه اين ويروس درفروردین ماه 88 مشاهده شده است.
انتشار
ویروس JS/Twettir کد مخربی به زبان JavaScript است که از طریق حفره امنیتی موجود در سایت اجتماعی Twettir توانسته است پروفایل بسیاری از کاربران این سایت را آلوده کند.
همچنین سایت Twettir اعلام کرده است که با اعمال برخی تغییرات در سایت خود انتشار این ویروس متوقف شده است.
نویسنده این ویروس که نوجوانی 17 ساله است در گفتگو با سایت اینترنتی CNET ادعا کرده است که از سه سال پیش ویروس نویسی را آغاز نموده و امیدوار است روزی بتواند در یک شرکت امنیتی مشغول بکار شود.
خرابکاری
این ویروس پس از آلوده کردن پروفایل یک کاربر پیامهایی که حاوی یکی از عبارتهای زیر هستند را به لیست اعضای موجود در آن پروفایل ارسال می کند و از آنها می خواهد که برای مشاهده جزئیات بیشتر وارد پروفایل الوده شوند:

Dude, www.StalkDaily.com is awesome. What's the fuss?

Join www.StalkDaily.com everyone!

Woooo, www.StalkDaily.com :)

Virus!? What? www.StalkDaily.com is legit!

Wow...www.StalkDaily.com

@twitter www.StalkDaily.com

Twitter has been hacked !!!

Twitter worm, read here

StalkDaily worm on Twitter, more info

HOWTO: Remove StalkDaily.com Auto-Tweets From Your Infected Twitter Profile | Twittercism

#Stalkdaily virus runs riots on twitter. Learn how to remove it

با ورود هر یک از دریافت کنندگان پیام به پروفایلی که پیشتر ویروس به آن تزریق شده است پروفایل آنها نیز آلوده خواهد شد.

پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينکهای ناآشنا همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5583 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

[abolfazlab]

ویروس Twitter نوجوان چيست؟

ویروس Twitter با سوء استفاده از یک نقطه ضعف از نوع Cross Site Scripting در سایت Twitter، توانست انبوهی از پیام (Tweet) که در ظاهر از جانب اعضای سایت برای یکدیگر ارسال می شد، توزیع نماید. ویروس Twitter توسط یک نوجوان 17 ساله و به علت سررفتن حوصله اش نوشته شده و در ظرف یک هفته، چند گونه مختلف از آن تهیه شده و انتشار یافته است. در عنوان پیام های ارسالی توسط این ویروس، کلمه StalkDaily و یا Mikeyy دیده می شود. این ویروس از طریق صفحه Profile هر عضو Twitter که آلوده شده باشد، منتشر می گردد. نقطه ضعف موجود در سایت Twitter امکان اجرای هر برنامه مخرب را تنها با مشاهده صفحه Profile فراهم می آورد. لذا توصیه می شود فعلاً از مشاهده صفحه Profile اعضای جدید و ناآشنا در سایت Twitter خودداری کنید. برای جلوگیری از آلوده شدن به این ویروس، در صورت استفاده و عضویت در سایت Twitter از مراجعه مستقیم به سایت از طریق مرورگر خود خودداری نمایید و بجای آن، از ابزارهای جانبی نظیر Twhirl و یا TweetDesk استفاده کنید. در صورتیکه از طریق مرورگر به این سایت مراجعه می کنید، امکانات JavaScript را در مرورگر غیرفعال سازید. اگر هم فعالیت های عجیب در صفحه Profile خود مشاهده می کنید و یا دوستان و اعضای دیگر سایت از طرف شما پیام های مرتبط با ویروس دریافت کرده اند، مطمئناً شما نیز آلوده به ویروس Twitter شده اید. از طریق تنظیمات مرورگر خود، حافظه Cache مرورگر را پاک و خالی کنید. امکان JavaScript را در مرورگر خود غیرفعال نمایید. سپس وارد سایت Twitter شده و پیام هایی که عنوان Mikeyy و یا StalkDaily دارند را حذف کنید. تنظیمات Profile خود را به حالت پیش فرض برگردانید. جهت اطمینان خاطر، رمز عبور خود را نیز تغییر دهید.

[abolfazlab]

ويروس Backdoor-DZG.dllچيست ؟

ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و نفوذگران از آن بعنوان ابزاری برای نفوذ به سایتهای اینترنتی استفاده می کنند.

انتشار

ویروس Backdoor-DZG.dll از طریق ویروس دیگری بنام Backdoor-DZG.dr بصورت پشت صحنه دریافت و در حافظه مقیم می شود.

خرابکاری

فایلهای مخرب این ویروس در مسیر نصب یکی از برنامه های زیر (که اکثر آنها نرم افزارهای مدیریت FTP هستند) کپی می شوند:

FTP Voyager (RhinoSoft.com)
AceFTP 3 (Visicom Media)
Auto FTP Manager 4
Whisper Technology\FTP Surfer
FTP Desktop
WS_FTP 12 (Ipswitch)
LeechFTP
FlashFXP
GoFTP
FileZilla FTP Client
CoreFTP
FTP Commander
CuteFTP
SmartFTP Client
WinSCP
Total Commander
FTP Explorer
Mozilla Firefox
Internet Explorer
Opera
K-Meleon
FineBrowser
TurboFTP
NetSurf
SlimBrowser
Avant Browser
SphereXPlorer
Navigator 9
SEAGULL
Acoo Browser
Safari
Fast Browser
EmFTP
FTP Now
Far

عناوین فایلهای مخرب این ویروس عبارتند از:

ntshrui.dll
rasadhlp.dll

دو پروسه مجاز شرکت مایکروسافت نیز از این نامها استفاده می کنند. در واقع انتخاب این نامها برای فریب کاربر در کشف مخرب بودن آنها می باشد.

همچنین این فایلهای DLL زمانی که در حافظه مقیم شدند برقرار بودن ارتباط با اینترنت را از طریق ارسال درخواست به سایتهای yahoo.com و google.com بررسی می کنند و در صورت دریافت پاسخ از این سایتها اقدام به برقراری ارتباط با سرویس دهنده goo oodbill.cn کرده و اطلاعات مورد نظر نفوذگر به ویروس مقیم در دستگاه قربانی منتقل می شود.
در ادامه این ویروس به سرویس دهنده vividns. net متصل شده و نام کاربری، رمز و نشانی سرویس دهنده FTP سایتهایی که پیشتر مورد نفوذ قرار گرفته اند و اطلاعات هویت سنجی آنها سرقت شده را در قالب username:password@ftpsite دریافت می کند.
در همین خصوص بیش از 68 هزار سرویس دهنده FTP نامهای کاربری و رمزشان توسط نفوذگران بسرقت رفته است که برخی از مهمترین آنها عبارتند از:

ftp.bbc.co.uk
ftp.cisco.com
ftp.amazon.com
ftp.monster.com

زمانی که ویروس به نشانی هایی که از سایت vividns. net دریافت کرده است متصل شد کدهای مخرب را به فایلهای مروبط به صفحات اینترنتی موجود بر روی سرویس دهنده FTP تزریق می کند و پس از آن هر زمان که کاربری به یکی از این 68 هزار سایت مجاز مراجعه کند به ویروسهای مورد نظر نفوذگر آلوده می شود.
در حال حاضر بسیاری از مدیران این سایتها در حال کشف و اصلاح کدهای مخرب درون صفحات سایتشان هستند و اطلاع رسانی از سوی شرکتهای امنیتی به مسئولین سایتهایی که تا کنون متوجه وجود این نفوذ نشده اند ادامه دارد.

پيشگيري

به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينکهای ناآشنا همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنين مشترکينی که از ضدويروس مک آفی با حداقل DAT 5664 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

[abolfazlab]

ويروس Downloader-BRM چيست ؟

ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در دسته دریافت کننده فایلهای مخرب (Downloader) قرار می گیرد. اولين نمونه اين ويروس در ماه جاری (تیر 88) مشاهده شده است.

انتشار

اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ويروس Downloader-BRM نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل، دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.

خرابکاری

به محض آلوده شدن يک کامپيوتر به اين ويروس، در مسيرهای زير فایل مخرب کپی می شود:

%SysDir%\Documents and Settings\%USER%\Start Menu\Programs\Startup\rncsys32.exe

همچنین اطلاعات مورد نیاز این ویروس در قالب یک فایل LOG در مسیر زیر ذخیره می شود:

%SysDir%\Documents and Settings\%USER%\Application Data\wiaserva.log

سپس، ويروس Downloader-BRM، کليدهای زير را در محضرخانه تعریف می کند:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers "C:\WINDOWS\explorer.exe"
Data: EnableNXShowUI

در ادامه ويروس Downloader-BRM با سرويس دهنده مخرب زیر ارتباط برقرار نموده و بعد از دریافت ویروسهایی دیگر، آنها را بر روی کامپیوتر قربانی اجرا می کند:

78.109.29.116

از دیگر خرابکاری های این ویروس غیرفعال کردن ضدویروس، دیواره آتش و بخش آپدیت خودکار سیستم عامل می باشد.

پيشگيري

به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينکهای ناآشنا همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنين مشترکينی که از ضدويروس مک آفی با حداقل DAT 5664 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

[abolfazlab]

ويروس Generic Rootkit.d!rootkit چيست ؟


ويروسي با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در دسته "Rootkitها" قرار می گيرد. اولين نمونه آن در اردیبهشت هشتادوشش مشاهده شده و از آن زمان تاکنون، گونه های متعددی از GenericRootkit.d!rootkit ايجاد شده است.
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ويروس Generic Rootkit.d!rootkit نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل، دارای حفره های امنيتی هستند اين اسب تروا را دريافت کنند.
همچنین ویروس Generic Rootkit.d!rootkit ممکن است از طریق ویروسهای دیگری نظیر DNSChanger.ad از اینترنت دریافت شده و بر روی کامپیوتر قربانی اجرا شود.
خرابکاری
ویروس Generic Rootkit.d!rootkit در دسته ابزارهای مخرب Rootkit قرار می گیرد. Rootkitها برنامه هاي خطرناکی هستند که تلاش می کنند خود را از ديد کاربر يا برنامه هاي امنيتی مخفی کنند.
این ویروس برای مخفی ساختن خود توابع زیر را در سیستم عامل تحت کنترل خود در می آورد:

IofCallDriver
IofCompleteRequest
NtFlushInstructionCache
NtEnumerateKey
NtQueryValueKey

عنوان فایلهای آلوده این ویروس در گونه های قدیمی تر tdss*.sys و seneka*.sys بود که در گونه های اخیر به skynet*.sys تغییر نام یافته اند. ضمن اینکه تمامی فایلهای مخرب این ویروس در مسیر Windows\System32\Drivers ذخیره می شوند.
پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينکهای ناآشنا همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنين مشترکينی که از ضدويروس مک آفی با حداقل DAT 5655 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

[abolfazlab]

ويروس Autorun.worm.gen چيست ؟

ويروسی با درجه خطر کم که عملکرد "کرم" (Worm) داشته و در سيستم عامل Windows از نوع 32 بيتی فعال می گردد. اولين نمونه اين ويروس، در فروردين هشتاد و هفت مشاهده شده و از آن زمان تاکنون، گونه های متعددی از Autorun.worm.gen با حجمهای مختلف ايجاد شده است.

نامگذاري

اين ويروس با نامهای زير توسط ضدويروسهای مختلف شناسايی می شود:

Worm.Win32.AutoRun.dve (Kaspersky & eScan)

Worm/Autorun.dve (AntiVir)

انتشار

در صورت اجرای فايل آلوده بر روی دستگاه، فايلی بنام autorun.inf توسط ويروس در ريشه درايوهای ديسک سخت (درايوهای C و D و …) و ابزارهای ذخيره سازی USB (در صورت وجود) ايجاد می شود. درون اين فايل، نام فايل اجرايی ويروس مانند autoplay.exe (در آخرين گونه مشاهده شده در ايران) آورده شده است. کامپيوتر آلوده می تواند هر ديسک USB را نيز که به آن کامپيوتر وصل می شود، آلوده سازد. همچنين اين ويروس از طريق پوشه های به اشتراک گذاشته شده بر روی شبکه نيز اقدام به تکثير خود می کند.
بسياری از گونه های اين ويروس با کپی کردن خود در شاخه های اشتراکی (Share) ساير دستگاه های شبکه، آنها را هم در معرض آلودگی قرار می دهد. به اين صورت که اگر درايو C یک دستگاه در شبکه، برای کامپيوتر آلوده قابل دسترسی باشد، کافی است دو فايل autorun.inf و autoplay.exe در ريشه آن کپی شود تا بعد از راه اندازی دستگاه، کاربر با دوبار کليک کردن بر روی درايو C، کامپیوتر خود را آلوده کند.
در شبکه هايی که رمز عبور Administrator برای همه دستگاه ها يکی باشد و يا از رمز عبورهای ضعيف (مانند Blank، 1 و 123 و ...) استفاده شده باشد، آلودگی به سرعت گسترش خواهد يافت. منبع انتشار اوليه اين ويروس را احتمالاً می توان به برنامه ها و سايت هايی که برای اشتراک فايل بين کاربران استفاده می شوند، نسبت داد. (اينگونه برنامه ها را P2P می نامند.)
خرابكاري
به محض اجرا شدن ویروس، فايل آلوده lsass.exe در پوشه Windows کپی می شود.
تذکر: فايل lsass.exe (Local Security Authentication Server) يکی از فايلهای اصلی سيستم عامل می باشد که در پوشه سيستمی Windows ذخيره می شود. اين ويروس با انتخاب اين نام برای فايل اجرايی آلوده خود و ذخيره آن در محلی ديگر (پوشه Windows) سعی در فريب کاربر دارد. در همين رابطه، گزينه Prevent WindowsProcess spoofing در بخش Access Protection ضدويروس، وظيفه جلوگیری از ويروسهايی را دارد که بخواهند با سوءاستفاده از نام پروسه های اصلی Windows به اهداف خرابکارانه خود برسند.

در ادامه فايلهای زير در ريشه درايوها کپی می شوند:

autorun.inf

autoplay.exe

همچنين ويروس Autorun.worm.gen، کليدهای زير را نيز در محضرخانه ايجاد می کند.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\

Internet Settings\ProxyEnabled: "FALSE"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\

Run\Microsoft Windows Update Client: "%WinDir%\lsass.exe"

HKEY_USERS\S-1-5-21-746137067-299502267-1547161642-1003\Software\

Microsoft\Windows NT\CurrentVersion\Windows\Run: "%WinDir%\lsass.exe"

پيشگيری

به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص بسته امنيتی (Service Pack) شماره 3 سيستم عامل Windows XP، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط کارشناسان شرکت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده های
Prevent Windows Process spoofing
USB

در کنـار آگـاه کـردن کاربران شبکه از خطرات کليک بر روی فايلهای ناآشنا در پوشه های به اشتراک گذاشته شده، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.

[abolfazlab]

Downloader.QM چيست؟


ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در محیط Windows از نوع 32 بيتی فعال می‏گردد. اولين نمونه آن در آبان هشتاد و سه مشاهده شده و از آن زمان تاکنون، گونه‏های متعددی از Downloader-QM با حجمهای مختلف مشاهده شده است.
نامگذاری
اين ويروس با نام‏های زير توسط نرم‏افزارهای ضدويروس مختلف شناسايی می‏گردد:

Trojan.Spambot (Dr Web)

TROJ_LAGER.AL (Trend)

Troj/Tibs-AX (Sophos)
انتشار
اسب‏های تروا برنامه‏هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می‏شوند و او هنگامی که تلاش می‏کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می‏گيرد. اسب‏های تروا بر خلاف گونه‏های ديگر ويروس‏ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه‏انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی، تنها حذف فايل آن لازم است.
انتشار ویروس Downloader-QM نيز همانند ساير اسب‏های ‏تروا با دريافت آن از اينترنت و اجرا بر روی ‏دستگاه صورت می‏‏پذيرد. هرزنامه‏هايی ‏که سعی ‏می‏‏کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای ‏IRC، پوشه‏های ‏به اشتراک گذاشته شده (Shared) در شبکه‏های ‏نقطه به نقطه و گروه‏‏های ‏خبری،‏ همگی ‏بسترهای ‏مناسبی ‏برای ‏انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی ‏که دارای ‏نام کاربری ‏رايج و رمز عبور ضعيف هستند و یا نرم‏افزارهای ‏نصب شده بر روی ‏آنها، بخصوص سيستم‏عامل که دارای ‏حفره‏های ‏امنيتی ‏هستند، اين اسب تروا را دريافت کنند.
خرابکاری
ویروس Downloader-QM همانطور که از نام آن پيداست نوعی دريافت‏کننده محسوب می‏شود. به نحوی که با برقراری ارتباط با مرکز فرماندهی خود، فايلهای مخرب ديگری را دريافت می‏کند.

نام فايلهای اين ويروس و محل ذخيره آن در گونه‏های مختلف آن متفاوت گزارش شده که برخی نمونه‏های آن در زير آمده است:
%SYSTEMDIR%\taskdir.dll
%SYSTEMDIR%\zlbw.dll
%SYSTEMDIR%\ctfmona.exe
%SYSTEMDIR%\do2zs5.exe
%SYSTEMDIR%\gendel32.exe
%SYSTEMDIR%\llviq3.exe.exe
%SYSTEMDIR%\spools.exe

اين ويروس، با دستکاری کليدهایی در محضرخانه، اجرا شدن خود را در هر بار راه‏اندازی سيستم‏عامل تضمين می‏کند. همچنين، ویروس کليد زير را نيز در محضرخانه ايجاد می‏کند:

hkey_local_machine\software\microsoft\downloadmana ger
پيشگيری
اولينراهبرای پيشگيری ازآلودگی،‏عدمكنجكاوی دربارهفايل‏های مشكوك و ناشناسوياباعناوينجذاباستكهدر سايت‏های اشتراك فايل،فراوانديدهمی‏شوند.بهتراستفايل‏هاوابزارموردنيازازسايت‏های معتبرتهيهشود. همچنين به‏روز نگه داشتن ضدويروس و نصب آخرين اصلاحيه‏های سيستم های ‏عامل می‏تواند سیستمها را در مقابل اين ويروس محافظت کند.

[abolfazlab]

چيستHTool-T2W ؟

ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) دارد. اولين نمونه اين ويروس در ماه جاری مشاهده شده است. همچنين HTool-T2W عضو خانواده "ابزارهای مخرب" است و اين قابليت را دارد که هر فايل اجرايی را به يک ويروس خطرناک تبديل کند (Trojan2Worm).
نامگذاری
این ويروس با نام‏های زیر توسط نرم‏افزارهای ضدویروس مختلف شناسایی می‏گردد:
·Constructor.Win32.VB.ec [Kaspersky]
·Constructor.VB.ec [Quick Heal]
·Constructor.Win32.VB.ec [VBA32]
·Constructor/Wormer [Panda]
انتشار
ابزارهای مخرب آگاهانه و به منظور فعالیتهای مزاحمت آمیز و خرابکارانه مورد استفاده افراد سودجو و نفوذگران قرار می گیرد.
خرابکاری
ویروس HTool-T2W ابزار مخربی است که نفوذگران می‏توانند از آن جهت تبديل فايلهای اجرايی خود به "کرمهای خوداجرا" (Autorun Worm) استفاده کنند. به عبارت دیگر، تنها کافی است نفوذگر فايل خود را در اين ابزار مخرب مشخص کند و تنها با يک کليک، ويروسی کامل و بدون نقص، بعنوان خروجی دريافت کند! طراحی اين ابزار بنحوی است که حتی يک نفوذگر تازه‏کار و کم‏تجربه نيز می‏تواند براحتی از آن استفاده کند.
بارزترين قابليتهای اين ابزار مخرب عبارتند از:

• فشرده‏سازی فايل با استفاده از ابزار UPX
• تغيير شمايل (Icon) فايل برای فريب کاربر
• استفاده از روشهای مختلف برای اجرای خودکار فايل در هنگام راه اندازی سيستم‏عامل؛ نظير قرار گرفتن در قسمت Run محضرخانه، ثبت فايل بعنوان يک سرويس و غيره.
• نمايش پيامهای مختلف به انتخاب نفوذگر در هنگام اجرای فايل
• غيرفعال کردن Task Manager، Windows Registry Editor، Folder Options و حتی يک مرورگر اينترنتی خاص
• ایجاد خودکار فایل autorun.inf در دیسکهای سخت و دیگـر ابـزارهای ذخیره سازی (نظیر USB)

پيشگيری
به‏روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه‏های سيستم‏عامل، پيکربندی صحيح بخشAccessProtection ضدویروس McAfee (نظیر تفریف قاعده USB) و پرهيز از به اشتراک‏گذاری پوشه‏ها بر روی شبکه با حق دسترسی نوشتن برای همه افراد (Everyone) می‏تواند خطر آلوده شدن به ويروسهای ايجاد شده توسط اين ابزار مخرب را به حداقل برساند.

[abolfazlab]

ويروس W32/Conficker.worm چيست ؟


ويروسی با درجه خطر کم که عملکرد "کرم" (Worm) داشته و در سيستم عامل Windows از نوع 32 بيتی فعال می گردد. اولين نمونه اين ويروس، در آذر ماه 87 مشاهده شده و از آن زمان تاکنون، گونه های متعددی از این ویروس بسیاری از کامپیوترها را در سراسر جهان از جمله ایران آلوده نموده است.
انتشار
ويروس Conficker برای تکثير، از یک حفره امنيتی در سیستم های عامل Windows (موضوع اصلاحیه شماره *MS08-067 مایکروسافت) سوء استفاده می کند. این ویروس پس از آلوده کردن کامپیوتر، با راه اندازی یک سرویس دهنده HTTP و از طریق یک درگاه با شماره متغیر (در محدوده 1024 تا 10000)، دستگاه آلوده را تبدیل به یک سرویس دهنده ویروس می کند. بدین ترتیب که با اسکن پی در پی IPهای در محدوده دستگاه آلوده، کامپیوترهای پیرامون را شناسایی و در صورتی که دارای حفره امنیتی مذکور باشند، از طریق سرویس دهنده HTTP که بر روی دستگاه آلوده اولیه راه اندازی شده، فایل مخرب را بر روی کامپیوتر جدید کپی می کند.

خرابکاری

به محض اجرا، فایل مخرب با نامهای متغیر در پوشه %SysDir% کپی می شود.
برخی از گونه های این ویروس فایل مخرب را در مسیرهای زیر کپی می کنند:

%ProgramFiles\Internet Explorer

%ProgramFiles\Movie Maker

%temp%

C:\Documents and Settings\All Users\Application Data

در ادامه با دستکاری کلیدهای زیر در محضرخانه، سرویسهایی با نامهای متغیر ایجاد می کند تا در هر بار راه اندازی دستگاه، به سيستم عامل تزريق شود:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\{random}\Parameters\"ServiceDll" = "Path to worm"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\{random}\"ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs

ویروس Conficker با وصل شدن به سرویس دهنده های زیر می کوشد تا IP عمومی (Public) دستگاه آلوده را برای سوءاستفاده های بعدی بدست آورد:

hxxp://www.getmyip.org

hxxp://getmyip.co.uk

hxxp://checkip.dyndns.org

hxxp://whatsmyipaddress.com

همچنین این ویروس با برقراری ارتباط با سرویس دهنده زیر (که یک سرویس دهنده روسی است) فایل مخرب دیگری را دریافت کند:

hxxp://trafficconverter.biz/[Removed]antispyware/[Removed].exe

سپس سرویسهای زیر توسط ویروس Conficker غیرفعال می شوند:

WerSvc (Microsoft Vista Windows Error Service)

ERSvc (Microsoft XP Windows Error Service)

BITS (Microsoft Background Intelligent Transfer Service – Updates)

wuauserv (Microsoft Windows Update)

WinDefend (Microsoft AV)

Wscsvc (Microsoft Windows Security Centre)

ضمن اینکه پروسه هایی را که در نام آنها یکی از عبارتهای زیر (که مربوط به برنامه های امنیتی هستند) وجود داشته باشد، نیز از کار خواهد انداخت:

wireshark (Network packet tool)

unlocker (Rootkit detection tool)

tcpview (Network packet tool)

sysclean (Trend Micro AV tool)

scct_ (Splinter Cell?)

regmon (Sys internals registry monitoring tool)

procmon (Sys internals registry monitoring tool)

procexp (Sys internals registry monitoring tool)

ms08-06 ( Privilege escalation HotFix)

mrtstub (Microsoft Malicious Software Removal Tool)

mrt. (Microsoft Malicious Software Removal Tool)

Mbsa . (Microsoft Malicious Software Removal Tool)

klwk (Kaspersky AV Tool)

kido (Less common name for W32/Conficker.worm or W32/downad.worm)

kb958 (Blocks MS08-067, KB958644)

kb890 (Microsoft Malicious Software Removal Tool)

hotfix (Microsoft hot fixes)

gmer (Rootkit detection tool)

filemon (Sys internals registry monitoring tool)

downad (Common names for Conficker.worm or downad.worm)

confick (Common names for Conficker.worm or downad.worm)

avenger (Rootkit detection tool)

autoruns (Hooking point detection tool)

بطور کلی، گونه های مختلفی را که از زمان پیدایش این ویروس ظاهر شده اند، می توان به سه گروه تقسیم نمود.
نسل اول:
- استفاده از درگاه 445
- راه اندازی سرویس دهنده HTTP بر روی کامپیوتر آلوده
- استفاده از پروسه Rundll32.exe برای مقیم کردن فایلهای dll در حافظه

نسل دوم:
- استفاده از درگاه 445
- راه اندازی سرویس دهنده HTTP بر روی کامپیوتر آلوده
- استفاده از پروسه Rundll32.exe برای مقیم کردن فایلهای dll در حافظه
- استفاده از پوشه به اشتراک گذاشته شده در شبکه برای انتشار فایلهای مخرب
- استفاده از فایل Autorun.inf برای اجرای ویروس

نسل سوم:
- استفاده از درگاه 445
- راه اندازی سرویس دهنده HTTP بر روی کامپیوتر آلوده
- استفاده از پروسه Rundll32.exe برای مقیم کردن فایلهای dll در حافظه
- استفاده از پوشه به اشتراک گذاشته شده در شبکه برای انتشار فایلهای مخرب
- استفاده از فایل Autorun.inf برای اجرای ویروس
- ارتقاء حق دسترسی کاربر (از یک کاربر عادی و محدود، به کاربر Administrator)
- از کار انداختن پروسه های مربوط به نرم افزارهای امنیتی

همچنین در نگارشهای جدید این ویروس، اجرای اتوماتیک فایل مخرب از طریق بخش Scheduled Tasks صورت می پذیرد. ضدویروس مک آفی بهمراه آخرین DAT این گونه از ویروسها را با نام W32/Conficker.worm autorun!job شناسایی می کند.

پيشگيري

رعایت موارد زیر برای پیشگیری از آلوده شدن به این ویروس توصیه می شود:

- اصلاحیه MS08-067 باید بر روی همه کامپیوترها (بصورت دستی، اتوماتيک و يا از طريق سرويس WSUS) نصب گردد. حتی یک دستگاه فاقد این اصلاحیه، می تواند امنیت شبکه را به خطر بیاندازد.

- به روز نگه داشتن نرم افزارهای ضدویروس.

-استفاده از تنظيمات تـوصيـه شـده تـوسـط کارشناسان شرکت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده USB و برای کامپيوترهای پرخطر، فعال کردن قاعده های زیر:

Prevent creation of new executable files in the Windows folder

Prevent creation of new executable files in the Program Files folder

- در مواقعی که برخی از کامپیوترها فاقد اصلاحیه مذکور هستند و ویروس در شبکه فعال شده است می توان در ضـد ويـروس McAfee در بخش Access Protection و با استفاده از گزینه AntiVirus Outbreak Control : Make all SharesRead-Only، پوشه های به اشتراک گذاشته شد را بحالت "فقط خواندنی" (Read Only) در آورد.

- با تعریف قاعده ای در بخش Access Protection درگاه های 139 و 445 غیرفعال شوند.

- فعال بودن گزینه BufferOverflow در ضدویروس McAfee بخصوص بر روی سرویس دهنده ها توصیه می شود.

- برای پاکسازی کامپیوترهای آلوده شده به این ویروس باید بعد از انجام On-Demand Scan دستگاه راه اندازی شده و مجدداً عمل اسکن انجام شود. همچنین می توانید از برنامه زیر که تنها برای پاکسازی این ویروس تهیه شده استفاده کنید:

http://www.sg-update.net/download/tools/Stinger_Coficker.exe

توجه داشته باشید که این ابزار همزمان با انتشار گونه های جدید ویروس Conficker تغییر خواهد کرد. بنابراین بهتر است از نسخه ای که در همان روز دریافت کرده اید، استفاده کنید.

[abolfazlab]

ويروس Opachki.a چيست ؟

یک "اسب تروا" (Trojan) با درجه خطر کم می باشد و توسط دیگر برنامه های مخرب منتشر می شود. تنها نکته قابل توجه درباره این اسب تروا، اقدام شیطنت آمیز او در حذف امکان اجرای سیستم عامل در حالت Safe Mode است.

انتشار

اسب تروا Opachki توسط دیگر برنامه های مخرب (از گروه Dropper) از سایت های خاصی دریافت می شود و بر روی کامپیوتر قربانی قرار می گیرد. این اسب تروا نیز مانند دیگر اسب های تروا قابلیت تکثیر نداشته و تنها با دخالت کاربر می تواند فعال شده و باعث آلودگی گردد.
خرابكاري
پس از آلوده شدن کامپيوتر، اسب تروا اقدام به ایجاد فایل های زیر می نماید.
- %UserProfile%\ntuser.dll
- %UserProfile%\local settings\temp\rundll32.dll
- %UserProfile%\Start Menu\Programs\Startup\scandisk.dll
- %UserProfile%\start menu\programs\startup\scandisk.lnk
- %SystemDir%\calc.dll
همچنین دستورات جدیدی به Registry اضافه می شود تا در هر بار راه اندازی کامپیوتر، ویروس مجدداً فعال گردد.
- HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Runcalc = rundll32.exe %USERPROFILE%\ntuser.dll,_IWMPEvents@0
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Runcalc = rundll32.exe %SystemDir%\calc.dll,_IWMPEvents@0
اسب تروا Opachki.a در یک اقدام شیطنت آمیز، دستور اجرای سیستم عامل در حالت Safe Mode را از Registry حذف میکند تا بدین ترتیب امکان پاکسازی او برای کاربر دشوارتر گردد.

پيشگيري

آگاه کردن کاربران از خطرات نامه های الکترونیکی ناخواسته (هرزنامه یا SPAM) و کليک بر روی لينک های ناآشنا، می تواند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5793 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

[abolfazlab]

ويروس Rootkit.dt.dr چيست ؟

یک "اسب تروا" (Trojan) با درجه خطر کم می باشد و وظیفه نصب دیگر برنامه های مخرب را بر عهده دارد. تنها نکته قابل توجه درباره این اسب تروا، نوع برنامه مخربی است که بر روی کاپیوتر قربانی قرار می دهد. این برنامه مخرب از نوع Rootkit است که در سطح است که در سطح Kernel سیستم عامل فعالیت میکند.

انتشار

اسب تروا Rootkit.dt.dr وظیفه قرار دادن و فعال کردن دیگر برنامه های مخرب را بر روی کامپیوتر قربانی دارد. این اسب تروا نیز مانند دیگر اسب های تروا قابلیت تکثیر نداشته و تنها با دخالت کاربر می تواند فعال شده و باعث آلودگی گردد.
خرابكاري
به محض اجرای فایل حاوی اسب تروا Rootkit.dt.dr فایلهای زیر بر روی کامپیوتر قربانی ایجاد می گردد.

- %Temp%\[Random file name].bat [Non malicious batch file]
- %System%\drivers\[Random file name].sys [Detected as Generic Rootkit.dt]

فایلی که دارای پسوند .sys است از قابلیت های مخرب گروه Rootkit بهره مند است. ازجمله قابلیت مخفی سازی خود از دید ابزارهای امنیتی و یا امکان غیرفعال شدن هوشمند، در صورت تشخیص اینکه تحت نظر قرار گرفته است. همچنین این فایل مخرب برخلاف دیگر فایلهای مخرب رایج، مستقیماً از سطح Kernel سیستم عامل اجرا می گردد.
بعلاوه، اسب تروا Rootkit.dt.dr دستورات جدیدی را به Registry اضافه می کند تا در هر بار راه اندازی کامپیوتر، مجدداً فعال گردد.

- HKEY_Local_Machine\System\CurrentControlSet\Servic es\zacypxeepnjv7
ImagePath = "%System%\Drivers\[Random file name].sys"
DisplayName = "[Random filename]"

پيشگيري

آگاه کردن کاربران از خطرات نامه های الکترونیکی ناخواسته (هرزنامه یا SPAM) و کليک بر روی لينک های ناآشنا، می تواند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5799 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

[abolfazlab]

ويروس PWS-CuteMoon چيست ؟

"اسب تروا" (Trojan) با درجه خطر کم می باشد و هدف اصلی آن، سرقت انواع اطلاعات از کامپیوتر قربانیان خود است. این ویروس با آنکه دارای نام متفاوتی است، ولی در حقیقت همان ویروس قدیمی Pinch است که نزدیک به دوسال قبل، دو جوان روسی به خاطر نوشتن و سوء استفاده از آن، به یک سال و اندی زندان محکوم شدند.

انتشار

هیچ مورد و رفتار خاصی از سوی اسب تروا CuteMoon در نحوه انتشار آن مشاهده نشده است.
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و هنگامی که او سعی می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سـالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
اسب های تروا به خودی خود منتشر نمی شوند و دخالت کاربر برای انتشار و فعال شدن آن ضروری است. لذا دقت و هوشیاری کاربران، یکی از مهمترین عوامل جلوگیری از آلودگی به اینگونه اسب های تروا می باشد.
خرابكاري
به محض اجرای اسب تروا CuteMoon، یک تصویر غیراخلاقی بر روی صفحه کامپیوتر قربانی به نمایش در می آید تا بدین ترتیب کاربر متوجه اتفاقاتی که در حال رخ دادن است، نشود.
اسب تروا اقدام به ایجاد فایل زیر می نماید:
- %Windir%\exploree.exe [Detected as PWS-CuteMoon]
- %Windir%\svcoost.exe [Detected as PWS-CuteMoon]
- %System%\154.bat [Non malicious batch file]
همچنین دستورات زیر به فایل Hosts سیستم عامل اضافه می شود تا در صورت درخواست کاربر برای مراجعه به سایت های اجتماعی زیر، به جای نمایش این سایتها، کاربر به سایت های مخرب مورد نظر اسب تروا CuteMoon، هدایت شود.
- 95.168.163.129 www.vkontakte.ru
- 95.168.163.129 vkontakte.ru
- 95.168.163.129 www.odnoklassniki.ru
- 95.168.163.129 odnoklassniki.ru
سپس اسب تروا CuteMoon اقدام به جمع آوری همه نوع اطلاعات از روی کامپیوتر قربانی کرده و این اطلاعات را به سایت خبری CuteNews که توسط نویسندگان این ویروس کنترل می شود، ارسال می کند. افراد خلافکار به راحتی می توانند این اطلاعات را جمع آوری کرده و مورد سوء استفاده قرار دهد.

پيشگيري

آگاه کردن کاربران از خطرات نامه های الکترونیکی ناخواسته (هرزنامه یا SPAM) و کليک بر روی لينک های ناآشنا، می تواند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5791 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

[abolfazlab]

wormW32 / Winko.worm چيست ؟

Dat براي شناسايي 5332 ويروسی با درجه خطر کم که عملکرد "کرم" (Worm) داشته و در سيستم های عامل Windows از نوع 32 بيتی فعال می گردد. اولين نمونه اين کرم، در خرداد هشتاد و شش مشاهده شده و از آن زمان تاکنون، گونه های متعددی از Winko.worm با حجمهای مختلف ايجاد شده است. انتشار در صورت اجراي فايل آلوده بر روی دستگاه، فايلي بنام autorun.inf توسط ویروس در ريشه درايو های ديسك سخت (درایوهای C و D و ...) و ابزارهای ذخیره سازی USB (در صورت وجود) ایجاد می شود. درون اين فايل، نام فايل اجرايی ويروس (نظیر auto.exe در يکی از گونه ها) آورده شده است. کامپیوتـر آلـوده می تـوانـد هر دیسک USB را نیـز کـه به آن کامپیوتر وصل می شود، آلوده سازد. همچنين اين ويروس از طريق پـوشه هـای بـه اشتـراک گذاشته شده بر روی شبکه نيز اقدام به انتشار خود می کند. بسياری از گونه های اين ويروس با كپی كردن خود در شاخه های اشتراكی (Share) ساير دستگاه های شبكه، آنها را هم در معرض آلودگی قرار می دهند. به اين صورت كه اگر درايو C دستگاهی در شبكه برای كامپيوتر آلوده قابل دسترسی باشد، كافی است دو فايل autorun.inf و auto.exe در ريشه آن كپی شود تا بعد از راه اندازی دستگاه، كاربر با دوبار كليك كردن بر روی درايو C آلوده گردد. در شبكه هايی كه رمز عبور Administrator براي همه دستگاه ها يكی باشد و يا از رمز عبورهای ضعيف (مانند Blank، 1 و 123 و ...) استفاده شده باشد، آلودگی به سرعت گسترش خواهد يافت. منبع انتشار اوليه اين ويروس را احتمالاً می توان به برنامه ها و سايت هايی كه برای اشتراك فايل بين كاربران استفاده می شوند، نسبت داد. (اينگونه برنامه ها را P2P می نامند.) خرابکاری به محض آلـوده شدن يک کامپيـوتـر بـه ويـروس Winko، در مسيرهـای زيـر فـايلهای مخرب کپی می شوند. (نام اين فايل در گونه های مختلف متفاوت گزارش شده است.): - %WinDir%\system32\auto.exe - %WinDir%\system32\rising.exe - %WinDir%\system32\auto.dll - %WinDir%\system32\rising.dll سپس با تزريق خود به چندين پروسه سيستم عامل، از جمله Explorer.exe فعاليتهای خرابکارانه خود را آغاز می کند. اين ويروس، با ايجاد کليد زیر در محضرخانه (Registry)، اجرا شدن خود را در هر بار راه اندازی سيستم عامل تضمين می کند. - HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\Auto: “%WinDir%\system32\auto.exe” ويروس Winko در خانواده "دريافت کننده ها" (Downloader) قرار می گيرد. بدين ترتيب که با برقراری ارتباط با مرکز فرماندهی خود، پس از دريافت فايل Update.txt که حاوی ليستی از برنامه های مخرب است، اقدام به دريافت و اجرای آنها بر روی کامپيوتر قربانی می کند. پيشگيری استفاده از رمزهای عبور قوي و عدم به اشتراک گذاشتن کل درايوها، از نکات اوليه برای پيشگری در مقابل کرمها می باشد. ضمن اينکه به کاربران نيز توصيه می شود از كنجكاوي درباره فايل های مشكوك و يا با عناوين جذاب كه در سايت های اشتراك فـايـل، فراوان ديده می شوند، اجتناب کنند. به روز نگه داشتن ضدويروس و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در نرم افزار ضدويروس (نظیر قاعده USB) می تواند کامپيوتر را در مقابل اين ويروس محافظت کند.

[abolfazlab]

BraveSentry چيست ؟


Dat براي شناسايي5332
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در محیط های Windows از نوع 32 بيتی فعال می گردد. اولين نمونه آن در اسفند هشتاد و چهار مشاهده شده و از آن زمان تاکنون، گونه های متعددی از BraveSentry با حجمهای مختلف ايجاد شده است.
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ویروس BraveSentry نيز همانند ساير اسب های تروا با دريافت آن از اينتـرنت و اجـرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و یا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
ویروس BraveSentry که در خانواده "پيامهای جعلی" (Fake Alert) قرار می گيرد، با نمايش پيامهای هشدار غيرواقعی مبنی بر آلوده بودن دستگاه، کاربر را به صفحات اينترنتی ای که در ظاهر حاوی يک برنامه ضدجاسوسی (AntiSpy) هستند، اما در واقع خود برنامه ای مخرب محسوب می شوند، هدايت می کند.
خرابکاری
به محض اجرای ويروس، يک برنامه ضدويروس دروغين بر روی دستگاه قربانی نصب می گردد. نشان اين ضدويروس جعلی در نوار ابزار (System Tray) ظاهر شده و بصورت پی در پی پيـامهـایی غيـرواقعی در خصـوص آلـوده بـودن دستـگاه، نمـايش می دهد. در ظاهر، نسخه غير ثبت شدهاین ضدویروس تنها فايلها را اسکن کرده و با نشان دادن يک گزارش اشتباه، از کاربر می خواهد با خريد نرم افزار، کامپيوتر خود را پاکسازی کند.
نام فايلها و پوشه های ايجاد شده توسط اين ويروس، در گونه های مختلف آن متفاوت گزارش شده که برخی نمونه های آن در زير آمده است:
-"%TrojDir%\BraveSentry.exe
-%SysDir%Sys[RandomNumber].exe
-%SysDir%SysF[RandomNumber].exe
-%SysDir%SysFA.exe
در ادامه، با ايجاد کليد زير در محضرخانه، اجرا شدن خود را در هر بار راه اندازی سيستم عامل تضمين می کند:
-HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run\Brave-Sentry: "%TrojDir%\BraveSentry.exe"

ضمن اينکه کليدهای جدیدی را نيز در محضرخانه ايجاد می کند.
پيشگيری
بـه روز نگه داشتـن ضـدوـيروس، نصب آخرين اصلاحيه های سيستم عامل و همچنين پيکـربنـدي صحيح بخش Access Protection ضدويروس McAfee (نظير فعال کردن قاعده Protect Internet Explorer favorites and settings) در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينکهای ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.

[abolfazlab]

چيست ؟PWS-Yahmali

Dat براي شناسايي5332
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و اقدام به دزديدن نامهای کاربری و رمزهای عبور نرم افزار Yahoo Messenger از روی دستگاه آلوده می کند. اولين نمـونه آن در آبـان هشتـاد و شش مشـاهـده شده و از آن زمان تاکنون، چندين گونه از PWS-Yahmali با حجمهای مختلف ايجاد شده است.
انتشار
اسب های تروا بـرنـامـه هـايی هستند کـه بعنوان يک بـرنـامـه سـودمنـد بـه کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ویروس PWS-Yahmali نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرای آن بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتـراک گـذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و یا نرم افزارهای نصب شده بر روی آنها، بخصـوص سيستـم عـامـل کـه دارای حفـره هـای امنيتـی هستنـد، ايـن اسب تروا را دريافت کنند.
خرابکاری
ويروس PWS-Yahmali يک اسب تروای "رمز دزد" (Password Stealer) است که نرم افزار Yahoo Messenger را بر روی سيستم آلوده، هدف قرار می دهد. اين ويروس اقدام به دزديدن نامهای کاربری و رمزهای وارده شده توسط کاربر در نرم افزار Yahoo Messenger و ارسال آنها به سايت http://www.ilam-mind-makers.com می کند.
به محض اجرای ویروس، فايلهای زير ايجاد می شوند:

·%Temp%\Services.exe

·%Temp%\LSASS.EXE

·%Temp%\SMSS.EXE

·%Temp%\CSRSS.EXE

·%Temp%\WINLOGON.EX

همچنين اين ويـروس بـرای فـريب کـاربـر، نشان (Icon) ايـن فـايلهـا را همـاننـد نشان پوشه (Folder) نمایش می دهد.
در آخرين نمونه مشاهده شده در ايران، ويروس PWS-Yahmali به ازای هر پوشه ای که کاربر باز می کند، يک فايل اجرايی همنام و هم نشان با آن پوشه ايجاد نموده و برای فريب کاربر، پوشه واقعی را از نوع سيستم (System Type) می کند.
همچنين اين ويروس، با دستکاری کليد زير در محضرخانه، خود را در هر بار راه اندازی دستگاه، به سيستم عامل تزريق می کند:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\

Winlogon\"shell" = "explorer.exe "C:\DOCUME~1\{username}\LOCALS~1\

Temp\services.exe""

ضمن اينکه با تغيير دادن کليدهای زير سبب می شود که پسوند فايلها و همچنين پوشه ها و فايلهای سيستمی در Explorer نشان داده نشوند:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\
Explorer\Advanced "HideFileExt = [REG_DWORD, value: 00000001]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\

Explorer\Advanced "ShowSuperHidden" =[REG-DWORD, value 00000000]

پيشگيری
اولين راه برای پيشگيری از آلودگي، عدم كنجكاوی درباره فايل های مشكوك و ناشناس و يا با عناوين جذاب است كه در سايت های اشتراك فايل و يا پيام رسانها (Messenger) فراوان ديده می شوند. بهتر است فايل ها و ابزار مورد نياز از سايت های معتبر تهيه شود. بـه روز نگه داشتـن ضـدويـروس و همچنين نصب آخـريـن اصـلاحيه های سيستم عامل و نرم افزار پيام رسان Yahoo Messenger، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برسانند.

[abolfazlab]

CoreFlood.dr چيست ؟
Dat براي شناسايي5324
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در دسته دريافت کنندگان فایلهای مخرب (Dropper) قرار می گيرد. اولين نمونه آن در شهريور هشتاد و دو مشاهده شده و از آن زمان تاکنون، چندين گونه از CoreFlood.dr با حجمهای مختلف ايجاد شده است.
انتشار
انتشار ویروس CoreFlood.dr نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و یا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
اين اسب تروا پس از اجرا شدن بر روی کامپيوتر قربانی اقدام به دريافت ويروس CoreFlood که يک ويروس نفوذگر در شبکه يا در واقع نوعی Administration Tool است می کند. سپس هنگامی که مدير شبکه با نام کاربری Administrator برای بررسی های دوره ای به سيستم آلوده وارد می شود، ویروس CoreFlood با استفاده از برنامه PsExec - برنامه کوچکی که توسط مايکروسافت برای مديران شبکه جهت نصب نرم افزارها، از راه دور تهیه شده است - تمام کامپيوترهای شبکه را آلوده می سازد.
خرابکاری
به محض اجرا شدن اين اسب تروا، فايلهای زير ايجاد می شوند:

- %SystemDir%\[Random_DLL_Name].dat

- %SystemDir%\[Random_DLL_Name].dIl

- %SystemDir%\[Random Name].dat

- %SystemDir%\[Random Name].dat

- %SystemDir%\[Random Name].dat

- %SystemDir%\[Random Name].dat

در آخرين گونه از ویروس CoreFlood.dr، فايل آلوده با نام wmedia106.exe اقدام به تزريق خود در Explorer.exe نموده و کليدهای زير را در محضرخانه دستکاری می کند:
</span>
- HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\
explorer\shelliconoverlayidentifiers\[Random_DLL_Name]\ (default)
= {[Random_CLSID]}
پيشگيری
اولين راه برای پيشگيری از آلودگی، عدم كنجكاوی درباره فايل های مشكوك و ناشناس و يا با عناوين جذاب است كه در سايت های اشتراك فايل و يا پيام رسانها فراوان ديده می شوند. بهتر است فايل ها و ابزار مورد نياز خود را از سايت های معتبر تهيه کنید. به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، پرهيز از به اشتراک‏گذاری پوشه‏ها بر روی شبکه با حق دسترسی نوشتن برای همه افراد (Everyone) و عدم استفاده از نام کاربری Administrator برای کارهای عادی، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برسانند.

[abolfazlab]

PWS-Mmorpg.gen چيست ؟


Dat براي شناسايي5343
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و بـا استفـاده از زبـان برنامه نويسی Delphi نوشته شده است. اين ويروس اقدام به دزديدن نامهای کاربری و رمزهای عبور بازی های کامپيوتری MMORPG * می کند.
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يـا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ویروس Mmorpg.gen نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و یا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
خرابکاری
ويروس Mmorpg.gen يک اسب تروای "رمز دزد" (Password Stealer) است که بازی های MMORPG را بر روی سيستم آلوده هدف قرار می دهد. اين ويروس اقدام به دزديدن نامهای کاربری و رمزهای وارده شده توسط کاربر در اين بازی ها می کند. برخی نمونه های اين ويروس اطلاعات دزديده شده را به سايتهای مخرب می فرستند.
به محض اجرا شدن، در مسيرهای زير فايلهای مخرب که بصورت پنهان و سيستمی هستند کپی می شوند. (نام فايل آلوده در گونه‏های مختلف متفاوت می باشد.):

.\Shell.exe (در ريشه همه درايوها)

- .\autorun.inf (در ريشه همه درايوها)

- %WINDIR%\Help\ACDF4F3D0FD.exe

- %WINDIR%\Help\ACDF4F3D0FD.dll

در آخرين نمونه مشاهده شده در ايـران، نـام فـايـل اصـلـی ويـروس، ckvo0 بـوده و مسير ذخيره سازی آن %System32% گزارش شده است.
همچنين اين ويروس، با دستکاری کليدهایی در محضرخانه، خود را در هر بار راه اندازی دستگاه، به سيستم عامل تزريق می کند.
ویروس Mmorpg.gen پس از مقيم شدن در حافظه، ارتباط هایی را که با سايتهای MMORPG برقرار می شوند، زير نظر گرفته و نامهای کاربری و رمزهای عبور رد و بدل شده ميان کاربر و این سايتها را به آدرسی که نفوذگر آنرا مشخص نموده ارسال می کند.
پيشگيری
اولين راه برای پيشگيری از آلودگی، عدم كنجكاوی درباره فايل های مشكوك و ناشناس و يا با عناوين جذاب است كه در سايت های اشتراك فايل و يا پيام رسانها فراوان ديده می شوند. بهتر است فايل ها و ابزار مورد نياز خود را از سايت های معتبر تهيه کنید.
به روز نگه داشتن ضدويروس و استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در نرم‏افزار ضدويروس (نظیر قاعده USB)، در کنـار نصب آخـريـن اصلاحيه های سيستم عامل، به ویژه بسته امنيتی (Service Pack) شماره 3 سیستم عامل Windows XP، همگی می توانند خطر آلوده شدن به اين ويـروس و يـا گونه های مشابه را به حداقل برسانند.

[abolfazlab]

ويروس BackDoor-DTN چيست ؟
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و نفوذگران از آن به عنوان ابزاری برای نفوذ به شبکه استفاده می کنند.
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
ويروس BackDoor-DTN نيز همانند ساير اسب های تروا، با دريافت ویروس از اينترنت و اجرای آن بر روی دستگاه انتشار می یابد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، به خصوص سيستم عامل که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
خرابکاری
به محض آلوده شدن يک کامپيوتر به اين ويروس، در مسيرهای زير فایلهای مخرب ایجاد می شود:

- %Temp%\[اعدادی تصادفی].exe
- %Windir%\system32\drivers\[کاراکترهای تصادفی].sys

فایل اول توسط ضدویروس مک آفی، با نام BackDoor-DTN و فایل دوم بعنوان BackDoor-DTN!sys شناسایی می گردد.
سپس این ويروس با تعريف کليدهای زير در محضرخانه، خود را در هر بار راه اندازی دستگاه (حتی درحالت Safe Mode)، به سيستم عامل تزريق می کند:

- HKLM\SYSTEM\CurrentControlSet\Services\[کاراکترهایتصادفی].sys ImagePath =
\??\%Windir%\system32\drivers\[کاراکترهایتصادفی].sys
- HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Min imal\[کاراکترهایتصادفی].sys
- HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Net work\[کاراکترهای تصادفی].sys
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunOnce tdss = %Temp%\[ اعدادی تصادفی].exe
همچنین این ویروس با بررسی مجوزهای دسترسی کاربر جاری، در صورتی که کاربر فاقد حق دسترسی Administrator باشد، خواهد کوشید با سوءاستفاده از یک حفره امنیتی (موضوع اصلاحیه MS08-066)، حق دسترسی را به Administrator ارتقاء دهد.
در ادامه، اين ويروس به سرويس دهنده های زير متصل می شود:
- hxxp://update-product[blocked].net
- hxxp://updb-update[blocked].com
این ویروس پروسه هایی را که در نام آنها یکی از عبارتهای زیر باشد، غیرفعال می کند:
- Penis32.exe
- teekids.exe
- Microsoft Inet XpMSBLAST.exe
- windows auto update
- mscvb32.exe
- System MScvb
- sysinfo.exe
- PandaAVEngine
- taskmon

ویروس BackDoor-DTN این توانایی را دارد که نرم افزارهای امنیتی AVG، Avira، CA، Outpost، Kaspersky، Windows Defender و بخش Windows Firewall را از کار بیاندازد.
همچنین این ویروس در صورت وجود فایلهای زیر در پوشه سیستمی Windows آنها را حذف می کند:
- vcutil.dll
- hlfkt.dll
- phfkt.dll
- rdshost2.dll
- rdssrv2.exe
- dofckt.dll
- hdfkt.dll
- rdshost.dll
- rdssrv.exe
از نکات مثبت این ویروس، حذف برخی برنامه های مخرب نصب شده بر روی سیستم نظیر ضدویروسهای جعلی Antivirus 2009 است که در مسیرهای زیر به آنها اشاره شده است:
- HKLM\System\CurrentControlSet\Control\SafeBoot\Net work
- HKLM\System\CurrentControlSet\Control\SafeBoot\Min imal
- HKLM\System\CurrentControlSet\Services
- HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\W inlogon\Notify
- HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects
- HKLM\Software\Microsoft\Windows\CurrentVersion\She llServiceObjectDelayLoad
- HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings

بطور کلی ویروس BackDoor-DTN دارای قابلیتهای زیر است که نفوذگر می تواند از آنها سوءاستفاده کند:
- ارسال اطلاعات ذخیره شده بر روی سیستم (نظیر سایتهای مشاهده شده)
- سرقت اطلاعات کاربر از نرم افزارهایی نظیر Outlook و Google Talk
- گرفتن عکس از کارهای کاربر
- حذف و نصب برنامه ها
- از کار انداختن پروسه ها
- ذخیره کلیدهای زده شده بر روی صفحه کلید
- به روز کردن خود

پيشگيري

به روز نگه داشتن ضدويروس و نصب تمامی اصلاحيه های سيستم عامل بخصوص اصلاحیه MS08-066 در کنار آگاه کردن کاربران در خصوص خطر کليک بر روی لينک های ناآشنا، همگی می توانند خطر آلوده شدن به اين ويـروس و يـا گونه های مشابه را به حداقل برسانند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5545 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

[abolfazlab]

ويروس Exploit-MSExcel.r چيست ؟
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و از حفره امنيتی موجود در نرم افزار Microsoft Office Excel که در نگارشهای 2000، 2002، 2003، 2007، for Mac 2004/2008 و Excel Viewer 2003 کشف شده است، سوء استفاده می کند.

انتشار

ویروس Exploit-MSExcel.r به نفوذگر این امکان را می دهد تا از طریق حفـره امنيتی موجود در نرم افزار Microsoft Excel از راه دور اقدام به اجرای برنامه های مخرب کند. این ویروس بعد از باز شدن یک فایل XLS دستکاری شده، در حافظه قرار می گیرد و پس از آن نفوذگر می تواند کنترل دستگاه در دست گیرد.
شرکت مایکروسافت هنوز راه حلی برای پوشش این حفره امنیتی عرضه نکرده اما اعلام نموده است که به زودی اصلاحیه ای در این خصوص منتشر خواهد شد.

خرابکاری

اين ويروس پس از مقيم شدن در حافظه، فایلهای مخربی را بر روی کامپیوتر کپی می کند که توسط ضدویروس مک آفی با نام BackDoor-DUE شناسایی می شوند.

پيشگيري

به روز نگه داشتن ضدويروس و نصب تمامی اصلاحيه های سيستم عامل و نرم افزار Office (بصورت دستی، اتوماتيک و يا با استفاده از سرويس WSUS) در کنار آگاه کردن کاربران در خصوص خطر کليک بر روی لينک های ناآشنا، همگی می توانند خطر آلوده شدن به اين ويـروس و يـا گونه های مشابه را به حداقل برسانند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5534 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

[abolfazlab]

ويروس W32/Virut.n چيست ؟

ويروسی با درجه خطر کم که در دسته ويروسهای "چندشکلی" (Polymorphic) قرار می گيرد. نفوذگر می تواند از اين ويروس به عنوان ابزاری برای نفوذ به شبکه استفاده کند.

انتشار

مشخصه مشترک تمام ويروسها، قابلیت "خودتکثيری" آنها است. برنامه هايی که دائماً در حال ايجاد نسخه هايی ديگر از خود هستند و سعی می کنند با اين روش، سيستمهای پيرامون خود را نيز آلوده کنند. ویروس Virut.n نوعی آلوده کننده فايل محسوب می شود. بدين ترتيب که دستورالعملهای اين ويروس به انتهای فايل اجرايی سالم چسبيده و در سرآيند (Header) فايل نيز، نشانی آغاز دستورالعملهای اجرايی تغيير کرده و آدرس اولين دستورالعمل ويروس جایگزین می شود. در انتهای دستورات ويروس، دستوری نیز برای انتقال به نشانی اصلی فایل گذاشته می شود. در اين صورت، وقتی دستور اجرای يک فايل آلوده داده می شود، ابتدا ويروس اجرا میگردد و سپس برنامه اصلی. بنابراين کاربر متوجه اجرای ويروس نمی گردد.

خرابکاری

به محض اجرا شدن ویروس، کد آلوده به پروسه Winlogon.exe تزریق شده و فایل مخرب در مسیر زیر ایجاد می شود:

WINDOWS\TEMP\VRT7.tmp

در ادامه فایل svchost آلوده جایگزین فایل svchost سالم که یکی از اصلی ترین فایلهای سیستم عامل است می شود و پس از کپی شدن فایلهای مخرب زیر در مسیر WINDOWS\System32، فایل VRT7.tmp که پیش از این توسط ویروس ایجاد شده بود حذف می گردد:

8.tmp

9.tmp

فایل 8.tmp حاوی اطلاعات جمع آوری شده از کامپیوتر قربانی می باشد در حالی که فایل 9.tmp بعد از اجرا شدن، عبارت زیر را به فایل hosts که در مسیر Windows\System32\drivers\etc قرار دارد اضافه می کند:

127.0.0.1 ZieF.pl

بدین ترتیب نشانی 127.0.0.1 که در حالت عادی نشانی خود دستگاه (localhost) می باشد، از این پس معادل سرویس دهنده مخرب ZieF.pl خواهد شد.
همچنین ویروس Virut.n با تزریق کد آلوده به فایل ntdll.dll کنترل توابع زیر را در اختیار می گیرد تا از این طریق، کد آلوده را به فایلهای اجرایی تزریق کند:

NtCreateFile

NtCreateProcess

NtCreateProcessEx

NtOpenFile

NtQueryInformationProcess

ضمن اینکه این ویروس توانایی آلوده کردن فایلهای HTML را نیز دارد و از همین راه می تواند کامپیوتر کاربرانی را که صفحات HTML آلوده را مشاهده می کنند، ویروسی کند.
در ادامه اين ويروس، کليدهای زير را در محضرخانه تعریف می کند:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\-

SharedAccess\Parameters\FirewallPolicy\StandardPro file\AuthorizedApplications\List

- HKEY_USER\SOFTWARE\Microsoft\Windows\CurrentVersio n\Explorer\UpdateHost

همچنین این ویروس با برقراری ارتباط با سرویس دهنده های زیر، دستورات جدید را از ویروس نویس (ها) دریافت می کند:

irc.zief.pl

proxim.ircgalaxy.pl

علاوه بر موارد فوق، ویروس Virut.n فایلهای مخرب بیشتری را از سرویس دهنده های زیر دریافت و در ادامه بر روی کامپیوتر قربانی اجرا می کند:

horobl.cn

goasi.cn

setdoc.cn

209.205.196.18

66.232.126.195

lorentil.cn

از دیگر خرابکاری های این ویروس، جمع آوری آدرسهای پست الکترونیکی از روی کامپیوتر آلوده و ارسال آنها به سرویس دهنده زیر برای سوءاستفاده های بعدی می باشد:

69.46.16.191

به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط کارشناسان شرکت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، در کنـار آگـاه کـردن کاربران شبکه از خطرات کليک بر روی فايلهای ناآشنا در پوشه های به اشتراک گذاشته شده، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنين مشترکينی که از ضدويروس مک آفی با حداقل DAT 5528 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

پيشگيري

به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط کارشناسان شرکت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، در کنـار آگـاه کـردن کاربران شبکه از خطرات کليک بر روی فايلهای ناآشنا در پوشه های به اشتراک گذاشته شده، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنين مشترکينی که از ضدويروس مک آفی با حداقل DAT 5528 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

[abolfazlab]

ويروس BackDoor-CEP چيست ؟
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و از آن به عنوان ابزاری برای نفوذ به شبکه توسط نفوذگران استفاده ميشود.
نامگذاری ها
اين ويروس با نامهای زير توسط ضدويروسهای مختلف شناسايی می شود:

Backdoor.Win32.Bifrose.a (Kaspersky & eScan)

Bck/Bifrose.AP (Panda)

Troj/Bckdr-CEP (Sophos)

W32/Bifrose.A (Norman)

انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
ويروس BackDoor-CEP نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه قربانی ، انتشار می یابد. هرزنامه هايی که سعی می کنند کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل، که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
ويروس BackDoor-CEP در آخـريـن گـونـه خـود، بـا استفـاده از سوژه های اجتماعی و اخبار روز، کاربــر را تشویق به اجرای فایلی می کند که در ظاهر یک نوار ابزار (Toolbar) قانونی برای مرورگر اینترنت است اما در واقع فایل اصلی ویروس بوده و پس از اجرا شدن کامپیوتر کاربر را آلوده خواهد کرد.

خرابکاری

بـه مـحـض آلـوده شـدن کـامـپـيـوتـر بـه ايـن ويــروس، در مـسيــر زيـــر یــک فــایــل متنـی ایـجـاد شده و سپس این فـایـل تـوسـط نـرم افزار Notepad.exe باز می شود.

%USER_PROFILE%\Local Settings\Temp\Message

همچنین یک فایل مخرب در مسیر زیر ایجاد می شود (نام فایل مخرب در گونه های مختلف متفاوت گزارش شده است):

%WinDir%\system32\ali.exe

سپس، ويروس BackDoor-CEP، با تعريف کليدهای زير در محضرخانه، خود را در هر بار راه اندازی دستگاه، به سيستم عامل تزريق می کند:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\

{B6A807N6-42DF-4W02-93E5-B156B3FA8AL1}\StubPath: "%WinDir%\System32\ali.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce\

*andk: "%WinDir%\System32\ali.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\andk:

"%WinDir%\System32\ali.exe"

از ديگر خرابکاری های اين ويروس، گرفتن عکس از پنجره های باز شده و ذخیره کلیدهای وارد شده توسط کاربر و ارسال این اطلاعات به سرویس دهنده ای است که ویروس نویس آنرا مشخص نموده است.

پيشگيري

به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده

Prevent common programs from running files from the Temp folder

و برای کامپيوترهای پرخطر، فعال کردن قاعده هاي

Prevent creation of new executable files in the Windows folder

Prevent creation of new executable files in the Program Files folder

در کنـار آگـاه کـردن کـاربـران شبکه از خطـرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنين مشترکينی که از ضدويروس مک آفی با حداقل DAT 5423 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

[abolfazlab]

ويروس FakeAlert-IO چيست ؟

یک "اسب تروا" (Trojan) با درجه خطر کم می باشد و می تواند از طریق پیوند (link) هایی که در نتیجه جستجو در سایت Office.microsoft.com در اختیار کاربر گذاشته می شود، به کامپیوتر کاربر رخنه کند. نتایج نمایش داده شده، اکثراً مربوط به صفحات سایت مایکروسافت می باشند ولی این احتمال نیز وجود دارد که نتایج ارائه شده کاربر را به سایت های دیگر هدایت کند. سایت هایی که به سلامت آنها اطمینانی نیست.
انتشار :
در صورت استفاده از امکان Search در سایت Office.microsoft.com نتیجه جستجو شامل فهرستی از پیوندهایی خواهد بود که اکثراً مربوط به صفحات سایت مایکروسافت می باشند ولی این احتمال نیز وجود دارد که نتایج ارائه شده کاربر را به سایت های دیگر هدایت کند. سایت هایی که به سلامت آنها اطمینانی نیست. به ویژه اینکه نشانی این سایت های غیرمایکروسافتی با عبارت http://Office.microsoft.com شروع می شوند و احتمال خطای کاربر در باور اینکه سایت متعلق به مایکروسافت است، افزایش می یابد. حتی احتمال دارد که ابزارهای امنیتی نیز دچار چنین اشتباهی شده و به اینگونه سایت ها مجوز نمایش بدهند.
یکی از اینگونه سایت های جعلی که کاربر از این طریق به سایت هدایت می شود، نرم افزار جعلی و دروغین ضدویروس به کاربر پیشنهاد می دهد.
خرابكاري :
پس از آلوده شدن کامپيوتر و فعال شدن اسب تروا FakeAlert-IO، کلید زیر در Registry ایجاد می شود.

- HKEY_CURRENT_USER\Software\EVAE88
jhpbjhadeh = "<< <5"
mhdbdgkcogpf = ""

فایل زیر که حاوی برنامه اسب تروا است، بر روی کامپیوتر ایجاد می شوند.

- c:\tmp.[نام متغیر]

این اسب تروا با سایت زیر تماس برقرار کرده و اطلاعاتی را رد و بدل می کنند.

- download.cnet.com/windows/[Hidden]
- greatnorthwill.com/?mod=[Hidden]&i=[Hidden]&id[Hidden]

پيشگيري :
آگاه کردن کاربران از خطرات کليک بر روی لينک های ناآشنا، می تواند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند. همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5860 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

[abolfazlab]

ويروس BackDoor.DOQ چيست ؟

یک "اسب تروا" (Trojan) با درجه خطر کم می باشد و توسط سایت های واقعی که به خاطر ضعف های امنیتی قابل رخنه بوده اند و آلوده شده اند، منتشر می شود. تنها نکته قابل توجه درباره این اسب تروا، ترکیب روش های مختلف نفوذ و آلودگی است.
انتشار
سایت های واقعی و پرطرفدار که دارای نقاط ضعف امنیتی هستند و قابل رخنه می باشند، توسط افراد خلافکار شناسائی شده و برنامه مخربی در صفحات اینگونه سایت ها قرار داده می شوند. در این گونه خاص ، از روش SQLInjection برای نفوذ به سایت ها استفاده می گردد.
تنها مشاهده این صفحات دستکاری شده کافی است تا برنامه مخرب بر روی کامپیوتر قربانی قرار گیرد. سپس، این برنامه اقدام به جستجوی نرم افزارهای کاربردی آسیب پذیر (مانند مرورگر، Office، Flash، Adobe Acrobat و ...) نموده و در صورت یافتن اقدام به سوء استفاده از آن برای نصب برنامه جاسوسی به نام BackDoor.Win3.Buzus.Croo می نماید. این برنامه جاسوسی اطلاعات شخصی کاربر را جمع آوری کرده و به سایت خاصی ارسال می کند.
خرابكارى
برنامه جاسوسی بر روی کامپیوتر قربانی بصورت یک سرویس سیستم عامل نصب و اجرا می گردد. بدین منظور کلیدهای زیر در Registry ایجاد می شود.

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[file name]

در کلید فوق، File Name می تواند فایل مخربی با نام های متفاوت باشد.
همچنین اسب تروا backdoor.DOQ اقدام به ایجاد فایل های زیر می نماید.

- %DIR%\auto.exe
- %DIR%\AutoRun.inf
- %DIR%\Documents and Settings\[user]\Local Settings\Temp\~t11A.tmp
- %DIR%\Documents and Settings\[user]\Local Settings\Temp\~t219.tmp
- %DIR%\Documents and Settings\[user]\Local Settings\Temp\8458750.bat
- %DIR%\Documents and Settings\[user]\Local Settings\Temp\jxfqt.tmp
- %DIR%\Program Files\dnf.exe
- %DIR%\Program Files\Common Files\auto.exe
- %SYSDIR%\system32\imm32.dll.bak
- %SYSDIR%\system32\kb011164832.dll
- %SYSDIR%\system32\kb811164841.dll
- %SYSDIR%\system32\wmitpfs.dll
- %SYSDIR%\system32\wsconfig.db
- %SYSDIR%\system32\drivers\bmtpws31.dat
- %SYSDIR%\system32\drivers\Encionc_ch.dat

این اسب تروا با سایت های زیر ارتباط برقرار می کند.

- dns.win[removed].com.cn
- ver.win[removed].com.cn
- temp.cxx[removed].com.cn

پيشگيرى
آگاه کردن کاربران از خطرات نامه های الکترونیکی ناخواسته (هرزنامه یا SPAM) و کليک بر روی لينک های ناآشنا، می تواند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین علاوه بر سیستم های عامل، نصب آخرین اصلاحیه های امنیتی برای نرم افزارهای کاربردی مانند مرورگرها، Office، Adobe Acrobat و ... می تواند مانع بسیاری از حملات و نفوذ به کامپیوترها شود.
مشترکينی که از ضدويروس مک آفی با حداقل DAT 5830 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

[abolfazlab]

ويروس Redirector.b چيست ؟

ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و فقط بر روی مرورگر Firefox تاثیر می گذارد.
این ویروس نتایج به دست آمده در مرورگر Firefox را تغییر داده و به سایت های دیگر هدایت می کند.
انتشار
تاکنون نحوه دقیق انتشار اسب تروای Redirector.b شناسائی نشده ولی به احتمال زیاد توسط برخی برنامه های مخرب دیگر که اقدام به دریافت ویروسها از سایت های خاص و نصب و آنها بر روی کامپیوتر کاربران میکنند، منتشر میگردد.
فایل حاوی اسب تروای Redirector.b در فایلی بنام overlay.xul است. فایل همنامی نیز در مرورگر Firefox وجود دارد که ابزار مفیدی برای بسیاری از برنامه نویسان بشمار می آید. یک برنامه JavaScript در فایل overlay.xulکه آلوده به این اسب تروا باشد، بطور ماهرانه ای مخفی شده است که به همراه فایل اصلی اجرا میگردد.
لذا تنها وجود فایل overlay.xul دلیل آلودگی نمی تواند باشد. فایل آلوده دارای حجم 7716 بایت است.
خرابكارى
هنگامی که نامهای جستجوگر در اینترنت نظیر Yahoo, Google و ... در مرورگر Firefox مورد استفاده قرار میگیرند، این اسب تروا وارد عمل شده و نتایج جستجوی صورت گرفته را دستکاری کرده و کاربر را به یک سایت خاص هدایت میکند.
فایل حاوی اسب تروای Redirector.b در فایلی بنام overlay.xul است. فایل همنامی نیز در مرورگر Firefox وجود دارد که ابزار مفیدی برای بسیاری از برنامه نویسان بشمار می آید. یک برنامه JavaScript در فایل overlay.xul که آلوده به این اسب تروا باشد، بطور زیرکانه ای مخفی شده است که به همراه فایل اصلی اجرا میگردد. فایل دستکاری شده overlay.xul بطرز ماهرانه ای ساخته شده است و در نگاه اول به محتوای فایل، چیز خاصی را نشان نمی دهد.
پيشگيرى
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگرهای مورد استفاده و همچنين استفاده از تنظيمات توصيه شده در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.

همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5836 استفاده می کنند از گزند اين ويروس در امان خواهند بود

[abolfazlab]

ويروس FakeAlert-AntiVirusPro چيست ؟

ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در Windows از نوع 32 بيتی فعال می گردد. این اسب تروا در شکل نرم افزارهای ضدویروس جعلی و دروغین، سعی در فریب کابران دارد. تنها تفاوتی که این ویروس با گونه های مشابه خود دارد، ابتکار بسیار جالب آن در استفاده از علامت سایت گوگل در صفحه اصلی گوگل برای فریب کاربران است.
انتشار
ویروس FakeAlert-AntiVirusPro که در خانواده "پيامهای جعلي" (Fake Alert) قرار می گيرد، با نمايش پيامهای هشدار غير واقعی مبنی بر آلوده بودن دستگاه، سعی در فریب کاربر دارد تا وی را وسوسه به خرید نرم افزار امنیتی جعلی نماید.
این ویروس با استفاده از از روش های خاص، نتایج جستجوی گوگل را دستکاری کرده و تغییر ميدهد. در روز سه شنبه 24 آذر که به مناسبت 150 سالگی تولد مخترع زبان اسپرانتو، علامت گوگل در صفحه اصلی آن تغییر داده شده و دارای پیوند به صفحات مرتبط با زبان اسپرانتو بود، نتایج نمایش داده شده، کاربر را به سایت های مخرب هدایت می کرد.
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سـالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
خرابكارى
این اسب تروا از طریق سایت های مختلف منتشر میشود. همچنین امکان دریافت این اسب تروا توسط دیگر ویروس ها و برنامه های مخرب نیز وجود دارد.
به محض آلوده شدن يک کامپيوتر به اين ويروس، نرم افزار ضدویروس دروغین و جعلی بر روی صفحه نمایش داده شده و در ظاهر شروع به کنترل درايوها و فايلها می کند. در نهايت با نشان دادن يک گزارش غير واقعی ادعا می کند دستگاه آلوده به ويروس است. سپس از کاربر خواسته می شود برای پاکسازی کامپیوتر خود، با ثبت کردن (Register) این نرم افزار ضدویروس و کنترل دستگاه با نسخه ثبت شده، از شر آلودگی کامپیوتر خود خلاص شود !
بر روی کامپیوتر آلوده، شاخه های زیر ایجاد می شوند.

- C:\Documents and Settings\Administrator\Application Data\Internet Antivirus Pro
- C:\Documents and Settings\Administrator\Application Data\Internet Antivirus Pro\db
- C:\Documents and Settings\All Users\Start Menu\Programs\Internet Antivirus Pro
- C:\Program Files\Internet Antivirus Pro
- C:\Program Files\Internet Antivirus Pro\db
- C:\Program Files\Internet Antivirus Pro\Languages

همچنین فایلهای زیر توسط ویروس بر روی کامپیوتر کپی می شوند.

- %Appdata%\Internet Antivirus Pro\db\config.cfg
- %Appdata%\Internet Antivirus Pro\db\Timeout.inf
- %Appdata%\Internet Antivirus Pro\db\Urls.inf
- %Appdata%\Microsoft\Internet Explorer\Quick Launch\Internet Antivirus Pro.lnk
- %Appdata%\Microsoft\Windows\winlogon.exe
- %AllUserProfile%\Desktop\Internet Antivirus Pro.lnk
- %AllUserProfile%\Start Menu\Programs\Internet Antivirus Pro\Internet Antivirus Pro Home Page.lnk
- %AllUserProfile%\Start Menu\Programs\Internet Antivirus Pro\Internet Antivirus ro.lnk
- %AllUserProfile%\Start Menu\Programs\Internet Antivirus Pro\Purchase License.lnk
- %AllUserProfile%\Start Menu\Programs\Internet Antivirus Pro\Uninstall Internet Antivirus Pro.lnk

- C:\Program Files\Common Files\118172char.exe
- C:\Program Files\Common Files\222507paint.exe
- C:\Program Files\Common Files\715805calc.exe
- C:\Program Files\Internet Antivirus Pro\activate.ico
- C:\Program Files\Internet Antivirus Pro\Explorer.ico
- C:\Program Files\Internet Antivirus Pro\IAPro.exe
- C:\Program Files\Internet Antivirus Pro\unins000.dat
- C:\Program Files\Internet Antivirus Pro\unins000.exe
- C:\Program Files\Internet Antivirus Pro\uninstall.ico
- C:\Program Files\Internet Antivirus Pro\working.log
- C:\Program Files\Internet Antivirus Pro\db\DBInfo.ver
- C:\Program Files\Internet Antivirus Pro\db\ia080614.db
- C:\Program Files\Internet Antivirus Pro\db\ia080618x.db
- C:\Program Files\Internet Antivirus Pro\db\ia091024r.db
- C:\Program Files\Internet Antivirus Pro\db\ia190908g.db
- C:\Program Files\Internet Antivirus Pro\db\lists.ini
- C:\Program Files\Internet Antivirus Pro\db\WMILib.dll
- C:\Program Files\Internet Antivirus Pro\Languages\IAEs.lng
- C:\Program Files\Internet Antivirus Pro\Languages\IAFr.lng
- C:\Program Files\Internet Antivirus Pro\Languages\IAGer.lng
- C:\Program Files\Internet Antivirus Pro\Languages\IAIt.lng

پيشگيرى
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5836 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

[abolfazlab]

ويروس PWS-Zbot.abچيست؟
یک "اسب تروا" (Trojan) با درجه خطر کم می باشد و بطور انبوه از طریق نامه های الکترونیکی جعلی که در ظاهر از یک سرویس دهنده پست الکترونیکی است، پخش می شود. ظاهر نامه نشان دهنده این است که بطور خودکار و به علت بروز مشکلی در ارسال نامه های کاربر، از سوی سرویس دهنده ای که نامه های کاربر را ارسال می نموده، فرستاده شده است.
انتشار:
در نامه های الکترونیکی جعلی که به کاربران ارسال می شود، یک پیوند (Link) وجود دارد. از کاربر خواسته می شود که برای مشاهده مشکل رخ داده در ارسال نامه های وی، بر روی پیوند کلیک کند. در صورت انجام اینکار، کاربر به سایتی هدایت می شود که دارای عنوان OutLook Web Access است و در ظاهر بنظر می رسد که یکی از صفحات سایت مایکروسافت است. در این صفحه از کاربر خواسته شده تا برای بروز کردن سیستم پست الکترونیکی خود، اصلاحیه ای را دریافت و بر روی کامپیوتر خود نصب کند. ولی در حقیقت، تنها چیزی که بر روی کامپیوتر قربانی نصب خواهد شد، اسب تروای PWS-Zbot.ab است.
خرابكاري :
پس از آلوده شدن کامپيوتر و فعال شدن اسب تروا PWS.Zbot.ab، فایل های زیر بر روی کامپیوتر ایجاد می شوند.

- %system%\sdra64.exe -copy of itself
- %system%\lowsec\local.ds - information files
- %system%\lowsec\user.ds
- %system%\lowsec\user.ds.lll

همچنین شاخه مخفی زیر ایجاد می شود.

- %System%\lowsec

کلیدهای زیر در Registry ساخته می شوند.

- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Explorer\{334613DB-50C1-B3BE-95ED-E9915A134FF1}
- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Explorer\{4776C4DC-E894-7C06-2148-5D73CEF5F905}
- HKEY_USERS\S-1-5-19\Software\Microsoft\Windows NT\CurrentVersion\Network "UID" "computer name_B4DF7611864C7708"
- HKEY_USERS\.DEFAULT\Software\Microsoft\Protected Storage System Provider

کلید زیر نیز دستکاری شده و تغییر داده می شود.

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Userinit"
"C:\WINDOWS\system32\userinit.exe," "C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\sdra64.exe,"

اسب تروا PWS-Zbot.ab با سایت زیر تماس برقرار کرده و اطلاعاتی را رد و بدل می کنند.

- http://nekoxxx.ru/cbd/nexxxx.bri

پيشگيري:
آگاه کردن کاربران از خطرات نامه های الکترونیکی ناخواسته (هرزنامه یا SPAM) و کليک بر روی لينک های ناآشنا، می تواند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5858 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

[abolfazlab]

ويروس FakeAlert-IO چيست ؟

یک "اسب تروا" (Trojan) با درجه خطر کم می باشد و می تواند از طریق پیوند (link) هایی که در نتیجه جستجو در سایت Office.microsoft.com در اختیار کاربر گذاشته می شود، به کامپیوتر کاربر رخنه کند. نتایج نمایش داده شده، اکثراً مربوط به صفحات سایت مایکروسافت می باشند ولی این احتمال نیز وجود دارد که نتایج ارائه شده کاربر را به سایت های دیگر هدایت کند. سایت هایی که به سلامت آنها اطمینانی نیست.
انتشار :
در صورت استفاده از امکان Search در سایت Office.microsoft.com نتیجه جستجو شامل فهرستی از پیوندهایی خواهد بود که اکثراً مربوط به صفحات سایت مایکروسافت می باشند ولی این احتمال نیز وجود دارد که نتایج ارائه شده کاربر را به سایت های دیگر هدایت کند. سایت هایی که به سلامت آنها اطمینانی نیست. به ویژه اینکه نشانی این سایت های غیرمایکروسافتی با عبارت http://Office.microsoft.com شروع می شوند و احتمال خطای کاربر در باور اینکه سایت متعلق به مایکروسافت است، افزایش می یابد. حتی احتمال دارد که ابزارهای امنیتی نیز دچار چنین اشتباهی شده و به اینگونه سایت ها مجوز نمایش بدهند.
یکی از اینگونه سایت های جعلی که کاربر از این طریق به سایت هدایت می شود، نرم افزار جعلی و دروغین ضدویروس به کاربر پیشنهاد می دهد.
خرابكاري :
پس از آلوده شدن کامپيوتر و فعال شدن اسب تروا FakeAlert-IO، کلید زیر در Registry ایجاد می شود.

- HKEY_CURRENT_USER\Software\EVAE88
jhpbjhadeh = "<< <5"
mhdbdgkcogpf = ""

فایل زیر که حاوی برنامه اسب تروا است، بر روی کامپیوتر ایجاد می شوند.

- c:\tmp.[نام متغیر]

این اسب تروا با سایت زیر تماس برقرار کرده و اطلاعاتی را رد و بدل می کنند.

- download.cnet.com/windows/[Hidden]
- greatnorthwill.com/?mod=[Hidden]&i=[Hidden]&id[Hidden]

پيشگيري :
آگاه کردن کاربران از خطرات کليک بر روی لينک های ناآشنا، می تواند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند. همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5860 استفاده می کنند از گزند اين ويروس در امان خواهند بود.




ويروس BackDoor.DOQ چيست ؟
یک "اسب تروا" (Trojan) با درجه خطر کم می باشد و توسط سایت های واقعی که به خاطر ضعف های امنیتی قابل رخنه بوده اند و آلوده شده اند، منتشر می شود. تنها نکته قابل توجه درباره این اسب تروا، ترکیب روش های مختلف نفوذ و آلودگی است.
انتشار
سایت های واقعی و پرطرفدار که دارای نقاط ضعف امنیتی هستند و قابل رخنه می باشند، توسط افراد خلافکار شناسائی شده و برنامه مخربی در صفحات اینگونه سایت ها قرار داده می شوند. در این گونه خاص ، از روش SQLInjection برای نفوذ به سایت ها استفاده می گردد.
تنها مشاهده این صفحات دستکاری شده کافی است تا برنامه مخرب بر روی کامپیوتر قربانی قرار گیرد. سپس، این برنامه اقدام به جستجوی نرم افزارهای کاربردی آسیب پذیر (مانند مرورگر، Office، Flash، Adobe Acrobat و ...) نموده و در صورت یافتن اقدام به سوء استفاده از آن برای نصب برنامه جاسوسی به نام BackDoor.Win3.Buzus.Croo می نماید. این برنامه جاسوسی اطلاعات شخصی کاربر را جمع آوری کرده و به سایت خاصی ارسال می کند.
خرابكارى
برنامه جاسوسی بر روی کامپیوتر قربانی بصورت یک سرویس سیستم عامل نصب و اجرا می گردد. بدین منظور کلیدهای زیر در Registry ایجاد می شود.

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[file name]

در کلید فوق، File Name می تواند فایل مخربی با نام های متفاوت باشد.
همچنین اسب تروا backdoor.DOQ اقدام به ایجاد فایل های زیر می نماید.

- %DIR%\auto.exe
- %DIR%\AutoRun.inf
- %DIR%\Documents and Settings\[user]\Local Settings\Temp\~t11A.tmp
- %DIR%\Documents and Settings\[user]\Local Settings\Temp\~t219.tmp
- %DIR%\Documents and Settings\[user]\Local Settings\Temp\8458750.bat
- %DIR%\Documents and Settings\[user]\Local Settings\Temp\jxfqt.tmp
- %DIR%\Program Files\dnf.exe
- %DIR%\Program Files\Common Files\auto.exe
- %SYSDIR%\system32\imm32.dll.bak
- %SYSDIR%\system32\kb011164832.dll
- %SYSDIR%\system32\kb811164841.dll
- %SYSDIR%\system32\wmitpfs.dll
- %SYSDIR%\system32\wsconfig.db
- %SYSDIR%\system32\drivers\bmtpws31.dat
- %SYSDIR%\system32\drivers\Encionc_ch.dat

این اسب تروا با سایت های زیر ارتباط برقرار می کند.

- dns.win[removed].com.cn
- ver.win[removed].com.cn
- temp.cxx[removed].com.cn

پيشگيرى
آگاه کردن کاربران از خطرات نامه های الکترونیکی ناخواسته (هرزنامه یا SPAM) و کليک بر روی لينک های ناآشنا، می تواند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین علاوه بر سیستم های عامل، نصب آخرین اصلاحیه های امنیتی برای نرم افزارهای کاربردی مانند مرورگرها، Office، Adobe Acrobat و ... می تواند مانع بسیاری از حملات و نفوذ به کامپیوترها شود.
مشترکينی که از ضدويروس مک آفی با حداقل DAT 5830 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

[abolfazlab]

ويروس Rootkit.dt.dr چيست ؟

یک "اسب تروا" (Trojan) با درجه خطر کم می باشد و وظیفه نصب دیگر برنامه های مخرب را بر عهده دارد. تنها نکته قابل توجه درباره این اسب تروا، نوع برنامه مخربی است که بر روی کاپیوتر قربانی قرار می دهد. این برنامه مخرب از نوع Rootkit است که در سطح است که در سطح Kernel سیستم عامل فعالیت میکند.

انتشار

اسب تروا Rootkit.dt.dr وظیفه قرار دادن و فعال کردن دیگر برنامه های مخرب را بر روی کامپیوتر قربانی دارد. این اسب تروا نیز مانند دیگر اسب های تروا قابلیت تکثیر نداشته و تنها با دخالت کاربر می تواند فعال شده و باعث آلودگی گردد.
خرابكاري
به محض اجرای فایل حاوی اسب تروا Rootkit.dt.dr فایلهای زیر بر روی کامپیوتر قربانی ایجاد می گردد.

- %Temp%\[Random file name].bat [Non malicious batch file]
- %System%\drivers\[Random file name].sys [Detected as Generic Rootkit.dt]

فایلی که دارای پسوند .sys است از قابلیت های مخرب گروه Rootkit بهره مند است. ازجمله قابلیت مخفی سازی خود از دید ابزارهای امنیتی و یا امکان غیرفعال شدن هوشمند، در صورت تشخیص اینکه تحت نظر قرار گرفته است. همچنین این فایل مخرب برخلاف دیگر فایلهای مخرب رایج، مستقیماً از سطح Kernel سیستم عامل اجرا می گردد.
بعلاوه، اسب تروا Rootkit.dt.dr دستورات جدیدی را به Registry اضافه می کند تا در هر بار راه اندازی کامپیوتر، مجدداً فعال گردد.

- HKEY_Local_Machine\System\CurrentControlSet\Servic es\zacypxeepnjv7
ImagePath = "%System%\Drivers\[Random file name].sys"
DisplayName = "[Random filename]"

پيشگيري

آگاه کردن کاربران از خطرات نامه های الکترونیکی ناخواسته (هرزنامه یا SPAM) و کليک بر روی لينک های ناآشنا، می تواند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5799 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

[abolfazlab]

ویروس Opachki.a چیست ؟

یک "اسب تروا" (Trojan) با درجه خطر کم می باشد و توسط دیگر برنامه های مخرب منتشر می شود. تنها نکته قابل توجه درباره این اسب تروا، اقدام شیطنت آمیز او در حذف امکان اجرای سیستم عامل در حالت Safe Mode است.

انتشار

اسب تروا Opachki توسط دیگر برنامه های مخرب (از گروه Dropper) از سایت های خاصی دریافت می شود و بر روی کامپیوتر قربانی قرار می گیرد. این اسب تروا نیز مانند دیگر اسب های تروا قابلیت تکثیر نداشته و تنها با دخالت کاربر می تواند فعال شده و باعث آلودگی گردد.
خرابکاری
پس از آلوده شدن کامپیوتر، اسب تروا اقدام به ایجاد فایل های زیر می نماید.
- %UserProfile%\ntuser.dll
- %UserProfile%\local settings\temp\rundll32.dll
- %UserProfile%\Start Menu\Programs\Startup\scandisk.dll
- %UserProfile%\start menu\programs\startup\scandisk.lnk
- %SystemDir%\calc.dll
همچنین دستورات جدیدی به Registry اضافه می شود تا در هر بار راه اندازی کامپیوتر، ویروس مجدداً فعال گردد.
- HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Runcalc = rundll32.exe %USERPROFILE%\ntuser.dll,_IWMPEvents@0
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Runcalc = rundll32.exe %SystemDir%\calc.dll,_IWMPEvents@0
اسب تروا Opachki.a در یک اقدام شیطنت آمیز، دستور اجرای سیستم عامل در حالت Safe Mode را از Registry حذف میکند تا بدین ترتیب امکان پاکسازی او برای کاربر دشوارتر گردد.

پیشگیری

آگاه کردن کاربران از خطرات نامه های الکترونیکی ناخواسته (هرزنامه یا SPAM) و کلیک بر روی لینک های ناآشنا، می تواند خطر آلوده شدن به این ویروس و یا گونه های مشابه را به حداقل برساند.
همچنین مشترکینی که از ضدویروس مک آفی با حداقل DAT 5793 استفاده می کنند از گزند این ویروس در امان خواهند بود.

[abolfazlab]

ويروس FFSearcher چيست ؟
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در Windows از نوع 32 بيتی فعال می گردد. اولين نمونه اين ويروس در ماه جاری (تیر 88) مشاهده شده است.
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سـالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است .
انتشار ويروس FFSearcher نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
خرابکاری

به محض آلوده شدن يک کامپيوتر به اين ويروس، فایل مخرب netcfgx.dll در پوشه سیستمی سیستم عامل کپی شده و کد مخرب svchost.exe تزریق می شود.
در ادامه فایلهای آلوده در مسيرهای زير ایجاد و بعنوان راه انداز (Driver) در هر بار راه اندازی اجرا می شوند:

%windows%\win32k.sys:1
%windows%\win32k.sys:2

ضمن اینکه با تعريف کليد زير در محضرخانه نیز، خود را در هر بار راه اندازی دستگاه، به سيستم عامل تزريق می کند:

HKEY_CLASSES_ROOT\CLSID\{5B035261-40F9-11D1-AAEC-00805FC1270E}\InProcServer32 "(Default)"=%system%\netcfgx.dll:Zone.Identifi er

همچنین ويروس FFSearcher با متصل شدن به سرویس دهنده wxtr 812.com تنظیمات جدید ویروس را دریافت و آنها را در فایل زیر ذخیره می کند:

%Documents and Settings%\All Users\Documents\gifnoc.xtx

پس از آن هر زمان که کاربر به جستجو در سایت گوگل بپردازد نتایج آن با استفاده از فایل بالا دستکاری شده و کاربر به سمت سایتهای مخرب هدايت مي شوند.
از خرابکاری های دیگر این ویروس، سوءاستفاده از بخش Google Custom Search شرکت گوگل است. این ابزار که از طریق آن مدیران شبکه می توانند با قرار دادن تبلیغات سایت گوگل در سایت خود به ازای هر کلیک بیننده مبلغی را از شرکت گوگل دریافت کنند با استفاده از این ویروس بنحوی تغییر داده می شود که با مراجعه کاربر به صفحات اینترنتی تبلیغات مربوط به Google Custom Search نفوذگر ظاهر شود و کلیکهای کاربری که از پشت دستگاه آلوده صفحات اینترنتی را مرور می کند سبب می شود پول بیشتری به حساب نفوذگر واریز شود!

پيشگيري

به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينکهای ناآشنا همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5665 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

[abolfazlab]

ويروس W32/Mydoom.cf چيست ؟
ويروسی با درجه خطر کم که عملکرد "کرم" (Worm) داشته و در سيستم عامل Windows از نوع 32 بيتی فعال می گردد. اولين نمونه ويروس W32/Mydoom.cf، در ماه جاری (تیر 88) مشاهده شده است.

انتشار

در صورت اجرای فايل آلوده بر روی دستگاه، فايلی بنام autorun.inf توسط ويروس در ريشه درايوهای ديسک سخت (درايوهای C و D و ...) و ابزارهای ذخيره سازی USB (در صورت وجود) ايجاد می شود. درون اين فايل، نام فايل اجرايی ويروس مانند wmcfg.exe (در آخرين گونه مشاهده شده) آورده شده است. کامپيوتر آلوده می تواند هر ديسک USB را نيز که به آن کامپيوتر وصل می شود، آلوده سازد. همچنين اين ويروس از طريق پوشه های به اشتراک گذاشته شده بر روی شبکه نيز اقدام به تکثير خود می کند.
بسياری از گونه های اين ويروس با کپی کردن خود در شاخه های اشتراکی (Share) ساير دستگاه های شبکه، آنها را هم در معرض آلودگی قرار می دهد. به اين صورت که اگر درايو C دستگاهی در شبکه برای کامپيوتر آلوده قابل دسترسی باشد، کافی است دو فايل autorun.inf و wmcfg.exe در ريشه آن کپی شود تا بعد از راه اندازی دستگاه، کاربر با دوبار کليک کردن بر روی درايو C آلوده شود.

خرابکاری

بمحض اجرا شدن، فايلهای مخرب در مسيرهای زير ذخيره می شوند:

%WinDir%\system32\[random character].nls
%WinDir%\system32\wmcfg.exe
%WinDir%\system32\wmiconf.dll

فایل اول با نام W32/Mydoom!txt، فایل دوم با نام W32/Mydoom.cf و فایل سوم با نام W32/Mydoom.cf.dll توسط ضدویروس مک آفی می شود.
پس از آن، این ویروس، فایلهای زیر را بمنظور برقرار کردن ارتباطات شبکه ای و در ادامه انتشار خود بر روی دستگاه های دیگر کپی می کند:

%WinDir%\system32\drivers\npf.sys
%WinDir%\system32\Packet.dll
%WinDir%\system32\WanPacket.dll
%WinDir%\system32\npptools.dll
%WinDir%\system32\packet.dll
%WinDir%\system32\WanPacket.dll
%WinDir%\system32\wpcap.dl

همچنين ويروس W32/Mydoom.cf، کليدهای زير را در محضرخانه ايجاد می کند.

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\FileExts\.ex_
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\FileExts\.ex_\OpenWithList
HKEY_CLASSES_ROOT\CLSID\{425882B0-B0BF-11CE-B59F-00AA006CB37D}
HKEY_CLASSES_ROOT\CLSID\{425882B0-B0BF-11CE-B59F-00AA006CB37D}\InProcServer32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_NM
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_NM\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_NM\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_NPF
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_NPF\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_NPF\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\n m\Enum
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\N PF\Enum
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\W miConfig
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\W miConfig\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\W miConfig\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\nm\Enum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\NPF\Enum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WmiConfig
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WmiConfig\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WmiConfig\Security

این ویروس برای اجرا شدن اتوماتیک فایلها و کلیدهای مخربی که در بالا به آنها اشاره شد کلیدهای زیر را نیز در محضرخانه کپی می کند:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WmiConfig "Description"
Data: Configures and manages performance library information from WMI HiPerf providers.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WmiConfig "DisplayName"
Data: WMI Performance Configuration
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WmiConfig "ErrorControl"
Data: [Value]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WmiConfig "ImagePath"
Data: %SystemRoot%\system32\svchost.exe -k wmiconf
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WmiConfig "ObjectName"
Data: LocalSystem
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WmiConfig "Start"
Data: [Value]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WmiConfig "Type"
Data: [Value]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WmiConfig\Parameters "ServiceDll"
Data: %WinDir%\System32\wmiconf.dll

l از دیگر خرابکاری های این ویروس برقراری ارتباط با سرویس دهنده های زیر برای دریافت فایلهای مخرب بیشتر می باشد:
213.33.[Removed]
216.199.[Removed]
213.023.[Removed]

پيشگيري

به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص اصلاحیه MS08-067 و همچنين استفاده از تنظيمات توصيه شده توسط کارشناسان شرکت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده
USB
و برای کامپيوترهای پرخطر، فعال کردن قاعده های
Prevent creation of new executable files in the Windows folder
Prevent creation of new executable files in the Program Files folder
همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنين مشترکينی که از ضدويروس مک آفی با حداقل DAT 5671 استفاده می کنند و سیستم عاملشان به اصلاحیه MS08-067 مجهز است از گزند اين ويروس در امان خواهند بود.

[abolfazlab]

ويروس FakeAlert-MalDef چيست ؟

ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در Windows از نوع 32 بيتی فعال می گردد. این ویروس اقدام به دریافت برنامه های مخرب دیگر و نصب آنها بر روی کامپیوتر قربانی میکند.

انتشار

ویروس FakeAlert-MalDef که در خانواده "پيامهای جعلي" (Fake Alert) قرار می گيرد، با نشان دادن پيامهای هشدار غير واقعی مبنی لزوم نصب نرم افزارهای جانبی جهت نمایش فایلهای تصویری، کاربر را به صفحات اينترنتی که در ظاهر حاوی این نرم افزارهای جانبی و ضروری هستند، اما در واقع خود برنامه هایی مخرب محسوب می شوند، هدايت می کند.
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سـالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
ويروس FakeAlert-DA نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه قربانی، انتشار می یابد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.

خرابکاری

این اسب تروا از طریق سایت زیر منتشر میگردد:

hxxp://video.report-{blocked}/Erin_Andrews_Peephole_Video

به محض مراجعه به این سایت، پیام هشداری به نمایش در می آید و از کاربر می خواهد که ابزار کمکی را برای مشاهده فایلهای تصویری بر روی این سایت، دریافت و نصب نماید. در صورت پاسخ مثبت کاربر به این هشدار، فایل مخربی زیر دریافت می شود:

hxxp://newfileexe.com/streamvie{blocked}.exe

با اجرا شدن این فایل دریافت شده، فایل های زیر نیز به نوبت دریافت شده و بر روی کامپیوتر قربانی قرار می گیرند.

hxxp://isyouimageshere.com/item/2b647e4{blocked}/titem.gif
hxxp://imgesinstudioonline.com/perce/2b140e{blocked}/qwerce.gif
hxxp://yourimagesstudio.com/werber/{blocked}/217.gif

گرچه این فایلها دارای قالب تصویری (gif) می باشند، ولی حاوی برنامه های اجرایی (exe) رمزگداری شده و مخربی هستند که تحت نام FakeAlert-EL شناسائی می گردند.
اسب تروا FakeAlert-DA پس از دریافت این سه فایل، آنها را اجرا کرده و فایلهای اجرایی دورن آنها را استخراج و در شاخه موقت Windows تحت نام های زیر قرار می دهد.

%Temp%\a.exe
%Temp%\b.exe
%Temp%\c.exe

پيشگيري

به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، به خصوص بسته امنيتی (Service Pack) شماره 3 سيستم عامل Windows XP و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينک های ناآشنا همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5687 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

[abolfazlab]

ويروس Proxy-Agent.af.dr چيست ؟
Dat براي شناسايي5343
ويروسی با درجه خطر کم که در دسته "دريافت کننده های فايل مخرب" (Dropper) جای می گيرد. اولين نمونه آن در اسفند هشتاد و شش مشاهده شده و از آن زمان تاکنون، گونه های متعددی از Agent.af.dr با حجمهای مختلف ايجاد شده است.

انتشار
آخرين نمونه اين ويروس، سايتهای دولتی کشورهای مختلف را هدف قرار داده و با تزريق خود به اين سايتها، کاربران آنها را نيز آلوده می کند. شکل زير سايت رسمی شهر سانفرانسيسکو را نشان می دهد که اسکريپت آلوده به آن تزريق شده است. (در حال حاضر کد آلوده بر روی صفحات اين سايت وجود ندارد، تصوير زير از کاشه Yahoo برداشت شده است.)
خرابکاری
به محض آلوده شدن يک کامپيوتر به اين ويروس، در مسيرهای زير فايلهای مخرب کپی می شوند:
-%Temp%\ _check32.bat
-%Windir%\s32.txt
-%Windir%\gs32.txt
-%Windir%\db32.txt
-%Windir%\ws386.ini
-%System%\aspimgr.exe

فايلهای متنی (.txt)، تنظيمات ويروس را در خود دارند. اين فايلها می بايست بصورت دستی حذف گردند.
Agent.af.dr با برقراری ارتباط با سرويس دهنده های آلوده، فايلهای مخرب ديگری که عمدتاً ويروسهای Proxy-Agent.af و Proxy-Agent.af.gen هستند را نيز دريافت و بر روی کامپيوتر قربانی اجرا می کند.
همچنين اين ويروس اقدام به دستکاری کليدهای زير در محضرخانه می کند:

-Hkey_Local_Machine\System\CurrentControlSet\Servic es\aspimgr Data: Image Path “%Windir%\aspimgr.exe”

-Hkey_Local_Machine\Software\Microsoft\Sft

پيشگيری
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص بسته امنيتی (Service Pack) شماره 3 سيستم عامل Windows XP و آگاه کردن کاربران در خصوص خطر کليک بر روی لينکهای ناآشنا، همگی می توانند خطر آلوده شدن به اين ويـروس و يـا گونه های مشابه را به حداقل برسانند.

[abolfazlab]

Dat براي شناسايي 5356
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در سیستم های عامل Windows از نوع 32 بيتی فعال می گردد
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويـروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ويروس FakeAlert-AB نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها که بخصوص سيستم عامل، دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
FakeAlert-AB که در خانواده "پيامهای جعلي" (Fake Alert) قرار می گيرد، با نمايش پيامهای هشدار غيرواقعی مبنی بر آلوده بودن دستگاه، کاربر را به صفحات اينترنتی ای که در ظاهر حاوی يک برنامه ضدجاسوسی (AntiSpy) هستند، اما در واقع خود برنامه ای مخرب محسوب می شوند، هدايت می کند.

خرابكاري
به محض اجرا شدن فايل scui.cpl در پوشه سيستمی کامپیوتر کپی می شود. در ادامه، کليدهای متعددی در مسير زیر در محضرخانه ايجاد می گردد.

HKEY_CURRENT_USER\Software\(random hex strings)\Options

اين ويروس با نمايش يك پنجره بر روی نشانی که در نوار ابزار Windows قرار گرفته، به کاربر اينطور القا می کند که کامپيوترش به يک برنامه جاسوسی خطرناک آلوده شده است.
پيامهای اين پنجره در گونه های مختلف اين ويروس متفاوت گزارش شده است.
سپس پنجره ضدويروس جعلی به نام XP ظاهر شده و شروع به اسکن درايوها و فايلها می کند. در نهايت با نشان دادن يک گزارش غيرواقعی ادعا می کند دستگاه، آلوده به ويروس بوده و تنها راه پاکسازی آن، ثبت کردن (Register) نرم افزار جعلی XP Antivirus 2008 و اسکن دستگاه با نسخه ثبت شده آن است!
پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص بسته امنيتی (Service Pack) شماره 3 سيستم عامل Windows XP و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در بخش Access Protection ضدويروس McAfee (نظير فعال کردن قاعده Protect Internet Explorer favorites and settings) در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينکهای ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.

[abolfazlab]

Dat برای شناسایی 5361
ویروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و از آن بعنوان ابزاری برای نفوذ به شبکه توسط نفوذگران استفاده می گردد.
انتشار
اسب های تروا برنامه هایی هستند که بعنوان یک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دیر یا زود گریبانش را می گیرد. اسب های تروا بر خلاف گونه های دیگر ویروس ها که ممکن است به یک فایل اجـرایی سالم بچسبند یا درون بخش راه انداز یک دیسک جا بگیرند، موجودیت مستقلی داشته و در هنگام پاکسازی تنها حذف فایل آن لازم است.
انتشار ویروس BackDoor-DNM نیز همانند سایر اسب های تروا با دریافت آن از اینترنت و اجرا بر روی دستگاه صورت می پذیرد. هرزنامه هایی که سعی می کنند که کاربر را تشویق به دریافت این اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار این اسب تروا هستند. بعلاوه ممکن است کامپیوترهایی که دارای نام کاربری رایج و رمز عبور ضعیف هستند و یا نرم افزارهای نصب شده بر روی آنها، بخصوص سیستم عامل که دارای حفره های امنیتی هستند، این اسب تروا را دریافت کنند.
آخریـن گونـه ویروس BackDoor-DNM از روشهای "مهندسـی اجتماعی" (Social Engineering) استفاده می کند. بدین ترتیب که با ارسال پیام هایی که در عنوان آنها از نام بازیگران مشهور استفاده شده است، کاربر را تشویق به کلیک بر روی لینک جعلی "Download and Watch" می کند. با کلیک کاربر بر روی لینک مربوطه کامپیوتر آلوده خواهد شد.
خرابکاری
به محض اجرا شدن ویروس، فایل CbEvtSvc.exe در پوشه سیستمی سیستم عامل کپی می شود.
همچنین این ویروس، با دستکاری کلیدهایی در محضرخانه، خود را در هر بار راه اندازی دستگاه، به سیستم عامل تزریق می کند.
از دیگر خـرابکـاری هـای ایـن ویـروس، بـرقـراری ارتبـاط بـا سرویس دهنده های زیـر در بازه های زمانی 30 دقیقه ای، به منظور دریافت فایلهای مخرب بیشتر می باشد:

- http://digitaltreath.info/a[REMOVED].exe

- http://207.10.234.217/ldrctl/user/2[REMOVED].exe

- http://digitaltreath.info/d[REMOVED].exe

پیشگیری
به روز نگـه داشـتـن ضـد ویــروس، نصب آخـریـن اصلاحیـه هـای سیستم عامل، بخصوص بسته امنیتی (Service Pack) شماره 3 سیستم عـامـل Windows XP و همچنین استـفـاده از تـنـظیـمـات تـوصـیـه شـده تـوسط کـارشـنــاسـان شـرکت مـهـنــدسی شبکه گستـر در بــخــش Access Protection ضــد ویـــروس McAfee (نــظـیــر فــعــال کـــردن قــــاعــــده Prevent common programs from running files from the Temp folder) در کنار آگاه کردن کاربران شبکه از خطرات کلیک بر روی لینک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به این ویروس و یا گونه های مشابه را به حداقل برساند.

[abolfazlab]

Dat برای شناسایی 5372
ویروسی است بـا درجـه خطـر کم کـه عملکـرد "اسب تـروا" (Trojan) داشتـه و در دسته دریافت کننده های فایلهای مخرب ( Dropper) جای می گیرد
انتشار
در آخرین گونه این ویروس، فایل آلوده بصورت پیوست هرزنامه (Spam) و با سوء استفاده از سوژه های مختلف عاطفی، سیاسی و اجتماعی، انتشار یافته است. این هرزنامه با عنوان "ما کودک شما را ربوده ایم" ادعا می کند در ازای پرداخت 50 هزار دلار کودک شما صحیح و سالم آزاد خواهد شد! در گونه اخیر جهت تشویق کاربر به اجرای فایل آلوده که پیوست هرزنامه است، عنوان آنرا photo.zip قرار داده است که در صورت اجرا شدن، کامپیوتر آلوده خواهد شد.
خرابکاری
این ویروس فایلهای مخرب زیر را در این مسیرها کپی می کند:

%CommonAppData%\Microsoft\Network\Downloader\qmgr0 .dat

- %CommonAppData%\Microsoft\Network\Downloader\qmgr1 .dat

- %Temp%\D2.tmp

- %Temp%\D4.tmp

- %Temp%\LOADER.1312D7D.EXE

از دیگر خرابکاری های این ویروس، برقراری ارتباط با سرویس دهنده زیر، با استفاده از سرویس MS Background Intelligent Transfer Service به منظور دریـافـت فـایلهـای مخـرب بیشتـر می باشد:

- reddii.org

پیشگیری
به روز نگه داشتن ضدویروس، نصب آخرین اصلاحیه های سیستم عامل، بخصوص بسته امنیتی (Service Pack) شماره 3 سیستم عامل Windows XP، پرهیز از بکارگیری رمزهای ضعیف و همچنین استفاده از تنظیمات توصیه شده توسط کارشناسان شرکت مهندسی شبـکه گستـر در بخش Access Protection ضـد ویـروس McAfee، نظیر فعـال کـردن قاعده های

- Prevent common programs from running files from the Temp folder

و برای کامپیوترهای پرخطر، فعال کردن قاعده های
- Prevent creation of new executable files in the Windows folder
- Prevent creation of new executable files in the Program Files folder
در کنـار آگـاه کـردن کاربران شبکه از خطرات کلیک بر روی لینک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به این ویروس و یا گونه های مشابه را به حداقل برساند

[abolfazlab]

Dat براي شناسايي 5383
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و اقدام به دزديدن نامهای کاربری و رمزهای مربوط به حسابهای بانکی ذخيره شده بر روی کامپيوتر قربانی می کند.
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يـا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ويروس PWS-Banker نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
در آخرين نمونه مشاهده شده، اين ويروس از يک شبکه اجتماعی (Social Networking) به نام Twitter برای تکثير خود استفاده کرده است. بدين ترتيب که با قرار دادن يک لينک جعلی در اطلاعات يک شخصیت ساختگی، کاربر را تشويق به کليک بر روی آن می کند. با کليک بر روی لينک، پيغام جعلی ديگری نمايش داده شده و از کاربر می خواهد برای مشـاهده تصاويری، نرم افزار Flash خـود را به روز کند. اين پيــام جعلی در نهـايت کـاربـر را بـه دريـافت ويــروس PWS-Banker هدايت می کند.
خرابكاري
اين ويروس فايل مخرب زير را در اين مسير کپی می کند:

%windir%\system32\ lsd_f3.dll

در ادامه، اين ويروس، با دستکاری کليد زير در محضرخانه، خود را در هر بار راه اندازی دستگاه، به سيستم عامل تزريق می کند:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro l\MPRServices\TestService "DllName" = lsd_f3.dll

ويروس PWS-Banker با جستجوی در درايوهای ديسک سخت، نامهای کاربری و رمزهای عبور مربوط به حسابهای بانکی ذخيره شده بر روی کامپيوتر قربانی را به سايتی که ويروس نويس آنرا مشخص ساخته است، ارسال می کند.
همچنين ويروس PWS-Banker پس برقراری ارتباط با یک سرويس دهنده خاص، فايلهای مخرب ديگری را نيز دريافت می کند.

پيشگيري

به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص بسته امنيتی (Service Pack) شماره 3 سيستم عامل Windows XP، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده های

Prevent common programs from running files from the Temp folder

و برای کامپيوترهای پرخطر، فعال کردن قاعده های

Prevent creation of new executable files in the Windows folder

Prevent creation of new executable files in the Program Files folder

در کنـار آگـاه کـردن کاربران شبکه از خطرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.