معرفي ويروسها

[abolfazlab]

Dat براي شناسايي 5384
ويـروسـی بـا درجـه خطـر کـم کـه عملکـرد "اسب تــروا" (Trojan) داشتـه و در Windows از نـوع 32 بيتی فعال می گردد
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سـالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ويروس Generic StartPage.l نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانـالهـای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
خرابكاري
اين ويروس فايل مخرب زير را در اين مسير کپی می کند:

C:\Windows\System32\iexplorer.exe

در ادامه، با دستکاری کليد زير در محضرخانه، خود را در هر بار راه اندازی دستگاه، به سيستم عامل تزريق می کند:
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] Shell = "Explorer.exe iexplorer.exe"
همچنین ویـروس Generic StartPage.l بـا دستـکاری کلیـدهـای زیـر در مـحـضـرخـانـه، صـفـحـه www.021cd.com/page.htm (در آخـريـن گـونـه مشـاهـده شـده در ايـران) را بعنوان صفحه اول مرورگر (HomePage) و موتور جستجوگر پيش فرض قرار می دهد:
توجه: اکيداً توصيه می شود وارد سايتهای مذکور نشويد؛ ذکر نام آن تنها برای اطلاع رسانی به مديران شبکه بمنظور اتخاذ تدابير پيشگيرانه می باشد.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\
Main\Search Page
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\
Main\Start Page
Default_Page_URL HKEY_LOCAL_MACHINE\Software\
Microsoft\Internet Explorer\Main\Search Page

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Start Page

از ديگر خرابکاری های اين ويروس، برقراری ارتباط با سرويس دهنده زير، با استفاده از پودمان HTTP می باشد:
207.210.83.67

پيشگيري

به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص بسته امنيتی (Service Pack) شماره 3 سيستم عامل Windows XP، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده های

Prevent common programs from running files from the Temp folder

و برای کامپيوترهای پرخطر، فعال کردن قاعده های

Prevent creation of new executable files in the Windows folder

Prevent creation of new executable files in the Program Files folder

در کنـار آگـاه کـردن کاربران شبکه از خطرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند

[abolfazlab]

Dat براي شناسايي 5394
برنامه ای که در گروه "برنامه های ناخواسته" (Unwanted Program) جای می گيرد و در محیط Windows از نوع 32 بيتی فعال می گردد.
انتشار
برنامه های ناخواسته، برنامه هايی هايی هستند که استفاده دوگانه دارند؛ يعنی علاوه بر استفاده نفوذگران از آنها، توسط مديران شبکه يا ارزيابان امنيتی هم بکار می رود و مانند ویروسها، قابلیت تکثير ندارند.
انتشار ويروس Generic PUP.z نيز همانند ساير برنامه های ناخواسته با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند کاربر را تشويق به دريافت اين ويروس کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين برنامه ناخواسته هستند. بعلاوه کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف باشند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، ممکن است اين برنامه ناخواسته را دريافت کنند.
در آخرين گونه مشاهده شده، اين ويروس با نمايش پيامهای هشدار غيرواقعی مبنی بر آلوده بودن دستگاه، کاربر را به صفحات اينترنتی ای کـه در ظاهر حـاوی يـک بـرنـامـه ضدجاسوسی (Anti-Spy) هستند، ولی در واقع خود برنامه ای مخرب محسوب می شوند، هدايت می کند
خرابكاري
بطور کلی ويروسهايی که با نام Generic PUP.z شناخته می شوند می توانند کارهای زير را بر روی کامپيوتر قربانی انجام دهند:

- دريافت و کپی فايلهای مخرب
- پنهان شدن از ديد برنامه امنيتی نصب شده بر روی دستگاه
- تزريق خود به برنامه های کاربردی
- غيرفعال کردن برنامه های امنيتي
- تغيير در تنظيمات برنامه هايی نظير Internet Explorer
- ارسال اطلاعات ذخيره شده به سايت مشخص شده توسط نفوذگر
- نمايش پنجره های تبليغاتي
- باز کردن درگاه بر روی کامپيوتر قربانی برای اتصال نفوذگر به دستگاه
- تغيير صفحه اول (Home Page) و موتور جستجوی پيش فرض در مرورگر اينترنت
- اضافه کردن نوارهای ابزار جديد به برنامه Internet Explorer
- اعمال تغيير در بخش LSP دستگاه برای نمايش سايت مشخص شده توسط نفوذگر
هنگام مراجعه کاربر به سايتها و نتايج جستجوی خاص
آخرين گونه اين ويروس که در ايران مشاهده شده، خود را بعنوان Antivirus 2009 معرفی کرده و فايلهای مخرب زير را در اين مسيرها کپی می کند:

C:\Program Files\Antivirus 2009\av2009.exe

C:\Windows\System32\scui.cpl

C:\ Windows \System32\ieupdates.exe

C:\ Windows \System32\winsrc.dll

ضدويروس مک آفی فايل winsrc.dll را بعنوان ويروس Generic.dx شناسايی می کند.
از ديگر خرابکاری های جدیدترین گونه اين ويروس، برقراری ارتباط با سرويس دهنده های زير، به منظور دريافت فايلهای مخرب بيشتر می باشد:

antivirus-database .com / firstrun .php?product=AV9&aff=&update=0808/av2009nag&time=16:11:48

fastupdateserver .com / zsa09 / zs880000 .exe

89.149.226.24

58.65.238.106

پيشگيري

به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص بسته امنيتی (Service Pack) شماره 3 سيستم عامل Windows XP، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده های

Prevent common programs from running files from the Temp folder

در کنـار آگـاه کـردن کاربران شبکه از خطرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.

[abolfazlab]

ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در دسته دریافت کننده فایلهای مخرب (Downloader) قرار می گیرد.
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ويروس Generic Downloader.s نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل، دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
آخرین نمونه این ویروس که در تیر ماه 88 منتشر شده است با استفاده از عناوین فریبنده در خصوص حادثه مرگ مایکل جکسون، خواننده مشهور پاپ، کاربر را به کلیک بر روی روی پیوندهای مخرب درون هرزنامه تشویق می کند. این پیوندها کاربر را به سایتهای مخرب هدایت نموده و در نهایت کامپیوتر کاربر به این ویروس آلوده می شود.

خرابکاری

ويروس Generic Downloader.s با سرويس دهنده هایی که ویروس نویس آنها را پیشتر مشخص نموده ارتباط برقرار کرده و بعد از دریافت ویروسهایی دیگر، آنها را بر روی کامپیوتر قربانی اجرا می کند.

پيشگيري

به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينکهای ناآشنا همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنين مشترکينی که از ضدويروس مک آفی با حداقل DAT 5649 استفاده می کنند از گزند اين ويروس در امان خواهند بود

[abolfazlab]

ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و از طریق نرم افزار Internet Explorer اقدام به سوءاستفاده از حفره امنيتی موجود در نرم افزار Microsoft DirectShow ActiveX می کند.

انتشار

ویروس Exploit-MSDirectShow.b به نفوذگر این امکان را می دهد تا از طریق حفـره امنيتی موجود در نرم افزار MicrosoftDirectShow ActiveX و با استفاده از مرورگر اینترنت IE از راه دور اقدام به اجرای برنامه های مخرب خود کند. در حال حاضر نفوذگران توانسته اند بیش از یک هزار سایت را که بیشتر آنها در چین قرار دارند به کد مخربی آلوده کنند که سبب می شود مراجعه کنندگان این سایتها بسمت سرویس دهنده مخرب oy4t.8~866.org هدایت شده و در آنجا از طریق حفره امنیتی مذکور، این ویروس را بر روی کامپیوترشان اجرا شود.
همچنین ویروس Exploit-MSDirectShow.b تنها توانایی اجرا شدن در سیستمهای عامل XP و 2003 را دارد و سیتمهای عامل Vista و 2008 در مقابل این ویروس ایمن هستند.
شرکت مایکروسافت هنوز راه حلی برای پوشش این حفره امنیتی عرضه نکرده اما اعلام نموده است که بزودی اصلاحیه ای در این خصوص منتشر خواهد شد. در عین حال از کاربران خواسته است تا با غیر فعال کردن گزینه Microsoft Video ActiveX Control در نرم افزار InternetExplorer بصورت موقت از کامپیوتر خود در مقابل ویروسها و حملاتی که بخواهند از این حفره امنیتی سوءاستفاده کنند محافظت نمایند. جزئیات بیشتر در این خصوص را می توانید در مسیر زیر بیابید:

http://www.microsoft.com/technet/sec...ry/972890.mspx

خرابکاری

-------

پيشگيري

به روز نگه داشتن ضدويروس و نصب تمامی اصلاحيه های سيستم عامل و نرم افزار IE (بصورت دستی، اتوماتيک و يا با استفاده از سرويس WSUS) در کنار آگاه کردن کاربران در خصوص خطر کليک بر روی لينکهای ناآشنا، همگی می توانند خطر آلوده شدن به اين ويـروس و يـا گونه های مشابه را به حداقل برسانند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5668 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

[abolfazlab]

ويروس FakeAlert-AG.gen.a چيست ؟

Dat براي شناسايي 5400
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در Windows از نوع 32 بيتی فعال می گردد.
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سـالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ويروس FakeAlert-AG.gen.aنيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
ویروس FakeAlert-AG.gen.a که در خانواده "پيامهای جعلي" (Fake Alert) قرار می گيرد، با نمايش پيامهای هشدار غيرواقعی مبنی بر آلوده بودن دستگاه، کاربر را به صفحات اينترنتی که در ظاهر حاوی يک برنامه ضدجاسوسی (AntiSpy) هستند، اما در واقع خود برنامه ای مخرب محسوب می شوند، هدايت می کند.
خرابكاري
به محض اجرا شدن ویروس، فايلهای مخرب در مسيرهای زير کپی می شوند. (نام فايل آلوده در گونه های مختلف متفاوت می باشد.):
%WinDir%\system32\lphcc01j0e77r.exe

%WinDir%\system32\blphcco1j0e77r.scr

%WinDir%\system32\phcco1j0e77r.bmp

در آخرين گونه مشاهده شده در ايران، نام فايل اصلی ويروس lphcp89j0erea.exe گزارش شده است.
همچنين اين ويروس، با تعريف کليد زير در محضرخانه، خود را در هر بار راه اندازی دستگاه، به سيستم عامل تزريق می کند:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
Run "lphcco1j0e77r" = %WinDir%\System32\lphcco1j0e77r.exe
از ديگر خرابکاری های اين ويروس دستکاری کليدهای زير در محضرخانه بمنظور تغيير تصوير پس زمينه (شماره های 1 و 2)، تغيير فايل مربوط به Screen Saver (شماره 3) و غيرفعال کردن بخش System Restore سيستم عامل (شماره 4) می باشد:

1-HKEY_CURRENT_USER\Control Panel\Desktop "OriginalWallpaper" = %WinDir%\System32\phcco1j0e77r.bmp

2- HKEY_CURRENT_USER\Control Panel\Desktop "Wallpaper" = %WinDir%\System32\phcco1j0e77r.bmp

3- HKEY_CURRENT_USER\Control Panel\Desktop "SCRNSAVE.EXE" = %WinDir%\System32\blphcco1j0e77r.scr

4- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore "DisableSR" = 0

پيشگيري

به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص بسته امنيتی (Service Pack) شماره 3 سيستم عامل Windows XP، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده های

Prevent common programs from running files from the Temp folder

در کنـار آگـاه کـردن کـاربـران شبکه از خطـرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.

[abolfazlab]

ويروسBackDoor-BAC.gen چيست ؟

Dat براي شناسايي 5403
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و از آن بعنوان ابزاری برای نفوذ به شبکه توسط نفوذگران استفاده ميگردد.
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ويروس BackDoor-BAC.gen نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
ويروس BackDoor-BAC.gen در آخرين نمونه خود از روشهای مهندسی اجتماعی (Social Engineering) استفاده نموده است. بدين ترتيب که با ارسال يک ايميل که فايل آلوده به آن پيوست شده است، اينطور القا می کند که نامه از سوی بخش امنيت شرکت مايکروسافت فرستاده شده است و از کاربر می خواهد تا با اجرای فايل مذکور يکی از حفره های اساسی سيستم عاملش را برطرف سازد. حال آنکه با اجرای فايل پيوست کامپيوتر کاربر آلوده خواهد شد.
در متن اين هرزنامه، ليستی از سيستمهای عامل قرار دارد که به فايل پيوست ارتباط داده شده اند و در ميان آنها نامهای Windows 98 و Windows Millennium نيز مشاهده می شود. در حالی که اين دو سيستم عامل مدتهاست که توسط شرکت مايکروسافت پشتيبانی نمی شوند. ارسال خبرنامه از سوی مايکروسافت به مشترکين، در خصوص اصلاحيه های امنيتی جديد، امری است که هر ماه توسط اين شرکت اجرا می گردد. اما در تمامی خبرنامه های رسمی اين شرکت، تنها لينک اصلاحيه قرار داده شده و تاکنون، هيچگاه فايل آپديت بصورت پيوست ارسال نشده است.
متن اين هرزنامه بشرح زير است.

Dear Microsoft Customer,

Please notice that Microsoft company has recently issued a Security Update for OS Microsoft Windows. The update applies to the following OS versions: Microsoft Windows 98, Microsoft Windows 2000, Microsoft Windows Millenium, Microsoft Windows XP, Microsoft Windows Vista.

Please notice, that present update applies to high-priority updates category. In order to help protect your computer against security threats and performance problems, we strongly recommend you to install this update.

Since public distribution of this Update through the official website http://www.microsoft.com would have result in efficient creation of a malicious software, we made a decision to issue an experimental private version of an update for all Microsoft Windows OS users.

As your computer is set to receive notifications when new updates are available, you have received this notice.

In order to start the update, please follow the step-by-step instruction:

1.Run the file, that you have received along with this message.

2.Carefully follow all the instructions you see on the screen.

If nothing changes after you have run the file, probably in the settings of your OS you have an indication to run all the updates at a background routine. In that case, at this point the upgrade of your OS will be finished.

We apologize for any inconvenience this back order may be causing you.

Thank you,

Steve Lipner

Director of Security Assurance

Microsoft Corp.

خرابكاري
به محض آلوده شدن يک کامپيوتر به اين ويروس، در مسيرهای زير فايلهای مخرب کپی می شوند:

%WINDIR%\system32\gzipmod.dll

%WINDIR%\system32\vbagz.sys BackDoor-BAC.gen

%WINDIR%\system32\k86.bin

فايل اول توسط ضدويروس مک آفی بعنوان ويروس Generic PWS.y شناسايی می گردد.
در ادامه، اين ويروس، با تعريف کليد زير در محضرخانه، خود را در هر بار راه اندازی دستگاه، به سيستم عامل تزريق می کند:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gzipmod

"DllName" = "gzipmod.dll"

"Startup" = "gzipmod"

"Impersonate" = "0x00000001"

"Asynchronous" = "0x00000001"

"MaxWait" = "0x00000001"

از ديگر خرابکاری های اين ويروس، برقراری ارتباط با سرويس دهنده زير بمنظور ارسال اطلاعات جمع آوری شده از روی سيستم قربانی (اين اطلاعات در فايل k86.bin ذخيره می شوند) و همچنين دريافت فايلهای مخرب بيشتر می باشد.

hxxp://social-[blocked].biz/jerken2/data.php

پيشگيري

استفاده از رمزهای عبور قوی و عدم به اشتراک گذاری کل درايوها از نکات اوليه برای پيشگری در مقابل اينگونه ويروسها می باشد. ضمن اينکه به کاربران نيز توصيه می شود از كنجكاوی درباره فايل های مشكوك و يا با عناوين جذاب است كه در سايت های اشتراك فايل، فراوان ديده می شوند اجتناب کنند. به روز نگه داشتن ضدويروس و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در نرم افزار ضدويروس (نظير قاعده Prevent common programs from running files from the Temp folder) می تواند کامپيوتر را در مقابل اين ويروس محافظت کند.

[abolfazlab]

ويروس StealthMBR چيست ؟

Dat براي شناسايي 5423

ويروسی با درجـه خطـر کم که عملکرد "اسب تروا" (Trojan) داشته و در دسته ويروسهای آلوده کننده MBR (Master Boot Record) قرار می گيرد.

انتشار

اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبان کاربر را می گيرد. اسب های تروا بر خلاف انواع ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ويروس StealthMBR نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای کاربردی و سيستم عامل که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
خرابکاری
ويروس StealthMBR نـوعی آلـوده کننـده Master Boot Record محسوب می شود. MBR برنامه ای کوچک، حاوی جدولی در خصوص تقسيم بندی و محل ذخيره اطلاعات بر روی ديسک سخت می باشد که بطور معمول در اولين سکتور ديسک سخت ذخيره می شود. از ويژگی های MBR اجرا شدنش پيش از سيستم عامل است و ويروس StealthMBR با تزريق خود به MBR و با استفاده از همين ويژگی، پيش از سيستم عامل اجرا و در ادامه خود را از ديد برنامه های امنيتی و ضدويروس ها مخفی می سازد.
با آلوده شدن يک کامپيوتر به اين ويروس، فايلهای مخرب زير ايجاد می گردند:

%TEMP%\cln5.tmp

%WINDIR%\Temp\00000219.tmp

%WINDIR%\Temp\ldo6.dll

%WINDIR%\Temp\ldo6.tmp

اين ويروس با زير نظر گرفتن آدرسهای وارد شده در مرورگر اينترنت توسط کاربر و مطابقت دادن آنها با نشانی های موجود در بانک اطلاعاتی خود (که حاوی 2700 آدرس سايتهای خدمات بانکی معروف جهان می باشد)، اطلاعات مربوط به نام کاربری و رمز عبور وارد شده را ذخيره و سپس آنها را به آدرس زير ارسال می کند:
http:\\ogercnt.info\[removed]
پيشگيری
اولين راه برای پيشگيری از آلودگی، عدم كنجكاوی درباره فايل های مشكوك و ناشناس و يا با عناوين جذاب است كه در سايت های اشتراك فايل، فراوان ديده مي شوند. بهتر است فايل ها و ابزار مورد نياز از سايت های معتبر تهيه شود. به روز نگه داشتن ضدويروس و همچنين نصب آخـريـن اصلاحيه های سيستـم عـامـل، مي تـوانـد کامپيوتر را در مقابل اين اسب تروا محافظت کند.
پاکسازی ويروسهای آلوده کننده MBR در محيط Windows ميسر نيست و باید دستگاه را با استفاده از DAT CD (با نگارش حداقل 5423) راه اندازی کرده و سپس اسکن نمود تا پاکسازی بصورت کامل انجام پذيرد.
DAT CD همان CD هایی است که هر دو ماه یکبار برای مشترکین ارسال می شود و در صورت لزوم، مشترکین می توانند درخواست ارسال جدیدترین نسخه آنرا نمایند.

[abolfazlab]

ويروس Generic PWS.y!6F939359 چيست ؟

Dat براي شناسايي 5427

ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و اقدام به دزديدن رمزهای عبور ذخيره شده بر روی دستگاه آلوده مي کند.
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونـه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
ويـروس Generic PWS.y!6F939359 در آخــريـن گـونــه خـود از سـوژه هـای اجتماعی روز، برای فریب کاربران استفاده نموده است. بدين ترتيب که ابتدا کاربر هرزنامه ای (Spam) با عناوين و متن زير را دريافت می کند.
عناوين هرزنامه:

Election Results Winner

The New President's Cabinet?

Fear of a Black President

متن هرزنامه:

Barack Obama Elected 44th President of United States

Barack Obama, unknown to most Americans just four years ago, will become the 44th president and the first African-American president of the United States.

Watch His amazing speech at November 5! ...... "

با کليک بر روی لينک موجود در هرزنامه، کاربر به صفحه ای که در ظاهر متعلق به دولت آمریکا است، هدايت می شود.
در بالای تصوير مذکور، عبارت America.gov نمايش داده شده است تا اينطور القا شود که اين سايت مربوط به دولت ايالات متحده و سايتی رسمی است در حالی که آدرس واقعی سايت که در نوار آدرس مرورگر قابل مشاهده می باشد چيزی متفاوت با اين عبارت است. چند ثانيه بعد از بالا آمدن تصوير، پنجره ای جعلی ظاهر شده و از کاربر می خواهد برای مشاهده فيلم، فايل adobe_flash9.exe (که فايل اجرايی ويروس Generic PWS.y!6F939359 است) را دريافت کند. با اجرای اين فايل سيستم کاربر آلوده خواهد شد.
خرابکاری
به محض اجرا شدن، در مسيرهای زير فايلهای مخرب کپی می شوند:

%WINDIR%\9129837.exe

%WINDIR%\new_drv.sys

اين ويروس با دستکاری کليدهای زير در محضرخانه، فعال شدن خود را در هر بار راه اندازی دستگاه تضمین نموده و همچنین سرويسی بنام "!!!!" را به ليست سرويسهای سيستم عامل اضافه می کند.
- HKey_users\s-1-5-21-1202660629-602609370-839522115-500\software
\microsoft\windows\currentversion\run\ttool=%WINDI R%\9129837.exe
- HKey_users\s-1-5-21-1202660629-602609370-839522115-500\software\microsoft\inetdata\ k1 = 671634 k2 = 339167 version = 50
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\new_drv
ImagePath = %WINDIR%\new_drv.sys DisplayName = "!!!!"
اصلی ترين خرابکاری اين ويروس، برقراری ارتباط با سرويس دهنده زير و ارسال نامهای کاربری و کلمات عبور ذخيره شده بر روی کامپيوتر قربانی می باشد:

hxxp://91.203.93.57/cgi-bin/[Removed]

پيشگيری
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص بسته امنيتی (Service Pack) شماره 3 سيستم عامل Windows XP، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده
Prevent common programs from running files from the Temp folder
در کنـار آگـاه کـردن کـاربـران شبکه از خطـرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر
آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.

[abolfazlab]

ويروس W32/Autorun.worm.dwچيست ؟

ويروسی با درجه خطر کم که عملکرد "کرم" (Worm) داشته و در سيستم عامل Windows از نوع 32 بيتی فعال می گردد.

Dat براي شناسايي

انتشار

ويروس Autorun.worm.dw در خانواده ويروسهای Autorun قرار می گيرد. اينگونه ويروسها، پس از اجرا شدن فايلی بنام autorun.inf در ريشه درايـوهای ديسک سخت (درايوهای C و D و …) و ابـزارهـای ذخيــره سـازی USB (در صورت وجود) ايـجـاد می کنند. درون اين فايل، نام فايل اجرايی ويروس مانند autoplay.exe آورده شده است. پس از آن، کامپيوتر آلوده می تواند هر حافظه فلش را نيز که به آن کـامپيـوتـر وصـل می شـود، آلـوده سـازد. همچنين ايـن ويـروس از طريق پوشه های به اشتراک گذاشته شده بر روی شبکه نيز اقدام به تکثير خود می کند.
بسياری از گونه های اين ويروس با کپی کردن خود در شاخه های اشتراکی (Share) ساير دستگاه های شبکه، آنها را هم در معرض آلودگی قرار می دهد. به اين صورت که اگر درايو C دستگاهی در شبکه برای کامپيوتر آلوده قابل دسترسی باشد، کافی است دو فايل autorun.inf و autoplay.exe در ريشه آن کپی شود تا بعد از راه اندازی دستگاه، کاربر با دوبار کليک کردن بر روی درايو C آلوده شود.
در شبکه هايی که رمز عبور Administrator برای همه دستگاه ها يکی باشد و يا از رمز عبورهای ضعيف (مانند Blank، 1 و 123 و ...) استفاده شده باشد، آلودگی به سرعت گسترش خواهد يافت. منبع انتشار اوليه اين ويروس را احتمالاً می توان به برنامه ها و سايت هايی که برای اشتراک فايل بين کاربران استفاده می شوند، نسبت داد. (اينگونه برنامه ها را P2P می نامند.)
ويروس Autorun.worm.dw در آخرين گونه خود سبب شد تا وزارت دفاع ايالات متحده علیرغم دارا بودن تجهیزات امنیتی پيشرفته، استفاده از ديسکهای خارجی (External) و حافظه های فلش را درشبکه های نظامی تا اطلاع ثانوی ممنوع کند. اين در حالی است که در بسياری از موقعيتهای نظامی بدليل در دستـرس نبـودن وسـايل ارتباطاتی رايج نظير ايميل، استفاده از اين گونه حافظه ها به نوعی تنها وسيله انتقال اطلاعات ذخيره شده محسوب می شود.
خرابكاري
به محض اجرا شدن فايل آلوده، فايلهای مخرب زير ایجاد می شوند:

- %SYSTEM%\[Random Named DLL File

- %SYSTEM%\mswmpdat.tl

- %SYSTEM%\winview.ocx

در ادامه کليدهای زير در محضرخانه دستکاری می شوند:

- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8F147B2 8-EF39-44A0-B6EC-3CC6F2F08794}

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\StrtdCfg

- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8F147B2 8-EF39-44A0-B6EC-3CC6F2F08794}\ InprocServer32 default = %SYSTEM%\[Random Named DLL File]

- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8F147B2 8-EF39-44A0-B6EC-3CC6F2F08794}\ InprocServer32 ThreadingModel: "Apartment"

- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8F147B2 8-EF39-44A0-B6EC-3CC6F2F08794} default = "Java.Runtime.52"

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ ShellServiceObjectDelayLoad UpdateCheck = {8F147B28-EF39-44A0-B6EC-3CC6F2F08794}

از ديگر خرابکاری های Autorun.worm.dw، برقراری ارتباط با سرويس دهنده های مشخص شده در برنامه ويروس، بمنظور دريافت فايلهای مخرب بيشتر و ارسال اطلاعات جمع آوری شده از روی کامپيوتر قربانی (نظير کلمات عبور) می باشد.

پيشگيري

به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص بسته امنيتی (Service Pack) شماره 3 سيستم عامل Windows XP، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط کارشناسان شرکت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده USB و برای کامپيوترهای پرخطر، فعال کردن قاعده هاي

- Prevent creation of new executable files in the Windows folder

- Prevent creation of new executable files in the Program Files folder]

در کنـار آگـاه کـردن کاربران شبکه از خطرات کليک بر روی فايلهای ناآشنا در پوشه های به اشتراک گذاشته شده، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.

[abolfazlab]

ويروس Cutwail.gen.oچيست؟
یک "اسب تروا" (Trojan) با درجه خطر کم می باشد که از طریق روش های مختلف باعث آلودگی کامپیوتر کاربر شده و آن کامپیوتر را به شبکه ای از کامپیوترهای تسخیر شده و قابل کنترل توسط افراد بیگانه، ملحق می کند. این کامپیوترهای به تسخیر درآمده در یک حمله هماهنگ و مستمر به سایت های CIA, PayPal و Yahoo حمله می کنند. ولی شدت حملات به میزانی نیست که این سایت ها را از کار بیندازد و به همین دلیل نیز مورد شناسائی و جلب توجه بسیاری از سیستم های امنیتی قرار نمی گیرند.
انتشار:
اسب های تروا برنامه هايی هستند که به عنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبان کاربر را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است. اسب های تروا به خودی خود قابلیت تکثیر و انتشار نداشته و برای اینکار نیازمند دخالت کاربر می باشند. بدین دلیل نیز از روش های مختلف برای فریب و وسوسه کاربر برای دریافت فایل های آلوده به اسب های تروا و اجرای آن بر روی کامپیوتر استفاده می شود.
خرابكاري :
پس از آلوده شدن کامپيوتر و فعال شدن اسب تروا Cutwail.Gen.O، فایل های آلوده زیر بر روی کامپیوتر قربانی ایجاد می شوند.

- %UserProfile%\imPlayok.exe
- %System%\imPlayok.exe

همچنین کلیدهای زیر در Registry ایجاد می شوند تا در هر بار راه اندازی کامپیوتر، اسب تروا فعالگردد.

- HKEY_Local_Machine\Software\Microsoft\Windows\Curr entVersion\Run
imPlayok = "%System%\imPlayok.exe"
- HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
imPlayok = "%UserProfile%\imPlayok.exe"

کامپیوترهای آلوده به این اسب تروا در یک شبکه مخرب (botnet) به نام Pushdo قرار می گیرند که اخیراً یک حمله هماهنگ و مستمر بر علیه سایت هایی نظیر CIA.gov, Yahoo.com, sans.org و AmericanExpress.com آغاز کرده اند.
در این حمله از درگاه 443 ویژه پروتکل SSL استفاده شده و بطور همزمان میلیونها درخواست توسط صدها هزار کامپیوتر تسخیرشده در شبکه Pushdo به سایت های مورد هدف ارسال می گردد. به دلیل استفاده از پروتکل امن SSL میزان منابع لازم برای پاسخگویی به درخواست دریافت شده توسط سایت بسیار بیشتر از یک درخواست عادی است. ولی شدت حملات به میزانی نیست که این سایت ها را از کار بیندازد و به همین دلیل نیز مورد شناسائی و جلب توجه بسیاری از سیستم های امنیتی قرار نمی گیرند.
پيشگيري :

به روز بودن ابزارهای امنیتی و نصب اصلاحیه های سیستم عامل و دیگر نرم افزارهای کاربردی، در کنار آگاه کردن کاربران از خطرات کليک بر روی لينک های ناآشنا، می تواند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند. همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5881 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

[abolfazlab]

ویروس W32/Waledac.gen.b چیست ؟

ویروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در محیط Windows از نوع 32 بیتی فعال می گردد.

نامگذاری

این ویروس با نامهای زیر توسط ضدویروسهای مختلف شناسایی می شود:

Email-Worm.Win32.Iksmas.y (Kaspersky & eScan)

Worm_Waledac.kax (Trend Micro)

W32.Waledac (Symantec)

Trojan:Win32/Waledac.A (Microsoft)

انتشار

اسب های تروا برنامه هایی هستند که بعنوان یک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دیر یا زود گریبانش را می گیرد. اسب های تروا بر خلاف گونه های دیگر ویروس که ممکن است به یک فایل اجرایی سالم بچسبند یا درون بخش راه انداز یک دیسک جا بگیرند، موجودیت مستقلی داشته و در هنگام پاکسازی تنها حذف فایل آن لازم است.
آخرین گونه از ویروس Waledac.gen.b از سوژه های اجتماعی و خبرهای روز برای فریب کاربران استفـاده می نماید. بـدیـن تـرتیب کـه با ارسال هـرزنـامـه درباره رئیس جمهور جدید ایالات متحده، کاربر را تشویق به کلیک بر روی لینکهای هرزنامه می کند. این لینکها که کاربر را به سایتهای bamaonline.com، *.bamaguide.com و *.bamadirect.com - با ظاهری کاملاً شبیه به سایت رسمی باراک اوباما - هدایت می کنند، خود حاوی لینکهای مخربی هستند که می توانند دستگاه کاربر را آلوده سازند.
استفاده از نام روسای جمهور منتخب، سالهاست که مورد سوءاستفاده ویروس نویسان قرار می گیرد. پیش از این نیز جورج بوش، بیل کلینتون و حتی رونالد ریگان سوژه چنین هرزنامه ها و ویروسهایی بوده اند.

خرابکاری

ویروس Waledac.gen.b، پس از اجرا شدن، کلیدهای زیر را در محضرخانه تعریف می کند:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion "MyID"

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion "RList"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run "PromoReg"

سپس این ویروس به جستجوی آدرس ایمیل در فایلهای خاصی می پردازد و پس از جمع آوری، آنها را در فایلهایی با نامی متغیر و پسوند PNG ذخیره و سپس به IPهای خاصی ارسال می کند.

پیشگیری

به روز نگه داشتن ضدویروس، نصب آخرین اصلاحیه های سیستم عامل و همچنین استفاده از تنظیمات توصیه شده توسط کارشناسان شرکت مهندسی شبـکه گستـر در بخش Access Protection ضـد ویـروس McAfee، نظیر فعـال کـردن قاعده های

USB

Prevent mass mailing worms from sending mail

می توانند خطر آلوده شدن به این ویروس و یا گونه های مشابه را به حداقل برساند.

[abolfazlab]

ويروس Exploit-MSWord.k چيست ؟

ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و از حفره امنيتی موجود در نرم افزار Internet Explorer 7 که سبب بروز خطای "سر ريز حافظه" (Buffer Overfllow) می شود، سوء استفاده می کند.

انتشار

اين ويـروس در قـالـب یـک فـایـل Word که چنـد ماکروی (Macro) مخـرب در آن جـاسازی شده، از طریق هرزنامه به کاربر ارسال می گردد. چنانچه کامپیوتر کاربر دارای نرم افزار Internet Explorer 7 باشد باز شدن فـایـل مذکور سبب خواهد شد تا ویروس با سوء استفاده از یک حفره امنیتی جدید مقاصد شوم خود را دنبال می کند. این حفره امنیتی جدید به تازگی توسط اصلاحیه MS09-002 مایکروسافت ترمیم شده است.

خرابکاری

اين ويروس پس از مقيم شدن در حافظه به سايت زير متصل شده و فايلهای مخرب بيشتری را دريافت و بر روی سيستم قربانی اجرا می کند:

http://www.chen####.com/bbs/images/alipay/mm/jc/jc.html

پيشگيري

به روز نگه داشتن ضدويروس و نصب تمامی اصلاحيه های سيستم عامل و مرورگر (بصورت دستی، اتوماتيک و يا با استفاده از سرويس WSUS) بخصوص اصلاحیه های MS08-067، MS08-078 و MS09-002 در کنار آگاه کردن کاربران در خصوص خطر کليک بر روی لينک های ناآشنا، همگی می توانند خطر آلوده شدن به اين ويـروس و يـا گونه های مشابه را به حداقل برسانند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5529 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

[abolfazlab]

ويروس Exploit-XMLhttp.d چيست ؟

ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و از حفره امنيتی موجود در نرم افزار Internet Explorer 7 که سبب بروز خطای "سر ريز حافظه" (Buffer Overfllow) می شود، سوء استفاده می کند.

انتشار

اين ويـروس از حفـره امنيتی کـه در نرم افزار Internet Explorer7 کشف شده، برای مقاصد شوم خود استـفـاده می کند. بدين نحو که بعد از مراجعه کاربر به يکی از سايتهای آلوده (بصورت مستقيم و يا از طريق هرزنامه ها) شرایط سوء استفاده از حفره موجود در IE 7 فراهم گردیده و فايل مخرب اجرا و کامپيوتر کاربر آلوده خواهد شد.
اولین گونه این ویروس که در آذر ماه 87 منتشر شد از یک حفره امنیتی استفاده میکرد که توسط اصلاحیه MS08-078 مایکروسافت برطرف گردید. اطلاعات بیشتر درباره اصلاحیه این حفره را می توانید از نشانی زیر دریافت کنید.

http://www.microsoft.com/technet/sec.../ms08-078.mspx

اما جدیدترین گونه این ویروس از یک حفره امنیتی جدید سوءاستفاده می کند. حفره ای که تنها چند روز است شرکت مایکروسافت اصلاحیه MS09-002 را برای ترمیم آن عرضه کرده است. اصلاحیه MS09-002 را می توانید از مسیر زیر دریافت کنید:

http://www.microsoft.com/technet/security/bulletin/MS09-002.mspx

خرابکاری

اين ويروس پس از مقيم شدن در حافظه به سايت زير متصل شده و فايلهای مخرب بيشتری را دريافت و بر روی سيستم قربانی اجرا می کند:

http://www{blocked}yyy.cn/{blocked}.exe

پيشگيري

به روز نگه داشتن ضدويروس و نصب تمامی اصلاحيه های سيستم عامل و مرورگر (بصورت دستی، اتوماتيک و يا با استفاده از سرويس WSUS) و به خصوص اصلاحیه های MS08-067، MS08-078 و MS09-002 در کنار آگاه کردن کاربران در خصوص خطر کليک بر روی لينک های ناآشنا، همگی می توانند خطر آلوده شدن به اين ويـروس و يـا گونه های مشابه را به حداقل برسانند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5529 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

[abolfazlab]

ويروس Generic Downloader.c چيست ؟

ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در Windows از نوع 32 بيتی فعال می گردد. اولين نمونه آن در مرداد هشتاد و دو مشاهده شده و از آن زمان تاکنون، گونه های متعددی از GenericDownloader.c با حجمهای مختلف ايجاد شده است.

اين ويروس توسط نرم افزار ضدويروس Panda با نام Nabload.U شناسايی می گردد.

انتشار

اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل، دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
ويروس Generic Downloader.c بيشتر از طريق هرزنامه هايی که سعی می کنند با استفاده از روشهای مهندسی اجتماعی (Socail Engineering)، کاربر را تشويق به دريافت اين اسب تروا کنند، منتشر می شود.
برای نمونه آخرین گونه این ویروس در قالبی مشابه متن زیر بهمراه فایل آلوده details.rtf به ایمیل کاربر ارسال می شود و از او می خواهد تا با باز کردن فایل پیوست اطلاعات مالی درون آنرا بررسی کند. حال آنکه با اجرای فایل details.rtf کامپیوتر کاربر آلوده خواهد شد.
From: Kenneth Duford [mailto:ken.duford@]
Sent: Wednesday, June 0X, 2009 XX:XX PM
To:
Subject: Re:Please verify wire details
The wire transfer has been released.
BENEFICIARY :
ABA ROUTING# : XXXX1197
ACCOUNT# : XXX-XXX-XXX394
AMMOUNT : $17,653.15

Please check the wire statement attached and let me know if everything is correct.
I am waiting for your reply.
Kenneth Duford
--- On Sun, 02/06/09, wrote:
From:
Subject: wire transfer
To: ken.duford@
Date: Mon, 1 June 2009, 10:47 AM
We still haven't received the wire transfer.
Thank you

خرابکاری

به محض اجرا شدن ويروس، فايل ويروسی تلاش می کند با برقراری ارتباط با سايتهای زير، برنامه های مخرب ديگری (که معمولاً ويروس Generic PWS.y است) را دريافت کند:

12oaks.net/[blocked]/index.php
bluegorillamedia.net/[blocked]/ActiveContent/index.php
abfforms.com/[blocked]/index.php
www.understandinghealthcare.com
www.redeuniversidade.com.br
www.hywic.co.uk

برنامه های مخرب دريافت شده در مسيرهای زير ذخيره می شوند. (نام فايلها در گونه های مختلف اين ويروس، متفاوت گزارش شده است.):
%UserProfile%\Application Data\wks.exe
%WinDir%\services.exe
%imesh%\my shared folder\adaware2008full.rar.scr
%imesh%\my shared folder\Ahead_Nero_9_new!_full+crack.zip.scr
%imesh%\my shared folder\antispyware.rar.scr
%imesh%\my shared folder\antivirus.rar.scr
C:\Documents and Settings\%USER%\Local Settings\temporary\internet files\content.ie5\ktx34vgq\coco2006[1].jpg
% WinDir %\system32\service\service.dll c:\Documents and Settings\%USER%\Local Settings\temp\391670.dmp
% WinDir %\System32\service\navupdt.exe c:\Documents and Dettings\%USER%\Local Settings\temp\wer2.tmp.dir00\appcompat.txt
که فایل آخر وظيفه دريافت برنامه های مخرب در برعهده دارد:
navupdt.exe server:hometown.aol.com.au port:80
همچنين اين ويروس دست اندازی های زير را در محضرخانه انجام می دهد:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ Shell= "Explorer.exe %WinDir%\services.exe"
HKey_Current_User\Software\Microsoft\Windows\Curre ntVersion\internet settings\zonemap\\intranetname="1"
HKey_Current_User\Software\microsoft\Windows\Curre ntVersion\internet settings\zonemap\\uncasintranet="1"
HKey_Current_User\Software\Microsoft\Windows\Curre ntVersion\internet settings\zonemap\\proxybypass="1"

پيشگيري

اولين راه برای پيشگيری از آلودگی، عدم كنجكاوی درباره فايل های مشكوك و ناشناس و يا با عناوين جذاب است كه در سايت های اشتراك فايل و هرزنامه ها، فراوان ديده می شوند. بهتر است فايل ها و ابزار مورد نياز از سايت های معتبر تهيه شود. به روز نگه داشتن ضدويروس همچنين نصب آخرين اصلاحيه های سيستم عامل می تواند کامپيوتر را در مقابل اين اسب تروا محافظت کند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5634 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

[abolfazlab]

ويروس Spam-Mailbot.m چيست ؟

ويروسی با درجه خطر کم که در دسته "هرزنامه ها" (Spams) قرار می گیرد و پیوستهای مخرب آن در سيستمهای عامل Windows از نوع 32 بيتی فعال می گردند.
اين ويروس با نامهای زير توسط ضدويروسهای مختلف شناسايی می شود:
Email-Worm.Win32.Joleee.adq (Kaspersky & eScan)
Mal/WaledPak-A (Sophos)
Spammer:Win32/Tedroo.I (Microsoft)
Win32:TedoBot (Avast)

انتشار

ویروس Spam-Mailbot.m به نوعی جزو ويروس های از نوع "ارسال کنندگان انبوه" (Mass Mailer) قرار می گیرد. این گونه ویروسها پس از آلوده کردن يک دستگاه، تمامی نشانی های پست الکترونيکی (Email) موجود در کامپيوتر را جمع آوری کرده و برای آنها پيامهای با پيوست (Attachment) آلوده می فرستند تا هر چه بيشتر آلودگی را منتشر کنند. برای پيدا کردن نشانی ها از دفترچه نشانی (Address Book) نرم افزارهايی مانند Outlook استفاده می کنند و يا صفحات اينترنتی موجود در بخش فايلهای موقت مرورگر اينترنت (Temporary Internet Files) را برای بدست آوردن نشانی ها جستجو می کنند. این نوع ويروس ها در گذشته، برای فرستادن پیام ها به يک برنامه ارسال پیام (مانند Outlook) تکيه می کردند، اما با پيشرفتهای حاصل شده، امروزه اغلب اينگونه ويروس ها برنامه کوچکی بنام SMTP Engine درون خود دارند و رأساً اقدام به ارسال پیام می کنند.
ویروس Spam-Mailbot.m برای تشويق دريافت کننده نامه برای اجرای فایل آلوده پیوست (ويروس) و یا کلیک بر روی لینکها، از روشهای مهندسی اجتماعی استفاده می کند. برای مثال، آخرین گونه، اين ويروس وانمود می کند که از سوی Bank of America ارسال شده است. چنانچه کاربر بر روی لینکهای موجود در آن هرزنامه کلیک کند به صفحه ديگري هدایت می شود كه با ورود اطلاعات توسط کاربر، این اطلاعات به بانک اطلاعاتی نفوذگر منتقل می شود.

خرابکاری

ويروس Spam-Mailbot.m پس از کپی فایل servises.exe در پوشه %WinDir% دیواره آتش (Windows Firewall) را دستکاری و این فایل مخرب را بعنوان یک برنامه مجاز به سیستم عامل معرفی می کند. در ادامه در مسيرهای زير فایلهای مخرب دیگر را کپی می کند:
% WinDir%\system32\servises.exe
% WinDir%\system32\sdra64.exe
% WinDir%\system32\lowsec\user.ds
% WinDir%\system32\lowsec\local.ds
% WinDir%\Temp\3.tmp
پس از آن، این ويروس، کليدهای زير را در محضرخانه تعریف می کند:
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7}
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Explorer\{EAB536DF-0DAB-5F86-EB7D-D060B52E9606}
همچنین با تعريف کليدهای زير در محضرخانه، خود را در هر بار راه اندازی دستگاه، به سيستم عامل تزريق می کند:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"Userinit" = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system 32\sdra64.exe,
HKEY_CURRENT_USER\Software\Microsoft\Windows\curre ntversion\policies\explorer\run\servises = c:\windows\system32\servises.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\curr entversion\policies\explorer\run\servises = c:\windows\system32\servises.exe

از کلیدهای زیر نیز برای ذخیره تنظیمات این ویروس استفاده می شود:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktopid = "104214710971"host = "127.0.0.1"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\S ecurity CenterFirewallOverride = 0x00000001
از ديگر خرابکاری های اين ويروس برقراری ارتباط با سرويس دهنده های زير بمنظور دريافت فرامین و فايلهای مخرب بيشتر می باشد:
توجه: اکيداً توصيه می شود وارد سايتهای مذکور نشويد؛ ذکر نام آن تنها برای اطلاع رسانی به مديران شبکه بمنظور اتخاذ تدابير پيشگيرانه می باشد.

66.96.248.21
91.207.7.234
91.207.5.66
206.51.234.126
206.137.17.89
209.20.130.33
[blocked].theplanet.com

پيشگيري

به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبـکه گستـر در بخش AccessProtection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده

Prevent common programs from running files from the Temp folder

و برای کامپيوترهای پرخطر، فعال کردن قاعده هاي

Prevent creation of new executable files in the Windows folder
- Prevent creation of new executable files in the Program Files folder

در کنـار آگـاه کـردن کـاربـران شبکه از خطـرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنين مشترکينی که از ضدويروس مک آفی با حداقل DAT 5631 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

[abolfazlab]

ويروسBackDoor-BAC.gen چيست ؟

Dat براي شناسايي 5403
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و از آن بعنوان ابزاری برای نفوذ به شبکه توسط نفوذگران استفاده ميگردد
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ويروس BackDoor-BAC.gen نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
ويروس BackDoor-BAC.gen در آخرين نمونه خود از روشهای مهندسی اجتماعی (Social Engineering) استفاده نموده است. بدين ترتيب که با ارسال يک ايميل که فايل آلوده به آن پيوست شده است، اينطور القا می کند که نامه از سوی بخش امنيت شرکت مايکروسافت فرستاده شده است و از کاربر می خواهد تا با اجرای فايل مذکور يکی از حفره های اساسی سيستم عاملش را برطرف سازد. حال آنکه با اجرای فايل پيوست کامپيوتر کاربر آلوده خواهد شد.
در متن اين هرزنامه، ليستی از سيستمهای عامل قرار دارد که به فايل پيوست ارتباط داده شده اند و در ميان آنها نامهای Windows 98 و Windows Millennium نيز مشاهده می شود. در حالی که اين دو سيستم عامل مدتهاست که توسط شرکت مايکروسافت پشتيبانی نمی شوند. ارسال خبرنامه از سوی مايکروسافت به مشترکين، در خصوص اصلاحيه های امنيتی جديد، امری است که هر ماه توسط اين شرکت اجرا می گردد. اما در تمامی خبرنامه های رسمی اين شرکت، تنها لينک اصلاحيه قرار داده شده و تاکنون، هيچگاه فايل آپديت بصورت پيوست ارسال نشده است.
متن اين هرزنامه بشرح زير است.

Dear Microsoft Customer,

Please notice that Microsoft company has recently issued a Security Update for OS Microsoft Windows. The update applies to the following OS versions: Microsoft Windows 98, Microsoft Windows 2000, Microsoft Windows Millenium, Microsoft Windows XP, Microsoft Windows Vista.

Please notice, that present update applies to high-priority updates category. In order to help protect your computer against security threats and performance problems, we strongly recommend you to install this update.

Since public distribution of this Update through the official website http://www.microsoft.com would have result in efficient creation of a malicious software, we made a decision to issue an experimental private version of an update for all Microsoft Windows OS users.

As your computer is set to receive notifications when new updates are available, you have received this notice.

In order to start the update, please follow the step-by-step instruction:

1.Run the file, that you have received along with this message.

2.Carefully follow all the instructions you see on the screen.

If nothing changes after you have run the file, probably in the settings of your OS you have an indication to run all the updates at a background routine. In that case, at this point the upgrade of your OS will be finished.

We apologize for any inconvenience this back order may be causing you.

Thank you,

Steve Lipner

Director of Security Assurance

Microsoft Corp.

خرابكاري
به محض آلوده شدن يک کامپيوتر به اين ويروس، در مسيرهای زير فايلهای مخرب کپی می شوند:

%WINDIR%\system32\gzipmod.dll

%WINDIR%\system32\vbagz.sys BackDoor-BAC.gen

%WINDIR%\system32\k86.bin

فايل اول توسط ضدويروس مک آفی بعنوان ويروس Generic PWS.y شناسايی می گردد.
در ادامه، اين ويروس، با تعريف کليد زير در محضرخانه، خود را در هر بار راه اندازی دستگاه، به سيستم عامل تزريق می کند:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gzipmod

"DllName" = "gzipmod.dll"

"Startup" = "gzipmod"

"Impersonate" = "0x00000001"

"Asynchronous" = "0x00000001"

"MaxWait" = "0x00000001"

از ديگر خرابکاری های اين ويروس، برقراری ارتباط با سرويس دهنده زير بمنظور ارسال اطلاعات جمع آوری شده از روی سيستم قربانی (اين اطلاعات در فايل k86.bin ذخيره می شوند) و همچنين دريافت فايلهای مخرب بيشتر می باشد.

hxxp://social-[blocked].biz/jerken2/data.php

پيشگيري

استفاده از رمزهای عبور قوی و عدم به اشتراک گذاری کل درايوها از نکات اوليه برای پيشگری در مقابل اينگونه ويروسها می باشد. ضمن اينکه به کاربران نيز توصيه می شود از كنجكاوی درباره فايل های مشكوك و يا با عناوين جذاب است كه در سايت های اشتراك فايل، فراوان ديده می شوند اجتناب کنند. به روز نگه داشتن ضدويروس و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در نرم افزار ضدويروس (نظير قاعده Prevent common programs from running files from the Temp folder) می تواند کامپيوتر را در مقابل اين ويروس محافظت کند.

[abolfazlab]

ويروس Exploit-PPT.k چيست ؟
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و از حفره امنيتی موجود در نرم افزار Microsoft PowerPoint که سبب بروز خطای "سر ريز حافظه" (BufferOverfllow) می شود، سوء استفاده می کند.

انتشار

ویروس Exploit-PPT.k به نفوذگر این امکان را می دهد تا از طریق حفـره امنيتی موجود در نرم افزار Microsoft PowerPoint از راه دور اقدام به اجرای برنامه های مخرب کند. این ویروس بعد از باز شدن یک فایل PPT يا PPS دستکاری شده در حافظه قرار می گیرد و پس از آن نفوذگر می تواند کنترل دستگاه در دست گیرد.
شرکت مایکروسافت هنوز اصلاحیه ای برای پوشش این حفره امنیتی عرضه نکرده است اما انتظار می رود که بزودی اصلاحیه ای در این خصوص توسط این شرکت منتشر شود. در عین حال شرکت مایکروسافت اعلام نموده است که بخش پشتیبانی این شرکت برای کاربرانی که به این ویروس آلوده شده اند راه حلهایی را ارائه می دهد. اطلاعات بیشتر را می توانید در لینک زیر بیابید:

http://www.microsoft.com/technet/sec...ry/969136.mspx

خرابکاری

هنگام اجرای فایل دستکاری شده، فایل مخرب مورد نظر ویروس نویس، در پشت صحنه بر روی کامپیوتر قربانی اجرا می شود. پروسه های زیر، نمونه هایی از این فایلهای مخرب هستند.

fssm32.exe: 428,032 bytes

IEUpd.exe : 45,056 bytes

setup.exe : 13, 1072 bytes

PeerCM.exe : 80,666 bytes

ws2_42.dll :10,6740 bytes

ضدویروس مک آفی سه فایل اول را با عنوان Muster.c Trojan و دو فایل آخر را تحت نام Generic BackDoor.u Trojan شناسایی می شوند.

پيشگيري

به روز نگه داشتن ضدويروس و نصب تمامی اصلاحيه های سيستم عامل و نرم افزار Office (بصورت دستی، اتوماتيک و يا با استفاده از سرويس WSUS) در کنار آگاه کردن کاربران در خصوص خطر کليک بر روی لينکهای ناآشنا، همگی می توانند خطر آلوده شدن به اين ويـروس و يـا گونه های مشابه را به حداقل برسانند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5573 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

[abolfazlab]

ويروس Spy-Agent.da چيست ؟

ويروسي با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و از آخرين حفره امينتی کشف شده در سيستم عامل Windows برای انتشار خود استفاده می کند.

Dat براي شناسايي 5414

انتشار

ويروس Spy-Agent.da با سوء استفاده از حفره امنيتی در بخش Server service سيستم عامل Windows، اقدام به آلوده کردن کامپيوتر قربانی می کند. شرکت مايکروسافت در یک اقدام غیرعادی، در دوم آبان ماه برای اين حفره امنيتی اصلاحيه MS08-067 را بطور فوق العاده منتشر ساخت. اين در حالی بود که اين شرکت، طبق برنامه ماهانه خود، يازده اصلاحيه امنیتی برای ماه اکتبر را حدود يک هفته قبل از آن ارائه نموده بود. اين حفره امنيتی به نفوذگر اجازه می دهد تا از راه دور اقدام به اجرای هرگونه دستور و فرمان بر روی سيستم قربانی کند.
اصلاحيه MS08-067 را می توانيد از مسير زير دريافت نمائيد:

http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

به محض آلوده شدن يک کامپيوتر به اين ويروس، فايلهايی با نام nx.exe ( كه X يک عدد متغير است) بر روی کامپيوتر قربانی ایجاد می شوند. با اجرای هر یک از این فایلها، فايل مخرب زير ايجاد می شود:

%SystemDir%\wbem\sysmgr.dll

پس از آن کليدهای زير در محضرخانه سيستم عامل ايجاد می گردند:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\sysmgr\Parameters

Servicedll = %SystemDir%\wbem\sysmgr.dll

Servicemain = servicemainfunc

به اين ترتيب سرويسی با عنوان System Maintenance Service و نام sysmgr به بخش سرويسهای سيستم عامل اضافه می شود.
در ادامه، اين ويروس اقدام به برقراری ارتباط با سرويس دهنده 59.106.145.58 می کند که در نتيجه آن فايل فشرده شده inetproc02x.cab دريافت و در پوشه سيستمی سيستم عامل ذخيره می شود. اين فايل فشرده شده حاوی فايلهای مخرب زير است:

sysmgr.dll

install.bat

syicon.dll

winbase.dll

winbaseInst.exe

سپس با اجرا شدن فايل install.bat تمامی اين فايلها در مسير زير کپی می شوند:

%SystemDir%\wbem

در مسير مذکور فايل winbaseInst.exe اجرا شده و کليدهای زير در محضرخانه ايجاد می گردند:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\BaseSvc\Parameters

Servicedll = %SystemDir%\wbem\winbase.dll

Servicemain = servicemainfunc

در نتيجه سرويس ديگری با عنوان Windows NT Baseline و نام BaseSvc به بخش سرويسهای سيستم عامل اضافه می شود.
از ديگر خرابکاری های اين ويروس برقراری ارتباط با سرويس دهنده های زير بمنظور دريافت فايلهای مخرب بيشتر می باشد:

59.106.145.58

doradora.atzend.com

perlbody.t35.com

summertime.1gokurimu.com

توجه: اکيداً توصيه می شود وارد سايتهای مذکور نشويد؛ ذکر نام آن تنها برای اطلاع رسانی به مديران شبکه جهت اتخاذ تدابير پيشگيرانه می باشد.

پاکسازی
اعمال اصلاحیه امنیتی MS08-067 مایکروسافت جهت جلوگیری از آلودگی به این ویروس ضروری است.
با استفاده از DAT 5414 و Engine 5300 پاکسازی بصورت کامل صورت می پذيرد.

[abolfazlab]

ويروس FakeALert.AB چيست ؟
Dat براي شناسايي 5356
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در سیستم های عامل Windows از نوع 32 بيتی فعال می گردد
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويـروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ويروس FakeAlert-AB نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها که بخصوص سيستم عامل، دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
FakeAlert-AB که در خانواده "پيامهای جعلي" (Fake Alert) قرار می گيرد، با نمايش پيامهای هشدار غيرواقعی مبنی بر آلوده بودن دستگاه، کاربر را به صفحات اينترنتی ای که در ظاهر حاوی يک برنامه ضدجاسوسی (AntiSpy) هستند، اما در واقع خود برنامه ای مخرب محسوب می شوند، هدايت می کند.

خرابكاري
به محض اجرا شدن فايل scui.cpl در پوشه سيستمی کامپیوتر کپی می شود. در ادامه، کليدهای متعددی در مسير زیر در محضرخانه ايجاد می گردد.

HKEY_CURRENT_USER\Software\(random hex strings)\Options

اين ويروس با نمايش يك پنجره بر روی نشانی که در نوار ابزار Windows قرار گرفته، به کاربر اينطور القا می کند که کامپيوترش به يک برنامه جاسوسی خطرناک آلوده شده است.
پيامهای اين پنجره در گونه های مختلف اين ويروس متفاوت گزارش شده است.
سپس پنجره ضدويروس جعلی به نام XP ظاهر شده و شروع به اسکن درايوها و فايلها می کند. در نهايت با نشان دادن يک گزارش غيرواقعی ادعا می کند دستگاه، آلوده به ويروس بوده و تنها راه پاکسازی آن، ثبت کردن (Register) نرم افزار جعلی XP Antivirus 2008 و اسکن دستگاه با نسخه ثبت شده آن است!
پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص بسته امنيتی (Service Pack) شماره 3 سيستم عامل Windows XP و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در بخش Access Protection ضدويروس McAfee (نظير فعال کردن قاعده Protect Internet Explorer favorites and settings) در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينکهای ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.

[abolfazlab]

ويروس JS/Downloader-BNL چيست ؟
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در دسته دریافت کننده فایلهای مخرب (Downloader) قرار می گیرد.
انتشار
ویروس JS/Downloader-BNL کد مخربی به زبان Java Script است که از طریق آن ویروسهای دیگر فراخوانی شده و بر روی کامپیوتر اجرا می گردند. یک نفوذگر می تواند با قرار دادن این کد آلوده در سایتی اینترنتی سبب شود مراجعین سایت، فایلهای مخرب مورد نظر نفوذگر را دریافت کنند. در ادامه این فایلهای مخرب در پشت صحنه اجرا شده و نفوذگر به اهداف شوم خود می رسد.
خرابکاری
آخرین گونه ویروس JS/Downloader-BNL، در هنگام مراجعه کاربر به سایتی که این ویروس به آن تزریق شده است، ویروس FakeAlert-BY (که یک ضدویروس جعلی است) بر روی کامپیوتر او اجرا می شود.
همچنین ویروس JS/Downloader-BNL برای دریافت ویروسها و فایلهای مخرب به سرویس دهنده های زیر متصل می گردد:
hxxp://91.212.65.12

hxxp://192.88.80.150

hxxp://195.88.80.207
hxxp://78.26.179.239
پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينکهای ناآشنا همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5579 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

ويروس IRCbot.gen.a چيست ؟

ويروسی با درجه خطر کم با قابلیتهای مختلف (Generic) که در سيستم های عامل Windows از نوع 32 بيتی فعال می گردد.
انتشار
نحوه انتشار این ویروس در گونه های مختلف آن متفاوت است. اما بطور کلی، هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين ویروس کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين ویروس هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، اين ویروس دريافت کنند
آخرین گونه ویروس IRCbot.gen.a که در ماه جاری (فروردین 88) مشاهده شده است عملکردی مشابه ویروس پرسروصدای Conficker دارد و همانند آن، از حفره امنیتی *MS08-067 برای نفوذ به کامپیوترها استفاده می کند.

خرابکاری

به محض اجرا شدن، در مسيرهای زير فايلهای مخرب کپی می شوند:

%Windir%\netmon.exe

%WinDir%\drivers\sysdrv32.sys

وظیفه فایل دوم، حذف محدودیتهای ارتباطی است که سیستم عامل توسط فایل tcpip.sys (که یکی از راه اندازهای Windows است) آن کنترلها را اعمال می کند. با این کار، محدودیتهایی که از بسته امنیتی 2 به بعد در Windows لحاظ شده اند غیرفعال شده و ویروس می تواند به سرویس دهنده های مورد نظرش بدون مزاحمت سیستم عامل متصل گردد. فایل sysdrv32.sys توسط ضدویروس مک آفی با عنوان Generic Rootkit.g شناسایی می شود.
در ادامه این ویروس با سرویس دهنده های زیر ارتباط برقرار می کند :

hxxp://98.1[removed]

hxxp://74.2[removed]

در هنگام اتصال به این سرویس دهنده ها عمل تعیین هویت (Ahutentication) انجام می شود که این ویروس از مشخصه های زیر برای این منظور استفاده می کند:

PASS h4xg4ng

NICK [00-USA-XP-9215671]

USER SP2-ojd, followed by the name of the infected computer.

در نهایت کنترل دستگاه بدست نفوذگر می افتد و او می تواند اهداف شوم خود را از راه دور بر روی کامپیوتر قربانی پیاده سازد.

پيشگيري

به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص اصلاحیه MS08-067 و همچنين استفاده از تنظيمات توصيه شده توسط کارشناسان شرکت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده هاي USB و برای کامپيوترهای پرخطر، فعال کردن قاعده هاي:

Prevent creation of new executable files in the Windows folder

Prevent creation of new executable files in the Program Files folder
همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند
همچنين مشترکينی که از ضدويروس مک آفی با حداقل DAT 5572 استفاده می کنند و سیستم عاملشان به اصلاحیه MS08-067 مجهز است از گزند اين ويروس در امان خواهند بود.

[abolfazlab]

ويروس Spy-Agent.BW چيست ؟

یک "اسب تروا" (Trojan) با درجه خطر کم می باشد و بطور انبوه از طریق نامه های الکترونیکی جعلی که در ظاهر از اداره مالیات آمریکا است، پخش می شود. هدف اصلی، فریب کاربران است تا کامپیوتر آنها را آلوده ساخته و سپس اقدام به سرقت پول از حسابهای بانکی آنان نماید. این اسب تروا که به Zeus نیز مشهور است، در آمریکا روزانه اقدام به سرقت بیش از نیم میلیون دلار از حساب کابران فریب خورده میکند.
انتشار :
اسب تروا Spy-Agent.BW بصورت پیوست (attachment) نامه های الکترونیکی، بطور انبوه به کاربران در اقصی نقاط جهان ارسال شده است. طی هفته های گذشته، نامه های الکترونیکی حاوی این اسب تروا، بیشترین آمار نامه های ناخواسته و مخرب را درجهان به خود اختصاص داده اند.
اين نامه های جعلی در ظاهر از طرف اداره مالیات آمریکا (IRS) است و موضوع نامه عبارت Notice ofUnderreported Income میباشد. در این نامه های دروغ، به کاربر اعلام می شود که اظهارنامه مالیاتی وی صحیح نبوده و کتمان درآمد کرده است و از کاربر خواسته می شود که برای مشاهده حساب مالیاتی خود، فایل پیوست را باز کرده و یا به یک سایت که نشانی آن در متن نامه است، مراجعه کند. اگر کاربر هر یک از دو حالت را انجام دهد، کامپیوتر وی آلوده به اسب تروا Spy-Agent.BW خواهد شد.
خرابكاري:
پس از آلوده شدن کامپيوتر، اسب تروا اقدام به سرقت مشخصات حساب بانکی کاربر نموده و این اطلاعات را به یک سایت خاص ارسال می کند.
بطور معمول، فایلهای زیر بر روی کامپیوتر آلوده ایجاد می شوند:

- %System%\sdra64.exe [Copy of Trojan]
- %System%\lowsec\local.ds [Data File]
- %System%\lowsec\user.ds [Data File]
- %System%\lowsec\user.ds.lll [Data File]

این اسب تروا برای کنترل فعالیت کاربر بر روی اینترنت و همچنین مخفی ساختن خود از دید ابزارهای امنیتی خود را به برخی از سرویس های سیستم عامل تزریق می کند.
پيشگيري :
آگاه کردن کاربران از خطرات نامه های الکترونیکی ناخواسته (هرزنامه یا SPAM) و کليک بر روی لينک های ناآشنا، میي تواند خطر آلوده شدن به اين ويروس يا گونه هاي مشابه را به حداقل برساند.همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5757 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

[abolfazlab]

ويروس Downloader-BLV چيست ؟

ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در دسته "دریافت کننده فایلهای مخرب" (Downloader) قرار می گیرد. این ویروس نیز مانند صدها گونه دیگر از ویروس Downloader هدفی بغیر از دریافت فایلهای مخرب و اجرای فرامین خرابکارانه بر روی کامپیوتر قربانی ندارد.
انتشار :
این اسب تروا نیز مانند صدها گونه دیگر از اسبهای تروای Downloader هدفی بغیر از دریافت فایلهای مخرب و اجرای فرامین خرابکارانه بر روی کامپیوتر قربانی ندارد. تنها نکته قابل توجه درباره این گونه خاص، نحوه دریافت فرامین جدید است. فایلها و دستورات در قالب فایلهایی که در ظاهر حاوی تصاویر و گرافیک هستند، از یک سرويس دهنده مرکزی (که شبکه کامپیوترهای آلوده و تسخیر شده را کنترل میکند) به هر یک از کامپیوترهای آلوده ارسال می شود.
این فایلهای مخرب دارای Header از نوع فایلهای گرافیکی JPEG هستند و لذا کمتر کنترل شده و امکان شناسائی آنها نیز کمتر خواهد بود. اسب تروای فعال بر روی کامپیوتر آلوده نیز پس از دریافت فایل (در ظاهر گرافیکی)، بخش header آنرا کنترل کرده و پس از تشخیص آن، محتوای رمز شده آنرا خوانده و فرامین مخرب جدید را به اجرا می گذارد.
اسب تروا Downloader-BLV نيز همانند ساير اسب های تروا، با دريافت از اينترنت و اجرا بر روی دستگاه قربانی انتشار می یابد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل، که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
خرابكاري :
پس از فعال شدن اسب تروا Downloader-BLV بر روی کامپیوتر قربانی، فایل زیر را ایجاد میکند.

- %System%\mst123.dll

کلیدهای جدیدی در Registry سیستم عامل ایجاد کرده و بسیاری از سرویس های فعال بر روی کامپیوتر آلوده را از کار می اندارد.
این اسب تروا برای دریافت فرامین جدید به سایت های زیر وصل می شود:

- http://88.80.[removed]/karaq/[removed].php
- http://cdn.cdt[removed]/karaq/[removed].php
- http://cdn.cl[removed]/karaq/[removed].php

پيشگيري :
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص بسته امنيتی (Service Pack) شماره 3 سيستم عامل Windows XP، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.

[abolfazlab]

ويروس JS/Downloader-BNL چيست ؟
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در دسته دریافت کننده فایلهای مخرب (Downloader) قرار می گیرد.
انتشار
ویروس JS/Downloader-BNL کد مخربی به زبان Java Script است که از طریق آن ویروسهای دیگر فراخوانی شده و بر روی کامپیوتر اجرا می گردند. یک نفوذگر می تواند با قرار دادن این کد آلوده در سایتی اینترنتی سبب شود مراجعین سایت، فایلهای مخرب مورد نظر نفوذگر را دریافت کنند. در ادامه این فایلهای مخرب در پشت صحنه اجرا شده و نفوذگر به اهداف شوم خود می رسد.
خرابکاری
آخرین گونه ویروس JS/Downloader-BNL، در هنگام مراجعه کاربر به سایتی که این ویروس به آن تزریق شده است، ویروس FakeAlert-BY (که یک ضدویروس جعلی است) بر روی کامپیوتر او اجرا می شود.
همچنین ویروس JS/Downloader-BNL برای دریافت ویروسها و فایلهای مخرب به سرویس دهنده های زیر متصل می گردد:
hxxp://91.212.65.12

hxxp://192.88.80.150

hxxp://195.88.80.207
hxxp://78.26.179.239
پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينکهای ناآشنا همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5579 استفاده می کنند از گزند اين ويروس در امان خواهند بود.
ويروس JS/Downloader-BNL چيست ؟
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در دسته دریافت کننده فایلهای مخرب (Downloader) قرار می گیرد. اولين نمونه اين ويروس در ماه جاری (فروردین 88) مشاهده شده است.
انتشار
ویروس JS/Downloader-BNL کد مخربی به زبان Java Script است که از طریق آن ویروسهای دیگر فراخوانی شده و بر روی کامپیوتر اجرا می گردند. یک نفوذگر می تواند با قرار دادن این کد آلوده در سایتی اینترنتی سبب شود مراجعین سایت، فایلهای مخرب مورد نظر نفوذگر را دریافت کنند. در ادامه این فایلهای مخرب در پشت صحنه اجرا شده و نفوذگر به اهداف شوم خود می رسد.
خرابکاری
آخرین گونه ویروس JS/Downloader-BNL، در هنگام مراجعه کاربر به سایتی که این ویروس به آن تزریق شده است، ویروس FakeAlert-BY (که یک ضدویروس جعلی است) بر روی کامپیوتر او اجرا می شود.
همچنین ویروس JS/Downloader-BNL برای دریافت ویروسها و فایلهای مخرب به سرویس دهنده های زیر متصل می گردد:
hxxp://91.212.65.12

hxxp://192.88.80.150

hxxp://195.88.80.207
hxxp://78.26.179.239
پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينکهای ناآشنا همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5579 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

[abolfazlab]

ويروس IRCbot.gen.a چيست ؟

ويروسی با درجه خطر کم با قابلیتهای مختلف (Generic) که در سيستم های عامل Windows از نوع 32 بيتی فعال می گردد.
انتشار
نحوه انتشار این ویروس در گونه های مختلف آن متفاوت است. اما بطور کلی، هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين ویروس کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين ویروس هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، اين ویروس دريافت کنند
آخرین گونه ویروس IRCbot.gen.a که در ماه جاری (فروردین 88) مشاهده شده است عملکردی مشابه ویروس پرسروصدای Conficker دارد و همانند آن، از حفره امنیتی *MS08-067 برای نفوذ به کامپیوترها استفاده می کند.

خرابکاری

به محض اجرا شدن، در مسيرهای زير فايلهای مخرب کپی می شوند:

%Windir%\netmon.exe

%WinDir%\drivers\sysdrv32.sys

وظیفه فایل دوم، حذف محدودیتهای ارتباطی است که سیستم عامل توسط فایل tcpip.sys (که یکی از راه اندازهای Windows است) آن کنترلها را اعمال می کند. با این کار، محدودیتهایی که از بسته امنیتی 2 به بعد در Windows لحاظ شده اند غیرفعال شده و ویروس می تواند به سرویس دهنده های مورد نظرش بدون مزاحمت سیستم عامل متصل گردد. فایل sysdrv32.sys توسط ضدویروس مک آفی با عنوان Generic Rootkit.g شناسایی می شود.
در ادامه این ویروس با سرویس دهنده های زیر ارتباط برقرار می کند :

hxxp://98.1[removed]

hxxp://74.2[removed]

در هنگام اتصال به این سرویس دهنده ها عمل تعیین هویت (Ahutentication) انجام می شود که این ویروس از مشخصه های زیر برای این منظور استفاده می کند:

PASS h4xg4ng

NICK [00-USA-XP-9215671]

USER SP2-ojd, followed by the name of the infected computer.

در نهایت کنترل دستگاه بدست نفوذگر می افتد و او می تواند اهداف شوم خود را از راه دور بر روی کامپیوتر قربانی پیاده سازد.

پيشگيري

به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص اصلاحیه MS08-067 و همچنين استفاده از تنظيمات توصيه شده توسط کارشناسان شرکت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده هاي USB و برای کامپيوترهای پرخطر، فعال کردن قاعده هاي:

Prevent creation of new executable files in the Windows folder

Prevent creation of new executable files in the Program Files folder
همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند
همچنين مشترکينی که از ضدويروس مک آفی با حداقل DAT 5572 استفاده می کنند و سیستم عاملشان به اصلاحیه MS08-067 مجهز است از گزند اين ويروس در امان خواهند بود.

[abolfazlab]

ويروس JS/Exploit-BO.gen چيست ؟

ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در دسته کدهای مخرب Java Script قرار می گیرد.
اين ويروس با نامهای زير توسط ضدويروسهای مختلف شناسايی می شود:
JS_WINDEXP.A (Trend)
TrojanDownloader:Win32/Delf.DH (Microsoft)

انتشار

ویروس JS/Exploit-BO.gen کد مخربی به زبان Java Script است. یک نفوذگر می تواند با قرار دادن این کد آلوده در سایتی اینترنتی سبب شود مراجعین سایت، فایلهای مخرب مورد نظر نفوذگر را دریافت کنند. در ادامه این فایلهای مخرب در پشت صحنه اجرا شده و نفوذگر به اهداف شوم خود می رسد.
همچنین این ویروس با نفوذ به سرویس دهنده های سایتهای مجازی که دارای حفره (های) امنیتی هستند، کد آلوده را به صفحات آنها تزریق می کند. بدین ترتیب کاربران بمحض مشاهده صفحات این سایتها که سایتهایی قانونی هستند از طریق کد آلوده به سایتهای مخرب هدایت می شوند و بدنبال آن فایلهای مخرب دریافت و بر روی کامپیوتر اجرا می گردند. برای مثال آخرین گونه این ویروس توانسته است با تزریق کد آلوده به 20 هزار سایت اینترنتی قانونی، کامپیوتر بسیاری از کاربران را آلوده کند.
گونه های اخیر ویروس JS/Exploit-BO.gen از حفره های امنیتی زیر سوءاستفاده می کنند:
Microsoft Data Access Components (MDAC) Code Execution Vulnerability (Exploit-MS06-014)
Microsoft Windows Shell Remote Code Execution Vulnerability (Exploit-CVE2006-3730)
Microsoft Windows Animated Cursor Remote Code Execution Vulnerability (Exploit-AniFile.c)
Apple QuickTime RTSP buffer overflow (Exploit-QtRTSP)
Sky Software FileView ActiveX control buffer overflow vulnerability (Exploit-CVE2006-5198)

خرابکاری

در آخرین گونه ویروس JS/Downloader-BNL، در هنگام مراجعه کاربر به سایتی که این ویروس به آن تزریق شده است، ویروس Nebuler (که نوعی تروجان است) بر روی کامپیوتر او اجرا می شود.

پيشگيري

به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر (بصورت دستی، اتوماتيک و يا با استفاده از سرويس WSUS) و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينکهای ناآشنا همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5617 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

[abolfazlab]

ويروس Mokaksu چيست ؟

ويروسی با درجه خطر کم که در محیط های Windows از نوع 32 بیتی اجرا می شود.

انتشار

ویروس Mokaksu با تزریق کد آلوده به فایلهای Shortcut خود را منتشر می سازد. به این ترتیب در هنگام اجرای فایل، علاوه بر اجرای فایل اصلی که Shortcut به آن اشاره می کند، فایل مخرب نیز در پشت صحنه اجرا می شود.

خرابکاری

به محض اجرا شدن ويروس، فايلهای مخرب در مسیرهای زیر ایجاد می شوند:

%Windir%\Fonts\Config.Msi.exe

%Windir%\Fonts\BeCoolDog.inf

%Windir%\Fonts\LinkFinished.dll

سپس این ویروس، دستور Windir%\Fonts\Config.Msi.exe% را به فایلهای Shortcut تزریق می کند تا با اجرای هر فایل Shortcut، فایل مخرب Config.Msi.exe نیز اجرا شود.

پيشگيري

به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده نظير فعـال کـردن قاعده USBهمگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.

[abolfazlab]

ويروس Downloader-BMF چيست ؟

ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در دسته "دریافت کننده فایلهای مخرب" (Downloader) قرار می گیرد.

انتشار

اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
ويروس Downloader-BMF نيز همانند ساير اسب های تروا، با دريافت آن از اينترنت و اجرا بر روی دستگاه قربانی انتشار می یابد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل، که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.

خرابکاری

ویروس Downloader-BMF با استفاده از فایلهای Shortcut و با کمک گرفتن از فایل cmd.exe اجرا می شود. بدین نحو که زمانی که کاربر بر روی یک فایل Shortcut کلیک می کند، پشت صحنه، با یک سرویس دهنده FTP مخرب ارتباط برقرار شده و در ادامه اسکریپت های مخرب VBS دریافت و اجرا می شوند.

پيشگيري

به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص بسته امنيتی (Service Pack) شماره 3 سيستم عامل Windows XP، پرهيز از بکارگيری رمزهای ضعيف در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينکهای ناآشنا همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند

[abolfazlab]

ويروس Exploit-PDF.b.gen چيست ؟

ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و از حفره امنيتی موجود در نرم افزار Adobe Acrobat که سبب بروز خطای "سر ريز حافظه" (Buffer Overfllow) می شود، سوء استفاده می کند.
اين ويروس با نامهای زير توسط ضدويروسهای مختلف شناسايی می شود:
Exploit.Win32.Pidief.auz (Kaspersky & eScan)
Exploit:Win32/Pdfjsc.AM (Microsoft)

انتشار

ويروس Exploit-PDF.b.gen، از طريق يک فايل PDF دستکاری شده که پيوست يک هرزنامه (Spam) است انتشار می يابد. اين هرزنامه با سوءاستفاده از سوژه های اجتماعی و سياسی از کاربر می خواهد تا با باز کردن فايل پيوست از جزئيات بيشتر نامه آگاه شود؛ حال آنکه با اجرای آن، ويروس از طریق حفره امنیتی موجود در نرم افزار Adobe Acrobat فعال خواهد شد.
آخرین گونه این ویروس برای انتشار از سایت mart[blocked].cn استفاده می کند. ضمن اینکه نام فایل دستکاری شده معمولاً ts0w[1].pdf می باشد.

پيشگيري

به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های نرم افزارهای کاربردی و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينکهای ناآشنا همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنين مشترکينی که از ضدويروس مک آفی با حداقل DAT 5621 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

[abolfazlab]

ويروس Exploit-PPT.k چيست ؟
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و از حفره امنيتی موجود در نرم افزار Microsoft PowerPoint که سبب بروز خطای "سر ريز حافظه" (BufferOverfllow) می شود، سوء استفاده می کند

انتشار

ویروس Exploit-PPT.k به نفوذگر این امکان را می دهد تا از طریق حفـره امنيتی موجود در نرم افزار Microsoft PowerPoint از راه دور اقدام به اجرای برنامه های مخرب کند. این ویروس بعد از باز شدن یک فایل PPT يا PPS دستکاری شده در حافظه قرار می گیرد و پس از آن نفوذگر می تواند کنترل دستگاه در دست گیرد.
شرکت مایکروسافت هنوز اصلاحیه ای برای پوشش این حفره امنیتی عرضه نکرده است اما انتظار می رود که بزودی اصلاحیه ای در این خصوص توسط این شرکت منتشر شود. در عین حال شرکت مایکروسافت اعلام نموده است که بخش پشتیبانی این شرکت برای کاربرانی که به این ویروس آلوده شده اند راه حلهایی را ارائه می دهد. اطلاعات بیشتر را می توانید در لینک زیر بیابید:

http://www.microsoft.com/technet/sec...ry/969136.mspx

خرابکاری

هنگام اجرای فایل دستکاری شده، فایل مخرب مورد نظر ویروس نویس، در پشت صحنه بر روی کامپیوتر قربانی اجرا می شود. پروسه های زیر، نمونه هایی از این فایلهای مخرب هستند.

fssm32.exe: 428,032 bytes

IEUpd.exe : 45,056 bytes

setup.exe : 13, 1072 bytes

PeerCM.exe : 80,666 bytes

ws2_42.dll :10,6740 bytes

ضدویروس مک آفی سه فایل اول را با عنوان Muster.c Trojan و دو فایل آخر را تحت نام Generic BackDoor.u Trojan شناسایی می شوند.

پيشگيري

به روز نگه داشتن ضدويروس و نصب تمامی اصلاحيه های سيستم عامل و نرم افزار Office (بصورت دستی، اتوماتيک و يا با استفاده از سرويس WSUS) در کنار آگاه کردن کاربران در خصوص خطر کليک بر روی لينکهای ناآشنا، همگی می توانند خطر آلوده شدن به اين ويـروس و يـا گونه های مشابه را به حداقل برسانند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5573 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

[abolfazlab]

ويروس Mokaksu چيست ؟

ويروسی با درجه خطر کم که در محیط های Windows از نوع 32 بیتی اجرا می شود.

انتشار

ویروس Mokaksu با تزریق کد آلوده به فایلهای Shortcut خود را منتشر می سازد. به این ترتیب در هنگام اجرای فایل، علاوه بر اجرای فایل اصلی که Shortcut به آن اشاره می کند، فایل مخرب نیز در پشت صحنه اجرا می شود.

خرابکاری

به محض اجرا شدن ويروس، فايلهای مخرب در مسیرهای زیر ایجاد می شوند:

%Windir%\Fonts\Config.Msi.exe

%Windir%\Fonts\BeCoolDog.inf

%Windir%\Fonts\LinkFinished.dll

سپس این ویروس، دستور Windir%\Fonts\Config.Msi.exe% را به فایلهای Shortcut تزریق می کند تا با اجرای هر فایل Shortcut، فایل مخرب Config.Msi.exe نیز اجرا شود.

پيشگيري

به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده نظير فعـال کـردن قاعده USBهمگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند

[abolfazlab]

ويروس Downloader-BMF چيست ؟

ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در دسته "دریافت کننده فایلهای مخرب" (Downloader) قرار می گیرد.

انتشار

اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
ويروس Downloader-BMF نيز همانند ساير اسب های تروا، با دريافت آن از اينترنت و اجرا بر روی دستگاه قربانی انتشار می یابد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل، که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.

خرابکاری

ویروس Downloader-BMF با استفاده از فایلهای Shortcut و با کمک گرفتن از فایل cmd.exe اجرا می شود. بدین نحو که زمانی که کاربر بر روی یک فایل Shortcut کلیک می کند، پشت صحنه، با یک سرویس دهنده FTP مخرب ارتباط برقرار شده و در ادامه اسکریپت های مخرب VBS دریافت و اجرا می شوند.

پيشگيري

به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص بسته امنيتی (Service Pack) شماره 3 سيستم عامل Windows XP، پرهيز از بکارگيری رمزهای ضعيف در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينکهای ناآشنا همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.

[abolfazlab]

ويروس PWS-CuteMoon چيست ؟

"اسب تروا" (Trojan) با درجه خطر کم می باشد و هدف اصلی آن، سرقت انواع اطلاعات از کامپیوتر قربانیان خود است. این ویروس با آنکه دارای نام متفاوتی است، ولی در حقیقت همان ویروس قدیمی Pinch است که نزدیک به دوسال قبل، دو جوان روسی به خاطر نوشتن و سوء استفاده از آن، به یک سال و اندی زندان محکوم شدند.

انتشار

هیچ مورد و رفتار خاصی از سوی اسب تروا CuteMoon در نحوه انتشار آن مشاهده نشده است.
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و هنگامی که او سعی می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سـالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
اسب های تروا به خودی خود منتشر نمی شوند و دخالت کاربر برای انتشار و فعال شدن آن ضروری است. لذا دقت و هوشیاری کاربران، یکی از مهمترین عوامل جلوگیری از آلودگی به اینگونه اسب های تروا می باشد.
خرابكاري
به محض اجرای اسب تروا CuteMoon، یک تصویر غیراخلاقی بر روی صفحه کامپیوتر قربانی به نمایش در می آید تا بدین ترتیب کاربر متوجه اتفاقاتی که در حال رخ دادن است، نشود.
اسب تروا اقدام به ایجاد فایل زیر می نماید:
- %Windir%\exploree.exe [Detected as PWS-CuteMoon]
- %Windir%\svcoost.exe [Detected as PWS-CuteMoon]
- %System%\154.bat [Non malicious batch file]
همچنین دستورات زیر به فایل Hosts سیستم عامل اضافه می شود تا در صورت درخواست کاربر برای مراجعه به سایت های اجتماعی زیر، به جای نمایش این سایتها، کاربر به سایت های مخرب مورد نظر اسب تروا CuteMoon، هدایت شود.
- 95.168.163.129 www.vkontakte.ru
- 95.168.163.129 vkontakte.ru
- 95.168.163.129 www.odnoklassniki.ru
- 95.168.163.129 odnoklassniki.ru
سپس اسب تروا CuteMoon اقدام به جمع آوری همه نوع اطلاعات از روی کامپیوتر قربانی کرده و این اطلاعات را به سایت خبری CuteNews که توسط نویسندگان این ویروس کنترل می شود، ارسال می کند. افراد خلافکار به راحتی می توانند این اطلاعات را جمع آوری کرده و مورد سوء استفاده قرار دهد.

پيشگيري

آگاه کردن کاربران از خطرات نامه های الکترونیکی ناخواسته (هرزنامه یا SPAM) و کليک بر روی لينک های ناآشنا، می تواند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5791 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

[abolfazlab]

ويروس Whitewell چيست ؟

یک "اسب تروا" (Trojan) با درجه خطر کم می باشد و بطور انبوه از طریق نامه های الکترونیکی جعلی که در ظاهر از طرف برخی شرکت های حمل و نقل مشهور مانند DHL و UPS هستند، منتشر شده است. تنها نکته قابل توجه درباره این اسب تروا که عملکردی مشابه هزاران اسب تروای دیگر دارد، نحوه دریافت فرامین و دستورات جدید از طرف کنترل کنندگان آن است. این اسب تروا از طریق سایت اجتماعی FaceBook دستورات جدید را دریافت کرده و به اجرا می گذارد.

انتشار

اسب تروا Whitewell بصورت پیوست (attachment) نامه های الکترونیکی، بطور انبوه به کاربران در اقصی نقاط جهان ارسال شده است. این نامه های جعلی در ظاهر از طرف برخی شرکت های حمل و نقل مشهور مانند DHL و UPS هستند و عبارت Problem with بخشی از موضوع نامه را تشکیل می دهد. در این نامه های دروغ، به کاربر اعلام می شود که یک بسته پستی برای وی ارسال شده ولی بنا به دلایلی تحویل بسته امکان پذیر نیست و از کاربر خواسته می شود که برای مشاهده جزئیات مشکل پیش آمده، فایل پیوست را باز کند. اگر کاربر اینکار را انجام دهد، کامپیوتر وی آلوده به اسب تروا Whitewell خواهد شد.

خرابکاری

پس از آلوده شدن کامپيوتر، اسب تروا اقدام به ایجاد فایل زیر می نماید.

- %Temp%\setup.exe

همچنین دستورات جدیدی به Registry اضافه می شود تا در هر بار راه اندازی کامپیوتر، ویروس مجدداً فعال گردد.

- HKEY_Current_User\Software\Microsoft\Windows\Curre ntVersion\RunKey:"MCAFEEIPS"
Data: "%Temp%\setup.exe"

سپس، اسب تروا Whitewell به سایت اجتماعی FaceBook وصل شده و توسط مجوزهای عبوری که در داخل برنامه ویروس گنجانده شده است، وارد سایت می شود. اسب تروا از بخش Note این سایت، اقدام به دریافت فرامین و دستورات جدید از کنترل کنندگان خود دریافت می کند.

پيشگيري

آگاه کردن کاربران از خطرات نامه های الکترونیکی ناخواسته (هرزنامه یا SPAM) و کليک بر روی لينک های ناآشنا، می تواند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5793 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

[abolfazlab]

ويروس JS/Redirector.k چيست ؟ یک "اسب تروا" (Trojan) با درجه خطر کم می باشد که مرورگرها را به سایت خاصی هدایت کرده تا از این طریق برنامه های مخربی دریافت و بر روی کامپیوتر اجرا گردند. این اسب تروا یک برنامه JavaScript است که در نامه های الکترونیکی جعلی که در ظاهر از سوی شرکت Amazon می باشد، گنجانده شده است.
انتشار:
اسب تروا Redirector.k بصورت یک پیوند (link) که در نامه های الکترونیکی جعلی گنجانده شده است، انتشار می یابد. این نامه های الکترونیکی که در طی چند روز گذشته بصورت انبوه ارسال شده اند، جعلی هستند و در ظاهر از سوی شرکت Amazon.com می باشند.
خرابكاري:
در صورت کلیک کردن بر روی پیوند مخرب در نامه الکترونیکی جعلی، اسب تروای Redirector.k در قالب برنامه JavaScript مخرب اجرا شده و مرورگر را به سایت زیر هدایت میکند.

queoda[removed].in:3129/js

امکان دریافت و اجرای برنامه های مخرب دیگر از این سایت وجود دارد.
پيشگيري:
آگاه کردن کاربران از خطرات نامه های الکترونیکی ناخواسته (هرزنامه یا SPAM) و کليک بر روی لينک های ناآشنا، می تواند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5911 استفاده می کنند از گزند اين ويروس در امان خواهند بود.
اين هم آخرين پست بنده درسال 88مي باشد
انشاالله سال خوب وخوشي داشته باشيد
درپناه حق موفق ومويدباشيد
ياعلي

[HAMRAHSOFT.IR]

یک سوال دوست خوب این ویروسها توسط انتی ویروس ESET NOD32 Antivirus شناسای میشه

[abolfazlab]

ويروس W32/Rimecud چيست ؟
یک ویروس است که از طرق مختلف انتشار می یابد و هدف اصلی آن، سرقت اطلاعات شخصی کاربران از کامپیوترهای آلوده و فراهم آوردن امکانات دسترسی غیرمجاز به کامپیوتر از راه دور توسط افراد بیگانه است. این ویروس نقش عمده ای در ایجاد و گسترش شبکه مخرب Mariposa که اخیراً اقداماتی توسط مقامات اسپانیایی برای برچیدن آن شده، داشته است. این شبکه از کامپیوترهای آلوده و به تسخیر درآمده ای تشکیل شده اند که توسط گردانندگان آن، برای سرقت اطلاعات، انجام حملات اینترنتی و ارسال انبوه نامه های الکترونیکی ناخواسته، مورد استفاده قرار می گرفتند.
انتشار:
ویروس Rimecud از طریق شبکه های کامپیوتری، شاخه های به اشتراک گذاشته شده، وسایل ذخیره سازی قابل حمل (USB Flash) و نظائر آن، انتشار می یابد.
نحوه و زمان انتشار ویروس توسط گردانندگان شبکه مخرب Mariposa و از طریق درب مخفی (Back-Door) که توسط ویروس بر روی کامپیوتر آلوده گشوده می شود، کنترل و مدیریت میگردد.
خرابكاري:
به محض آلوده شدن کامپیوتر به ویروس Rimecud، این ویروس فایلهای زیر را ایجاد می کند.

- %RootDir%\RECYLCER\[ID]\sysdate.exe
- %RootDir%\RECYLCER\[ID]\Desktop.ini

همچنین کلید جدیدی به Registry اضافه می کند.

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion \Winlogon\Taskman:
"%RootDir%\RECYLCER\[ID]\sysdate.exe"

سپس برنامه مخرب ویروس به پروسه explorer.exe تزریق میگردد. همچنین برنامه دیگری نیز به یکی از پروسه های مرتبط با explorer.exe تزریق می شود تا بدین ترتیب ویروس بتواند پروسه اصلی explorer.exe را کنترل کرده و در صورت متوقف شدن آن، برنامه مخرب ویروس را مجدداً در هنگام راه اندازی پروسه explorer.exe به آن تزریق کند.
ویروس Rimecud سعی میکند که از طریق سایت های زیر، برنامه های مخرب دیگری را نیز دریافت و بر روی کامپیوتر آلوده به اجرا در آورد.

- Bfisb[removed].org
- Butte[removed].es
- San[removed]ica.com
- Butte[removed].biz
- Qwer[removed].es

بعلاوه ویروس اقدام به گشودن یک درب مخفی (Back-Door) بر روی کامپیوتر آلوده می کند تا امکان دسترسی غیرمجار افراد بیگانه به کامپیوتر فراهم گردد. از این درب مخفی برای ارسال فرامین و دستورات جدید به ویروس و همچنین دریافت اطلاعات جمع آوری شده از کامپیوتر توسط ویروس، استفاده می شود.
پيشگيري:
رعایت نکات ایمنی در هنگام اتصال به شبکه، استفاده صحیح و امن از وسایل ذخیره سازی قابل حمل (USB Flash) و همچنین آگاه کردن کاربران از خطرات نامه های الکترونیکی ناخواسته (هرزنامه یا SPAM) و کليک بر روی لينک های ناآشنا، می تواند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5909 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

[abolfazlab]

ويروس Cutwail!6393442Eچيست ؟

یک "اسب تروا" (Trojan) با درجه خطر کم می باشد که با یک روش بسیار جدید و جالب به صندوق های پستی live.com مایکروسافت نفوذ کرده و از این نشانی ها اقدام به ارسال نامه های الکترونیکی ناخواسته و انبوه (هرز نامه) می کنند.
امروزه اغلب سایت ها برای اطمینان از اینکه استفاده کنندگان سایت افراد واقعی هستند و امکانات سایت توسط کامپیوتر و برنامه های مخرب مورد سوء استفاده قرار نمی گیرند، قبل از ورود کاربر به سایت، از وی خواسته می شود که یک کد حاوی اعداد و حروف مخدوش شده را که فقط توسط انسان قابل تشخیص هستند، وارد کند. افرادی نیز که مشکل بینایی دارند، می توانند این اعداد و حروف را با یک پس زمینه پر سر و صدا، شنیده و پس از تشخیص، وارد نمایند. در این روش جدید بکار گرفته شده، کدهای شنیداری توسط اسب تروا قابل تشخیص هستند.

انتشار:

اسب های تروا برنامه هايی هستند که به عنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبان کاربر را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است. اسب های تروا به خودی خود قابلیت تکثیر و انتشار نداشته و برای اینکار نیازمند دخالت کاربر می باشند. بدین دلیل نیز از روش های مختلف برای فریب و وسوسه کاربر برای دریافت فایل های آلوده به اسب های تروا و اجرای آن بر روی کامپیوتر استفاده می شود.
اسب تروا Cutwail-E پس از آلوده کردن کامپیوتر کاربر، آن کامپیوتر را به شبکه ای از کامپیوترهای تسخیر شده و قابل کنترل توسط افراد بیگانه، ملحق می کند. این شبکه مخرب که با نام Cutwailو یا Pushdo مشهور است، یکی از بزرگترین شبکه های مخرب و فعال در جهان به شمار می رود که دارای صدها هزار کامپیوتر تحت کنترل می باشد.

خرابكاري:

پس از آلوده شدن کامپيوتر و فعال شدن اسب تروا Cutwail-E، فایل های آلوده زیر بر روی کامپیوتر قربانی ایجاد می شوند.

- %UserProfile%\reader_s.exe [Copy of malware]
- %System%\reader_s.exe [Copy of malware]
- %System%\dllcache\ndis.sys [Detected as Cutwail.gen]

همچنین کلیدهای زیر در Registry ایجاد می شوند تا در هر بار راه اندازی کامپیوتر، اسب تروا فعال گردد.

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
- HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
reader_s = "%System%\reader_s.exe"

کامپیوترهای آلوده به این اسب تروا در یک شبکه مخرب (botnet) به نام Pushdo یا Cutwail قرار می گیرند.
اسب تروا Cutwail-E با یک روش بسیار جدید و جالب به صندوق های پستی live.com مایکروسافت نفوذ کرده و از این نشانی ها اقدام به ارسال نامه های الکترونیکی ناخواسته و انبوه (هرز نامه) می کنند.
امروزه اغلب سایت ها برای اطمینان از اینکه استفاده کنندگان سایت افراد واقعی هستند و امکانات سایت توسط کامپیوتر و برنامه های مخرب مورد سوء استفاده قرار نمی گیرند، قبل از ورود کاربر به سایت، از وی خواسته می شود که یک کد حاوی اعداد و حروف مخدوش شده را که فقط توسط انسان قابل تسخیص هستند، وارد کند. افرادی نیز که مشکل بینایی دارند، می توانند این اعداد و حروف را با یک پس زمینه پر سر و صدا، شنیده و پس از تشخیص، وارد نمایند.
در این روش جدید بکار گرفته شده، کدهای شنیداری توسط اسب تروا قابل تشخیص هستند. نحوه تشخیص این کدها هنوز کاملاً روشن نیست ولی بنظر می رسد که یا این فایلهای صوتی به یک سایت خاص ارسال می گردند و در آنجا توسط افراد واقعی شنیده شده و کد به اسب تروا پس فرستاده می شود و یا اینکه واقعاً یک برنامه تشخیص صدا در درون نگارش های جدید این اسب تروا تعبیه شده است.

پيشگيري:

به روز بودن ابزارهای امنیتی و نصب اصلاحیه های سیستم عامل و دیگر نرم افزارهای کاربردی، در کنار آگاه کردن کاربران از خطرات کليک بر روی لينک های ناآشنا، می تواند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند. همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5932 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

[abolfazlab]

ويروس Generic Dropper.rn چيست ؟
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در گروه "انتقال دهنده ها" (Dropper) قرار دارد. این نوع اسب های تروا در درون خود برنامه های مخرب دیگری را حمل می کنند که در تحت شرایط خاص، آنها را آزاد کرده و بر روی کامپیوتر قربانی قرار می دهند.
انتشار:
"انتقال دهنده ها" (Dropper) نیز مانند بسیاری از اسب های تروا قابلیت انتشار خودکار ندارند و با دخالت کاربر منتشر می شوند ولی علاوه بر این، در مواردی نیز مشاده شده که "انتقال دهنده ها" توسط دیگر ویروس ها و اسب های تروا حمل شده و بر روی کامپیوتر قربانی قرار داده می شوند.
اسب های تروا برنامه هايی هستند که به عنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبان کاربر را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است. اسب های تروا به خودی خود قابلیت تکثیر و انتشار نداشته و برای اینکار نیازمند دخالت کاربر می باشند. بدین دلیل نیز از روش های مختلف برای فریب و وسوسه کاربر برای دریافت فایل های آلوده به اسب های تروا و اجرای آن بر روی کامپیوتر استفاده می شود.
خرابكاري:
با اجرا و فعال شدن اسب تروای Dropper.rn بر روی کامپیوتر قربانی، فایل های آلوده زیر ایجاد می شوند.

- %WinDir%\mssrvc\svchost.exe
- %WinDir%\system32\mssrv32.exe

هر دو فایل بعنوان فایلهای آلوده با نام های FakeAlert-ML و Generic PWS.coa شناسائی می شوند.
همچنین کلید زیر در Registry ایجاد می گردد تا در هر بار راه اندازی کامپیوتر، اسب تروا مجدداً فعال گردد.

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Winlogon\Userinit =
"%WinDir%\system32\userinit.exe,%Temp%\filename.ex e"

اسب تروای Dropper.rn گزارشی از فعالیت های خود را به سایت زیر ارسال می کند.

- xu[removed].ru/404/stat.php

پيشگيري:
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات مناسب در ضـد ويـروس McAfee، نظير فعـال کـردن قاعده

- Prevent common programs from running files from the Temp folder

در کنـار آگـاه کـردن کـاربـران شبکه از خطـرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5924 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

[abolfazlab]

ويروس Bredolab.gen.oچيست ؟
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) دارد. اولين نمونه های اين ويروس در چند ماه گذشته مشاهده شده اند و اکنون گونه جدید و فعالی از آن منتشر شده است. این اسب تروا، کاربران سایت اجتماعی FaceBook را هدف گرفته و اقدام به سرقت رمزهای دسترسی اعضای این سایت می نماید.
انتشار:
اسب های تروای Bredolab از طریق نامه های الکترونیکی که حاوی فایل پیوست (attachment) آلوده هستند، منتشر می شود. در این نامه های آلوده که در طی هفته های گذشته بصورت انبوه برای کاربران اینترنت در اقصی نقاط دنیا ارسال شده اند، ادعا شده که برای بهبود امنیت کاربران سایت، رمز عبور کاربر تغییر یافته و کاربر می تواند با باز کردن فایل پیوست نامه از رمز جدید خود مطلع شود.
فایل پیوست اشاره شده، یک فایل فشرده است که دارای نام Facebook_Password_????.zip می باشد. بجای ???? هر عدد شانسی می تواند قرار گیرد. این فایل فشرده حاوی فایل Facebook_Password_4cf91.exe است. اجرای این فایل اجرایی، اسب تروای Bredolab را بر روی کامپیوتر قربانی نصب و فعال می کند و پس از آن تمام کلیدهای تایپ شده توسط کاربر توسط اسب تروا ثبت و ذخیره خواهد شد.
خرابكاري:
با اجرا کردن فایل پیوست توسط کاربر، اسب تروای Bredolab بر روی کامپیوتر فعال شده و فایل آلوده زیر را ایجاد میکند.

- %Temp%\6.tmp
- %System%\nnfj.tqo

سپس بلافاصله اقدام به دریافت فایلهای مخرب بیشتر از اینترنت و از طریق سایت زیر می نماید.

- http://fun[removed].ru

همچنین کلید زیر در Registry ایجاد می گردد تا در هر بار راه اندازی کامپیوتر، اسب تروا مجدداً فعال گردد.

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Winlogon "Shell" =Explorer.exe rundll32.exe nnfj.tqo nhemkk

پيشگيري:
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات مناسب در ضـد ويـروس McAfee، نظير فعـال کـردن قاعده

- Prevent common programs from running files from the Temp folder

در کنـار آگـاه کـردن کـاربـران شبکه از خطـرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5925 استفاده می کنند از گزند اين ويروس در امان خواهند بود.

[abolfazlab]

ويروس FakeAlert !huچيست ؟
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در Windows از نوع 32 بيتی فعال می گردد. اولين نمونه اين ويروس در ماه جاری (خرداد 89) مشاهده شده است. این ویروس در داخل یک فایل Word از نوع RTF مخفی می باشد.
انتشار:
نحوه انتشار این اسب تروا نیز به مانند دیگر اسب های تروا بصورت دستی و با دخالت کاربران صورت می گیرد. این اسب تروا در داخل یک فایل Word از نوع RTF مخفی بوده و اغلب به صورت فایل پیوست (attachment) نامه های الکترونیکی نا خواسته منتشر می شود.
ویروس FakeAlert !hu که در خانواده "پيامهای جعلي" (Fake Alert) قرار می گيرد، سعی در جمع آوری عادات جستجوی کاربر بر روی اینترنت را داشته و اطلاعات جمع آوری شده را به سایت های خاصی ارسال می کند.
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سـالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
ويروس FakeAlert !hu نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه قربانی، انتشار می یابد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.

خرابكاري:
در صورت باز کردن فایل حاوی ویروس که در قالب فایلهای Word از نوع RTF است، تصویری در داخل فایل قابل مشاهده است.
در صورت کلیک کردن بر روی این تصویر، ویروس فعال شده و با سایتی به نشانی 220.225.xxx ارتباط برقرار می کند و فایلهای آلوده جدید زیر را دریافت می نماید.

%CommonProgramFiles%\Adobe AIR\Versions\1.0\Resources\AdobeUpdater.exe
[Detected as Generic FakeAlert!hu]

%CommonProgramFiles%\InstallShield\IScript\IScript Engine.exe
[Detected as Generic FakeAlert!hu]

%CommonProgramFiles%\Microsoft Shared\OFFICE11\1033\SoapLocalCache11.0.5516.exe
[Detected as Generic FakeAlert!hu]

%CommonProgramFiles%\Microsoft Shared\TextConv\ConverterConverters.exe
[Detected as Generic FakeAlert!hu]

%CommonProgramFiles%\Microsoft Shared\TRANSLAT\ESEN\TranslationDictionaries102109 1.exe
[Detected as Generic FakeAlert!hu]

%ProgramFiles%\MSN\MSNCoreFiles\Install\WextractMi crosoftR.exe
[Detected as Generic FakeAlert!hu]

اسب تروا FakeAlert !hu سعی در جمع آوری عادات جستجوی کاربر بر روی اینترنت را داشته و اطلاعات جمع آوری شده را به سایت های خاصی ارسال می کند. این اسب تروا با سایت های زیر ارتباط برقرار کرده و اطلاعات رد و بدل می کند:

https[removed].com
httpssre[removed].com
httpssr[removed].com
logs.httpssr[removed].com

همچنین این ويروس، کليدهای زير را در محضرخانه تعریف می کند:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunServices]
UpdaterLink = "%CommonProgramFiles%\Adobe AIR\Versions\1.0\Resources\AdobeUpdater.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunServices]
msls2QuillDocument = "%CommonProgramFiles%\Microsoft Shared\TextConv\ConverterConverters.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunServices]
WextractOperating = "%ProgramFiles%\MSN\MSNCoreFiles\Install\WextractM icrosoftR.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunServices]
IScriptInstallShield = "%CommonProgramFiles%\InstallShield\IScript\IScrip tEngine.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunServices]
lccwizlccwiz = "%CommonProgramFiles%\Microsoft Shared\OFFICE11\1033\SoapLocalCache11.0.5516.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunServices]
MicrosoftTranslation = "%CommonProgramFiles%\Microsoft Shared\TRANSLAT\ESEN\TranslationDictionaries102109 1.exe"

پيشگيري:
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، به خصوص بسته امنيتی (Service Pack) شماره 3 سيستم عامل Windows XP، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينک های ناآشنا همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5983 استفاده می کنند از گزند اين ويروس در امان خواهند بود.