ویروس و تروجان(فقط معرفی)

[B@RBOD]

ویروس و تروجان(فقط معرفی)

[B@RBOD]

کارشناسان امنيت رايانه آمريكا در آخرين بيانيه خود نسبت به تهديد دنياي بازي هاي آنلاين توسط ويروس هاي رايانه اي هشدار دادن. بر اساس آمار و مستندات منتشر شده از سوي موسسه تحقيقاتي و امنيتي پاندالب، در ماه گذشته ميلادي بيشتر قربانيان ويروس هاي رايانه اي كساني بوده اند كه از طريق هرزنامه ها و تروجان هاي جديدي كه از چشم ضدويروس ها پنهان مي ماند مورد هدف قرار گرفته اند و اين اتفاق در طول يك بازي آنلاين براي آن ها افتاده است.


كارشناسان امنيت رايانه آمريكا در آخرين بيانيه خود نسبت به تهديد دنياي بازي هاي آنلاين توسط ويروس هاي رايانه اي هشدار دادن. بر اساس آمار و مستندات منتشر شده از سوي موسسه تحقيقاتي و امنيتي پاندالب، در ماه گذشته ميلادي بيشتر قربانيان ويروس هاي رايانه اي كساني بوده اند كه از طريق هرزنامه ها و تروجان هاي جديدي كه از چشم ضدويروس ها پنهان مي ماند مورد هدف قرار گرفته اند و اين اتفاق در طول يك بازي آنلاين براي آن ها افتاده است.
كارشناسان امنيتي معتقد هستند كه هكرهاي حرفه اي با ويروس ها و تروجان هاي خطرناك پشت ديوار بازي هاي آنلاين منتظر هستند تا رايانه هاي كاربران را از ميان ببرند ، كارشناسان امنيتي هشدار داده اند كه در ماه هاي آينده گسترش تروجان ها و ويروس هاي رايان هاي دنياي اينترنت و كاربران رايانه را با مشكلات اساسي مواجه كند و براي جلوگيري از اين اتفاق بايد كاربران هر روز ضد ويروس هاي خود را به روز كرده و از انجام بازي هاي رايانه اي پرهيز كنند.

[B@RBOD]

با گسترش فرهنگ استفاده از كامپيوتر و راهيابي آن به ادارات، منازل، اين ابزار از حالت آكادميك و تحقيقاتي بدر آمد و مبدل به پاره اي از نيازهاي معمول زندگي شد. يكي از دستاوردهاي اين پيشرفت، ظهور شبكه اينترنت است كه به سرعت در كشورها توسعه يافته و به يك پديده اجتماعي مبدل گشته است.

اجتماع بزرگ كاربران اينترنت در سرتاسر دنيا از هر منطقه و نژادي كه باشند شامل افراد خوب و بد خواهند بود، عده اي در جهت كسب منافع براي خود و ديگران تلاش مي كنند و عده اي در جهت جذب منابع ديگران براي خود. با توجه به نو پا بودن اينترنت نمي توان انتظار داشت كه يك فرهنگ صحيح و غني بر آن حاكم شده باشد و لذا احتمال سرقت اطلاعات و يا دستكاري و انهدام آنها بنا به انگيزه هاي ناسالم، اهداف سياسي، جذب نامشروع ثروت مي رود.

در اينجا درباره چگونگي كار تروجان ها، انواع آنها و چگونگي تشخيص و مقابله با آنها به نكات مفيدي اشاره ميشود. ذکر اين نکته لازم است که به دليل گستردگي استفاده از سيستم عامل ويندوز در ايران، مطالب ارائه شده درباره تروجانهای تحت ويندوز می باشد.
يك Trojan Horse چيست؟

مي توان تعاريف زير را مطرح كرد:

يك برنامه ظاهراً بدون نويسنده يا به عبارتي با يك نويسنده غير مشخص که اعمال ناشناخته و حتي ناخواسته از طرف كاربر انجام دهد.

يك برنامه قانونی و معروف كه داخلش دگرگون شده است، بطوری که کدهای ناشناخته ای به آن اضافه گرديده و اعمال شناخته نشده اي بطور ناخواسته از طرف كاربر انجام مي دهند.

هر برنامه اي كه ظاهر مطلوب پسنديده اي به همراه برخي از اعمال مورد نياز داشته باشد بطوريكه كدهاي محقق شده اي كه از نظر كاربر مخفي است درون آن موجود مي باشد. يك سري اعمال نا شناخته و غير منتظره اي كه بطور حتم با نظر كاربر نبوده است را انجام مي دهد.

اسب تراوا نامي است كه از يك افسانه قديمي گرفته شده كه درباره چگونگي نفوذ يونانيان بر محل دشمنان خود از طريق ساختن يك اسب بزرگ و هديه دادن آن به دشمن كه نيروهايشان در داخل مجسمه اسب قرارگرفته بودند. هنگام شب سربازان يوناني اسب را شكستند و به دشمنانشان حمله نمودند و بطور كامل آنها غافلگير كردند و در جنگ فاتح ميدان شدند.
تروجان ها چگونه كار مي كنند؟
تروجان ها به دو قسمت تقسيم مي شوند. يك قسمت Client (خدمات گيرنده) و ديگری Server (خدمات دهنده). وقتي قرباني ندانسته قسمت Server را روي سيستم خودش اجرا مي كند. حمله كننده بوسيله قسمت Client با Server كه روي كامپيوتر قرباني است متصل مي شود و از آن پس مي تواند كنترل سيستم قرباني را در دست بگيرد . پروتكل TCP/IP كه استاندارد معمول براي برقراري ارتباطات است به اين تروجان آلوده ميشود و تروجان از طريق آن كارش را انجام مي دهد. البته لازم به ذكر است كه برخي اعمال تروجانها نيز از پروتكل UDP استفاده مي كنند. معمولاً زماني كه Server روي كامپيوتر قرباني اجرا مي شود. خود را در جايي از حافظه مخفي مي كند تا پيدا كردن يا تشخيص آن مشكل شود و به برخي درگاههاي خاص (Port) گوش مي دهد تا ببيند درخواست ارتباطي به سيستم از طرف حمله كننده آمده است يا نه، از طرفي رجيستري را نيز به گونه اي ويرايش مي كند كه برخي از اعمال بطور خودكار روي سيستم شروع به كار كنند.

براي نفوذ كننده لازم است كه IP قرباني را بداند براي اينكه بتواند به سيستم او متصل شود. اكثر قريب به اتفاق تروجانها بصورتي برنامه ريزي شده اند كه IP قرباني را براي حمله كننده ارسال مي كنند همانند سيستم پيغام گذار از طريق ICQ يا IRS . اين زماني اتفاق مي افتد كه قرباني IP ديناميك داشته باشد بدين معني كه هر زمان به اينترنت متصل ميشود و يك IP متفاوت از قبل داشته باشد كه اغلب سيستم هايي كه به روش dial- up به اينترنت متصل مي شوند از اين قانون پيروي مي كنند. كاربران ASDL معمولا IP هاي ثابت دارند به همين علت IP آلوده شده همواره براي حمله كننده شناخته شده است و اين حالت باعث تسهيل درامر اتصال به سيستم قرباني مي گردد.
اغلب تروجانها از روش شروع اتوماتيك استفاده مي كنند. بصورتي كه اگر شما كامپيوترتان را خاموش كنيد آنها قادر خواهند كه فعاليتهايشان را مجددا ً آغاز كنند و دسترسي لازم به حمله كننده را روي سيستم شما بدهند و ساختن تروجانها با قابليت شروع روشهايي هستند كه هميشه مورد استفاده قرار مي گيرند. يكي از اين روشها، محلق كردن تروجان به يك فايل اجرايي كه كاربرد زيادي دارد مي باشد، به عبارت ديگر محلق نمودن تروجان به يك برنامه پركاربرد ، موجب عملي شدن تفكرات حمله كننده خواهد شد. روشهاي شناخته شده نيز همانند دستكاري فايلهاي ريجستري ويندوز مي تواند به عملي شدن افكار حمله كننده بيانجامد. فايلهاي سيستمي ويندوز قرار دارند كه مي توانند بهترين انتخابهاي حمله كنندگان باشند.

به جهت اينکه دوستان بتوانند سيستم خود را در برابر اين حمله ها محافظت نمايند، قسمتهای مختلف ويندوز که می توان از آن استفاده نمود را در اينجا بررسی می کنيم.

پوشه شروع خودكار

پوشه اي كه بصورت خودكار در شروع كار ويندوز فراخواني مي شود و فايلهاي داخل آن بصورت اتوماتيك اجرا مي شوند در آدرس زير قرار دارند.


البته فرض براي اين است كه سيستم عامل ويندوز در درايو C و در شاخه windows نصب شده باشد.
فايل Win.ini
فرمت شروع خودكار در اين فايل بصورت زير مي باشد :



Run = Trojan.exe

فايل System.ini

فرمت بكارگيري تروجان در اين فايل سيستمي بصورت زير است:



كه باعث مي شود بعد از هر بار اجراي Explorer فايل Trojan.exe اجرا شود.

فايل Wininit.ini

اين فايل توسط Setup.exe برنامه هاي نصب شوند مورد استفاده قرار مي گيرد.

بدين صورت كه يك بار اجرا شود، قابليت حذف خودكار را نيز دارد كه براي تروجان ها بسيار سهل مي باشد.



اين فايل دسته اي هم در ابتداي شروع به كار ويندوز فراخواني شده و فرامين داخل آن به ترتيب اجراي مي شوند كه تروجان مي تواند با افزودن خط زير خود را در حافظه بار كند.
@ Trojan.exe
فايل Autoexec.bat

اين فايل دسته اي هم از فايلهاي معروف فراخواني شده در ابتداي كار سيستم عامل مي باشد كه مي توان با دستكاري و اضافه نمودن خط زير بر آن تروجان مورد نظر را در سيستم قرباني اجرا نمود:



فايل Config.sys

اين فايل نيز از معروفترين فايلهاي پيكر بندي سيستم است و مي تواند در امر اجراي تروجان كاربرد داشته باشد. C:\ windows\ start Menu \ programs \startup Load = Trojan.exe Shell = explorer.exe Trojan.exe Winstart.bat C:\ Trojan.exe

[B@RBOD]

نوع :: تروجان
شدت پخش :: 1
سیستم عامل هدف :: ویندوز
طریقه پخش :: برنامه های گفتمان
نام مستعار :: Backdoor.Win32.mIRC-based و IRC/Flood.mirc

وظایف ::
1 - دسترسی دیگران به منابع سیستم
2 - دزدین اطلاعات
3 - اجرای ویروس های دیگر
4 - دانلود کد های خود از اینترنت

تشریح ::
این تروجان که روی سیستم عامل های ویندوز فعالیت می کند سعی می کند از طریق کانال های IRC برای هکر بر روی سیستم عامل هدف دسترسی ایجاد کند . همچنین سعی می کند از همین کانال ها از طریق DCC به نام فایل postcard.gif.exe پخش شود .
در پشتی این تروجان قابلیت دزدین اطلاعات و دانلود و اپلود فایل و اجرای برنامه ها را به ویروس نویس می دهد .این تروجام هنگامی که برای اولین بار اجرا می شود خود را با نام فایل های زیر در شاخه System کپی می کند :

svchost.exe
script.ini


همچنین این تروجان فایل های زیر را بر روی سیستم هدف می سازد ::

mirc.ini
msg.txt
nicks.txt
pri.txt
remote.ini
serv.txt
servers.ini
sup.bat
sup.reg
username.txt


و همچنین این شاخه ها را در رجیستری ویندوز درست می کند :

HKLMSOFTWARECLASSESircShellopencommand
@
"C:WindowsSystemsvchost.exe" -noconnect
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
GNP Generic Host Process
"C:Windowssystemsvchost.exe

[B@RBOD]

نام :: نام Troj/Zapchas-K
نوع :: تروجان
شدت پخش :: 1
سیستم عامل هدف :: ویندوز
طریقه پخش :: برنامه های گفتمان
نام مستعار :: Backdoor.Win32.mIRC-based و IRC/Flood.mirc

وظایف ::
1 - دسترسی دیگران به منابع سیستم
2 - دزدین اطلاعات
3 - اجرای ویروس های دیگر
4 - دانلود کد های خود از اینترنت

تشریح ::
این تروجان که روی سیستم عامل های ویندوز فعالیت می کند سعی می کند از طریق کانال های IRC برای هکر بر روی سیستم عامل هدف دسترسی ایجاد کند . همچنین سعی می کند از همین کانال ها از طریق DCC به نام فایل postcard.gif.exe پخش شود .
در پشتی این تروجان قابلیت دزدین اطلاعات و دانلود و اپلود فایل و اجرای برنامه ها را به ویروس نویس می دهد .این تروجام هنگامی که برای اولین بار اجرا می شود خود را با نام فایل های زیر در شاخه System کپی می کند :
svchost.exe
script.ini
همچنین این تروجان فایل های زیر را بر روی سیستم هدف می سازد ::

mirc.ini
msg.txt
nicks.txt
pri.txt
remote.ini
serv.txt
servers.ini
sup.bat
sup.reg
username.txt


و همچنین این شاخه ها را در رجیستری ویندوز درست می کند :

HKLMSOFTWARECLASSESircShellopencommand
@
"C:WindowsSystemsvchost.exe" -noconnect
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
GNP Generic Host Process
"C:Windowssystemsvchost.exe

[B@RBOD]

نام :: W32/MyDoom-BD
سیستم عامل هدف :: ویندوز
طریقه پخش :: میل
نام مستعار :: Email-Worm.Win32.Mydoom.am و W32/Mydoom.bd@MM و WORM_MYDOOM.BD

وظایف ::
1 - از کار انداختن آنتی ویروس ها
2 - فرستادن خود به واسطه میل های آلوده
3 - آلوده کردن کامپیوتر
4 - جعل آدرس فرستنده میل

تشریح ::
این کرم خود را در شاخه Temp ویندوز به نام فایل java.exe ذخیره میکند . و این شاخه ها را در رجیستری می سازد ::
HKLMSoftwareMicrosoftWindowsCurrentVersionRun JavaVM
HKCUSoftwareMicrosoftWindowsCurrentVersionRun JavaVM
و همچنین فایلی به نام services.exe می سازد . این فایل شامل کد های بکدور است . این کرم همچنین برای یافتن آدرس های میل فایل های PL*, PH*, TX*, HT*, ASP, TBB, SHT و WAB, ADB و DBX را می گردد بر روی سیستم قربانی . همچنین این کرم دوری می کند از فرستادن میل به آدرس هایی که رشته های زیر را داشته باشند ::

mailer-d
spam
abuse
master
sample
accoun
privacycertific
bugs
listserv
submit
ntivi
support
admin
page
the.bat
gold-certs
ca
feste
not
help
foo
no
soft
site
rating
me
you
your
someone
anyone
nothing
nobody
noone
info
winrar
winzip
rarsoft
sf.net
sourceforge
ripe.
arin.
google
gnu.
gmail
seclist
secur
bar.
foo.com
trend
update
uslis
domain
example
sophos
yahoo
spersk
panda
hotmail
msn.
msdn.
microsoft
sarc.
syma
avp


موضوع میل های آلوده از لیست زیر انتخاب می شوند ::

hello
hi
error
status
test
report
delivery failed
Message could not be delivered
Mail System Error - Returned Mail
Delivery reports about your e-mail
Returned mail: see transcript for details
Returned mail: Data format error
همچنین فایل های ضمیمه به نام های زیر هستند ::
readme
instruction
transcript
mail
letter
file
text
attachment
document

[B@RBOD]

براساس آمار موجود با توجه به کاربران اینترنت آمار به گونه ای است که بیشترین کاربران اینترنت از افراد مبتدی میباشند.

بیشترین و بزرگترین مشکل این کاربران ترس و واهمه از ویروسی شدن کامپیوتر خود هست.

کلمه ویروس نیز کلمه ای نیست که پیچیده باشد. اولین تصوری که کاربر از ویروس می کند خراب شدن کامپیوتر و سوختن یک سخت افزار میباشد.

عده ای نیز با توجه به ترسی که از این دارند نمیتوانند آن طور که دوست دارند از اینترنت استفاده کنند.

ما در این مقاله سعی بر این داریم که حداقل بتوانیم راههای جلوگیری و مقابله با

ویروس ها را معین نماییم.

اول اینکه چگونه کامپیوتر ما امکان ویروسی شدن دارد:



هر کاربر مبتدی اینترنت در بدو ورود به اینترنت در پی داشتن یک پست الکترونیک یا همان ایمیل می باشد.پس مشخص است که کاربر خیلی اهمیت میدهد به ایمیل های پست شده به ایمیلش.

حال چه به زبان کاربر و چه به زبان دیگر.

ولی آیا ما میتوانیم به هر ایمیلی اعتماد کنیم و با خیاله راحت باز کنیم؟

خوب مشخص است که جواب خیر میباشد.ویروس نویسان اینترنتی برای انتقال ویروس نوشته شده خود برای اکثریت کاربران هیچ راهی جز ایمیل زدن پیدا نکرده اند تا کنون.

حال چگونه این ایمیلها کار میکند.

معمولا این ایمیل ها با توجه به جو حاکم و آخرین اخبار انتشار میشود.به طور مثال در زمان اتفاق تسونامی ویروس نویسان به این فکر افتادند که ویروس خود را با موضوع کمک به آسیب دیدگان تسونامی انتشار کنند.

این ایمیل ها شامل چند مشخصات ظاهری و آشکار و چند مشخصات پنهان میباشد.

معمولا این ایمیل ها شکل ظاهری ایمیل های سالم را دارند شامل:

نام فرستنده

ایمیل فرستنده

موضوع نامه

متن نامه

آیا یک ایمیل ویروسی شامل همین ها میباشد که به چشم می آیند؟

خیر این ویروس خود را به طور پنهان به این ایمیل چسبانده شده و برای قربانی فرستاده میشود.





این نوع ایمیل ها هم به دو دسته تقسیم میشوند:



این نوع ایمیل ها هرگز از خود نشان نمیدهند که حاوی ویروس میباشند و به محض باز شدن کامپیوتر قربانی مبتلا به ویروس میشود.



این نوع ایمیل ها محتوای داخل ایمیل یا همان متن نامه سالم میباشد ولی همراه این ایمیل یک فایل به آن چسبانده شده است که باید حتمی توسط قربانی دانلود و اجرا شود تا کامپیوتر ویروسی شود.

ولی راه مقابله با ویروسی شدن کامپیوتر با ایمیل:







ولی راه دیگر ویروسی شدن کامپیوتر



شاید شده باشد که در چت هستید و با فردی در حال چت هستید و ازشون فایلی خواسته باشید(عکس خودش,نرم افزار یا...) و آن فرد برای شما بفرسته.آیا با خیاله راحت باید آن را باز کنیم؟

درست است که شاید همون فایلی باشد که ما میخواهیم ولی آیا خیالمان راحت است که فرد فرستنده این فایل را با ویروس در هم نکرده باشه؟

و یا اینکه شما در سایت یا وبلاگی نرم افزاری میبینید و آن را دانلود میکنید .

از کجا مطمئن هستید که این نرم افزار سالم میباشد و با چیزه دیگری قاطی نشده است؟

بله همه این چیزهایی که خواندید امکان دارد.

ولی راه مقابله با این نوع ویروسی شدن:







و اما راه دیگر ویروسی شدن کامپیوتر:



اگر شما سی دی یا فلاپی از دوستتون گرفتید و آن را روی کامپیوتر خودتان اجرا کردین چه تضمینی دارد که این فلاپی یا سی دی ویروسی نباشد؟

چگونه ما میتوانیم ما به فایل موجود در سی دی اعتماد کنیم؟





خیلی راههای دیگر هم هست که امکان ویروسی شدن کامپیوتر است ولی ما سعی داریم در این مقاله راهها کلی جلوگیری را بگویم مثلا مثل:دیدن لینک مشکوک

جمع بندی راههای مقابله:















ولی حال اگه کامپیوتر کا به ویروس مبتلا شد باید چه کارهایی انجام دهیم:







و آخرین حرف:

برای داشتن کامپیوتری سالم و امن باید در اینترنت به همه چیزهای موجود در اینترنت شک کرد.مشکل است ولی با کمی دقت و هوشیاری میتوانید به راحتی کامپیوترتان را امن کنید. 2-ایمیل های 1-از طریق ایمیل(شایع ترین راه ویروسی شدن): 1-ایمیل های قاطی شده با ویروس:سال 2-ایمیل خود را از جایی تهیه کنید که خوده ایمیل دارای ویروس کش باشه.به طوری که اگر ایمیل حاوی ویروس باشه خوده ویروس کش ارائه دهنده ایمیل شما شناسایی کند و از باز کردن آن توسط شما جلوگیری کند مانند:یاهو , هاتمیل 2- اگر هم امکان ایمیل کردن ندارد هیچ وقت از کسی که شناخت کامل ازشون ندارید هیچ فایلی نگیرید. 3-همیشه سعی کنید نرم افزار های خود را از سایتهای معتبر یا سایته خوده نرم افزار دانلود کنید. 2-اگر کسی با شما کدورتی دارد سعی نکنید هیچ وقت متوسل به او شوید برای دریافت سی دی یا فلاپی 2-کمی دقت در باز کردن ایمیل های رسیده هرگز ایمیلی که فرستنده آن را نمیشناسید باز نکنید. 3-استفاده از یک سرویس دهنده ایمیل مطمئن 4-در دانلودهای خود کمی دفت کنیم (هرگز اگر به یک نرم افزار نیاز دارید متوسل به سایتهای نامربوط نشوید.برای مثال اگر به نرم افزاری گرافیکی نیاز داریم هرگز دنباله این نرم افزار در سایت آموزش هک نگردیم چون در سورت موجود کمی مشکوک است نیست؟) 5-هرگز در چت از کسی که نمیشناسید و آشنایی کامل ندارید فایلی نگیرید و تا جایی که امکان دارد ازشون بخواهید برایتان ایمیل کنند.(که اگر ویروسی بود ویروس کش ایمیل شناسایی کند) 6-هرگز سی دی و فلاپی که به آن مطمئن نیستید را بر روی کامپیوترتان اجرا نکنید. 2-اگر فایل یا پوشه ای دارید که برایتان خیلی مهم است سعی کنید یک Buckup تهیه نمایید و Buckup را روی سی دی نگه داری کنید.م به فایلهای ویروسی: 3-معمولا حدود 90% از ایمیل های ویروسی به قسمت Bulk ایمیل فرستاده میشود.در باز کردن ایمیل های فرستاده شده به Bulk دقت کنید 2-دریافت فایل از اینترنت یا از دوستان در چت: 1-سعی کنید در مرحله اول از باز کردن ایمیل هایی که فرستنده آن را نمیشناسید خودداری کنید 1-در حال چت کردن هرگز از کسی نخواهید که برایتان فایلی را سند کند بلکه ازشون بخواهید برایتان ایمیل کند. 3-استفاده از سیدی یا فلاپی حاوی ویروس: 1-اولین توسیعه داشتن یک ویروس کش قوی و به روز روی کامپیوتر خودتان میباشد(در مقالات بعدی به طور کامل به این مبحث پرداخته میشود) 7-هرگز روی لینکهای پیشنهادی مشکوک کلیک نکنید. 1-نصب ویروس کش و به روز کردن آن و اسکن کردن(بازبینی)کل هارد توسط ویروس کش 3-اگر برایتان امکان دارد ویندوز خود را عوض کنید و درایو ویندوز قبلی را نیز فرمت نمایید 1-هرگز از فردی که شناخت کمی از آن دارید فلاپی یا سیدی دریافت نکنید

[B@RBOD]

نام :: VBS/Mcon-G
نام مستعار :: VBS.Mcon.c و VBS/Pica.worm.gen و VBS.Sorry.A و VBS_MCON.A
سیستم عامل هدف :: ویندوز
نوع :: کرم
طریقه پخش :: چت و اشتراکات شبکه

وظایف ::
1 - نصب خود بر روی رجیستری

تشریح ::
این کرم از کانال های IRC جابجا می شود . هنگامی که اجرا می شود خود را در شاخه هایی که در نام انها startup استفاده شده باشد به نام ttfload.vbs کپی میکند و شاخه های زیر را در رجیستری می سازد ::

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
ttfload
"wscript.exe Fonts tfload.vbs"
HKCUSoftwareMicrosoftWindows Scripting HostSettings
Timeout
0
HKCUSoftwareMicrosoftWindows Script HostSettings
Timeout

همچنین وقتی که اجرا شد این پیغام را نمایش می دهد ::
INVALID FILE FORMAT
این کرم این شاخه را هم تغییر می دهد ::
HKLMSoftwareMicrosoftInternet ExplorerMain
Start
"http://www.zonelabs.com

[B@RBOD]

نام :: W32/Rbot-VM
نوع :: کرم
سیستم عامل هدف :: ویندز
طریقه پخش :: اشتراکات شبکه

وظایف ::
1 - از کار انداختن انتی ویروس
2 - دسترسی دیگران به منابع سیستم
3 - کم کردن قدرت امنیتی سیستم
4 - ضبط صفحه کلید
5 - نصب خود بر روی صفحه کلید

تشریح ::
این کرم می تواند از کانال های IRC به هکر اجازه استفاده از سیستم قربانی را بدهد . همچنین این کرم از آسیب پذیری های DCOM-RPC و LSASS برای پخش خود استفاده می کند . این کرم خود را با نام فایل crmss.exe در شاخه سیستم ویندز کپی می کند . همچنین این شاخه ها را در رجیستری می سازد ::

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
xpupdate
updates.exe
HKLMSoftwareMicrosoftWindowsCurrentVersionRun Services
xpupdate
updates.exe

[B@RBOD]

نام :: W32/Agobot-PI
نوع :: کرم
طریقه پخش :: اشتراکات شبکه
سیستم عامل هدف :: ویندوز
نام مستعار :: Backdoor.Win32.Agobot.jg

وظایف ::
1 - از بین بردن پردازش برنامه های آنتی ویروس
2 - دسترسی دیگران به منابع سیستم
3 - دزدین اطلاعت سیستم
4 - دانلود کد از اینترنت

تشریح ::
این کرم زمانی که اجرا می شود خود را با نام فایل Ksrv32.exe در شاخه سیستم ویندز کپی می کند . همچنین این شاخه ها را در رجیستری می سازد ::

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Ksrv32
Ksrv32.exe
HKLMSoftwareMicrosoftWindowsCurrentVersionRun Services
Ksrv32
Ksrv32.exe


همچنین این کرم حاوی کد های تروجان گونه هستند که از طریق کانال های IRC به هکر اجزاه کار های زیر را می دهند ::

harvest email addresses
steal product registration information for certain software
take part in Distributed Denial of Service (DDoS) attacks
scan networks for vulnerabilities
download/execute arbitrary files
start a proxy server (SOCKS4/SOCKS5)
start/stop system services
monitor network communications (packet sniffing)
add/remove network shares
send email
log keypresses


همچنین این کرم از پردازش انتی ویروس ها جلو گیری می کند و همچنین دسترسی به سایت های زیر را برای کاربر غیر ممکن می کند ::

127.0.0.1 http://www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 http://www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 http://www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 http://www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 http://www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 http://www.avp.com
127.0.0.1 http://www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 http://www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 http://www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 http://www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 http://www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 http://www.trendmicro.com