PDA

نسخه کامل مشاهده نسخه کامل : با خصوصيت سه ويروس و بدافزار مطرح اينترنتي آشنا شويم



Mohammad
20-07-2006, 23:39
اين هفته به بررسي خصوصيات كرم‌هاي اينترنتي ‪Peerbot ،Oscarbot.IV‬و ‪Netsad.B‬مي‌پردازيم.

"‪ "Oscarbot.IV‬كرمي اينترنتي است كه درگاههاي ارتباطي متعددي را در رايانه‌هاي آلوده باز كرده و به مهاجمين اين امكان را مي‌دهد كه از راه دور به سيستم دسترسي پيدا كنند.

اين كرم همچنين اسب ترواي ‪Protestor.A‬را روي سيستم نصب مي‌كند كه مي تواند از صفحه نمايش كاربران عكسبرداري كرده و اطلاعات كاربران را مورد دستبرد قرار دهد.

انتشار اين كرم از طريق ‪America Online Instant Messenger‬و با ارسال پيام به نشاني تمامي كاربران فعال انجام مي‌شود.

‪Oscarbot.IV‬پس از اجرا ، به عنوان سرويسي با نام
‪Windows Genuine Advantage Validation Notification‬روي سيستم نصب مي‌شود و در عين اينكه سعي مي‌كند خود را به عنوان يكي از سرويس‌هاي ضدسرقت مايكروسافت جابزند، سعي دارد اطمينان يابد كه با هربار شروع، ويندوز اجرا مي‌شود.

كرم اينترنتي ‪Peerbot.B‬مي‌تواند به شكل يك دربازكن نفوذي براي دريافت دستورهاي مهاجمين از طريق ‪IRC‬عمل كند، اين كرم درعين حال مي‌تواند از ‪SQL Server‬ها يا پايگاه‌هاي داده‌اي ‪MySql‬روي سيستم‌ها، اطلاعات را ربوده و نسبت به ارسال آن از طريق پست الكترونيكي اقدام كند.

اين كرم اينترنتي هنگام اجرا ، فايلهاي متعددي روي سيستم مي‌سازد كه ‪taskdrv.exe(‬نسخه‌اي از خود كرم) و (‪ Libmysql.dll)‬كتابخانه‌اي متعلق به بانك اطلاعات ‪(Mysql‬نمونه‌هايي از آنها هستند.

اين كرم فايلهاي متعددي با اسامي مرتبط با ‪،crack‬برنامه‌هاي كاربردي و بازيهاي معروف در فولدرهاي اشتراكي برنامه‌هاي ‪،P2P‬ايجاد مي‌كند.

وقتي ساير كاربران برنامه‌هاي ‪P2P‬جستجويي انجام مي‌دهند، در نتيجه جستجوي خود، به فايلهاي آلوده قرباني نخست برمي خورند.

تغيير فايلهاي ميزبان به منظور جلوگيري از دسترسي به صفحات وب محصولات امنيتي از ديگر عملكردهاي اين كرم اينترنتي است.

‪Netsad.B‬كرمي است كه از راه پيوست نامه‌هاي الكترونيكي و با موضوعاتي مختلف منتشر مي‌شود، اين كرم همچنين با استفاده از برنامه‌هاي ‪P2P‬متعددي چون ‪Kazaa‬و ‪، Emule‬نسخه‌هايي از خود را در فولدرهاي اشتراكي قرار مي دهد تا ساير كاربران نيز آن را بردارند و آلوده شوند.

كرم ‪Netsad.B‬تنها در صورتي مي‌تواند عمل كند كه ‪،Net framework‬ ‪Microsoft‬روي دستگاه نصب باشد و وقتي كه اجرا مي‌شود، نسخه‌اي از خود را تحت نام ‪winservices.cab.bak.exe‬در فولدر ‪System‬ويندوز مي‌گذارد.

اين كرم با استفاده از اسامي مرتبط با محصولات ضدويروسي، نسخه‌هاي گوناگون ديگري از خود نيز در ساير درايوهاي سيستم برجاي مي‌گذارد و براي پنهان ماندن خود پردازش‌هاي مرتبط با امور امنيتي را متوقف مي‌كند و دستگاه را در مقابل حملات بعدي آسيب پذيرتر رها مي‌سازد.

--------------
منبع:ایرنا

Nima.Potter
10-09-2006, 07:58
محمد جان از پست باحالت ممنون .
من دنبال اطلاعاتي درباره كرم يامنر ميگردم . اگه چيزي ميدوني ما رو بي نسيب نزار...

Mohammad
10-09-2006, 13:08
محمد جان از پست باحالت ممنون .
من دنبال اطلاعاتي درباره كرم يامنر ميگردم . اگه چيزي ميدوني ما رو بي نسيب نزار...

اين كرم رايانه ای كه در قالب ايميلی با عنوان New Graphic Site برای دارندگان ايميل ياهو ارسال می شود، پس از اجرا اقدام به جمع آوری آدرس های ايميل موجود در پوشه ها و ليست ارتباط (Contact List) صندوق پستی كاربر كرده و به سرعت نمونه ای از ايميل آلوده را به آدرس های جمع آوری شده ارسال می كند. همچنين اين كرم رايانه ای با اتصال به سايتی به آدرس [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] كپی ای از اطلاعات جمع آوری شده را به سايت مذكور ارسال می كند.

به گفته ی كارشناسان شركت سيمانتک (سازنده ی نرم افزار ضد ويروس نورتون) اين كرم رايانه ای برخلاف عملكرد ساير كرم های مشابه كه برای فعال شدن نياز به باز كردن فايل ضميمه آلوده دارند، بدون نياز به باز كردن چنين فايل آلوده ای و تنها به وسیله ی باز نمودن متن نامه ی ارسالی فعال می شود.

شركت ياهو به كاربران خود توصيه كرده است كه علاوه بر حذف نامه هايی با عنوان ياد شده (New Graphic Site) كه از سوی فردی با نام Varies و آدرس ايميل av3@yahoo.com ارسال می شوند، به روز رسانی نرم افزارهای امنيتی رايانه ی خود را نيز در اولويت كاری خود قرار دهند.

ذكر اين نكته الزاميست كه اين كرم رايانه ای امكان اجرا در نسخه ی جديد ايميل ياهو كه با نام Yahoo! Mail BETA شناخته می شود را نداشته و تنها كاربرانی كه از نسخه ی پيشين اين بخش از خدمات سايت ياهو استفاده می كنند در معرض خطر قرار دارند.
:happy:

Nima.Potter
11-09-2006, 13:10
محمد جان از پاسخت ممنونم . من تقريبا همه ي چيزي رو كه نوشتي ميدونستم و حتي ميدونم كه نويسندش يه ايرونيه و از يكي از باگ هاي ياهو استفاده كرده كه به گفته ي خودش يكي ديگه هم باگ پر نشده داره . البته من فقط مصاحبشو خوندم . و بيشتر دنبال كد هاي جاوايي هستم كه اين نويسنده استفاده كرده . اگه اطلاعاتي داري ممنون ميشم منو در جريان بزاري .
بازم از پست قبلي و جوابي كه بهم دادي تشكر ميكنم .