Sphinx
06-11-2005, 17:12
آنتيويروس پاندا در گزارش اين هفته خود ويروسهاي اينترنتي چهار نسخه از تروجان Mitglieder (FK,FL,FN و FM) كه انتشار فراگير آنها طي هفته گذشته باعث اعلام هشدار نارنجي شد و يك كرم اينترنتي با نام Bagle.FN را مورد بررسي قرار داد.
هفته گذشته چهار نسخه تروجان Mitglieder بالاترين آمار در ميان تهديدهاي شناسايي شده توسط نرم افزار آنلاين Panda ActiveScan را در سرhسر جهان به خود اختصاص دادند.
Mitglieder.FK از طريق ايميلي بدون عنوان و با متن «texte» يا «info» منتشر ميشود. يك فايل ZIP با نامهايي چون Health_and_knowledge, Txt_sms, Max, Business, The_new_price, Info- prices, Business_dealing به ايميل مذكور ضميمه شده است.
اين فايل فشرده خود حاوي يك فايل EXE است كه پس از اجرا، نسخه FK تروجان ميتگلايدر را روي كامپيوتر نصب ميكند.
نسخههاي FK، FL و FN اين تروجان در ويژگيهاي زير مشترك هستند:
- پس از نصب شدن روي كامپيوتر با استفاده از يك اسكريپت PHP تلاش ميكنند فايل مشخصي را از صفحات اينترنتي مختلف داونلود كنند. سپس اين فايل را در زير شاخه EXEFLD دايركتوري ويندوز كپي و پس از آن اجرا ميكنند.
- فايلي با نام HLOADER_EXE.EXE را ميسازند كه در واقع يك كپي از خود تروجان است و پس از اولين restart شدن ويندوز فايل HLEADER_DLL.DLL را به وجود ميآورد.
اين فايل با نفوذ در EXPLORER.EXE مسؤوليت انجام فعاليتهاي مخرب تروجان را به عهده ميگيرد.
نسخه FM تروجان ميتگلايدر نيز اقدامات زير را در كامپيوتر آلوده انجام ميدهد:
- دسترسي به صفات اينترنتي مشخصي همچون سايتهاي مربوط به شركتهاي آنتي ويروس را قطع ميكند.
- سرويسهاي مربوط به آنتي ويروسها و برنامههاي امنيتي را متوقف ميكند.
- ابزارهاي ويرايش رجيستري ويندوز را پاك ميكند.
كرم اينترنتي Bagle.FN نيز كه در گزارش اين هفته پاندا به آن اشاره شده، يك كپي از تروجان Mitglieder.FK را به تمام آدرسهاي ايميلي كه از كامپيوتر ميزبان جمعآوري كرده ارسال ميكند.
اين كرم از طريق ايميلي كه وانمود ميكند، حاوي يك برنامه كامپيوتري يا تعدادي عكس است، منتشر ميشود. Bagle.FN پس از آلوده كردن كامپيوتر فايلهاي زيادي را از سايتهاي مختلف داونلود و اجرا ميكند.
هفته گذشته چهار نسخه تروجان Mitglieder بالاترين آمار در ميان تهديدهاي شناسايي شده توسط نرم افزار آنلاين Panda ActiveScan را در سرhسر جهان به خود اختصاص دادند.
Mitglieder.FK از طريق ايميلي بدون عنوان و با متن «texte» يا «info» منتشر ميشود. يك فايل ZIP با نامهايي چون Health_and_knowledge, Txt_sms, Max, Business, The_new_price, Info- prices, Business_dealing به ايميل مذكور ضميمه شده است.
اين فايل فشرده خود حاوي يك فايل EXE است كه پس از اجرا، نسخه FK تروجان ميتگلايدر را روي كامپيوتر نصب ميكند.
نسخههاي FK، FL و FN اين تروجان در ويژگيهاي زير مشترك هستند:
- پس از نصب شدن روي كامپيوتر با استفاده از يك اسكريپت PHP تلاش ميكنند فايل مشخصي را از صفحات اينترنتي مختلف داونلود كنند. سپس اين فايل را در زير شاخه EXEFLD دايركتوري ويندوز كپي و پس از آن اجرا ميكنند.
- فايلي با نام HLOADER_EXE.EXE را ميسازند كه در واقع يك كپي از خود تروجان است و پس از اولين restart شدن ويندوز فايل HLEADER_DLL.DLL را به وجود ميآورد.
اين فايل با نفوذ در EXPLORER.EXE مسؤوليت انجام فعاليتهاي مخرب تروجان را به عهده ميگيرد.
نسخه FM تروجان ميتگلايدر نيز اقدامات زير را در كامپيوتر آلوده انجام ميدهد:
- دسترسي به صفات اينترنتي مشخصي همچون سايتهاي مربوط به شركتهاي آنتي ويروس را قطع ميكند.
- سرويسهاي مربوط به آنتي ويروسها و برنامههاي امنيتي را متوقف ميكند.
- ابزارهاي ويرايش رجيستري ويندوز را پاك ميكند.
كرم اينترنتي Bagle.FN نيز كه در گزارش اين هفته پاندا به آن اشاره شده، يك كپي از تروجان Mitglieder.FK را به تمام آدرسهاي ايميلي كه از كامپيوتر ميزبان جمعآوري كرده ارسال ميكند.
اين كرم از طريق ايميلي كه وانمود ميكند، حاوي يك برنامه كامپيوتري يا تعدادي عكس است، منتشر ميشود. Bagle.FN پس از آلوده كردن كامپيوتر فايلهاي زيادي را از سايتهاي مختلف داونلود و اجرا ميكند.