Mohammad
20-07-2006, 23:39
اين هفته به بررسي خصوصيات كرمهاي اينترنتي Peerbot ،Oscarbot.IVو Netsad.Bميپردازيم.
" "Oscarbot.IVكرمي اينترنتي است كه درگاههاي ارتباطي متعددي را در رايانههاي آلوده باز كرده و به مهاجمين اين امكان را ميدهد كه از راه دور به سيستم دسترسي پيدا كنند.
اين كرم همچنين اسب ترواي Protestor.Aرا روي سيستم نصب ميكند كه مي تواند از صفحه نمايش كاربران عكسبرداري كرده و اطلاعات كاربران را مورد دستبرد قرار دهد.
انتشار اين كرم از طريق America Online Instant Messengerو با ارسال پيام به نشاني تمامي كاربران فعال انجام ميشود.
Oscarbot.IVپس از اجرا ، به عنوان سرويسي با نام
Windows Genuine Advantage Validation Notificationروي سيستم نصب ميشود و در عين اينكه سعي ميكند خود را به عنوان يكي از سرويسهاي ضدسرقت مايكروسافت جابزند، سعي دارد اطمينان يابد كه با هربار شروع، ويندوز اجرا ميشود.
كرم اينترنتي Peerbot.Bميتواند به شكل يك دربازكن نفوذي براي دريافت دستورهاي مهاجمين از طريق IRCعمل كند، اين كرم درعين حال ميتواند از SQL Serverها يا پايگاههاي دادهاي MySqlروي سيستمها، اطلاعات را ربوده و نسبت به ارسال آن از طريق پست الكترونيكي اقدام كند.
اين كرم اينترنتي هنگام اجرا ، فايلهاي متعددي روي سيستم ميسازد كه taskdrv.exe(نسخهاي از خود كرم) و ( Libmysql.dll)كتابخانهاي متعلق به بانك اطلاعات (Mysqlنمونههايي از آنها هستند.
اين كرم فايلهاي متعددي با اسامي مرتبط با ،crackبرنامههاي كاربردي و بازيهاي معروف در فولدرهاي اشتراكي برنامههاي ،P2Pايجاد ميكند.
وقتي ساير كاربران برنامههاي P2Pجستجويي انجام ميدهند، در نتيجه جستجوي خود، به فايلهاي آلوده قرباني نخست برمي خورند.
تغيير فايلهاي ميزبان به منظور جلوگيري از دسترسي به صفحات وب محصولات امنيتي از ديگر عملكردهاي اين كرم اينترنتي است.
Netsad.Bكرمي است كه از راه پيوست نامههاي الكترونيكي و با موضوعاتي مختلف منتشر ميشود، اين كرم همچنين با استفاده از برنامههاي P2Pمتعددي چون Kazaaو ، Emuleنسخههايي از خود را در فولدرهاي اشتراكي قرار مي دهد تا ساير كاربران نيز آن را بردارند و آلوده شوند.
كرم Netsad.Bتنها در صورتي ميتواند عمل كند كه ،Net framework Microsoftروي دستگاه نصب باشد و وقتي كه اجرا ميشود، نسخهاي از خود را تحت نام winservices.cab.bak.exeدر فولدر Systemويندوز ميگذارد.
اين كرم با استفاده از اسامي مرتبط با محصولات ضدويروسي، نسخههاي گوناگون ديگري از خود نيز در ساير درايوهاي سيستم برجاي ميگذارد و براي پنهان ماندن خود پردازشهاي مرتبط با امور امنيتي را متوقف ميكند و دستگاه را در مقابل حملات بعدي آسيب پذيرتر رها ميسازد.
--------------
منبع:ایرنا
" "Oscarbot.IVكرمي اينترنتي است كه درگاههاي ارتباطي متعددي را در رايانههاي آلوده باز كرده و به مهاجمين اين امكان را ميدهد كه از راه دور به سيستم دسترسي پيدا كنند.
اين كرم همچنين اسب ترواي Protestor.Aرا روي سيستم نصب ميكند كه مي تواند از صفحه نمايش كاربران عكسبرداري كرده و اطلاعات كاربران را مورد دستبرد قرار دهد.
انتشار اين كرم از طريق America Online Instant Messengerو با ارسال پيام به نشاني تمامي كاربران فعال انجام ميشود.
Oscarbot.IVپس از اجرا ، به عنوان سرويسي با نام
Windows Genuine Advantage Validation Notificationروي سيستم نصب ميشود و در عين اينكه سعي ميكند خود را به عنوان يكي از سرويسهاي ضدسرقت مايكروسافت جابزند، سعي دارد اطمينان يابد كه با هربار شروع، ويندوز اجرا ميشود.
كرم اينترنتي Peerbot.Bميتواند به شكل يك دربازكن نفوذي براي دريافت دستورهاي مهاجمين از طريق IRCعمل كند، اين كرم درعين حال ميتواند از SQL Serverها يا پايگاههاي دادهاي MySqlروي سيستمها، اطلاعات را ربوده و نسبت به ارسال آن از طريق پست الكترونيكي اقدام كند.
اين كرم اينترنتي هنگام اجرا ، فايلهاي متعددي روي سيستم ميسازد كه taskdrv.exe(نسخهاي از خود كرم) و ( Libmysql.dll)كتابخانهاي متعلق به بانك اطلاعات (Mysqlنمونههايي از آنها هستند.
اين كرم فايلهاي متعددي با اسامي مرتبط با ،crackبرنامههاي كاربردي و بازيهاي معروف در فولدرهاي اشتراكي برنامههاي ،P2Pايجاد ميكند.
وقتي ساير كاربران برنامههاي P2Pجستجويي انجام ميدهند، در نتيجه جستجوي خود، به فايلهاي آلوده قرباني نخست برمي خورند.
تغيير فايلهاي ميزبان به منظور جلوگيري از دسترسي به صفحات وب محصولات امنيتي از ديگر عملكردهاي اين كرم اينترنتي است.
Netsad.Bكرمي است كه از راه پيوست نامههاي الكترونيكي و با موضوعاتي مختلف منتشر ميشود، اين كرم همچنين با استفاده از برنامههاي P2Pمتعددي چون Kazaaو ، Emuleنسخههايي از خود را در فولدرهاي اشتراكي قرار مي دهد تا ساير كاربران نيز آن را بردارند و آلوده شوند.
كرم Netsad.Bتنها در صورتي ميتواند عمل كند كه ،Net framework Microsoftروي دستگاه نصب باشد و وقتي كه اجرا ميشود، نسخهاي از خود را تحت نام winservices.cab.bak.exeدر فولدر Systemويندوز ميگذارد.
اين كرم با استفاده از اسامي مرتبط با محصولات ضدويروسي، نسخههاي گوناگون ديگري از خود نيز در ساير درايوهاي سيستم برجاي ميگذارد و براي پنهان ماندن خود پردازشهاي مرتبط با امور امنيتي را متوقف ميكند و دستگاه را در مقابل حملات بعدي آسيب پذيرتر رها ميسازد.
--------------
منبع:ایرنا