-
كرم Forbot-AZ
Forbot-AZ كرمي است كه از طريق شبكه هاي share شده منتشر مي شود همچنين مانند يك در پشتي تروجان عمل مي كند كه به مهاجم اجازه مي دهد از طريق كانالهاي IRC به سيستم آلوده دسترسي داشته باشد و خودش را مانند برنامه كاربردي در پيش زمينه اجرا خواهد كرد.
اين كرم خودش را با نامي شبيه syshelped.exe در پوشه ويندوز ذخيره مي كند و مدخل هاي زير را در رجيستري ايجاد مي كند تا كرم روي سيستم اجرا شود.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
MicrosoftUpdates = syshelped.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\
MicrosoftUpdates = syshelped.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\
MicrosoftUpdates = syshelped.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run \
MicrosoftUpdates = syshelped.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once\
MicrosoftUpdates = syshelped.exe
همچنين مدخل هاي ديگري را در رجيستري ايجاد مي كند به شرح زير:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_MICROSOFTCORPORATIONS\
HKLM\SYSTEM\CurrentControlSet\Services\MicrosoftCo rporations
سرويسهايي كه كرم استفاده مي كند شامل درهاي پشتي زير مي باشد:
File transfer
Proxy servers
Distributed denial of service attacks
information harvesting (email addresses, account names and passwords)
توصيه ها :
1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''Export Registry File'' و در پنل ''Export range'' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
MicrosoftUpdates = syshelped.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\
MicrosoftUpdates = syshelped.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\
MicrosoftUpdates = syshelped.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run \
MicrosoftUpdates = syshelped.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once\
MicrosoftUpdates = syshelped.exe
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد. سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد
-
مايكروسافت از امنيت سخن ميگويد
مترجم: مشورت
محصولات متعددي كه در اين هفته براي كاراتر كردن توزيع patch نرمافزاري ارايه شدهاند، تنها بخشي از تلاشهاي كلي مايكروسافت براي بهبود امنيت سيستمها هستند.
با وجود آن كه بسياري از ابتكارهاي امنيتي فعلي مايكروسافت، پيش پا افتاده و معمولي هستند، لازم است اين شركت سازندهي نرمافزار برنامههاي خود را به صورت واضح و روشني مطرح و ارايه كرده و از همكاري و كمكهاي شركا و مشتريان خود در تلاشهاي امنيتي نيز استفاده كند.
به علاوهي كار بر روي توليد بيشتر محصولات امنيتي، بهبود آموزشهاي ايمني و توليد و آسان كردن مديريت patch، اين شركت در حال همكاري با سازندگان سختافزار و شركتهاي امنيتي است.
اين شركت اعلام كرده كه در حال همكاري تيمي با شركت دل است تا ابزاري براي به روز ساختن سختافزار و نرمافزار ارايه كند. همچنين بتايي عمومي نيز كه براي روزآمد ساختن خدمات ويندوز براي كمك به سرپرستان در خودكار كردن و كنترل روزآمدسازيهاي نرمافزار ارايه شده، از ديگر تلاشهاي اين شركت در زمينهي امنيت است.
Scott Charney، متخصص Trustworthy Computing مايكروسافت گفته است: « ما به عنوان عضوي مهم و نفوذي در بخشي از آيتي، لازم است كه دربارهي آنچه در زمينهي بهبود امنيت در حال انجام آن هستيم، گفتوگو كنيم.»
Charney امنيت را به عنوان تعهد و مسئوليتي براي خود توصيف كرده و گفته است كه هنگامي كه دولت اينترنت و كامپيوترها را به قلورو عمومي واگذار ميكند، نقش وي را نيز به عنوان يك پشتيبان واگذار كرده است. آنچه دولت انجام داده، واگذاري امنيت عمومي و ملي به بازار بوده است.
Charney گفته است كه هر يك از شركتها، شركتي نرمافزاري هستند، چه خود از اين مطلب آگاهي داشته باشند و يا خير. وي دربارهي موقعيت امنيتي فعلي بسيار جدي است
-
اما جديدترين خبر
كرم ياسر عرفات راز مرگ او را افشاء مي كند
كرمي جديد كه مطالب عجيب و جالبي درباره مرگ ياسر عرفات مي گويد با استفاده از آسيب پذيري جديد مايكروسافت موسوم به آسيب پذيري Extended MetaFiles منتشر مي شود.
اين براي بار اول است كه كرمي از اين آسيب پذيري براي انتشار خود استفاده مي كند.
كرم Aler كه از طريق شبكه خودش را منتشر مي كند ابتدا به صورت يك ايميل اينترنتي با موضوع Latest News about Arafat! ظاهر مي شود .
اين ايميل داراي دو فايل الحاقي مي باشد كه اولي يك عكس معمولي و دومي يك فايل EMF مي باشد. وقتي فايل EMF باز مي شود ، با استفاده از آسيب پذيري مشهور و جديد مايكروسافت ، MS04-032 ، سيستم قرباني را آلوده مي كند. پس از آن كرم Aler با استفاده از Share هاي شبكه و ميزبانهاي داراي پسورد هاي ضعيف خود را در شبكه منتشر مي كند.
اين كرم داراي يك Proxy مي باشد كه با استفاده از آن مهاجمين مي توانند ترافيك شبكه خود را از طريق كامپيوترهاي آلوده منتقل كنند و همين امر باعث مي شود كه براي ارسال هرزنامه و يا حمله به سيستم هاي ديگر از طريق كامپيوتر آلوده مورد استفاده قرار گيرند.
-
بزرگترين تهديد امنيتي زمستان
گونه جديد كرم سابر منتشر شد
همشهري : نسخه جديدي از كرم ايميلي سابر روز جمعه در اروپا و آمريكا كشف شد.
شركت هاي امنيتي، اين كرم را از لحاظ خطرناك بودن در دسته كرم هاي متوسط قرار داده اند.
به گزارش system group متخصصان امنيت گفته اند كه كرم W32.Sober.i كه خود را به عنوان ضميمه ايميل به پيام هاي انگليسي و آلماني زبان ارسال مي كند، يكي از جدي ترين تهديدهاي زمستان امسال به شمار مي رود.
ميكو هايپونن، مدير تحقيقات امنيتي شركت F-Secure كه اين ويروس را در دسته ويروس هاي درجه دو قرار داده، گفته است: اين كرم يكي از بدترين مواردي است كه طي يك يا دو ماه گذشته مشاهده كرده ايم. به دلايلي، اين ماه به آرامي سپري شده است. اين كرم جديد يكي از جدي ترين مواردي است كه پاييز امسال با آن مواجه گشته ايم، اما در مقايسه با همين فصل در سال گذشته و نيز اوايل امسال، اين مورد آنچنان هم بد به نظر نمي رسد.
همانند ساير ويروس هاي Sober، اين نسخه جديد نيز از موتور SMTP خود براي ارسال كپي هايي از خود به آدرس هاي ايميلي كه بر روي كامپيوترهاي آلوده مي يابد، استفاده مي كند. سپس كامپيوترهاي آلوده، به عنوان كانالي براي دانلود كردن برنامه هايي براي كاربران مورد استفاده قرار مي گيرند.
اين ويروس همچنين به گونه اي برنامه ريزي شده كه خود را در دنياي انگليسي زبان نيز توزيع و پخش مي كند، اما تحت عنوان «delivery failure» و يا «oh god» با اين اميد كه فردي ضميمه حاوي فايل zip را كه دربردارنده ويروس ياد شده است، بگشايد. شركت مكافي، اين گونه جديد Sober را، Sober.j و F-Secure آن را Sober.i ناميده است. اين كرم جديدترين نسخه Sober بوده كه نخستين بار در اكتبر سال گذشته پديدار گشته است. Sober.i، بر روي سيستم هايي تاثير مي گذارد كه ويندوزهاي XP، ،۲۰۰۰ ME، ۹۸ ، ،۹۵ NT و سرور ۲۰۰۳ را اجرا مي كنند.
-
كرم Wort-B
شرح: Wort-B از طريق آسيب پذيري LSASS منتشر مي شود همچنين اين كرم پس از آلوده كردن سيستم فايلي را از راه دور دانلود مي كند.
تروجان مدخل زير را در رجيستري ايجاد مي كند تا بتواند روي سيستم اجرا شود:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \WinLsass = <path to Trojan>
و يا مدخل زير را براي اين هدف ايجاد مي كند كه در هنگام خارج شدن از سيستم دوباره اجرا گردد:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\WinLsass = <path to Trojan>
كرم آدرسهاي IP تصادفي راجستجو مي كند و در صورت آسيب پذير بودن به آنها نفوذ مي كند مي كند.
اصلاحييه مورد نظر براي آسيب پذيري كه كرم از آن استفاده مي كند در سايت Microsoft موجود مي باشد.
توصيه ها :
1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''Export Registry File'' و در پنل ''Export range'' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \WinLsass = <path to Trojan>
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\WinLsass = <path to Trojan>
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
-
كرم Forbot-BI
شرح: Forbot-BI در پشتي IRC و كرم شبكه مخصوص سيستم هاي ويندوزي مي باشد.
همراه با اجراي ويندوز كرم نيز به صورت خودكار اجرا مي شود و خودش را با نام systemproc.exe در پوشه ويندوز كپي مي كند و مدخل هاي زير را در رجيستري اي جاد مي كند:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Microsoftkeysd = "systemproc.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\Microsoftkeysd = "systemproc.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Microsoftkeysd = "systemproc.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Microsoftkeysd = "systemproc.exe"
HKCSoftware\Microsoft\Windows\CurrentVersion\RunOn ce\Microsoftkeysd = "systemproc.exe
همچنين كرم برنامه اي را به نام "MicrosoftCorporations" ايجاد مي كند و آن را با نام "Microsoftkeysd" نمايش مي دهد.
با يك با اجرا كرم به يك سرور IRC متصل مي شود و به كانالي متصل مي شود كه در آن مهاجم امكان اين را دارد كه دستوراتي را به سيستم ارسال كندو اين دستورات مي توانند برنامه ها را آلوده كنند تا فعاليتهاي زير را انجام دهند:
flood a remote host (by either ping or HTTP)
start a SOCKS4 proxy server
start an HTTP server
start an FTP server
portscan randomly chosen IP addresses
execute arbitrary commands
steal information such as passwords and product keys
upload/download files
اين كرم در سيستم هاي كه آسيب پذيري LSASS دارند منتشر مي شودو همه درهاي پشتي چپ را توسط تروجانهايي از خانواده Optix باز مي گذارد.
توصيه ها :
1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''Export Registry File'' و در پنل ''Export range'' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Microsoftkeysd = "systemproc.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\Microsoftkeysd = "systemproc.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Microsoftkeysd = "systemproc.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Microsoftkeysd = "systemproc.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once\Microsoftkeysd = "systemproc.exe
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
-
یک هکر به رایانههای دانشگاه بروکلی کالیفرنیا حمله کرد
یک هکر با شکستن سیستم امنیتی کامپیوترهای دانشگاه بروکلی کالیفرنیا به نامها و شماره های امنیتی اجتماعی حدود یک میلیون و چهارصد هزار کالیفرنیایی دسترسی پیدا کرد.
به گزارش بخش خبر تراشه از رویترز، کارلوس راموس معاون بخش امنیت آژانس خدمات انسانی و بهداشتی دانشگاه کالیفرنیا اعلام کرد: "تحقیقات در این زمینه ادامه دارد و ما در حال حاضر هیچ ایدهای در مورد اطلاعات شخصی به سرقت رفته نداریم".
او ادامه داد: " آژانسهای ایالتی و اف.بی.آی در حال بررسی این قضیه هستند اما تاکنون موفق به یافتن هکرها نشدهاند."
شايان ذکر است اسمهایی که در دسترس هکر قرار گرفته است بوسیله مرکز تحقیقات UC Berkeley استفاده میشده است که شامل اطلاعات جمعآوری شده در مورد جمعیت سالخورده و اشخاصی بودهاند که در خانه تحت مراقبت قرار گرفتهاند.
نويسنده MyDoom كمپاني هاي آنتي ويروس را تهدید کرد
كمپاني هاي آنتي ويروس از طغيان پيغامهايي كه داراي ويروسهايي هستند كه آنها را از طرف نويسندگان كرم MyDoom تهديد به حمله مي كند سرگشته و حیران شده اند.
بنابر خبر اختصاصی
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
از زد دی نت ، نويسندگان كرمها چهار كمپاني بزرگ آنتي ويروسF-Secure, Symantec, Trend Micro و McAfee را تهديد كرده اند. آنها در آخرين ورژن کرم MyDoom با نام MyDoom.AE پيغامهايي جاسازي كرده اند كه در ضمن به تمسخر گرفتن نويسنده كرم NetSky كمپاني هاي آنتي ويروس را تهديد به حمله مي كند.
Mikko Hypponen مدير شركت آنتي ويروس F-Secure گفت:در پيغامها نويسنده كرم NetSky مورد تمسخر قرار گرفته چون وي الان در زندان هست.نمونه اي از اين پيام را در زير مي خوانيد:
خوشبختم:
نويسنده ساسر شغل امنيتي IT به دست آورده است و ما مي خواهيم با كرمهاي Mydoom , P2P و كدهاي برجسته كار كنيم و همچنين قصد حمله به -secure,symantec,trendmicro,mcafee ,etc را داريم .يازدهم مارچ روز skynet هست. ( خنده هايي با صداي بلند) ها ها ها
وقتي كه beagle و mydoom رها شوند ما جلو فعاليت آنها را در Skynet ميگیریم.
Hypponen می گوید: كرم هنوز به شكل قابل توجه اي گسترده نشده است به دليل اينكه كاربران ايميلهاي محتوي كرم را باز نكرده اند.او اضافه كرد كه من بسيار متحير هستم كه چرا نويسندگان كرمها با پيشنهاد انعام و يا دستمزد 250,000 دلاري براي همكاري با مايكروسافت موافقت نكرده و دائما در حال ايجاد كرم و ويروسهاي جديد هستند.
درضمن: در چند روز گذشته مایکروسافت پيشنهاد انعام 250,000 دلاري را براي همكاري با كمپاني به نويسندگان كرم MyDoom داده بود كه با عدم پذيرش از طرف آنها روبرو شد.
-
كرم Forbot-BN
Forbot-BN يك كرم شبكه اي كه يك در پشتي IRC براي سيستم هاي ويندوزي مي باشد.
اين كرم با استفاده از آسيب پذيري معروف LSASS خودش را منتشر مي كند.
همراه با اجراي ويندوز كرم نيز به صورت خودكار اجرا مي شود و خودش را با نام RUNDLL.EXE در پوشه ويندوز كپي مي كند و مدخل هاي زير را در رجيستري اي جاد مي كند:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Win32 USB Driver = rundll.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\Win32 USB Driver = rundll.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Win32 USB Driver = rundll.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Win32 USB Driver = rundll.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once\Win32 USB Driver = rundll.exe
همچنين كرم يك سرويسي به نام "Eatshit" ايجاد مي كند و آن را با نام "Win32 USB Driver". نمايش مي دهد.
توصيه ها :
1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''Export Registry File'' و در پنل ''Export range'' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Win32 USB Driver = rundll.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\Win32 USB Driver = rundll.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Win32 USB Driver = rundll.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Win32 USB Driver = rundll.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once\Win32 USB Driver = rundll.exe
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
شرح اضافه :
با يك با اجرا كرم به يك سرور IRC متصل مي شود و به كانالي متصل مي شود كه در آن مهاجم امكان اين را دارد كه دستوراتي را به سيستم ارسال كندو اين دستورات مي توانند برنامه ها را آلوده كنند تا فعاليتهاي زير را انجام دهند:
start an FTP and HTTP server.
delete network shares.
start a SOCKS4, SOCKS5, HTTP, TCP and GRE proxy.
list and stop existing processes and services.
upload, download, run and delete files.
modify the registry.
add and delete services.
steal the product keys of popular games and applications.
scan other computers for open ports and attempt to exploit them.
take part in distributed denial of service (DDOS) attacks.
flush the DNS cache.
logoff, reboot and shut down the computer
اين كرم همچنين Share هاي ADMIN$ ، RPC$ و D$ و C$ را از سيستم حذف مي كند.
Forbot-BN همچنين قادر است كه سريال هاي بازي هاي زير را از سيستم به سرقت ببرد :
AOL Instant Messenger
Yahoo Pager
Microsoft Messenger Service
Microsoft Windows Product ID
Counter-Strike
The Gladiators
Gunman Chronicles
Half-Life
Industry Giant 2
Unreal Tournament 2003
Unreal Tournament 2004
IGI 2: Covert Strike
Freedom Force
Battlefield 1942
Battlefield 1942 (Road To Rome)
Battlefield 1942 (Secret Weapons of WWII)
Battlefield Vietnam
Black and White
Command and Conquer: Tiberian Sun
Command and Conquer: Red Alert 2
Command and Conquer: Generals (Zero Hour)
Command and Conquer: Generals
James Bond 007: Nightfire
Global Operations
Medal of Honor: Allied Assault
Medal of Honor: Allied Assault: Breakthrough
Medal of Honor: Allied Assault: Spearhead
Need For Speed Hot Pursuit 2
Need For Speed: Underground
Shogun: Total War: Warlord Edition
FIFA 2002
FIFA 2003
NHL 2002
NHL 2003
Nascar Racing 2002
Nascar Racing 2003
Rainbow Six III RavenShield
Hidden & Dangerous 2
Soldiers Of Anarchy
Soldier of Fortune II - Double Helix
Call of Duty
Neverwinter Nights
اين كرم همچنين قادر است سرويس RPC را دوباره راه اندازي كند :
HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM
اين كرم در سيستم هاي كه آسيب پذيري LSASS دارند منتشر مي شودو همه درهاي پشتي چپ را توسط تروجانهايي از خانواده Optix باز مي گذارد.
-
كرم Sluter-E
شرح : Sluter-E يك كرم شبكه اي با خاصيت تروجان در پشتي براي سيستم هاي ويندوزي مي باشد. اين كرم از طريق پويش شبكه و يافتن آسيب پذيريهاي معروف در شبكه خودش را منتشر مي كند.
در اولين اجرا كرم خودش را در شاخه سيستمي ويندوز به نام winsci32.exe كپي مي كند. و براي اينكه در شروع ويندوز كرم نيز اجرا گردد مدخل هاي زير را در رجيستري ايجاد مي كند.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
Winsci Loaded = %System%\winsci32.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Winsci Loaded = %System%\winsci32.exe
Sluter-E همچنين خودش را به عنوان يكي از سرويس هاي ويندوز نيز اجرا مي كند كه نام اين سرويس هم نام خود كرم مي باشد.
توصيه ها :
1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''Export Registry File'' و در پنل ''Export range'' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
Winsci Loaded = %System%\winsci32.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Winsci Loaded = %System%\winsci32.exe
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
شرح اضافه :
اين كرم همچنين با يك كانال IRC ارتباط برقرار مي كند و ممكن از دستورات زير را از يك كاربر راه دور دريافت كند :
SOCKS4 proxy server
FTP server
send email
keylogger
take part in DDoS attacks (SYN, ICMP, Ping)
steal product registration keys
insert and send insulting text into open IM windows (AIM, Yahoo, MSN Messenger)
gather system information (filesystem, hardware, running processes)
open and close CDROM trays
download/upload files
execute arbitrary commands
همچنين Sluter-E پرسش هاي زير را از رجيستري انجام مي دهد تا مطمئن شود برخي بازيهاي رايانه اي در سيستم قرباني نصب شده اند و در صورت نصب بودن آنها شماره سريال هاي اين بازيها را براي نويسنده خود ارسال مي كند:
HKLM\Software\Westwood\Tiberian Sun
HKLM\Software\Westwood\Red Alert 2
HKLM\Software\IGI 2 Retail\CDKey
HKLM\Software\Electronic Arts\EA GAMES\Generals\ergc
HKLM\Software\Electronic Arts\EA Sports\FIFA 2003\ergc
HKLM\Software\Electronic Arts\EA GAMES\Need For Speed Hot Pursuit
HKCU\Software\Eugen Systems\The Gladiators
HKLM\Software\Activision\Soldier of Fortune II - Double Helix
HKLM\Software\BioWare\NWN\Neverwinter
HKLM\Software\Red Storm Entertainment\RAVENSHIELD
HKLM\Software\Electronic Arts\EA GAMES\Battlefield 1942 The Road to Rome
HKLM\Software\Electronic Arts\EA GAMES\Battlefield 1942
HKLM\Software\IGI 2 Retail
HKCU\Software\Valve\CounterStrike\Settings
HKLM\Software\Unreal Technology\Installed Apps\UT2003
HKCU\Software\Valve\Half-Life\Settings
-
کشف حفره ای که باعث فریب خوردن آنتی ویروسها میشود
SetarehSorkh : شركت آمريكايي امنيتي iDEFENSE كشف كرد كه در بيشتر نرم افزارهاي آنتي ويروس روزنه هايي وجود دارد كه ويروسها اجازه میدهد به زيركي در قالب فايلهاي ZIP نوشته شوند.
پژوهشگران امنيتي كشف كردند كه اكثر برنامه هاي آنتي ويروس داراي آسيب پذيري هستند كه امكان ايجاد فايلهاي ويروسي را به هكرها مي دهد كه با بزرگترين آنتي ويروسها هم رديابي نمي شود.
اين مشكل در متد استفاده شده در نرم افزار آنتي ويروس در scan فايلهاي فشرده مي باشد و بر روي محصولات شركتهاي آنتي ويروسيMcAfee Computer Associates, Kaspersky, Sophos, Eset و RAV اثر مي گذارد.
بوسيله تغيير دادن اندازه , فايل بد بدون عامليت فايل محرك ,فشرده شده ونويسنده ويروس مي تواند آن را به كاربران فايل آلوده بفرستد كه با تعداد زيادي از برنامه هاي آنتي ويروس كشف نخواهد شد.
مهاجم حداكثر بار را فشرده كرده ودر اندازه فايل غيرفشرده در رد يابي نرم افزار آنتي ويروس درون local و global طفره مي اندازد و دوگانگي ايجاد مي كند.
اين آسيب پذيري به هكرها اين امكان را مي دهد تا حداكثر بار خودشان را بدون رديابي از داده هاي كاربران عبور بدهند.كاربران با آپديت كردن آنتي ويروسها راه را براي فايلها وضمائمي كه در اين آسيب پذيري نفش دارند باز مي كنند.
تایید شده است كه محصولات همه كمپاني هاي نامبرده به استثناء Sophos و RAV
تحت اين آسيب پذيري قرار گرفته اند وهیچ يك از آنها آپديتي براي كار گذاشتن بر روي اين مشكلات ارائه نداده اند.
iDEFENSE اعلام كرد كه فقط آخرين محصولات از Symantec, Bitdefender, Trend Micro و Panda در معرض اين آسيب پذيري نمي باشند.
