چهارشنبه, ۲۲ اسفند, ۱۴۰۳ / 12 March, 2025
مجله ویستا
کرمهای جدید و ویروسها
این كرم در تاریخ ۲۸ اوریل امسال شناسایی شد . مبدأ آن ناشناس است و در طول های مختلف توزیع می شود . كرم مذكور هم سیستم های خانگی و هم سیستم های اداری را تهدید می نماید . اما سطح تهدید این كرم متوسط می باشد .
كرم W۳۲/Bagle.aa@MM گونه ی جدیدی از كرم W۳۲/Bagle.@MM است و از طریق E_mail گسترش می یابد . این كرم مشخصات زیر را داراست :
• دارای موتور SMTP مخصوص به خود است كه می تواند به تولید پیغام های جدید بپردازد .
• استفاده از آدرس های Email موجود بر روی سیستم آلوده .
• در قسمت : From پیغامی كه ارسال می شود از آدرس های مسخره و نادرست استفاده می گردد .
• پیوست Email نوعی فایل Zip است كه توسط كلمه ی عبور حفاظت می شود . كلمه ی عبور این پیوست درون پیغام اصلی قرار دارد .
• دارای مؤلفه ی دسترسی از راه دور است كه امكان دسترسی هكر فرستنده ی این ویروس را به سیستمی كه ویوس وارد آن شده است فراهم می سازد .
• خود را به داخل پوشه ای كه عبارت shar در نام آن وجود دارد كپی می كند . چنین پوشه هایی را می توان در برنامه های به اشتراك گذاری فایل مانند Kazaa ، Bearshare ، Limewire و غیره دید .
كرم مذكور با موضوعات بسیار زیادی توزیع می شود كه از جمله ی آنها می توان به موارد زیر اشاره كرد :
• Re: Msg reply
• Re: Thank you!
• Notification
• Re: Hello
• Re: Thanks
• Re: Yahoo!
• Re: Text message
• Incoming message
• Re: Document
• Re: incoming Msg
عناوین پیوست هایی كه كرم W۳۲/Bagle.aa@MM تحت آنها توزیع می شود بسیار زیاد است .
در زیر به تعدادی از آنها اشاره می كنیم :
• Information
• Document
• Morelnfo
• Details
• Info
• You_ will_ answer_ to_ me
• Text_ document
• The_message
• Readme
• Details
فایل حاوی این كرم یكی از پسوند های زیر را دارا می باشد:
• Hta
• Vbs
• Exe
• Scr
• Com
• cpl
پس از آن كه ویروس مذكور وارد سیستم شد كلید زیر را به رجیستری ویندوز می افزاید :
HKEY_CURRENT_USER/Software/Microsoft/Current Version/Run
Drvddll.exe=C:/WINNT/SYSTEM۳۲/drvddll.exe
در كلید رجیستری فوق به جای drvddll.exe ، نام هایی كه فایل حاوی كرم W۳۲/Bagle.aa@MM اتخاد می كند قرار می گیرد .
كرم مذكور سعی می كند با اتخاذ نام های فایلی خاص و گول زننده به فریب برنامه های امنیتی داخل سیستم بپردازند .
نام های فایلی كه این كرم اتخاذ می كند بسیار زیاد است و در حوصله ی این مقاله نمی گنجد به همین دلیل ما فقط به تعدادی از آنها اشاره می كنیم :
• Anti Trojan.exe
• BootWarn.exe
• Clean.exe
• DPFSetup.exe
• EScanHNT.exe
• FRW.exe
• GuardDog.exe
• HTLOG.exe
• Lfw۲۰۰۰exe
• Kerio WRL ۴۲۱ EN WIN.exe
• NC۲۰۰۰.exe
• PCDSETUP.exe
• QCONSOLE.exe
• ANTIVIRUD.exe
• Blacklce.exe
• CleanPC.exe
• DRWEBUPW.exe
• EXAntiVirus CNET.exe
• GUARD.exe
• HackTracerSetup.exe
• lcloadnt.exe
• JAMMER.exe
• MSCONFIG.exe
• OUTPOST.exe
• FSAV.exe
• RRGAURD.exe
• SAFEWB.exe
• TlTANlN.exe
• VBWlNNTW.exe
• SysEdit.exe
• ZAPRO.exe
• WNT.exe
▪ BAT. Sebak
BAT.Sebak اسب تراوایی می باشد كه پس از ورود به سیستم ابتدا پیغامی را نمایش داده و سپس عملكردی از سیستم را غیر فعال می كند . این اسب تراوا سیستم های مبتنی بر ویندوز ، لینوكس ، مكینتاش ، یونیكس ،Novell Netware و OS/۲ را مورد حمله قرار می دهد .این اسب تراوا پس از ورود به سیستم اعمال زیر را در سیستم انجام می دهد :
۱ ـ در پوشه های %Windir و C:/Mydocu~۱ پسوند فایل ـ هایی كه دارای پسوندهای زیر هستند را به bat . تغییر می دهد :
• .txt
• log.
• .tmp
• .net
• .jpg
• .gif
• .avi
• .doc
• .xls
• .bmp
توجه : در اینجا %Windir% یك متغیر است و منظور از آن پوشه ی نصب ویندوز می باشد . معمولاً به طور پیش فرض این پوشه C:/Windows یا C:/Winnt می باشد .
۲ ـ خود را به صورت %Winir%/system۷.bat كپی می كند.
۳ ـ یك كپی از محتوای واقع در آدرس زیر را در پوشه ی %Windir% قرار می دهد :
http://securityresponse.symantec.com/avcenter/venc/data/vbs.tante.a@mm.html
۴ـ مقدار Epy=C:/Windows/system۷.bat را به كلید زیر از رجیستری می افزاید :
HKEY_Local _MACHlNE/SOFTWARE/Microsoft/Windows/CurrentVersion/Runبه این ترتیب اسب تراوای BAT.Sebak هنگام راه اندازی ویندوز شروع به اجرا شدن می نماید .
۵ ـ كادر پیغامی با متن زیر را نشان می دهد :
lm Batch Epy and You areBiTchEpy…!! BAT/EpyCreated By sevenC {۱۷ _۰۴ _۰۴} Bekasi lndonesia
۶ ـ در صورتی كه تقویم سیسم روز نوزدهم از ماه را نشان می دهد یا ساعت سیستم بر روی ساعت ۱۹ یا دقیقه ۱۹ و یا ثانیه ۱۹ قرار بگیرد ؛ فعال شده و باعث غیر فعال شدن برخی از عملكردهای سیستم مانند از كار افتادن ماوس و صفحه كلید و یا قفل كردن سیستم می شود .
شركت Symantec برای برخورد و مقابل با تهدیدات مختلف اینترنتی راه های زیر را به كاربران و مدیران شبكه پیشنهاد می كند :
سرویس های غیر ضروری موجود بر روی سیستم را خاموش كرده و حذف نمایید . به طور پیش فرض برخی از سیستم های عامل تعدادی سرویس را نصب می كنند كه چندان برای سیستم ضروری نیستند .
از جمله ی این سرویس ها می توان به سرویس دهنده ی FTP ، Telnet و یا سرویس دهنده ی وب اشاره كرد . این سرویس ها مسیری برای حمله ی كدهای مخرب به حساب می آیند .
با حذف این سرویس ها و پس از پاك كردن این كد مخرب ؛ سرویس های كمتری به نصب Patch نیاز خواهند داشت .
اگر كد مخربی یك یا چند سرویس شبكه ای را مورد حمله قرار داد آن سرویس ها را تا زمانی كه آن كد را پاك نكرده اید و Patch لازم را نصب ننموده اید ؛ غیر فعال كرده و یا راه دسترسی به آنها را برای سایر كاربران مسدود كنید .
همیشه سعی كنید Patch های جدید را دریافت كرده و سرویس هایتان را به روز نگه دارید خصوصاً در مورد كامپیوترهایی كه میزبان سرویس های عمومی هستند و یا از طریق دیوار آتش قابل دسترس می باشند مانند سرویس های پستی HTTP ، FTP ، و یا DNS .
از كلمه ی عبور برای حفاظت بیشتر از سیستم استفاده كنید . به كارگیری كلمات عبور پیچیده راه ورود كدهای مخرب را دشوار می سازد چرا كه شكستن كلمات عبور پیچیده به مدت زمان و تلاش زیادی نیاز دارد .
سرویس دهنده ی Email تان به گونه ای پیكربندی كنید كه راه را بر Email هایی كه پیوست آنها دارای پسوند های معروفی چون .vbs ، .bat ، .exe ، .pif ، و .scr هستند بسته و یا آنها را حذف كند . غالباً پیوست های Email ی مخرب دارای پسوندهای مذكور می باشند .
اگر در یك شبكه قرار دارید به محض اطلاع از آلوده شدن یك سیستم ، آن را از شبكه خارج سازید تا مانع توزیع كد مخرب بین سایر كامپیور ها شوید .
مدیران شركت های كامپیوتری باید آموزش های لازم را در اختیار كاركنان قرار دهند و به آنها بیاموزند كه فقط پیوست های Email ی آشنا و پیوست هایی كه انتظارشان را می كشند باز كنند .
قبل از باز كردن نرم افزار های Download شده از اینترنت ؛ آنها را توسط برنامه های ضد ویروس چك كرده و از آلوده نبودنشان مطمئن شوید . البته گاهی تنها مرور یك سایت آلوده می تواند مرورگر آسیب پذیر شما را نیز آلوده كرده و وارد سیستم تان شود .
علاوه بر به كارگیری توصیه های بالا لازم است اقدامات زیر را انجام دهید :
۱ـ برنامه System Restore را در ویندوزهای Me و XP غیر فعال كنید .
۲ـ ضد ویروس تان را به رور نمایید .
۳ـ تمام سیستم را اسكن كرده و تمام فایل هایی كه آلوده شده اند را حذف كنید .
۴ـ مقدرا افزوده شده به رجیستری را حذف كنید .
▪ غیر فعال كردن برنامه ی System Restore
توصیه می شود درسیستم های ویندوز XP و Me به طور موقت برنامه ی System Restore غیر فعال گردد . در این ویندوزها از ویژگی مذكور هنگام خراب شدن سیستم برای بازگردانی آن استفاده می شود . این ویژگی به طور پیش فرض فعال است .
وقتی یك ویروس ، كرم و یا اسب تراوایی وارد سیستم می شود ویژگی مذكور ممكن است پشتیان آنها را نیز به همراه سایر اقلام سیستم تهیه كند .
از طرفی ویندوز به برنامه های خارجی مانند ضد ویروس ها اجازه ی ایجاد تغییر در محتوای System Restore را نمی دهد .
به این ترتیب ویروس هایی كه توسط ویژگیSystem Restore پشتیبان آنها ذخیره می شود را نمی توان از پوشه ی System Restore پاك كرد . حتی پس از آن كه شما ویروس را از سیستم خود پاك نمودید هنوز این ویروس در پوشه ی System Restore وجود دارد و در صورتی كه سیستم خراب شود و شما بخواهید آن را به یك نقطه ی مطمئن قبلی بازگردانید ویروس نیز به همراه محتوایی كه بازگردانده می شود بر روی سیستم شما بارگذاری می گردد .
البته با استفاده از یك اسكن كننده ی ویروس می توان از وجود ویروس در System Restore مطلع شد .
▪ به روز نمودن شناسه های ویروسی .
برای دریافت شناسه های به روز شده ی ویروسی دو راه وجود دارد :
استفاده از سرویس های LiveUpdate : با استفاده از این سرویس ها می توان آخرین شناسه های یافت شده ی ویروسی را به ضد ویروس افزود . برای دسترسی به این سرویس ها باید به سایت شركت توزیع كننده ی ضد ویروس تان سر بزنید .
این سرویس ها را می توان تحت لینك هایی چون Virus Definitions و یا LiveUpdate پیدا كرد . شركت Symantec معمولاً هفته ای یك بار و آن هم روزهای چهار شنبه شناسه های جدید را بر روی سرویس دهنده ی خود قرار می دهد .
راه بعدی برای دریافت شناسه های جدید Download كردن آنها با استفاده از lntelligent Updater است . این مؤلفه بر روی وب سایت Security Response Symantec قرار دارد و از روز دوشنبه تا روز جمعه قابل دسترس می باشد . هنگام استفاده از این مؤلفه توجه به دو نكته ضروری است .
ابتدااز وجود شناسه ی مربوط به كد مخرب سیستم تان در فهرست lntelligent Updater مطمئن شوید و دیگر آن كه پس از Download كردن شناسه ی جدید آن را باید بر روی سیستم تان نصب كنید تا قابل استفاده گردد .
▪ اسكن كردن كل سیستم .
همانطور كه گفتیم یكی از اقداماتی كه باید پس از ورود كد مخرب به داخل سیستم انجام داد ، اسكن كردن تمام سیستم و یافتن فایل های آسیب دیده می باشد . اقدامی كه باید پس از یافتن فایل های آسیب دیده باید انجام دهید حذف آنها می باشد .
گاهی ضد ویروس می تواند سیستم را اسكن كرده و فایل های آسیب دیده را پیدا كند ولی قادر به پاك كردن آنها نیست . در چنین مواقعی معمولاً با این پیغام كه ویندوز در حال استفاده از آن فایل می باشد روبرو می شوید .
اگر برای شما چنین وضعیتی به وجود آمد سیستم را در حالت Safe Mode راه اندازی كرده و سپس به حذف فایل هایی كه ضد ویروس پیدا می كند بپردازید .
▪ پاك كردن مقدار افزوده شده به رجیستری .
قبل از آن كه به پاك كردن مقداری كه توسط ویروس به رجیستری افزوده می شود بپردازید باید یك پشتیبان از محتوای رجیستری تهیه كنید .
چون ایجاد تغییر در رجیستری گاهی می تواند ثبات سیستم را به هم بریزد .
برای حذف كلیدی كه اسب تراوای BAT.Sebak به رجیستری می افزاید ؛ به ترتیب زیر عمل می كنید :
۱ـ از منوی Start گزینه ی Run را انتخاب كنید .
۲ـ در فیلد Open عبارت Regedit را تایپ نموده و دكمه ی OK را كلیك كنید تا وارد برنامه ی Registry Editor شوید .
۳ـ مسیر زیر را طی نمایید :
HKEY_LOCAL_MACHlNE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
۴ـ از برنامه ی Registry Editor خارج شوید .
منبع : مرکز اطلاع رسانی خانواده شمیم
ایران مسعود پزشکیان دولت چهاردهم پزشکیان مجلس شورای اسلامی محمدرضا عارف دولت مجلس کابینه دولت چهاردهم اسماعیل هنیه کابینه پزشکیان محمدجواد ظریف
پیاده روی اربعین تهران عراق پلیس تصادف هواشناسی شهرداری تهران سرقت بازنشستگان قتل آموزش و پرورش دستگیری
ایران خودرو خودرو وام قیمت طلا قیمت دلار قیمت خودرو بانک مرکزی برق بازار خودرو بورس بازار سرمایه قیمت سکه
میراث فرهنگی میدان آزادی سینما رهبر انقلاب بیتا فرهی وزارت فرهنگ و ارشاد اسلامی سینمای ایران تلویزیون کتاب تئاتر موسیقی
وزارت علوم تحقیقات و فناوری آزمون
رژیم صهیونیستی غزه روسیه حماس آمریکا فلسطین جنگ غزه اوکراین حزب الله لبنان دونالد ترامپ طوفان الاقصی ترکیه
پرسپولیس فوتبال ذوب آهن لیگ برتر استقلال لیگ برتر ایران المپیک المپیک 2024 پاریس رئال مادرید لیگ برتر فوتبال ایران مهدی تاج باشگاه پرسپولیس
هوش مصنوعی فناوری سامسونگ ایلان ماسک گوگل تلگرام گوشی ستار هاشمی مریخ روزنامه
فشار خون آلزایمر رژیم غذایی مغز دیابت چاقی افسردگی سلامت پوست