جمعه, ۱۴ اردیبهشت, ۱۴۰۳ / 3 May, 2024
كرم های جدید و ویروس ها
● W۳۲/Bagle.aa@MM
این كرم در تاریخ ۲۸ اوریل امسال شناسایی شد . مبدأ آن ناشناس است و در طول های مختلف توزیع می شود . كرم مذكور هم سیستم های خانگی و هم سیستم های اداری را تهدید می نماید . اما سطح تهدید این كرم متوسط می باشد .
كرم W۳۲/Bagle.aa@MM گونه ی جدیدی از كرم W۳۲/Bagle.@MM است و از طریق E_mail گسترش می یابد . این كرم مشخصات زیر را داراست :
دارای موتور SMTP مخصوص به خود است كه می تواند به تولید پیغام های جدید بپردازد .
استفاده از آدرس های Email موجود بر روی سیستم آلوده .
در قسمت : From پیغامی كه ارسال می شود از آدرس های مسخره و نادرست استفاده می گردد .
پیوست Email نوعی فایل Zip است كه توسط كلمه ی عبور حفاظت می شود . كلمه ی عبور این پیوست درون پیغام اصلی قرار دارد .
دارای مؤلفه ی دسترسی از راه دور است كه امكان دسترسی هكر فرستنده ی این ویروس را به سیستمی كه ویوس وارد آن شده است فراهم می سازد .
خود را به داخل پوشه ای كه عبارت shar در نام آن وجود دارد كپی می كند . چنین پوشه هایی را می توان در برنامه های به اشتراك گذاری فایل مانند Kazaa ، Bearshare ، Limewire و غیره دید .
كرم مذكور با موضوعات بسیار زیادی توزیع می شود كه از جمله ی آنها می توان به موارد زیر اشاره كرد :
Re: Msg reply
Re: Thank you!
Notification
Re: Hello
Re: Thanks
Re: Yahoo!
Re: Text message
Incoming message
Re: Document
Re: incoming Msg
عناوین پیوست هایی كه كرم W۳۲/Bagle.aa@MM تحت آنها توزیع می شود بسیار زیاد است .
در زیر به تعدادی از آنها اشاره می كنیم :
Information
Document
Morelnfo
Details
Info
You_ will_ answer_ to_ me
Text_ document
The_message
Readme
Details
فایل حاوی این كرم یكی از پسوند های زیر را دارا می باشد:
Hta
Vbs
Exe
Scr
Com
cpl
پس از آن كه ویروس مذكور وارد سیستم شد كلید زیر را به رجیستری ویندوز می افزاید :
HKEY_CURRENT_USER/Software/Microsoft/Current Version/Run
Drvddll.exe=C:/WINNT/SYSTEM۳۲/drvddll.exe
در كلید رجیستری فوق به جای drvddll.exe ، نام هایی كه فایل حاوی كرم W۳۲/Bagle.aa@MM اتخاد می كند قرار می گیرد .
كرم مذكور سعی می كند با اتخاذ نام های فایلی خاص و گول زننده به فریب برنامه های امنیتی داخل سیستم بپردازند .
نام های فایلی كه این كرم اتخاذ می كند بسیار زیاد است و در حوصله ی این مقاله نمی گنجد به همین دلیل ما فقط به تعدادی از آنها اشاره می كنیم :
Anti Trojan.exe
BootWarn.exe
Clean.exe
DPFSetup.exe
EScanHNT.exe
FRW.exe
GuardDog.exe
HTLOG.exe
Lfw۲۰۰۰exe
Kerio WRL ۴۲۱ EN WIN.exe
NC۲۰۰۰.exe
PCDSETUP.exe
QCONSOLE.exe
ANTIVIRUD.exe
Blacklce.exe
CleanPC.exe
DRWEBUPW.exe
EXAntiVirus CNET.exe
GUARD.exe
HackTracerSetup.exe
lcloadnt.exe
JAMMER.exe
MSCONFIG.exe
OUTPOST.exe
FSAV.exe
RRGAURD.exe
SAFEWB.exe
TlTANlN.exe
VBWlNNTW.exe
SysEdit.exe
ZAPRO.exe
WNT.exe
▪ BAT. Sebak
BAT.Sebak اسب تراوایی می باشد كه پس از ورود به سیستم ابتدا پیغامی را نمایش داده و سپس عملكردی از سیستم را غیر فعال می كند . این اسب تراوا سیستم های مبتنی بر ویندوز ، لینوكس ، مكینتاش ، یونیكس ،Novell Netware و OS/۲ را مورد حمله قرار می دهد .این اسب تراوا پس از ورود به سیستم اعمال زیر را در سیستم انجام می دهد :
۱ ـ در پوشه های %Windir و C:/Mydocu~۱ پسوند فایل ـ هایی كه دارای پسوندهای زیر هستند را به bat . تغییر می دهد :
.txt
log.
.tmp
.net
.jpg
.gif
.avi
.doc
.xls
.bmp
توجه : در اینجا %Windir% یك متغیر است و منظور از آن پوشه ی نصب ویندوز می باشد . معمولاً به طور پیش فرض این پوشه C:/Windows یا C:/Winnt می باشد .
۲ ـ خود را به صورت %Winir%/system۷.bat كپی می كند.
۳ ـ یك كپی از محتوای واقع در آدرس زیر را در پوشه ی %Windir% قرار می دهد :
http://securityresponse.symantec.com/avcenter/venc/data/vbs.tante.a@mm.html
۴ـ مقدار Epy=C:/Windows/system۷.bat را به كلید زیر از رجیستری می افزاید :
HKEY_Local _MACHlNE/SOFTWARE/Microsoft/Windows/CurrentVersion/Runبه این ترتیب اسب تراوای BAT.Sebak هنگام راه اندازی ویندوز شروع به اجرا شدن می نماید .
۵ ـ كادر پیغامی با متن زیر را نشان می دهد :
lm Batch Epy and You areBiTchEpy !! BAT/EpyCreated By sevenC {۱۷ _۰۴ _۰۴} Bekasi lndonesia
۶ ـ در صورتی كه تقویم سیسم روز نوزدهم از ماه را نشان می دهد یا ساعت سیستم بر روی ساعت ۱۹ یا دقیقه ۱۹ و یا ثانیه ۱۹ قرار بگیرد ؛ فعال شده و باعث غیر فعال شدن برخی از عملكردهای سیستم مانند از كار افتادن ماوس و صفحه كلید و یا قفل كردن سیستم می شود .
شركت Symantec برای برخورد و مقابل با تهدیدات مختلف اینترنتی راه های زیر را به كاربران و مدیران شبكه پیشنهاد می كند :
سرویس های غیر ضروری موجود بر روی سیستم را خاموش كرده و حذف نمایید . به طور پیش فرض برخی از سیستم های عامل تعدادی سرویس را نصب می كنند كه چندان برای سیستم ضروری نیستند .
از جمله ی این سرویس ها می توان به سرویس دهنده ی FTP ، Telnet و یا سرویس دهنده ی وب اشاره كرد . این سرویس ها مسیری برای حمله ی كدهای مخرب به حساب می آیند .
با حذف این سرویس ها و پس از پاك كردن این كد مخرب ؛ سرویس های كمتری به نصب Patch نیاز خواهند داشت .
اگر كد مخربی یك یا چند سرویس شبكه ای را مورد حمله قرار داد آن سرویس ها را تا زمانی كه آن كد را پاك نكرده اید و Patch لازم را نصب ننموده اید ؛ غیر فعال كرده و یا راه دسترسی به آنها را برای سایر كاربران مسدود كنید .
همیشه سعی كنید Patch های جدید را دریافت كرده و سرویس هایتان را به روز نگه دارید خصوصاً در مورد كامپیوترهایی كه میزبان سرویس های عمومی هستند و یا از طریق دیوار آتش قابل دسترس می باشند مانند سرویس های پستی HTTP ، FTP ، و یا DNS .
از كلمه ی عبور برای حفاظت بیشتر از سیستم استفاده كنید . به كارگیری كلمات عبور پیچیده راه ورود كدهای مخرب را دشوار می سازد چرا كه شكستن كلمات عبور پیچیده به مدت زمان و تلاش زیادی نیاز دارد .
سرویس دهنده ی Email تان به گونه ای پیكربندی كنید كه راه را بر Email هایی كه پیوست آنها دارای پسوند های معروفی چون .vbs ، .bat ، .exe ، .pif ، و .scr هستند بسته و یا آنها را حذف كند . غالباً پیوست های Email ی مخرب دارای پسوندهای مذكور می باشند .
اگر در یك شبكه قرار دارید به محض اطلاع از آلوده شدن یك سیستم ، آن را از شبكه خارج سازید تا مانع توزیع كد مخرب بین سایر كامپیور ها شوید .
مدیران شركت های كامپیوتری باید آموزش های لازم را در اختیار كاركنان قرار دهند و به آنها بیاموزند كه فقط پیوست های Email ی آشنا و پیوست هایی كه انتظارشان را می كشند باز كنند .
قبل از باز كردن نرم افزار های Download شده از اینترنت ؛ آنها را توسط برنامه های ضد ویروس چك كرده و از آلوده نبودنشان مطمئن شوید . البته گاهی تنها مرور یك سایت آلوده می تواند مرورگر آسیب پذیر شما را نیز آلوده كرده و وارد سیستم تان شود .
علاوه بر به كارگیری توصیه های بالا لازم است اقدامات زیر را انجام دهید :
۱ـ برنامه System Restore را در ویندوزهای Me و XP غیر فعال كنید .
۲ـ ضد ویروس تان را به رور نمایید .
۳ـ تمام سیستم را اسكن كرده و تمام فایل هایی كه آلوده شده اند را حذف كنید .
۴ـ مقدرا افزوده شده به رجیستری را حذف كنید .
▪ غیر فعال كردن برنامه ی System Restore
توصیه می شود درسیستم های ویندوز XP و Me به طور موقت برنامه ی System Restore غیر فعال گردد . در این ویندوزها از ویژگی مذكور هنگام خراب شدن سیستم برای بازگردانی آن استفاده می شود . این ویژگی به طور پیش فرض فعال است .
وقتی یك ویروس ، كرم و یا اسب تراوایی وارد سیستم می شود ویژگی مذكور ممكن است پشتیان آنها را نیز به همراه سایر اقلام سیستم تهیه كند .
از طرفی ویندوز به برنامه های خارجی مانند ضد ویروس ها اجازه ی ایجاد تغییر در محتوای System Restore را نمی دهد .
به این ترتیب ویروس هایی كه توسط ویژگیSystem Restore پشتیبان آنها ذخیره می شود را نمی توان از پوشه ی System Restore پاك كرد . حتی پس از آن كه شما ویروس را از سیستم خود پاك نمودید هنوز این ویروس در پوشه ی System Restore وجود دارد و در صورتی كه سیستم خراب شود و شما بخواهید آن را به یك نقطه ی مطمئن قبلی بازگردانید ویروس نیز به همراه محتوایی كه بازگردانده می شود بر روی سیستم شما بارگذاری می گردد .
البته با استفاده از یك اسكن كننده ی ویروس می توان از وجود ویروس در System Restore مطلع شد .
▪ به روز نمودن شناسه های ویروسی .
برای دریافت شناسه های به روز شده ی ویروسی دو راه وجود دارد :
استفاده از سرویس های LiveUpdate : با استفاده از این سرویس ها می توان آخرین شناسه های یافت شده ی ویروسی را به ضد ویروس افزود . برای دسترسی به این سرویس ها باید به سایت شركت توزیع كننده ی ضد ویروس تان سر بزنید .
این سرویس ها را می توان تحت لینك هایی چون Virus Definitions و یا LiveUpdate پیدا كرد . شركت Symantec معمولاً هفته ای یك بار و آن هم روزهای چهار شنبه شناسه های جدید را بر روی سرویس دهنده ی خود قرار می دهد .
راه بعدی برای دریافت شناسه های جدید Download كردن آنها با استفاده از lntelligent Updater است . این مؤلفه بر روی وب سایت Security Response Symantec قرار دارد و از روز دوشنبه تا روز جمعه قابل دسترس می باشد . هنگام استفاده از این مؤلفه توجه به دو نكته ضروری است .
ابتدااز وجود شناسه ی مربوط به كد مخرب سیستم تان در فهرست lntelligent Updater مطمئن شوید و دیگر آن كه پس از Download كردن شناسه ی جدید آن را باید بر روی سیستم تان نصب كنید تا قابل استفاده گردد .
▪ اسكن كردن كل سیستم .
همانطور كه گفتیم یكی از اقداماتی كه باید پس از ورود كد مخرب به داخل سیستم انجام داد ، اسكن كردن تمام سیستم و یافتن فایل های آسیب دیده می باشد . اقدامی كه باید پس از یافتن فایل های آسیب دیده باید انجام دهید حذف آنها می باشد .
گاهی ضد ویروس می تواند سیستم را اسكن كرده و فایل های آسیب دیده را پیدا كند ولی قادر به پاك كردن آنها نیست . در چنین مواقعی معمولاً با این پیغام كه ویندوز در حال استفاده از آن فایل می باشد روبرو می شوید .
اگر برای شما چنین وضعیتی به وجود آمد سیستم را در حالت Safe Mode راه اندازی كرده و سپس به حذف فایل هایی كه ضد ویروس پیدا می كند بپردازید .
▪ پاك كردن مقدار افزوده شده به رجیستری .
قبل از آن كه به پاك كردن مقداری كه توسط ویروس به رجیستری افزوده می شود بپردازید باید یك پشتیبان از محتوای رجیستری تهیه كنید .
چون ایجاد تغییر در رجیستری گاهی می تواند ثبات سیستم را به هم بریزد .
برای حذف كلیدی كه اسب تراوای BAT.Sebak به رجیستری می افزاید ؛ به ترتیب زیر عمل می كنید :
۱ـ از منوی Start گزینه ی Run را انتخاب كنید .
۲ـ در فیلد Open عبارت Regedit را تایپ نموده و دكمه ی OK را كلیك كنید تا وارد برنامه ی Registry Editor شوید .
۳ـ مسیر زیر را طی نمایید :
HKEY_LOCAL_MACHlNE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
۴ـ از برنامه ی Registry Editor خارج شوید .
نمایندگی زیمنس ایران فروش PLC S71200/300/400/1500 | درایو …
دریافت خدمات پرستاری در منزل
pameranian.com
پیچ و مهره پارس سهند
تعمیر جک پارکینگ
خرید بلیط هواپیما
انتخابات عراق مجلس شورای اسلامی حسن روحانی دولت سیزدهم نیکا شاکرمی دولت چین مجلس رهبر انقلاب بابک زنجانی شهید مطهری
ایران تهران هواشناسی یسنا سیل هلال احمر روز معلم آتش سوزی پلیس معلم شهرداری تهران آموزش و پرورش
قیمت خودرو سهام عدالت قیمت طلا بازار خودرو حقوق بازنشستگان طلا خودرو قیمت دلار بانک مرکزی ایران خودرو سایپا ارز
عمو پورنگ موسیقی لیلا بلوکات سریال تلویزیون سینمای ایران عفاف و حجاب مسعود اسکویی سینما تئاتر
رژیم صهیونیستی اسرائیل فلسطین غزه آمریکا جنگ غزه روسیه حماس ترکیه نوار غزه انگلیس اوکراین
استقلال فوتبال پرسپولیس علی خطیر سپاهان باشگاه استقلال تراکتور لیگ برتر جواد نکونام لیگ برتر ایران رئال مادرید لیگ قهرمانان اروپا
هوش مصنوعی ناسا تبلیغات اپل اینستاگرام گوگل تلفن همراه عکاسی
خواب فشار خون کبد چرب