ويروس FakeAlert-IO چيست ؟
یک "اسب تروا" (Trojan) با درجه خطر کم می باشد و می تواند از طریق پیوند (link) هایی که در نتیجه جستجو در سایت Office.microsoft.com در اختیار کاربر گذاشته می شود، به کامپیوتر کاربر رخنه کند. نتایج نمایش داده شده، اکثراً مربوط به صفحات سایت مایکروسافت می باشند ولی این احتمال نیز وجود دارد که نتایج ارائه شده کاربر را به سایت های دیگر هدایت کند. سایت هایی که به سلامت آنها اطمینانی نیست.
انتشار :
در صورت استفاده از امکان Search در سایت Office.microsoft.com نتیجه جستجو شامل فهرستی از پیوندهایی خواهد بود که اکثراً مربوط به صفحات سایت مایکروسافت می باشند ولی این احتمال نیز وجود دارد که نتایج ارائه شده کاربر را به سایت های دیگر هدایت کند. سایت هایی که به سلامت آنها اطمینانی نیست. به ویژه اینکه نشانی این سایت های غیرمایکروسافتی با عبارت http://Office.microsoft.com شروع می شوند و احتمال خطای کاربر در باور اینکه سایت متعلق به مایکروسافت است، افزایش می یابد. حتی احتمال دارد که ابزارهای امنیتی نیز دچار چنین اشتباهی شده و به اینگونه سایت ها مجوز نمایش بدهند.
یکی از اینگونه سایت های جعلی که کاربر از این طریق به سایت هدایت می شود، نرم افزار جعلی و دروغین ضدویروس به کاربر پیشنهاد می دهد.
خرابكاري :
پس از آلوده شدن کامپيوتر و فعال شدن اسب تروا FakeAlert-IO، کلید زیر در Registry ایجاد می شود.
- HKEY_CURRENT_USER\Software\EVAE88فایل زیر که حاوی برنامه اسب تروا است، بر روی کامپیوتر ایجاد می شوند.
jhpbjhadeh = "<< <5"
mhdbdgkcogpf = ""
- c:\tmp.[نام متغیر]این اسب تروا با سایت زیر تماس برقرار کرده و اطلاعاتی را رد و بدل می کنند.
- download.cnet.com/windows/[Hidden]پيشگيري :
- greatnorthwill.com/?mod=[Hidden]&i=[Hidden]&id[Hidden]
آگاه کردن کاربران از خطرات کليک بر روی لينک های ناآشنا، می تواند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند. همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5860 استفاده می کنند از گزند اين ويروس در امان خواهند بود.
ويروس BackDoor.DOQ چيست ؟
یک "اسب تروا" (Trojan) با درجه خطر کم می باشد و توسط سایت های واقعی که به خاطر ضعف های امنیتی قابل رخنه بوده اند و آلوده شده اند، منتشر می شود. تنها نکته قابل توجه درباره این اسب تروا، ترکیب روش های مختلف نفوذ و آلودگی است.
انتشار
سایت های واقعی و پرطرفدار که دارای نقاط ضعف امنیتی هستند و قابل رخنه می باشند، توسط افراد خلافکار شناسائی شده و برنامه مخربی در صفحات اینگونه سایت ها قرار داده می شوند. در این گونه خاص ، از روش SQLInjection برای نفوذ به سایت ها استفاده می گردد.
تنها مشاهده این صفحات دستکاری شده کافی است تا برنامه مخرب بر روی کامپیوتر قربانی قرار گیرد. سپس، این برنامه اقدام به جستجوی نرم افزارهای کاربردی آسیب پذیر (مانند مرورگر، Office، Flash، Adobe Acrobat و ...) نموده و در صورت یافتن اقدام به سوء استفاده از آن برای نصب برنامه جاسوسی به نام BackDoor.Win3.Buzus.Croo می نماید. این برنامه جاسوسی اطلاعات شخصی کاربر را جمع آوری کرده و به سایت خاصی ارسال می کند.
خرابكارى
برنامه جاسوسی بر روی کامپیوتر قربانی بصورت یک سرویس سیستم عامل نصب و اجرا می گردد. بدین منظور کلیدهای زیر در Registry ایجاد می شود.
در کلید فوق، File Name می تواند فایل مخربی با نام های متفاوت باشد.- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[file name]
همچنین اسب تروا backdoor.DOQ اقدام به ایجاد فایل های زیر می نماید.
این اسب تروا با سایت های زیر ارتباط برقرار می کند.- %DIR%\auto.exe
- %DIR%\AutoRun.inf
- %DIR%\Documents and Settings\[user]\Local Settings\Temp\~t11A.tmp
- %DIR%\Documents and Settings\[user]\Local Settings\Temp\~t219.tmp
- %DIR%\Documents and Settings\[user]\Local Settings\Temp\8458750.bat
- %DIR%\Documents and Settings\[user]\Local Settings\Temp\jxfqt.tmp
- %DIR%\Program Files\dnf.exe
- %DIR%\Program Files\Common Files\auto.exe
- %SYSDIR%\system32\imm32.dll.bak
- %SYSDIR%\system32\kb011164832.dll
- %SYSDIR%\system32\kb811164841.dll
- %SYSDIR%\system32\wmitpfs.dll
- %SYSDIR%\system32\wsconfig.db
- %SYSDIR%\system32\drivers\bmtpws31.dat
- %SYSDIR%\system32\drivers\Encionc_ch.dat
پيشگيرى- dns.win[removed].com.cn
- ver.win[removed].com.cn
- temp.cxx[removed].com.cn
آگاه کردن کاربران از خطرات نامه های الکترونیکی ناخواسته (هرزنامه یا SPAM) و کليک بر روی لينک های ناآشنا، می تواند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین علاوه بر سیستم های عامل، نصب آخرین اصلاحیه های امنیتی برای نرم افزارهای کاربردی مانند مرورگرها، Office، Adobe Acrobat و ... می تواند مانع بسیاری از حملات و نفوذ به کامپیوترها شود.
مشترکينی که از ضدويروس مک آفی با حداقل DAT 5830 استفاده می کنند از گزند اين ويروس در امان خواهند بود.
دوست عزیز، به سایت علمی نخبگان جوان خوش آمدید
مشاهده این پیام به این معنی است که شما در سایت عضو نیستید، لطفا در صورت تمایل جهت عضویت در سایت علمی نخبگان جوان اینجا کلیک کنید.
توجه داشته باشید، در صورتی که عضو سایت نباشید نمی توانید از تمامی امکانات و خدمات سایت استفاده کنید.
پاسخ با نقل قول
علاقه مندی ها (Bookmarks)