آبجی
1st April 2010, 02:24 PM
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و نفوذگران از آن بعنوان ابزاری برای نفوذ به سایتهای اینترنتی استفاده می کنند.
انتشار
ویروس Backdoor-DZG.dll از طریق ویروس دیگری بنام Backdoor-DZG.dr بصورت پشت صحنه دریافت و در حافظه مقیم می شود.
خرابکاری
فایلهای مخرب این ویروس در مسیر نصب یکی از برنامه های زیر (که اکثر آنها نرم افزارهای مدیریت FTP هستند) کپی می شوند:
FTP Voyager (RhinoSoft.com)
AceFTP 3 (Visicom Media)
Auto FTP Manager 4
Whisper Technology\FTP Surfer
FTP Desktop
WS_FTP 12 (Ipswitch)
LeechFTP
FlashFXP
GoFTP
FileZilla FTP Client
CoreFTP
FTP Commander
CuteFTP
SmartFTP Client
WinSCP
Total Commander
FTP Explorer
Mozilla Firefox
Internet Explorer
Opera
K-Meleon
FineBrowser
TurboFTP
NetSurf
SlimBrowser
Avant Browser
SphereXPlorer
Navigator 9
SEAGULL
Acoo Browser
Safari
Fast Browser
EmFTP
FTP Now
Far
عناوین فایلهای مخرب این ویروس عبارتند از:
ntshrui.dll
rasadhlp.dll
دو پروسه مجاز شرکت مایکروسافت نیز از این نامها استفاده می کنند. در واقع انتخاب این نامها برای فریب کاربر در کشف مخرب بودن آنها می باشد.
همچنین این فایلهای DLL زمانی که در حافظه مقیم شدند برقرار بودن ارتباط با اینترنت را از طریق ارسال درخواست به سایتهای yahoo.com و google.com بررسی می کنند و در صورت دریافت پاسخ از این سایتها اقدام به برقراری ارتباط با سرویس دهنده goo oodbill.cn کرده و اطلاعات مورد نظر نفوذگر به ویروس مقیم در دستگاه قربانی منتقل می شود.
در ادامه این ویروس به سرویس دهنده vividns. net متصل شده و نام کاربری، رمز و نشانی سرویس دهنده FTP سایتهایی که پیشتر مورد نفوذ قرار گرفته اند و اطلاعات هویت سنجی آنها سرقت شده را در قالب username:password@ftpsite دریافت می کند.
در همین خصوص بیش از 68 هزار سرویس دهنده FTP نامهای کاربری و رمزشان توسط نفوذگران بسرقت رفته است که برخی از مهمترین آنها عبارتند از:
ftp.bbc.co.uk
ftp.cisco.com
ftp.amazon.com
ftp.monster.com
زمانی که ویروس به نشانی هایی که از سایت vividns. net دریافت کرده است متصل شد کدهای مخرب را به فایلهای مروبط به صفحات اینترنتی موجود بر روی سرویس دهنده FTP تزریق می کند و پس از آن هر زمان که کاربری به یکی از این 68 هزار سایت مجاز مراجعه کند به ویروسهای مورد نظر نفوذگر آلوده می شود.
در حال حاضر بسیاری از مدیران این سایتها در حال کشف و اصلاح کدهای مخرب درون صفحات سایتشان هستند و اطلاع رسانی از سوی شرکتهای امنیتی به مسئولین سایتهایی که تا کنون متوجه وجود این نفوذ نشده اند ادامه دارد.
پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينکهای ناآشنا همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنين مشترکينی که از ضدويروس مک آفی با حداقل DAT 5664 استفاده می کنند از گزند اين ويروس در امان خواهند بود.
انتشار
ویروس Backdoor-DZG.dll از طریق ویروس دیگری بنام Backdoor-DZG.dr بصورت پشت صحنه دریافت و در حافظه مقیم می شود.
خرابکاری
فایلهای مخرب این ویروس در مسیر نصب یکی از برنامه های زیر (که اکثر آنها نرم افزارهای مدیریت FTP هستند) کپی می شوند:
FTP Voyager (RhinoSoft.com)
AceFTP 3 (Visicom Media)
Auto FTP Manager 4
Whisper Technology\FTP Surfer
FTP Desktop
WS_FTP 12 (Ipswitch)
LeechFTP
FlashFXP
GoFTP
FileZilla FTP Client
CoreFTP
FTP Commander
CuteFTP
SmartFTP Client
WinSCP
Total Commander
FTP Explorer
Mozilla Firefox
Internet Explorer
Opera
K-Meleon
FineBrowser
TurboFTP
NetSurf
SlimBrowser
Avant Browser
SphereXPlorer
Navigator 9
SEAGULL
Acoo Browser
Safari
Fast Browser
EmFTP
FTP Now
Far
عناوین فایلهای مخرب این ویروس عبارتند از:
ntshrui.dll
rasadhlp.dll
دو پروسه مجاز شرکت مایکروسافت نیز از این نامها استفاده می کنند. در واقع انتخاب این نامها برای فریب کاربر در کشف مخرب بودن آنها می باشد.
همچنین این فایلهای DLL زمانی که در حافظه مقیم شدند برقرار بودن ارتباط با اینترنت را از طریق ارسال درخواست به سایتهای yahoo.com و google.com بررسی می کنند و در صورت دریافت پاسخ از این سایتها اقدام به برقراری ارتباط با سرویس دهنده goo oodbill.cn کرده و اطلاعات مورد نظر نفوذگر به ویروس مقیم در دستگاه قربانی منتقل می شود.
در ادامه این ویروس به سرویس دهنده vividns. net متصل شده و نام کاربری، رمز و نشانی سرویس دهنده FTP سایتهایی که پیشتر مورد نفوذ قرار گرفته اند و اطلاعات هویت سنجی آنها سرقت شده را در قالب username:password@ftpsite دریافت می کند.
در همین خصوص بیش از 68 هزار سرویس دهنده FTP نامهای کاربری و رمزشان توسط نفوذگران بسرقت رفته است که برخی از مهمترین آنها عبارتند از:
ftp.bbc.co.uk
ftp.cisco.com
ftp.amazon.com
ftp.monster.com
زمانی که ویروس به نشانی هایی که از سایت vividns. net دریافت کرده است متصل شد کدهای مخرب را به فایلهای مروبط به صفحات اینترنتی موجود بر روی سرویس دهنده FTP تزریق می کند و پس از آن هر زمان که کاربری به یکی از این 68 هزار سایت مجاز مراجعه کند به ویروسهای مورد نظر نفوذگر آلوده می شود.
در حال حاضر بسیاری از مدیران این سایتها در حال کشف و اصلاح کدهای مخرب درون صفحات سایتشان هستند و اطلاع رسانی از سوی شرکتهای امنیتی به مسئولین سایتهایی که تا کنون متوجه وجود این نفوذ نشده اند ادامه دارد.
پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينکهای ناآشنا همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنين مشترکينی که از ضدويروس مک آفی با حداقل DAT 5664 استفاده می کنند از گزند اين ويروس در امان خواهند بود.