آبجی
1st April 2010, 02:24 PM
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در دسته دریافت کننده فایلهای مخرب (Downloader) قرار می گیرد. اولين نمونه اين ويروس در ماه جاری (تیر 88) مشاهده شده است.
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ويروس Downloader-BRM نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل، دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
خرابکاری
به محض آلوده شدن يک کامپيوتر به اين ويروس، در مسيرهای زير فایل مخرب کپی می شود:
%SysDir%\Documents and Settings\%USER%\Start Menu\Programs\Startup\rncsys32.exe
همچنین اطلاعات مورد نیاز این ویروس در قالب یک فایل LOG در مسیر زیر ذخیره می شود:
%SysDir%\Documents and Settings\%USER%\Application Data\wiaserva.log
سپس، ويروس Downloader-BRM، کليدهای زير را در محضرخانه تعریف می کند:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers "C:\WINDOWS\explorer.exe"
Data: EnableNXShowUI
در ادامه ويروس Downloader-BRM با سرويس دهنده مخرب زیر ارتباط برقرار نموده و بعد از دریافت ویروسهایی دیگر، آنها را بر روی کامپیوتر قربانی اجرا می کند:
78.109.29.116
از دیگر خرابکاری های این ویروس غیرفعال کردن ضدویروس، دیواره آتش و بخش آپدیت خودکار سیستم عامل می باشد.
پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينکهای ناآشنا همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنين مشترکينی که از ضدويروس مک آفی با حداقل DAT 5664 استفاده می کنند از گزند اين ويروس در امان خواهند بود.
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ويروس Downloader-BRM نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل، دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
خرابکاری
به محض آلوده شدن يک کامپيوتر به اين ويروس، در مسيرهای زير فایل مخرب کپی می شود:
%SysDir%\Documents and Settings\%USER%\Start Menu\Programs\Startup\rncsys32.exe
همچنین اطلاعات مورد نیاز این ویروس در قالب یک فایل LOG در مسیر زیر ذخیره می شود:
%SysDir%\Documents and Settings\%USER%\Application Data\wiaserva.log
سپس، ويروس Downloader-BRM، کليدهای زير را در محضرخانه تعریف می کند:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers "C:\WINDOWS\explorer.exe"
Data: EnableNXShowUI
در ادامه ويروس Downloader-BRM با سرويس دهنده مخرب زیر ارتباط برقرار نموده و بعد از دریافت ویروسهایی دیگر، آنها را بر روی کامپیوتر قربانی اجرا می کند:
78.109.29.116
از دیگر خرابکاری های این ویروس غیرفعال کردن ضدویروس، دیواره آتش و بخش آپدیت خودکار سیستم عامل می باشد.
پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينکهای ناآشنا همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنين مشترکينی که از ضدويروس مک آفی با حداقل DAT 5664 استفاده می کنند از گزند اين ويروس در امان خواهند بود.