آبجی
1st April 2010, 02:49 PM
Dat براي شناسايي5332
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در محیط های Windows از نوع 32 بيتی فعال می گردد. اولين نمونه آن در اسفند هشتاد و چهار مشاهده شده و از آن زمان تاکنون، گونه های متعددی از BraveSentry با حجمهای مختلف ايجاد شده است.
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ویروس BraveSentry نيز همانند ساير اسب های تروا با دريافت آن از اينتـرنت و اجـرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و یا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
ویروس BraveSentry که در خانواده "پيامهای جعلی" (Fake Alert) قرار می گيرد، با نمايش پيامهای هشدار غيرواقعی مبنی بر آلوده بودن دستگاه، کاربر را به صفحات اينترنتی ای که در ظاهر حاوی يک برنامه ضدجاسوسی (AntiSpy) هستند، اما در واقع خود برنامه ای مخرب محسوب می شوند، هدايت می کند.
خرابکاری
به محض اجرای ويروس، يک برنامه ضدويروس دروغين بر روی دستگاه قربانی نصب می گردد. نشان اين ضدويروس جعلی در نوار ابزار (System Tray) ظاهر شده و بصورت پی در پی پيـامهـایی غيـرواقعی در خصـوص آلـوده بـودن دستـگاه، نمـايش می دهد. در ظاهر، نسخه غير ثبت شدهاین ضدویروس تنها فايلها را اسکن کرده و با نشان دادن يک گزارش اشتباه، از کاربر می خواهد با خريد نرم افزار، کامپيوتر خود را پاکسازی کند.
نام فايلها و پوشه های ايجاد شده توسط اين ويروس، در گونه های مختلف آن متفاوت گزارش شده که برخی نمونه های آن در زير آمده است:
-"%TrojDir%\BraveSentry.exe
-%SysDir%Sys[RandomNumber].exe
-%SysDir%SysF[RandomNumber].exe
-%SysDir%SysFA.exe
در ادامه، با ايجاد کليد زير در محضرخانه، اجرا شدن خود را در هر بار راه اندازی سيستم عامل تضمين می کند:
-HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run\Brave-Sentry: "%TrojDir%\BraveSentry.exe"
ضمن اينکه کليدهای جدیدی را نيز در محضرخانه ايجاد می کند.
پيشگيری
بـه روز نگه داشتـن ضـدوـيروس، نصب آخرين اصلاحيه های سيستم عامل و همچنين پيکـربنـدي صحيح بخش Access Protection ضدويروس McAfee (نظير فعال کردن قاعده Protect Internet Explorer favorites and settings) در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينکهای ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در محیط های Windows از نوع 32 بيتی فعال می گردد. اولين نمونه آن در اسفند هشتاد و چهار مشاهده شده و از آن زمان تاکنون، گونه های متعددی از BraveSentry با حجمهای مختلف ايجاد شده است.
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ویروس BraveSentry نيز همانند ساير اسب های تروا با دريافت آن از اينتـرنت و اجـرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و یا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
ویروس BraveSentry که در خانواده "پيامهای جعلی" (Fake Alert) قرار می گيرد، با نمايش پيامهای هشدار غيرواقعی مبنی بر آلوده بودن دستگاه، کاربر را به صفحات اينترنتی ای که در ظاهر حاوی يک برنامه ضدجاسوسی (AntiSpy) هستند، اما در واقع خود برنامه ای مخرب محسوب می شوند، هدايت می کند.
خرابکاری
به محض اجرای ويروس، يک برنامه ضدويروس دروغين بر روی دستگاه قربانی نصب می گردد. نشان اين ضدويروس جعلی در نوار ابزار (System Tray) ظاهر شده و بصورت پی در پی پيـامهـایی غيـرواقعی در خصـوص آلـوده بـودن دستـگاه، نمـايش می دهد. در ظاهر، نسخه غير ثبت شدهاین ضدویروس تنها فايلها را اسکن کرده و با نشان دادن يک گزارش اشتباه، از کاربر می خواهد با خريد نرم افزار، کامپيوتر خود را پاکسازی کند.
نام فايلها و پوشه های ايجاد شده توسط اين ويروس، در گونه های مختلف آن متفاوت گزارش شده که برخی نمونه های آن در زير آمده است:
-"%TrojDir%\BraveSentry.exe
-%SysDir%Sys[RandomNumber].exe
-%SysDir%SysF[RandomNumber].exe
-%SysDir%SysFA.exe
در ادامه، با ايجاد کليد زير در محضرخانه، اجرا شدن خود را در هر بار راه اندازی سيستم عامل تضمين می کند:
-HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run\Brave-Sentry: "%TrojDir%\BraveSentry.exe"
ضمن اينکه کليدهای جدیدی را نيز در محضرخانه ايجاد می کند.
پيشگيری
بـه روز نگه داشتـن ضـدوـيروس، نصب آخرين اصلاحيه های سيستم عامل و همچنين پيکـربنـدي صحيح بخش Access Protection ضدويروس McAfee (نظير فعال کردن قاعده Protect Internet Explorer favorites and settings) در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينکهای ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.