آبجی
1st April 2010, 02:51 PM
Dat براي شناسايي5332
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و اقدام به دزديدن نامهای کاربری و رمزهای عبور نرم افزار Yahoo Messenger از روی دستگاه آلوده می کند. اولين نمـونه آن در آبـان هشتـاد و شش مشـاهـده شده و از آن زمان تاکنون، چندين گونه از PWS-Yahmali با حجمهای مختلف ايجاد شده است.
انتشار
اسب های تروا بـرنـامـه هـايی هستند کـه بعنوان يک بـرنـامـه سـودمنـد بـه کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ویروس PWS-Yahmali نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرای آن بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتـراک گـذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و یا نرم افزارهای نصب شده بر روی آنها، بخصـوص سيستـم عـامـل کـه دارای حفـره هـای امنيتـی هستنـد، ايـن اسب تروا را دريافت کنند.
خرابکاری
ويروس PWS-Yahmali يک اسب تروای "رمز دزد" (Password Stealer) است که نرم افزار Yahoo Messenger را بر روی سيستم آلوده، هدف قرار می دهد. اين ويروس اقدام به دزديدن نامهای کاربری و رمزهای وارده شده توسط کاربر در نرم افزار Yahoo Messenger و ارسال آنها به سايت http://www.ilam-mind-makers.com می کند.
به محض اجرای ویروس، فايلهای زير ايجاد می شوند:
·%Temp%\Services.exe
·%Temp%\LSASS.EXE
·%Temp%\SMSS.EXE
·%Temp%\CSRSS.EXE
·%Temp%\WINLOGON.EX
همچنين اين ويـروس بـرای فـريب کـاربـر، نشان (Icon) ايـن فـايلهـا را همـاننـد نشان پوشه (Folder) نمایش می دهد.
در آخرين نمونه مشاهده شده در ايران، ويروس PWS-Yahmali به ازای هر پوشه ای که کاربر باز می کند، يک فايل اجرايی همنام و هم نشان با آن پوشه ايجاد نموده و برای فريب کاربر، پوشه واقعی را از نوع سيستم (System Type) می کند.
همچنين اين ويروس، با دستکاری کليد زير در محضرخانه، خود را در هر بار راه اندازی دستگاه، به سيستم عامل تزريق می کند:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Winlogon\"shell" = "explorer.exe "C:\DOCUME~1\{username}\LOCALS~1\
Temp\services.exe""
ضمن اينکه با تغيير دادن کليدهای زير سبب می شود که پسوند فايلها و همچنين پوشه ها و فايلهای سيستمی در Explorer نشان داده نشوند:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\
Explorer\Advanced "HideFileExt = [REG_DWORD, value: 00000001]
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\
Explorer\Advanced "ShowSuperHidden" =[REG-DWORD, value 00000000]
پيشگيری
اولين راه برای پيشگيری از آلودگي، عدم كنجكاوی درباره فايل های مشكوك و ناشناس و يا با عناوين جذاب است كه در سايت های اشتراك فايل و يا پيام رسانها (Messenger) فراوان ديده می شوند. بهتر است فايل ها و ابزار مورد نياز از سايت های معتبر تهيه شود. بـه روز نگه داشتـن ضـدويـروس و همچنين نصب آخـريـن اصـلاحيه های سيستم عامل و نرم افزار پيام رسان Yahoo Messenger، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برسانند.
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و اقدام به دزديدن نامهای کاربری و رمزهای عبور نرم افزار Yahoo Messenger از روی دستگاه آلوده می کند. اولين نمـونه آن در آبـان هشتـاد و شش مشـاهـده شده و از آن زمان تاکنون، چندين گونه از PWS-Yahmali با حجمهای مختلف ايجاد شده است.
انتشار
اسب های تروا بـرنـامـه هـايی هستند کـه بعنوان يک بـرنـامـه سـودمنـد بـه کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ویروس PWS-Yahmali نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرای آن بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتـراک گـذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و یا نرم افزارهای نصب شده بر روی آنها، بخصـوص سيستـم عـامـل کـه دارای حفـره هـای امنيتـی هستنـد، ايـن اسب تروا را دريافت کنند.
خرابکاری
ويروس PWS-Yahmali يک اسب تروای "رمز دزد" (Password Stealer) است که نرم افزار Yahoo Messenger را بر روی سيستم آلوده، هدف قرار می دهد. اين ويروس اقدام به دزديدن نامهای کاربری و رمزهای وارده شده توسط کاربر در نرم افزار Yahoo Messenger و ارسال آنها به سايت http://www.ilam-mind-makers.com می کند.
به محض اجرای ویروس، فايلهای زير ايجاد می شوند:
·%Temp%\Services.exe
·%Temp%\LSASS.EXE
·%Temp%\SMSS.EXE
·%Temp%\CSRSS.EXE
·%Temp%\WINLOGON.EX
همچنين اين ويـروس بـرای فـريب کـاربـر، نشان (Icon) ايـن فـايلهـا را همـاننـد نشان پوشه (Folder) نمایش می دهد.
در آخرين نمونه مشاهده شده در ايران، ويروس PWS-Yahmali به ازای هر پوشه ای که کاربر باز می کند، يک فايل اجرايی همنام و هم نشان با آن پوشه ايجاد نموده و برای فريب کاربر، پوشه واقعی را از نوع سيستم (System Type) می کند.
همچنين اين ويروس، با دستکاری کليد زير در محضرخانه، خود را در هر بار راه اندازی دستگاه، به سيستم عامل تزريق می کند:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Winlogon\"shell" = "explorer.exe "C:\DOCUME~1\{username}\LOCALS~1\
Temp\services.exe""
ضمن اينکه با تغيير دادن کليدهای زير سبب می شود که پسوند فايلها و همچنين پوشه ها و فايلهای سيستمی در Explorer نشان داده نشوند:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\
Explorer\Advanced "HideFileExt = [REG_DWORD, value: 00000001]
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\
Explorer\Advanced "ShowSuperHidden" =[REG-DWORD, value 00000000]
پيشگيری
اولين راه برای پيشگيری از آلودگي، عدم كنجكاوی درباره فايل های مشكوك و ناشناس و يا با عناوين جذاب است كه در سايت های اشتراك فايل و يا پيام رسانها (Messenger) فراوان ديده می شوند. بهتر است فايل ها و ابزار مورد نياز از سايت های معتبر تهيه شود. بـه روز نگه داشتـن ضـدويـروس و همچنين نصب آخـريـن اصـلاحيه های سيستم عامل و نرم افزار پيام رسان Yahoo Messenger، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برسانند.