آبجی
1st April 2010, 02:52 PM
Dat براي شناسايي5324
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در دسته دريافت کنندگان فایلهای مخرب (Dropper) قرار می گيرد. اولين نمونه آن در شهريور هشتاد و دو مشاهده شده و از آن زمان تاکنون، چندين گونه از CoreFlood.dr با حجمهای مختلف ايجاد شده است.
انتشار
انتشار ویروس CoreFlood.dr نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و یا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
اين اسب تروا پس از اجرا شدن بر روی کامپيوتر قربانی اقدام به دريافت ويروس CoreFlood که يک ويروس نفوذگر در شبکه يا در واقع نوعی Administration Tool است می کند. سپس هنگامی که مدير شبکه با نام کاربری Administrator برای بررسی های دوره ای به سيستم آلوده وارد می شود، ویروس CoreFlood با استفاده از برنامه P***ec - برنامه کوچکی که توسط مايکروسافت برای مديران شبکه جهت نصب نرم افزارها، از راه دور تهیه شده است - تمام کامپيوترهای شبکه را آلوده می سازد.
خرابکاری
به محض اجرا شدن اين اسب تروا، فايلهای زير ايجاد می شوند:
- %SystemDir%\[Random_DLL_Name].dat
- %SystemDir%\[Random_DLL_Name].dIl
- %SystemDir%\[Random Name].dat
- %SystemDir%\[Random Name].dat
- %SystemDir%\[Random Name].dat
- %SystemDir%\[Random Name].dat
در آخرين گونه از ویروس CoreFlood.dr، فايل آلوده با نام wmedia106.exe اقدام به تزريق خود در Explorer.exe نموده و کليدهای زير را در محضرخانه دستکاری می کند:
</span>
- HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\
explorer\shelliconoverlayidentifiers\[Random_DLL_Name]\ (default)
= {[Random_CLSID]}
پيشگيری
اولين راه برای پيشگيری از آلودگی، عدم كنجكاوی درباره فايل های مشكوك و ناشناس و يا با عناوين جذاب است كه در سايت های اشتراك فايل و يا پيام رسانها فراوان ديده می شوند. بهتر است فايل ها و ابزار مورد نياز خود را از سايت های معتبر تهيه کنید. به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، پرهيز از به اشتراکگذاری پوشهها بر روی شبکه با حق دسترسی نوشتن برای همه افراد (Everyone) و عدم استفاده از نام کاربری Administrator برای کارهای عادی، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برسانند.
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در دسته دريافت کنندگان فایلهای مخرب (Dropper) قرار می گيرد. اولين نمونه آن در شهريور هشتاد و دو مشاهده شده و از آن زمان تاکنون، چندين گونه از CoreFlood.dr با حجمهای مختلف ايجاد شده است.
انتشار
انتشار ویروس CoreFlood.dr نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و یا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
اين اسب تروا پس از اجرا شدن بر روی کامپيوتر قربانی اقدام به دريافت ويروس CoreFlood که يک ويروس نفوذگر در شبکه يا در واقع نوعی Administration Tool است می کند. سپس هنگامی که مدير شبکه با نام کاربری Administrator برای بررسی های دوره ای به سيستم آلوده وارد می شود، ویروس CoreFlood با استفاده از برنامه P***ec - برنامه کوچکی که توسط مايکروسافت برای مديران شبکه جهت نصب نرم افزارها، از راه دور تهیه شده است - تمام کامپيوترهای شبکه را آلوده می سازد.
خرابکاری
به محض اجرا شدن اين اسب تروا، فايلهای زير ايجاد می شوند:
- %SystemDir%\[Random_DLL_Name].dat
- %SystemDir%\[Random_DLL_Name].dIl
- %SystemDir%\[Random Name].dat
- %SystemDir%\[Random Name].dat
- %SystemDir%\[Random Name].dat
- %SystemDir%\[Random Name].dat
در آخرين گونه از ویروس CoreFlood.dr، فايل آلوده با نام wmedia106.exe اقدام به تزريق خود در Explorer.exe نموده و کليدهای زير را در محضرخانه دستکاری می کند:
</span>
- HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\
explorer\shelliconoverlayidentifiers\[Random_DLL_Name]\ (default)
= {[Random_CLSID]}
پيشگيری
اولين راه برای پيشگيری از آلودگی، عدم كنجكاوی درباره فايل های مشكوك و ناشناس و يا با عناوين جذاب است كه در سايت های اشتراك فايل و يا پيام رسانها فراوان ديده می شوند. بهتر است فايل ها و ابزار مورد نياز خود را از سايت های معتبر تهيه کنید. به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، پرهيز از به اشتراکگذاری پوشهها بر روی شبکه با حق دسترسی نوشتن برای همه افراد (Everyone) و عدم استفاده از نام کاربری Administrator برای کارهای عادی، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برسانند.