آبجی
1st April 2010, 02:54 PM
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و نفوذگران از آن به عنوان ابزاری برای نفوذ به شبکه استفاده می کنند.
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
ويروس BackDoor-DTN نيز همانند ساير اسب های تروا، با دريافت ویروس از اينترنت و اجرای آن بر روی دستگاه انتشار می یابد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، به خصوص سيستم عامل که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
خرابکاری
به محض آلوده شدن يک کامپيوتر به اين ويروس، در مسيرهای زير فایلهای مخرب ایجاد می شود:
- %Temp%\[اعدادی تصادفی].exe
- %Windir%\system32\drivers\[کاراکترهای تصادفی].sys
فایل اول توسط ضدویروس مک آفی، با نام BackDoor-DTN و فایل دوم بعنوان BackDoor-DTN!sys شناسایی می گردد.
سپس این ويروس با تعريف کليدهای زير در محضرخانه، خود را در هر بار راه اندازی دستگاه (حتی درحالت Safe Mode)، به سيستم عامل تزريق می کند:
- HKLM\SYSTEM\CurrentControlSet\Services\[کاراکترهایتصادفی].sys ImagePath =
\??\%Windir%\system32\drivers\[کاراکترهایتصادفی].sys
- HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Min imal\[کاراکترهایتصادفی].sys
- HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Net work\[کاراکترهای تصادفی].sys
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunOnce tdss = %Temp%\[ اعدادی تصادفی].exe
همچنین این ویروس با بررسی مجوزهای دسترسی کاربر جاری، در صورتی که کاربر فاقد حق دسترسی Administrator باشد، خواهد کوشید با سوءاستفاده از یک حفره امنیتی (موضوع اصلاحیه MS08-066)، حق دسترسی را به Administrator ارتقاء دهد.
در ادامه، اين ويروس به سرويس دهنده های زير متصل می شود:
- hxxp://update-product.net
- hxxp://updb-update[blocked].com
این ویروس پروسه هایی را که در نام آنها یکی از عبارتهای زیر باشد، غیرفعال می کند:
- Penis32.exe
- teekids.exe
- Microsoft Inet XpMSBLAST.exe
- windows auto update
- mscvb32.exe
- System MScvb
- sysinfo.exe
- PandaAVEngine
- taskmon
ویروس BackDoor-DTN این توانایی را دارد که نرم افزارهای امنیتی AVG، Avira، CA، Outpost، Kaspersky، Windows Defender و بخش Windows Firewall را از کار بیاندازد.
همچنین این ویروس در صورت وجود فایلهای زیر در پوشه سیستمی Windows آنها را حذف می کند:
- vcutil.dll
- hlfkt.dll
- phfkt.dll
- rdshost2.dll
- rdssrv2.exe
- dofckt.dll
- hdfkt.dll
- rdshost.dll
- rdssrv.exe
از نکات مثبت این ویروس، حذف برخی برنامه های مخرب نصب شده بر روی سیستم نظیر ضدویروسهای جعلی Antivirus 2009 است که در مسیرهای زیر به آنها اشاره شده است:
- HKLM\System\CurrentControlSet\Control\SafeBoot\Net work
- HKLM\System\CurrentControlSet\Control\SafeBoot\Min imal
- HKLM\System\CurrentControlSet\Services
- HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\W inlogon\Notify
- HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects
- HKLM\Software\Microsoft\Windows\CurrentVersion\She llServiceObjectDelayLoad
- HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings
بطور کلی ویروس BackDoor-DTN دارای قابلیتهای زیر است که نفوذگر می تواند از آنها سوءاستفاده کند:
- ارسال اطلاعات ذخیره شده بر روی سیستم (نظیر سایتهای مشاهده شده)
- سرقت اطلاعات کاربر از نرم افزارهایی نظیر Outlook و Google Talk
- گرفتن عکس از کارهای کاربر
- حذف و نصب برنامه ها
- از کار انداختن پروسه ها
- ذخیره کلیدهای زده شده بر روی صفحه کلید
- به روز کردن خود
[B]پيشگيري
به روز نگه داشتن ضدويروس و نصب تمامی اصلاحيه های سيستم عامل بخصوص اصلاحیه MS08-066 در کنار آگاه کردن کاربران در خصوص خطر کليک بر روی لينک های ناآشنا، همگی می توانند خطر آلوده شدن به اين ويـروس و يـا گونه های مشابه را به حداقل برسانند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5545 استفاده می کنند از گزند اين ويروس در امان خواهند بود.
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
ويروس BackDoor-DTN نيز همانند ساير اسب های تروا، با دريافت ویروس از اينترنت و اجرای آن بر روی دستگاه انتشار می یابد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، به خصوص سيستم عامل که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
خرابکاری
به محض آلوده شدن يک کامپيوتر به اين ويروس، در مسيرهای زير فایلهای مخرب ایجاد می شود:
- %Temp%\[اعدادی تصادفی].exe
- %Windir%\system32\drivers\[کاراکترهای تصادفی].sys
فایل اول توسط ضدویروس مک آفی، با نام BackDoor-DTN و فایل دوم بعنوان BackDoor-DTN!sys شناسایی می گردد.
سپس این ويروس با تعريف کليدهای زير در محضرخانه، خود را در هر بار راه اندازی دستگاه (حتی درحالت Safe Mode)، به سيستم عامل تزريق می کند:
- HKLM\SYSTEM\CurrentControlSet\Services\[کاراکترهایتصادفی].sys ImagePath =
\??\%Windir%\system32\drivers\[کاراکترهایتصادفی].sys
- HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Min imal\[کاراکترهایتصادفی].sys
- HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Net work\[کاراکترهای تصادفی].sys
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunOnce tdss = %Temp%\[ اعدادی تصادفی].exe
همچنین این ویروس با بررسی مجوزهای دسترسی کاربر جاری، در صورتی که کاربر فاقد حق دسترسی Administrator باشد، خواهد کوشید با سوءاستفاده از یک حفره امنیتی (موضوع اصلاحیه MS08-066)، حق دسترسی را به Administrator ارتقاء دهد.
در ادامه، اين ويروس به سرويس دهنده های زير متصل می شود:
- hxxp://update-product.net
- hxxp://updb-update[blocked].com
این ویروس پروسه هایی را که در نام آنها یکی از عبارتهای زیر باشد، غیرفعال می کند:
- Penis32.exe
- teekids.exe
- Microsoft Inet XpMSBLAST.exe
- windows auto update
- mscvb32.exe
- System MScvb
- sysinfo.exe
- PandaAVEngine
- taskmon
ویروس BackDoor-DTN این توانایی را دارد که نرم افزارهای امنیتی AVG، Avira، CA، Outpost، Kaspersky، Windows Defender و بخش Windows Firewall را از کار بیاندازد.
همچنین این ویروس در صورت وجود فایلهای زیر در پوشه سیستمی Windows آنها را حذف می کند:
- vcutil.dll
- hlfkt.dll
- phfkt.dll
- rdshost2.dll
- rdssrv2.exe
- dofckt.dll
- hdfkt.dll
- rdshost.dll
- rdssrv.exe
از نکات مثبت این ویروس، حذف برخی برنامه های مخرب نصب شده بر روی سیستم نظیر ضدویروسهای جعلی Antivirus 2009 است که در مسیرهای زیر به آنها اشاره شده است:
- HKLM\System\CurrentControlSet\Control\SafeBoot\Net work
- HKLM\System\CurrentControlSet\Control\SafeBoot\Min imal
- HKLM\System\CurrentControlSet\Services
- HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\W inlogon\Notify
- HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects
- HKLM\Software\Microsoft\Windows\CurrentVersion\She llServiceObjectDelayLoad
- HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings
بطور کلی ویروس BackDoor-DTN دارای قابلیتهای زیر است که نفوذگر می تواند از آنها سوءاستفاده کند:
- ارسال اطلاعات ذخیره شده بر روی سیستم (نظیر سایتهای مشاهده شده)
- سرقت اطلاعات کاربر از نرم افزارهایی نظیر Outlook و Google Talk
- گرفتن عکس از کارهای کاربر
- حذف و نصب برنامه ها
- از کار انداختن پروسه ها
- ذخیره کلیدهای زده شده بر روی صفحه کلید
- به روز کردن خود
[B]پيشگيري
به روز نگه داشتن ضدويروس و نصب تمامی اصلاحيه های سيستم عامل بخصوص اصلاحیه MS08-066 در کنار آگاه کردن کاربران در خصوص خطر کليک بر روی لينک های ناآشنا، همگی می توانند خطر آلوده شدن به اين ويـروس و يـا گونه های مشابه را به حداقل برسانند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5545 استفاده می کنند از گزند اين ويروس در امان خواهند بود.