آبجی
1st April 2010, 02:56 PM
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و از آن به عنوان ابزاری برای نفوذ به شبکه توسط نفوذگران استفاده ميشود.
نامگذاری ها
اين ويروس با نامهای زير توسط ضدويروسهای مختلف شناسايی می شود:
Backdoor.Win32.Bifrose.a (Kaspersky & eScan)
Bck/Bifrose.AP (Panda)
Troj/Bckdr-CEP (Sophos)
W32/Bifrose.A (Norman)
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
ويروس BackDoor-CEP نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه قربانی ، انتشار می یابد. هرزنامه هايی که سعی می کنند کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل، که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
ويروس BackDoor-CEP در آخـريـن گـونـه خـود، بـا استفـاده از سوژه های اجتماعی و اخبار روز، کاربــر را تشویق به اجرای فایلی می کند که در ظاهر یک نوار ابزار (Toolbar) قانونی برای مرورگر اینترنت است اما در واقع فایل اصلی ویروس بوده و پس از اجرا شدن کامپیوتر کاربر را آلوده خواهد کرد.
خرابکاری
بـه مـحـض آلـوده شـدن کـامـپـيـوتـر بـه ايـن ويــروس، در مـسيــر زيـــر یــک فــایــل متنـی ایـجـاد شده و سپس این فـایـل تـوسـط نـرم افزار Notepad.exe باز می شود.
%USER_PROFILE%\Local Settings\Temp\Message
همچنین یک فایل مخرب در مسیر زیر ایجاد می شود (نام فایل مخرب در گونه های مختلف متفاوت گزارش شده است):
%WinDir%\system32\ali.exe
سپس، ويروس BackDoor-CEP، با تعريف کليدهای زير در محضرخانه، خود را در هر بار راه اندازی دستگاه، به سيستم عامل تزريق می کند:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\
{B6A807N6-42DF-4W02-93E5-B156B3FA8AL1}\StubPath: "%WinDir%\System32\ali.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce\
*andk: "%WinDir%\System32\ali.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\andk:
"%WinDir%\System32\ali.exe"
از ديگر خرابکاری های اين ويروس، گرفتن عکس از پنجره های باز شده و ذخیره کلیدهای وارد شده توسط کاربر و ارسال این اطلاعات به سرویس دهنده ای است که ویروس نویس آنرا مشخص نموده است.
پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده
Prevent common programs from running files from the Temp folder
و برای کامپيوترهای پرخطر، فعال کردن قاعده هاي
Prevent creation of new executable files in the Windows folder
Prevent creation of new executable files in the Program Files folder
در کنـار آگـاه کـردن کـاربـران شبکه از خطـرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنين مشترکينی که از ضدويروس مک آفی با حداقل DAT 5423 استفاده می کنند از گزند اين ويروس در امان خواهند بود.
نامگذاری ها
اين ويروس با نامهای زير توسط ضدويروسهای مختلف شناسايی می شود:
Backdoor.Win32.Bifrose.a (Kaspersky & eScan)
Bck/Bifrose.AP (Panda)
Troj/Bckdr-CEP (Sophos)
W32/Bifrose.A (Norman)
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
ويروس BackDoor-CEP نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه قربانی ، انتشار می یابد. هرزنامه هايی که سعی می کنند کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل، که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
ويروس BackDoor-CEP در آخـريـن گـونـه خـود، بـا استفـاده از سوژه های اجتماعی و اخبار روز، کاربــر را تشویق به اجرای فایلی می کند که در ظاهر یک نوار ابزار (Toolbar) قانونی برای مرورگر اینترنت است اما در واقع فایل اصلی ویروس بوده و پس از اجرا شدن کامپیوتر کاربر را آلوده خواهد کرد.
خرابکاری
بـه مـحـض آلـوده شـدن کـامـپـيـوتـر بـه ايـن ويــروس، در مـسيــر زيـــر یــک فــایــل متنـی ایـجـاد شده و سپس این فـایـل تـوسـط نـرم افزار Notepad.exe باز می شود.
%USER_PROFILE%\Local Settings\Temp\Message
همچنین یک فایل مخرب در مسیر زیر ایجاد می شود (نام فایل مخرب در گونه های مختلف متفاوت گزارش شده است):
%WinDir%\system32\ali.exe
سپس، ويروس BackDoor-CEP، با تعريف کليدهای زير در محضرخانه، خود را در هر بار راه اندازی دستگاه، به سيستم عامل تزريق می کند:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\
{B6A807N6-42DF-4W02-93E5-B156B3FA8AL1}\StubPath: "%WinDir%\System32\ali.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce\
*andk: "%WinDir%\System32\ali.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\andk:
"%WinDir%\System32\ali.exe"
از ديگر خرابکاری های اين ويروس، گرفتن عکس از پنجره های باز شده و ذخیره کلیدهای وارد شده توسط کاربر و ارسال این اطلاعات به سرویس دهنده ای است که ویروس نویس آنرا مشخص نموده است.
پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده
Prevent common programs from running files from the Temp folder
و برای کامپيوترهای پرخطر، فعال کردن قاعده هاي
Prevent creation of new executable files in the Windows folder
Prevent creation of new executable files in the Program Files folder
در کنـار آگـاه کـردن کـاربـران شبکه از خطـرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنين مشترکينی که از ضدويروس مک آفی با حداقل DAT 5423 استفاده می کنند از گزند اين ويروس در امان خواهند بود.