آبجی
1st April 2010, 02:57 PM
یک "اسب تروا" (Trojan) با درجه خطر کم می باشد و توسط سایت های واقعی که به خاطر ضعف های امنیتی قابل رخنه بوده اند و آلوده شده اند، منتشر می شود. تنها نکته قابل توجه درباره این اسب تروا، ترکیب روش های مختلف نفوذ و آلودگی است.
انتشار
سایت های واقعی و پرطرفدار که دارای نقاط ضعف امنیتی هستند و قابل رخنه می باشند، توسط افراد خلافکار شناسائی شده و برنامه مخربی در صفحات اینگونه سایت ها قرار داده می شوند. در این گونه خاص ، از روش SQLInjection برای نفوذ به سایت ها استفاده می گردد.
تنها مشاهده این صفحات دستکاری شده کافی است تا برنامه مخرب بر روی کامپیوتر قربانی قرار گیرد. سپس، این برنامه اقدام به جستجوی نرم افزارهای کاربردی آسیب پذیر (مانند مرورگر، Office، Flash، Adobe Acrobat و ...) نموده و در صورت یافتن اقدام به سوء استفاده از آن برای نصب برنامه جاسوسی به نام BackDoor.Win3.Buzus.Croo می نماید. این برنامه جاسوسی اطلاعات شخصی کاربر را جمع آوری کرده و به سایت خاصی ارسال می کند.
خرابكارى
برنامه جاسوسی بر روی کامپیوتر قربانی بصورت یک سرویس سیستم عامل نصب و اجرا می گردد. بدین منظور کلیدهای زیر در Registry ایجاد می شود.
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[file name]
در کلید فوق، File Name می تواند فایل مخربی با نام های متفاوت باشد.
همچنین اسب تروا backdoor.DOQ اقدام به ایجاد فایل های زیر می نماید.
- %DIR%\auto.exe
- %DIR%\AutoRun.inf
- %DIR%\Documents and Settings\[user]\Local Settings\Temp\~t11A.tmp
- %DIR%\Documents and Settings\[user]\Local Settings\Temp\~t219.tmp
- %DIR%\Documents and Settings\[user]\Local Settings\Temp\8458750.bat
- %DIR%\Documents and Settings\[user]\Local Settings\Temp\jxfqt.tmp
- %DIR%\Program Files\dnf.exe
- %DIR%\Program Files\Common Files\auto.exe
- %SYSDIR%\system32\imm32.dll.bak
- %SYSDIR%\system32\kb011164832.dll
- %SYSDIR%\system32\kb811164841.dll
- %SYSDIR%\system32\wmitpfs.dll
- %SYSDIR%\system32\wsconfig.db
- %SYSDIR%\system32\drivers\bmtpws31.dat
- %SYSDIR%\system32\drivers\Encionc_ch.dat
این اسب تروا با سایت های زیر ارتباط برقرار می کند.
- dns.win[removed].com.cn
- ver.win[removed].com.cn
- temp.cxx[removed].com.cn
پيشگيرى
آگاه کردن کاربران از خطرات نامه های الکترونیکی ناخواسته (هرزنامه یا SPAM) و کليک بر روی لينک های ناآشنا، می تواند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین علاوه بر سیستم های عامل، نصب آخرین اصلاحیه های امنیتی برای نرم افزارهای کاربردی مانند مرورگرها، Office، Adobe Acrobat و ... می تواند مانع بسیاری از حملات و نفوذ به کامپیوترها شود.
مشترکينی که از ضدويروس مک آفی با حداقل DAT 5830 استفاده می کنند از گزند اين ويروس در امان خواهند بود.
انتشار
سایت های واقعی و پرطرفدار که دارای نقاط ضعف امنیتی هستند و قابل رخنه می باشند، توسط افراد خلافکار شناسائی شده و برنامه مخربی در صفحات اینگونه سایت ها قرار داده می شوند. در این گونه خاص ، از روش SQLInjection برای نفوذ به سایت ها استفاده می گردد.
تنها مشاهده این صفحات دستکاری شده کافی است تا برنامه مخرب بر روی کامپیوتر قربانی قرار گیرد. سپس، این برنامه اقدام به جستجوی نرم افزارهای کاربردی آسیب پذیر (مانند مرورگر، Office، Flash، Adobe Acrobat و ...) نموده و در صورت یافتن اقدام به سوء استفاده از آن برای نصب برنامه جاسوسی به نام BackDoor.Win3.Buzus.Croo می نماید. این برنامه جاسوسی اطلاعات شخصی کاربر را جمع آوری کرده و به سایت خاصی ارسال می کند.
خرابكارى
برنامه جاسوسی بر روی کامپیوتر قربانی بصورت یک سرویس سیستم عامل نصب و اجرا می گردد. بدین منظور کلیدهای زیر در Registry ایجاد می شود.
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[file name]
در کلید فوق، File Name می تواند فایل مخربی با نام های متفاوت باشد.
همچنین اسب تروا backdoor.DOQ اقدام به ایجاد فایل های زیر می نماید.
- %DIR%\auto.exe
- %DIR%\AutoRun.inf
- %DIR%\Documents and Settings\[user]\Local Settings\Temp\~t11A.tmp
- %DIR%\Documents and Settings\[user]\Local Settings\Temp\~t219.tmp
- %DIR%\Documents and Settings\[user]\Local Settings\Temp\8458750.bat
- %DIR%\Documents and Settings\[user]\Local Settings\Temp\jxfqt.tmp
- %DIR%\Program Files\dnf.exe
- %DIR%\Program Files\Common Files\auto.exe
- %SYSDIR%\system32\imm32.dll.bak
- %SYSDIR%\system32\kb011164832.dll
- %SYSDIR%\system32\kb811164841.dll
- %SYSDIR%\system32\wmitpfs.dll
- %SYSDIR%\system32\wsconfig.db
- %SYSDIR%\system32\drivers\bmtpws31.dat
- %SYSDIR%\system32\drivers\Encionc_ch.dat
این اسب تروا با سایت های زیر ارتباط برقرار می کند.
- dns.win[removed].com.cn
- ver.win[removed].com.cn
- temp.cxx[removed].com.cn
پيشگيرى
آگاه کردن کاربران از خطرات نامه های الکترونیکی ناخواسته (هرزنامه یا SPAM) و کليک بر روی لينک های ناآشنا، می تواند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین علاوه بر سیستم های عامل، نصب آخرین اصلاحیه های امنیتی برای نرم افزارهای کاربردی مانند مرورگرها، Office، Adobe Acrobat و ... می تواند مانع بسیاری از حملات و نفوذ به کامپیوترها شود.
مشترکينی که از ضدويروس مک آفی با حداقل DAT 5830 استفاده می کنند از گزند اين ويروس در امان خواهند بود.