آبجی
1st April 2010, 02:59 PM
یک "اسب تروا" (Trojan) با درجه خطر کم می باشد و بطور انبوه از طریق نامه های الکترونیکی جعلی که در ظاهر از یک سرویس دهنده پست الکترونیکی است، پخش می شود. ظاهر نامه نشان دهنده این است که بطور خودکار و به علت بروز مشکلی در ارسال نامه های کاربر، از سوی سرویس دهنده ای که نامه های کاربر را ارسال می نموده، فرستاده شده است.
انتشار:
در نامه های الکترونیکی جعلی که به کاربران ارسال می شود، یک پیوند (Link) وجود دارد. از کاربر خواسته می شود که برای مشاهده مشکل رخ داده در ارسال نامه های وی، بر روی پیوند کلیک کند. در صورت انجام اینکار، کاربر به سایتی هدایت می شود که دارای عنوان OutLook Web Access است و در ظاهر بنظر می رسد که یکی از صفحات سایت مایکروسافت است. در این صفحه از کاربر خواسته شده تا برای بروز کردن سیستم پست الکترونیکی خود، اصلاحیه ای را دریافت و بر روی کامپیوتر خود نصب کند. ولی در حقیقت، تنها چیزی که بر روی کامپیوتر قربانی نصب خواهد شد، اسب تروای PWS-Zbot.ab است.
خرابكاري :
پس از آلوده شدن کامپيوتر و فعال شدن اسب تروا PWS.Zbot.ab، فایل های زیر بر روی کامپیوتر ایجاد می شوند.
- %system%\sdra64.exe -copy of itself
- %system%\lowsec\local.ds - information files
- %system%\lowsec\user.ds
- %system%\lowsec\user.ds.lll
همچنین شاخه مخفی زیر ایجاد می شود.
- %System%\lowsec
کلیدهای زیر در Registry ساخته می شوند.
- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Explorer\{334613DB-50C1-B3BE-95ED-E9915A134FF1}
- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Explorer\{4776C4DC-E894-7C06-2148-5D73CEF5F905}
- HKEY_USERS\S-1-5-19\Software\Microsoft\Windows NT\CurrentVersion\Network "UID" "computer name_B4DF7611864C7708"
- HKEY_USERS\.DEFAULT\Software\Microsoft\Protected Storage System Provider
کلید زیر نیز دستکاری شده و تغییر داده می شود.
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Userinit"
"C:\WINDOWS\system32\userinit.exe," "C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\sdra64.exe,"
اسب تروا PWS-Zbot.ab با سایت زیر تماس برقرار کرده و اطلاعاتی را رد و بدل می کنند.
- http://nekoxxx.ru/cbd/nexxxx.bri
پيشگيري:
آگاه کردن کاربران از خطرات نامه های الکترونیکی ناخواسته (هرزنامه یا SPAM) و کليک بر روی لينک های ناآشنا، می تواند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5858 استفاده می کنند از گزند اين ويروس در امان خواهند بود.
انتشار:
در نامه های الکترونیکی جعلی که به کاربران ارسال می شود، یک پیوند (Link) وجود دارد. از کاربر خواسته می شود که برای مشاهده مشکل رخ داده در ارسال نامه های وی، بر روی پیوند کلیک کند. در صورت انجام اینکار، کاربر به سایتی هدایت می شود که دارای عنوان OutLook Web Access است و در ظاهر بنظر می رسد که یکی از صفحات سایت مایکروسافت است. در این صفحه از کاربر خواسته شده تا برای بروز کردن سیستم پست الکترونیکی خود، اصلاحیه ای را دریافت و بر روی کامپیوتر خود نصب کند. ولی در حقیقت، تنها چیزی که بر روی کامپیوتر قربانی نصب خواهد شد، اسب تروای PWS-Zbot.ab است.
خرابكاري :
پس از آلوده شدن کامپيوتر و فعال شدن اسب تروا PWS.Zbot.ab، فایل های زیر بر روی کامپیوتر ایجاد می شوند.
- %system%\sdra64.exe -copy of itself
- %system%\lowsec\local.ds - information files
- %system%\lowsec\user.ds
- %system%\lowsec\user.ds.lll
همچنین شاخه مخفی زیر ایجاد می شود.
- %System%\lowsec
کلیدهای زیر در Registry ساخته می شوند.
- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Explorer\{334613DB-50C1-B3BE-95ED-E9915A134FF1}
- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Explorer\{4776C4DC-E894-7C06-2148-5D73CEF5F905}
- HKEY_USERS\S-1-5-19\Software\Microsoft\Windows NT\CurrentVersion\Network "UID" "computer name_B4DF7611864C7708"
- HKEY_USERS\.DEFAULT\Software\Microsoft\Protected Storage System Provider
کلید زیر نیز دستکاری شده و تغییر داده می شود.
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Userinit"
"C:\WINDOWS\system32\userinit.exe," "C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\sdra64.exe,"
اسب تروا PWS-Zbot.ab با سایت زیر تماس برقرار کرده و اطلاعاتی را رد و بدل می کنند.
- http://nekoxxx.ru/cbd/nexxxx.bri
پيشگيري:
آگاه کردن کاربران از خطرات نامه های الکترونیکی ناخواسته (هرزنامه یا SPAM) و کليک بر روی لينک های ناآشنا، می تواند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5858 استفاده می کنند از گزند اين ويروس در امان خواهند بود.