آبجی
1st April 2010, 03:01 PM
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در Windows از نوع 32 بيتی فعال می گردد. اولين نمونه اين ويروس در ماه جاری (تیر 88) مشاهده شده است.
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سـالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است .
انتشار ويروس FFSearcher نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
خرابکاری
به محض آلوده شدن يک کامپيوتر به اين ويروس، فایل مخرب netcfgx.dll در پوشه سیستمی سیستم عامل کپی شده و کد مخرب svchost.exe تزریق می شود.
در ادامه فایلهای آلوده در مسيرهای زير ایجاد و بعنوان راه انداز (Driver) در هر بار راه اندازی اجرا می شوند:
%windows%\win32k.sys:1
%windows%\win32k.sys:2
ضمن اینکه با تعريف کليد زير در محضرخانه نیز، خود را در هر بار راه اندازی دستگاه، به سيستم عامل تزريق می کند:
HKEY_CLASSES_ROOT\CLSID\{5B035261-40F9-11D1-AAEC-00805FC1270E}\InProcServer32 "(Default)"=%system%\netcfgx.dll:Zone.Identifi er
همچنین ويروس FFSearcher با متصل شدن به سرویس دهنده wxtr 812.com تنظیمات جدید ویروس را دریافت و آنها را در فایل زیر ذخیره می کند:
%Documents and Settings%\All Users\Documents\gifnoc.xtx
پس از آن هر زمان که کاربر به جستجو در سایت گوگل بپردازد نتایج آن با استفاده از فایل بالا دستکاری شده و کاربر به سمت سایتهای مخرب هدايت مي شوند.
از خرابکاری های دیگر این ویروس، سوءاستفاده از بخش Google Custom Search شرکت گوگل است. این ابزار که از طریق آن مدیران شبکه می توانند با قرار دادن تبلیغات سایت گوگل در سایت خود به ازای هر کلیک بیننده مبلغی را از شرکت گوگل دریافت کنند با استفاده از این ویروس بنحوی تغییر داده می شود که با مراجعه کاربر به صفحات اینترنتی تبلیغات مربوط به Google Custom Search نفوذگر ظاهر شود و کلیکهای کاربری که از پشت دستگاه آلوده صفحات اینترنتی را مرور می کند سبب می شود پول بیشتری به حساب نفوذگر واریز شود!
پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينکهای ناآشنا همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5665 استفاده می کنند از گزند اين ويروس در امان خواهند بود.
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سـالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است .
انتشار ويروس FFSearcher نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
خرابکاری
به محض آلوده شدن يک کامپيوتر به اين ويروس، فایل مخرب netcfgx.dll در پوشه سیستمی سیستم عامل کپی شده و کد مخرب svchost.exe تزریق می شود.
در ادامه فایلهای آلوده در مسيرهای زير ایجاد و بعنوان راه انداز (Driver) در هر بار راه اندازی اجرا می شوند:
%windows%\win32k.sys:1
%windows%\win32k.sys:2
ضمن اینکه با تعريف کليد زير در محضرخانه نیز، خود را در هر بار راه اندازی دستگاه، به سيستم عامل تزريق می کند:
HKEY_CLASSES_ROOT\CLSID\{5B035261-40F9-11D1-AAEC-00805FC1270E}\InProcServer32 "(Default)"=%system%\netcfgx.dll:Zone.Identifi er
همچنین ويروس FFSearcher با متصل شدن به سرویس دهنده wxtr 812.com تنظیمات جدید ویروس را دریافت و آنها را در فایل زیر ذخیره می کند:
%Documents and Settings%\All Users\Documents\gifnoc.xtx
پس از آن هر زمان که کاربر به جستجو در سایت گوگل بپردازد نتایج آن با استفاده از فایل بالا دستکاری شده و کاربر به سمت سایتهای مخرب هدايت مي شوند.
از خرابکاری های دیگر این ویروس، سوءاستفاده از بخش Google Custom Search شرکت گوگل است. این ابزار که از طریق آن مدیران شبکه می توانند با قرار دادن تبلیغات سایت گوگل در سایت خود به ازای هر کلیک بیننده مبلغی را از شرکت گوگل دریافت کنند با استفاده از این ویروس بنحوی تغییر داده می شود که با مراجعه کاربر به صفحات اینترنتی تبلیغات مربوط به Google Custom Search نفوذگر ظاهر شود و کلیکهای کاربری که از پشت دستگاه آلوده صفحات اینترنتی را مرور می کند سبب می شود پول بیشتری به حساب نفوذگر واریز شود!
پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينکهای ناآشنا همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5665 استفاده می کنند از گزند اين ويروس در امان خواهند بود.