آبجی
1st April 2010, 03:08 PM
Dat براي شناسايي 5394
برنامه ای که در گروه "برنامه های ناخواسته" (Unwanted Program) جای می گيرد و در محیط Windows از نوع 32 بيتی فعال می گردد.
انتشار
برنامه های ناخواسته، برنامه هايی هايی هستند که استفاده دوگانه دارند؛ يعنی علاوه بر استفاده نفوذگران از آنها، توسط مديران شبکه يا ارزيابان امنيتی هم بکار می رود و مانند ویروسها، قابلیت تکثير ندارند.
انتشار ويروس Generic PUP.z نيز همانند ساير برنامه های ناخواسته با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند کاربر را تشويق به دريافت اين ويروس کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين برنامه ناخواسته هستند. بعلاوه کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف باشند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، ممکن است اين برنامه ناخواسته را دريافت کنند.
در آخرين گونه مشاهده شده، اين ويروس با نمايش پيامهای هشدار غيرواقعی مبنی بر آلوده بودن دستگاه، کاربر را به صفحات اينترنتی ای کـه در ظاهر حـاوی يـک بـرنـامـه ضدجاسوسی (Anti-Spy) هستند، ولی در واقع خود برنامه ای مخرب محسوب می شوند، هدايت می کند
خرابكاري
بطور کلی ويروسهايی که با نام Generic PUP.z شناخته می شوند می توانند کارهای زير را بر روی کامپيوتر قربانی انجام دهند:
- دريافت و کپی فايلهای مخرب
- پنهان شدن از ديد برنامه امنيتی نصب شده بر روی دستگاه
- تزريق خود به برنامه های کاربردی
- غيرفعال کردن برنامه های امنيتي
- تغيير در تنظيمات برنامه هايی نظير Internet Explorer
- ارسال اطلاعات ذخيره شده به سايت مشخص شده توسط نفوذگر
- نمايش پنجره های تبليغاتي
- باز کردن درگاه بر روی کامپيوتر قربانی برای اتصال نفوذگر به دستگاه
- تغيير صفحه اول (Home Page) و موتور جستجوی پيش فرض در مرورگر اينترنت
- اضافه کردن نوارهای ابزار جديد به برنامه Internet Explorer
- اعمال تغيير در بخش LSP دستگاه برای نمايش سايت مشخص شده توسط نفوذگر
هنگام مراجعه کاربر به سايتها و نتايج جستجوی خاص
آخرين گونه اين ويروس که در ايران مشاهده شده، خود را بعنوان Antivirus 2009 معرفی کرده و فايلهای مخرب زير را در اين مسيرها کپی می کند:
C:\Program Files\Antivirus 2009\av2009.exe
C:\Windows\System32\scui.cpl
C:\ Windows \System32\ieupdates.exe
C:\ Windows \System32\winsrc.dll
ضدويروس مک آفی فايل winsrc.dll را بعنوان ويروس Generic.dx شناسايی می کند.
از ديگر خرابکاری های جدیدترین گونه اين ويروس، برقراری ارتباط با سرويس دهنده های زير، به منظور دريافت فايلهای مخرب بيشتر می باشد:
antivirus-database .com / firstrun .php?product=AV9&aff=&update=0808/av2009nag&time=16:11:48
fastupdateserver .com / zsa09 / zs880000 .exe
89.149.226.24
58.65.238.106
پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص بسته امنيتی (Service Pack) شماره 3 سيستم عامل Windows XP، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده های
Prevent common programs from running files from the Temp folder
در کنـار آگـاه کـردن کاربران شبکه از خطرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
برنامه ای که در گروه "برنامه های ناخواسته" (Unwanted Program) جای می گيرد و در محیط Windows از نوع 32 بيتی فعال می گردد.
انتشار
برنامه های ناخواسته، برنامه هايی هايی هستند که استفاده دوگانه دارند؛ يعنی علاوه بر استفاده نفوذگران از آنها، توسط مديران شبکه يا ارزيابان امنيتی هم بکار می رود و مانند ویروسها، قابلیت تکثير ندارند.
انتشار ويروس Generic PUP.z نيز همانند ساير برنامه های ناخواسته با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند کاربر را تشويق به دريافت اين ويروس کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين برنامه ناخواسته هستند. بعلاوه کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف باشند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، ممکن است اين برنامه ناخواسته را دريافت کنند.
در آخرين گونه مشاهده شده، اين ويروس با نمايش پيامهای هشدار غيرواقعی مبنی بر آلوده بودن دستگاه، کاربر را به صفحات اينترنتی ای کـه در ظاهر حـاوی يـک بـرنـامـه ضدجاسوسی (Anti-Spy) هستند، ولی در واقع خود برنامه ای مخرب محسوب می شوند، هدايت می کند
خرابكاري
بطور کلی ويروسهايی که با نام Generic PUP.z شناخته می شوند می توانند کارهای زير را بر روی کامپيوتر قربانی انجام دهند:
- دريافت و کپی فايلهای مخرب
- پنهان شدن از ديد برنامه امنيتی نصب شده بر روی دستگاه
- تزريق خود به برنامه های کاربردی
- غيرفعال کردن برنامه های امنيتي
- تغيير در تنظيمات برنامه هايی نظير Internet Explorer
- ارسال اطلاعات ذخيره شده به سايت مشخص شده توسط نفوذگر
- نمايش پنجره های تبليغاتي
- باز کردن درگاه بر روی کامپيوتر قربانی برای اتصال نفوذگر به دستگاه
- تغيير صفحه اول (Home Page) و موتور جستجوی پيش فرض در مرورگر اينترنت
- اضافه کردن نوارهای ابزار جديد به برنامه Internet Explorer
- اعمال تغيير در بخش LSP دستگاه برای نمايش سايت مشخص شده توسط نفوذگر
هنگام مراجعه کاربر به سايتها و نتايج جستجوی خاص
آخرين گونه اين ويروس که در ايران مشاهده شده، خود را بعنوان Antivirus 2009 معرفی کرده و فايلهای مخرب زير را در اين مسيرها کپی می کند:
C:\Program Files\Antivirus 2009\av2009.exe
C:\Windows\System32\scui.cpl
C:\ Windows \System32\ieupdates.exe
C:\ Windows \System32\winsrc.dll
ضدويروس مک آفی فايل winsrc.dll را بعنوان ويروس Generic.dx شناسايی می کند.
از ديگر خرابکاری های جدیدترین گونه اين ويروس، برقراری ارتباط با سرويس دهنده های زير، به منظور دريافت فايلهای مخرب بيشتر می باشد:
antivirus-database .com / firstrun .php?product=AV9&aff=&update=0808/av2009nag&time=16:11:48
fastupdateserver .com / zsa09 / zs880000 .exe
89.149.226.24
58.65.238.106
پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص بسته امنيتی (Service Pack) شماره 3 سيستم عامل Windows XP، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده های
Prevent common programs from running files from the Temp folder
در کنـار آگـاه کـردن کاربران شبکه از خطرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.