آبجی
1st April 2010, 03:10 PM
Dat براي شناسايي 5403
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و از آن بعنوان ابزاری برای نفوذ به شبکه توسط نفوذگران استفاده ميگردد.
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ويروس BackDoor-BAC.gen نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
ويروس BackDoor-BAC.gen در آخرين نمونه خود از روشهای مهندسی اجتماعی (Social Engineering) استفاده نموده است. بدين ترتيب که با ارسال يک ايميل که فايل آلوده به آن پيوست شده است، اينطور القا می کند که نامه از سوی بخش امنيت شرکت مايکروسافت فرستاده شده است و از کاربر می خواهد تا با اجرای فايل مذکور يکی از حفره های اساسی سيستم عاملش را برطرف سازد. حال آنکه با اجرای فايل پيوست کامپيوتر کاربر آلوده خواهد شد.
در متن اين هرزنامه، ليستی از سيستمهای عامل قرار دارد که به فايل پيوست ارتباط داده شده اند و در ميان آنها نامهای Windows 98 و Windows Millennium نيز مشاهده می شود. در حالی که اين دو سيستم عامل مدتهاست که توسط شرکت مايکروسافت پشتيبانی نمی شوند. ارسال خبرنامه از سوی مايکروسافت به مشترکين، در خصوص اصلاحيه های امنيتی جديد، امری است که هر ماه توسط اين شرکت اجرا می گردد. اما در تمامی خبرنامه های رسمی اين شرکت، تنها لينک اصلاحيه قرار داده شده و تاکنون، هيچگاه فايل آپديت بصورت پيوست ارسال نشده است.
متن اين هرزنامه بشرح زير است.
Dear Microsoft Customer,
Please notice that Microsoft company has recently issued a Security Update for OS Microsoft Windows. The update applies to the following OS versions: Microsoft Windows 98, Microsoft Windows 2000, Microsoft Windows Millenium, Microsoft Windows XP, Microsoft Windows Vista.
Please notice, that present update applies to high-priority updates category. In order to help protect your computer against security threats and performance problems, we strongly recommend you to install this update.
Since public distribution of this Update through the official website http://www.microsoft.com (http://www.microsoft.com/) would have result in efficient creation of a malicious software, we made a decision to issue an experimental private version of an update for all Microsoft Windows OS users.
As your computer is set to receive notifications when new updates are available, you have received this notice.
In order to start the update, please follow the step-by-step instruction:
1.Run the file, that you have received along with this message.
2.Carefully follow all the instructions you see on the screen.
If nothing changes after you have run the file, probably in the settings of your OS you have an indication to run all the updates at a background routine. In that case, at this point the upgrade of your OS will be finished.
We apologize for any inconvenience this back order may be causing you.
Thank you,
Steve Lipner
Director of Security Assurance
Microsoft Corp.
خرابكاري
به محض آلوده شدن يک کامپيوتر به اين ويروس، در مسيرهای زير فايلهای مخرب کپی می شوند:
%WINDIR%\system32\gzipmod.dll
%WINDIR%\system32\vbagz.sys BackDoor-BAC.gen
%WINDIR%\system32\k86.bin
فايل اول توسط ضدويروس مک آفی بعنوان ويروس Generic PWS.y شناسايی می گردد.
در ادامه، اين ويروس، با تعريف کليد زير در محضرخانه، خود را در هر بار راه اندازی دستگاه، به سيستم عامل تزريق می کند:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gzipmod
"DllName" = "gzipmod.dll"
"Startup" = "gzipmod"
"Impersonate" = "0x00000001"
"Asynchronous" = "0x00000001"
"MaxWait" = "0x00000001"
از ديگر خرابکاری های اين ويروس، برقراری ارتباط با سرويس دهنده زير بمنظور ارسال اطلاعات جمع آوری شده از روی سيستم قربانی (اين اطلاعات در فايل k86.bin ذخيره می شوند) و همچنين دريافت فايلهای مخرب بيشتر می باشد.
hxxp://social-[blocked].biz/jerken2/data.php
پيشگيري
استفاده از رمزهای عبور قوی و عدم به اشتراک گذاری کل درايوها از نکات اوليه برای پيشگری در مقابل اينگونه ويروسها می باشد. ضمن اينکه به کاربران نيز توصيه می شود از كنجكاوی درباره فايل های مشكوك و يا با عناوين جذاب است كه در سايت های اشتراك فايل، فراوان ديده می شوند اجتناب کنند. به روز نگه داشتن ضدويروس و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در نرم افزار ضدويروس (نظير قاعده Prevent common programs from running files from the Temp folder) می تواند کامپيوتر را در مقابل اين ويروس محافظت کند.
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و از آن بعنوان ابزاری برای نفوذ به شبکه توسط نفوذگران استفاده ميگردد.
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ويروس BackDoor-BAC.gen نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
ويروس BackDoor-BAC.gen در آخرين نمونه خود از روشهای مهندسی اجتماعی (Social Engineering) استفاده نموده است. بدين ترتيب که با ارسال يک ايميل که فايل آلوده به آن پيوست شده است، اينطور القا می کند که نامه از سوی بخش امنيت شرکت مايکروسافت فرستاده شده است و از کاربر می خواهد تا با اجرای فايل مذکور يکی از حفره های اساسی سيستم عاملش را برطرف سازد. حال آنکه با اجرای فايل پيوست کامپيوتر کاربر آلوده خواهد شد.
در متن اين هرزنامه، ليستی از سيستمهای عامل قرار دارد که به فايل پيوست ارتباط داده شده اند و در ميان آنها نامهای Windows 98 و Windows Millennium نيز مشاهده می شود. در حالی که اين دو سيستم عامل مدتهاست که توسط شرکت مايکروسافت پشتيبانی نمی شوند. ارسال خبرنامه از سوی مايکروسافت به مشترکين، در خصوص اصلاحيه های امنيتی جديد، امری است که هر ماه توسط اين شرکت اجرا می گردد. اما در تمامی خبرنامه های رسمی اين شرکت، تنها لينک اصلاحيه قرار داده شده و تاکنون، هيچگاه فايل آپديت بصورت پيوست ارسال نشده است.
متن اين هرزنامه بشرح زير است.
Dear Microsoft Customer,
Please notice that Microsoft company has recently issued a Security Update for OS Microsoft Windows. The update applies to the following OS versions: Microsoft Windows 98, Microsoft Windows 2000, Microsoft Windows Millenium, Microsoft Windows XP, Microsoft Windows Vista.
Please notice, that present update applies to high-priority updates category. In order to help protect your computer against security threats and performance problems, we strongly recommend you to install this update.
Since public distribution of this Update through the official website http://www.microsoft.com (http://www.microsoft.com/) would have result in efficient creation of a malicious software, we made a decision to issue an experimental private version of an update for all Microsoft Windows OS users.
As your computer is set to receive notifications when new updates are available, you have received this notice.
In order to start the update, please follow the step-by-step instruction:
1.Run the file, that you have received along with this message.
2.Carefully follow all the instructions you see on the screen.
If nothing changes after you have run the file, probably in the settings of your OS you have an indication to run all the updates at a background routine. In that case, at this point the upgrade of your OS will be finished.
We apologize for any inconvenience this back order may be causing you.
Thank you,
Steve Lipner
Director of Security Assurance
Microsoft Corp.
خرابكاري
به محض آلوده شدن يک کامپيوتر به اين ويروس، در مسيرهای زير فايلهای مخرب کپی می شوند:
%WINDIR%\system32\gzipmod.dll
%WINDIR%\system32\vbagz.sys BackDoor-BAC.gen
%WINDIR%\system32\k86.bin
فايل اول توسط ضدويروس مک آفی بعنوان ويروس Generic PWS.y شناسايی می گردد.
در ادامه، اين ويروس، با تعريف کليد زير در محضرخانه، خود را در هر بار راه اندازی دستگاه، به سيستم عامل تزريق می کند:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gzipmod
"DllName" = "gzipmod.dll"
"Startup" = "gzipmod"
"Impersonate" = "0x00000001"
"Asynchronous" = "0x00000001"
"MaxWait" = "0x00000001"
از ديگر خرابکاری های اين ويروس، برقراری ارتباط با سرويس دهنده زير بمنظور ارسال اطلاعات جمع آوری شده از روی سيستم قربانی (اين اطلاعات در فايل k86.bin ذخيره می شوند) و همچنين دريافت فايلهای مخرب بيشتر می باشد.
hxxp://social-[blocked].biz/jerken2/data.php
پيشگيري
استفاده از رمزهای عبور قوی و عدم به اشتراک گذاری کل درايوها از نکات اوليه برای پيشگری در مقابل اينگونه ويروسها می باشد. ضمن اينکه به کاربران نيز توصيه می شود از كنجكاوی درباره فايل های مشكوك و يا با عناوين جذاب است كه در سايت های اشتراك فايل، فراوان ديده می شوند اجتناب کنند. به روز نگه داشتن ضدويروس و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در نرم افزار ضدويروس (نظير قاعده Prevent common programs from running files from the Temp folder) می تواند کامپيوتر را در مقابل اين ويروس محافظت کند.