آبجی
1st April 2010, 03:13 PM
Dat براي شناسايي 5427
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و اقدام به دزديدن رمزهای عبور ذخيره شده بر روی دستگاه آلوده مي کند.
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونـه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
ويـروس Generic PWS.y!6F939359 در آخــريـن گـونــه خـود از سـوژه هـای اجتماعی روز، برای فریب کاربران استفاده نموده است. بدين ترتيب که ابتدا کاربر هرزنامه ای (Spam) با عناوين و متن زير را دريافت می کند.
عناوين هرزنامه:
Election Results Winner
The New President's Cabinet?
Fear of a Black President
متن هرزنامه:
Barack Obama Elected 44th President of United States
Barack Obama, unknown to most Americans just four years ago, will become the 44th president and the first African-American president of the United States.
Watch His amazing speech at November 5! ...... "
با کليک بر روی لينک موجود در هرزنامه، کاربر به صفحه ای که در ظاهر متعلق به دولت آمریکا است، هدايت می شود.
در بالای تصوير مذکور، عبارت America.gov نمايش داده شده است تا اينطور القا شود که اين سايت مربوط به دولت ايالات متحده و سايتی رسمی است در حالی که آدرس واقعی سايت که در نوار آدرس مرورگر قابل مشاهده می باشد چيزی متفاوت با اين عبارت است. چند ثانيه بعد از بالا آمدن تصوير، پنجره ای جعلی ظاهر شده و از کاربر می خواهد برای مشاهده فيلم، فايل adobe_flash9.exe (که فايل اجرايی ويروس Generic PWS.y!6F939359 است) را دريافت کند. با اجرای اين فايل سيستم کاربر آلوده خواهد شد.
خرابکاری
به محض اجرا شدن، در مسيرهای زير فايلهای مخرب کپی می شوند:
%WINDIR%\9129837.exe
%WINDIR%\new_drv.sys
اين ويروس با دستکاری کليدهای زير در محضرخانه، فعال شدن خود را در هر بار راه اندازی دستگاه تضمین نموده و همچنین سرويسی بنام "!!!!" را به ليست سرويسهای سيستم عامل اضافه می کند.
- HKey_users\s-1-5-21-1202660629-602609370-839522115-500\software
\microsoft\windows\currentversion\run\ttool=%WINDI R%\9129837.exe
- HKey_users\s-1-5-21-1202660629-602609370-839522115-500\software\microsoft\inetdata\ k1 = 671634 k2 = 339167 version = 50
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\new_drv
ImagePath = %WINDIR%\new_drv.sys DisplayName = "!!!!"
اصلی ترين خرابکاری اين ويروس، برقراری ارتباط با سرويس دهنده زير و ارسال نامهای کاربری و کلمات عبور ذخيره شده بر روی کامپيوتر قربانی می باشد:
hxxp://91.203.93.57/cgi-bin/[Removed]
پيشگيری
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص بسته امنيتی (Service Pack) شماره 3 سيستم عامل Windows XP، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده
Prevent common programs from running files from the Temp folder
در کنـار آگـاه کـردن کـاربـران شبکه از خطـرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر
آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و اقدام به دزديدن رمزهای عبور ذخيره شده بر روی دستگاه آلوده مي کند.
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونـه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
ويـروس Generic PWS.y!6F939359 در آخــريـن گـونــه خـود از سـوژه هـای اجتماعی روز، برای فریب کاربران استفاده نموده است. بدين ترتيب که ابتدا کاربر هرزنامه ای (Spam) با عناوين و متن زير را دريافت می کند.
عناوين هرزنامه:
Election Results Winner
The New President's Cabinet?
Fear of a Black President
متن هرزنامه:
Barack Obama Elected 44th President of United States
Barack Obama, unknown to most Americans just four years ago, will become the 44th president and the first African-American president of the United States.
Watch His amazing speech at November 5! ...... "
با کليک بر روی لينک موجود در هرزنامه، کاربر به صفحه ای که در ظاهر متعلق به دولت آمریکا است، هدايت می شود.
در بالای تصوير مذکور، عبارت America.gov نمايش داده شده است تا اينطور القا شود که اين سايت مربوط به دولت ايالات متحده و سايتی رسمی است در حالی که آدرس واقعی سايت که در نوار آدرس مرورگر قابل مشاهده می باشد چيزی متفاوت با اين عبارت است. چند ثانيه بعد از بالا آمدن تصوير، پنجره ای جعلی ظاهر شده و از کاربر می خواهد برای مشاهده فيلم، فايل adobe_flash9.exe (که فايل اجرايی ويروس Generic PWS.y!6F939359 است) را دريافت کند. با اجرای اين فايل سيستم کاربر آلوده خواهد شد.
خرابکاری
به محض اجرا شدن، در مسيرهای زير فايلهای مخرب کپی می شوند:
%WINDIR%\9129837.exe
%WINDIR%\new_drv.sys
اين ويروس با دستکاری کليدهای زير در محضرخانه، فعال شدن خود را در هر بار راه اندازی دستگاه تضمین نموده و همچنین سرويسی بنام "!!!!" را به ليست سرويسهای سيستم عامل اضافه می کند.
- HKey_users\s-1-5-21-1202660629-602609370-839522115-500\software
\microsoft\windows\currentversion\run\ttool=%WINDI R%\9129837.exe
- HKey_users\s-1-5-21-1202660629-602609370-839522115-500\software\microsoft\inetdata\ k1 = 671634 k2 = 339167 version = 50
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\new_drv
ImagePath = %WINDIR%\new_drv.sys DisplayName = "!!!!"
اصلی ترين خرابکاری اين ويروس، برقراری ارتباط با سرويس دهنده زير و ارسال نامهای کاربری و کلمات عبور ذخيره شده بر روی کامپيوتر قربانی می باشد:
hxxp://91.203.93.57/cgi-bin/[Removed]
پيشگيری
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص بسته امنيتی (Service Pack) شماره 3 سيستم عامل Windows XP، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده
Prevent common programs from running files from the Temp folder
در کنـار آگـاه کـردن کـاربـران شبکه از خطـرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر
آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.