آبجی
1st April 2010, 03:14 PM
یک "اسب تروا" (Trojan) با درجه خطر کم می باشد که از طریق روش های مختلف باعث آلودگی کامپیوتر کاربر شده و آن کامپیوتر را به شبکه ای از کامپیوترهای تسخیر شده و قابل کنترل توسط افراد بیگانه، ملحق می کند. این کامپیوترهای به تسخیر درآمده در یک حمله هماهنگ و مستمر به سایت های CIA, PayPal و Yahoo حمله می کنند. ولی شدت حملات به میزانی نیست که این سایت ها را از کار بیندازد و به همین دلیل نیز مورد شناسائی و جلب توجه بسیاری از سیستم های امنیتی قرار نمی گیرند.
انتشار:
اسب های تروا برنامه هايی هستند که به عنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبان کاربر را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است. اسب های تروا به خودی خود قابلیت تکثیر و انتشار نداشته و برای اینکار نیازمند دخالت کاربر می باشند. بدین دلیل نیز از روش های مختلف برای فریب و وسوسه کاربر برای دریافت فایل های آلوده به اسب های تروا و اجرای آن بر روی کامپیوتر استفاده می شود.
خرابكاري :
پس از آلوده شدن کامپيوتر و فعال شدن اسب تروا Cutwail.Gen.O، فایل های آلوده زیر بر روی کامپیوتر قربانی ایجاد می شوند.
- %UserProfile%\imPlayok.exe
- %System%\imPlayok.exe
همچنین کلیدهای زیر در Registry ایجاد می شوند تا در هر بار راه اندازی کامپیوتر، اسب تروا فعالگردد.
- HKEY_Local_Machine\Software\Microsoft\Windows\Curr entVersion\Run
imPlayok = "%System%\imPlayok.exe"
- HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
imPlayok = "%UserProfile%\imPlayok.exe"
کامپیوترهای آلوده به این اسب تروا در یک شبکه مخرب (botnet) به نام Pushdo قرار می گیرند که اخیراً یک حمله هماهنگ و مستمر بر علیه سایت هایی نظیر CIA.gov, Yahoo.com, sans.org و AmericanExpress.com آغاز کرده اند.
در این حمله از درگاه 443 ویژه پروتکل SSL استفاده شده و بطور همزمان میلیونها درخواست توسط صدها هزار کامپیوتر تسخیرشده در شبکه Pushdo به سایت های مورد هدف ارسال می گردد. به دلیل استفاده از پروتکل امن SSL میزان منابع لازم برای پاسخگویی به درخواست دریافت شده توسط سایت بسیار بیشتر از یک درخواست عادی است. ولی شدت حملات به میزانی نیست که این سایت ها را از کار بیندازد و به همین دلیل نیز مورد شناسائی و جلب توجه بسیاری از سیستم های امنیتی قرار نمی گیرند.
پيشگيري :
به روز بودن ابزارهای امنیتی و نصب اصلاحیه های سیستم عامل و دیگر نرم افزارهای کاربردی، در کنار آگاه کردن کاربران از خطرات کليک بر روی لينک های ناآشنا، می تواند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند. همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5881 استفاده می کنند از گزند اين ويروس در امان خواهند بود.
انتشار:
اسب های تروا برنامه هايی هستند که به عنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبان کاربر را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است. اسب های تروا به خودی خود قابلیت تکثیر و انتشار نداشته و برای اینکار نیازمند دخالت کاربر می باشند. بدین دلیل نیز از روش های مختلف برای فریب و وسوسه کاربر برای دریافت فایل های آلوده به اسب های تروا و اجرای آن بر روی کامپیوتر استفاده می شود.
خرابكاري :
پس از آلوده شدن کامپيوتر و فعال شدن اسب تروا Cutwail.Gen.O، فایل های آلوده زیر بر روی کامپیوتر قربانی ایجاد می شوند.
- %UserProfile%\imPlayok.exe
- %System%\imPlayok.exe
همچنین کلیدهای زیر در Registry ایجاد می شوند تا در هر بار راه اندازی کامپیوتر، اسب تروا فعالگردد.
- HKEY_Local_Machine\Software\Microsoft\Windows\Curr entVersion\Run
imPlayok = "%System%\imPlayok.exe"
- HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
imPlayok = "%UserProfile%\imPlayok.exe"
کامپیوترهای آلوده به این اسب تروا در یک شبکه مخرب (botnet) به نام Pushdo قرار می گیرند که اخیراً یک حمله هماهنگ و مستمر بر علیه سایت هایی نظیر CIA.gov, Yahoo.com, sans.org و AmericanExpress.com آغاز کرده اند.
در این حمله از درگاه 443 ویژه پروتکل SSL استفاده شده و بطور همزمان میلیونها درخواست توسط صدها هزار کامپیوتر تسخیرشده در شبکه Pushdo به سایت های مورد هدف ارسال می گردد. به دلیل استفاده از پروتکل امن SSL میزان منابع لازم برای پاسخگویی به درخواست دریافت شده توسط سایت بسیار بیشتر از یک درخواست عادی است. ولی شدت حملات به میزانی نیست که این سایت ها را از کار بیندازد و به همین دلیل نیز مورد شناسائی و جلب توجه بسیاری از سیستم های امنیتی قرار نمی گیرند.
پيشگيري :
به روز بودن ابزارهای امنیتی و نصب اصلاحیه های سیستم عامل و دیگر نرم افزارهای کاربردی، در کنار آگاه کردن کاربران از خطرات کليک بر روی لينک های ناآشنا، می تواند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند. همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5881 استفاده می کنند از گزند اين ويروس در امان خواهند بود.