آبجی
1st April 2010, 03:23 PM
ويروسی با درجه خطر کم که در دسته "هرزنامه ها" (Spams) قرار می گیرد و پیوستهای مخرب آن در سيستمهای عامل Windows از نوع 32 بيتی فعال می گردند.
اين ويروس با نامهای زير توسط ضدويروسهای مختلف شناسايی می شود:
Email-Worm.Win32.Joleee.adq (Kaspersky & eScan)
Mal/WaledPak-A (Sophos)
Spammer:Win32/Tedroo.I (Microsoft)
Win32:TedoBot (Avast)
انتشار
ویروس Spam-Mailbot.m به نوعی جزو ويروس های از نوع "ارسال کنندگان انبوه" (Mass Mailer) قرار می گیرد. این گونه ویروسها پس از آلوده کردن يک دستگاه، تمامی نشانی های پست الکترونيکی (Email) موجود در کامپيوتر را جمع آوری کرده و برای آنها پيامهای با پيوست (Attachment) آلوده می فرستند تا هر چه بيشتر آلودگی را منتشر کنند. برای پيدا کردن نشانی ها از دفترچه نشانی (Address Book) نرم افزارهايی مانند Outlook استفاده می کنند و يا صفحات اينترنتی موجود در بخش فايلهای موقت مرورگر اينترنت (Temporary Internet Files) را برای بدست آوردن نشانی ها جستجو می کنند. این نوع ويروس ها در گذشته، برای فرستادن پیام ها به يک برنامه ارسال پیام (مانند Outlook) تکيه می کردند، اما با پيشرفتهای حاصل شده، امروزه اغلب اينگونه ويروس ها برنامه کوچکی بنام SMTP Engine درون خود دارند و رأساً اقدام به ارسال پیام می کنند.
ویروس Spam-Mailbot.m برای تشويق دريافت کننده نامه برای اجرای فایل آلوده پیوست (ويروس) و یا کلیک بر روی لینکها، از روشهای مهندسی اجتماعی استفاده می کند. برای مثال، آخرین گونه، اين ويروس وانمود می کند که از سوی Bank of America ارسال شده است. چنانچه کاربر بر روی لینکهای موجود در آن هرزنامه کلیک کند به صفحه ديگري هدایت می شود كه با ورود اطلاعات توسط کاربر، این اطلاعات به بانک اطلاعاتی نفوذگر منتقل می شود.
خرابکاری
ويروس Spam-Mailbot.m پس از کپی فایل servises.exe در پوشه %WinDir% دیواره آتش (Windows Firewall) را دستکاری و این فایل مخرب را بعنوان یک برنامه مجاز به سیستم عامل معرفی می کند. در ادامه در مسيرهای زير فایلهای مخرب دیگر را کپی می کند:
% WinDir%\system32\servises.exe
% WinDir%\system32\sdra64.exe
% WinDir%\system32\lowsec\user.ds
% WinDir%\system32\lowsec\local.ds
% WinDir%\Temp\3.tmp
پس از آن، این ويروس، کليدهای زير را در محضرخانه تعریف می کند:
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7}
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Explorer\{EAB536DF-0DAB-5F86-EB7D-D060B52E9606}
همچنین با تعريف کليدهای زير در محضرخانه، خود را در هر بار راه اندازی دستگاه، به سيستم عامل تزريق می کند:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"Userinit" = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system 32\sdra64.exe,
HKEY_CURRENT_USER\Software\Microsoft\Windows\curre ntversion\policies\explorer\run\servises = c:\windows\system32\servises.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\curr entversion\policies\explorer\run\servises = c:\windows\system32\servises.exe
از کلیدهای زیر نیز برای ذخیره تنظیمات این ویروس استفاده می شود:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktopid = "104214710971"host = "127.0.0.1"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\S ecurity CenterFirewallOverride = 0x00000001
از ديگر خرابکاری های اين ويروس برقراری ارتباط با سرويس دهنده های زير بمنظور دريافت فرامین و فايلهای مخرب بيشتر می باشد:
توجه: اکيداً توصيه می شود وارد سايتهای مذکور نشويد؛ ذکر نام آن تنها برای اطلاع رسانی به مديران شبکه بمنظور اتخاذ تدابير پيشگيرانه می باشد.
66.96.248.21
91.207.7.234
91.207.5.66
206.51.234.126
206.137.17.89
209.20.130.33
[blocked].theplanet.com
پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبـکه گستـر در بخش AccessProtection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده
Prevent common programs from running files from the Temp folder
و برای کامپيوترهای پرخطر، فعال کردن قاعده هاي
Prevent creation of new executable files in the Windows folder
- Prevent creation of new executable files in the Program Files folder
در کنـار آگـاه کـردن کـاربـران شبکه از خطـرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنين مشترکينی که از ضدويروس مک آفی با حداقل DAT 5631 استفاده می کنند از گزند اين ويروس در امان خواهند بود.
اين ويروس با نامهای زير توسط ضدويروسهای مختلف شناسايی می شود:
Email-Worm.Win32.Joleee.adq (Kaspersky & eScan)
Mal/WaledPak-A (Sophos)
Spammer:Win32/Tedroo.I (Microsoft)
Win32:TedoBot (Avast)
انتشار
ویروس Spam-Mailbot.m به نوعی جزو ويروس های از نوع "ارسال کنندگان انبوه" (Mass Mailer) قرار می گیرد. این گونه ویروسها پس از آلوده کردن يک دستگاه، تمامی نشانی های پست الکترونيکی (Email) موجود در کامپيوتر را جمع آوری کرده و برای آنها پيامهای با پيوست (Attachment) آلوده می فرستند تا هر چه بيشتر آلودگی را منتشر کنند. برای پيدا کردن نشانی ها از دفترچه نشانی (Address Book) نرم افزارهايی مانند Outlook استفاده می کنند و يا صفحات اينترنتی موجود در بخش فايلهای موقت مرورگر اينترنت (Temporary Internet Files) را برای بدست آوردن نشانی ها جستجو می کنند. این نوع ويروس ها در گذشته، برای فرستادن پیام ها به يک برنامه ارسال پیام (مانند Outlook) تکيه می کردند، اما با پيشرفتهای حاصل شده، امروزه اغلب اينگونه ويروس ها برنامه کوچکی بنام SMTP Engine درون خود دارند و رأساً اقدام به ارسال پیام می کنند.
ویروس Spam-Mailbot.m برای تشويق دريافت کننده نامه برای اجرای فایل آلوده پیوست (ويروس) و یا کلیک بر روی لینکها، از روشهای مهندسی اجتماعی استفاده می کند. برای مثال، آخرین گونه، اين ويروس وانمود می کند که از سوی Bank of America ارسال شده است. چنانچه کاربر بر روی لینکهای موجود در آن هرزنامه کلیک کند به صفحه ديگري هدایت می شود كه با ورود اطلاعات توسط کاربر، این اطلاعات به بانک اطلاعاتی نفوذگر منتقل می شود.
خرابکاری
ويروس Spam-Mailbot.m پس از کپی فایل servises.exe در پوشه %WinDir% دیواره آتش (Windows Firewall) را دستکاری و این فایل مخرب را بعنوان یک برنامه مجاز به سیستم عامل معرفی می کند. در ادامه در مسيرهای زير فایلهای مخرب دیگر را کپی می کند:
% WinDir%\system32\servises.exe
% WinDir%\system32\sdra64.exe
% WinDir%\system32\lowsec\user.ds
% WinDir%\system32\lowsec\local.ds
% WinDir%\Temp\3.tmp
پس از آن، این ويروس، کليدهای زير را در محضرخانه تعریف می کند:
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7}
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Explorer\{EAB536DF-0DAB-5F86-EB7D-D060B52E9606}
همچنین با تعريف کليدهای زير در محضرخانه، خود را در هر بار راه اندازی دستگاه، به سيستم عامل تزريق می کند:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"Userinit" = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system 32\sdra64.exe,
HKEY_CURRENT_USER\Software\Microsoft\Windows\curre ntversion\policies\explorer\run\servises = c:\windows\system32\servises.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\curr entversion\policies\explorer\run\servises = c:\windows\system32\servises.exe
از کلیدهای زیر نیز برای ذخیره تنظیمات این ویروس استفاده می شود:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktopid = "104214710971"host = "127.0.0.1"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\S ecurity CenterFirewallOverride = 0x00000001
از ديگر خرابکاری های اين ويروس برقراری ارتباط با سرويس دهنده های زير بمنظور دريافت فرامین و فايلهای مخرب بيشتر می باشد:
توجه: اکيداً توصيه می شود وارد سايتهای مذکور نشويد؛ ذکر نام آن تنها برای اطلاع رسانی به مديران شبکه بمنظور اتخاذ تدابير پيشگيرانه می باشد.
66.96.248.21
91.207.7.234
91.207.5.66
206.51.234.126
206.137.17.89
209.20.130.33
[blocked].theplanet.com
پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبـکه گستـر در بخش AccessProtection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده
Prevent common programs from running files from the Temp folder
و برای کامپيوترهای پرخطر، فعال کردن قاعده هاي
Prevent creation of new executable files in the Windows folder
- Prevent creation of new executable files in the Program Files folder
در کنـار آگـاه کـردن کـاربـران شبکه از خطـرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنين مشترکينی که از ضدويروس مک آفی با حداقل DAT 5631 استفاده می کنند از گزند اين ويروس در امان خواهند بود.