آبجی
1st April 2010, 03:29 PM
ويروسي با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و از آخرين حفره امينتی کشف شده در سيستم عامل Windows برای انتشار خود استفاده می کند.
Dat براي شناسايي 5414
انتشار
ويروس Spy-Agent.da با سوء استفاده از حفره امنيتی در بخش Server service سيستم عامل Windows، اقدام به آلوده کردن کامپيوتر قربانی می کند. شرکت مايکروسافت در یک اقدام غیرعادی، در دوم آبان ماه برای اين حفره امنيتی اصلاحيه MS08-067 را بطور فوق العاده منتشر ساخت. اين در حالی بود که اين شرکت، طبق برنامه ماهانه خود، يازده اصلاحيه امنیتی برای ماه اکتبر را حدود يک هفته قبل از آن ارائه نموده بود. اين حفره امنيتی به نفوذگر اجازه می دهد تا از راه دور اقدام به اجرای هرگونه دستور و فرمان بر روی سيستم قربانی کند.
اصلاحيه MS08-067 را می توانيد از مسير زير دريافت نمائيد:
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx (http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx)
به محض آلوده شدن يک کامپيوتر به اين ويروس، فايلهايی با نام nx.exe ( كه X يک عدد متغير است) بر روی کامپيوتر قربانی ایجاد می شوند. با اجرای هر یک از این فایلها، فايل مخرب زير ايجاد می شود:
%SystemDir%\wbem\sysmgr.dll
پس از آن کليدهای زير در محضرخانه سيستم عامل ايجاد می گردند:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\sysmgr\Parameters
Servicedll = %SystemDir%\wbem\sysmgr.dll
Servicemain = servicemainfunc
به اين ترتيب سرويسی با عنوان System Maintenance Service و نام sysmgr به بخش سرويسهای سيستم عامل اضافه می شود.
در ادامه، اين ويروس اقدام به برقراری ارتباط با سرويس دهنده 59.106.145.58 می کند که در نتيجه آن فايل فشرده شده inetproc02x.cab دريافت و در پوشه سيستمی سيستم عامل ذخيره می شود. اين فايل فشرده شده حاوی فايلهای مخرب زير است:
sysmgr.dll
install.bat
syicon.dll
winbase.dll
winbaseInst.exe
سپس با اجرا شدن فايل install.bat تمامی اين فايلها در مسير زير کپی می شوند:
%SystemDir%\wbem
در مسير مذکور فايل winbaseInst.exe اجرا شده و کليدهای زير در محضرخانه ايجاد می گردند:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\BaseSvc\Parameters
Servicedll = %SystemDir%\wbem\winbase.dll
Servicemain = servicemainfunc
در نتيجه سرويس ديگری با عنوان Windows NT Baseline و نام BaseSvc به بخش سرويسهای سيستم عامل اضافه می شود.
از ديگر خرابکاری های اين ويروس برقراری ارتباط با سرويس دهنده های زير بمنظور دريافت فايلهای مخرب بيشتر می باشد:
59.106.145.58
doradora.atzend.com
perlbody.t35.com
summertime.1gokurimu.com
توجه: اکيداً توصيه می شود وارد سايتهای مذکور نشويد؛ ذکر نام آن تنها برای اطلاع رسانی به مديران شبکه جهت اتخاذ تدابير پيشگيرانه می باشد.
پاکسازی
اعمال اصلاحیه امنیتی MS08-067 مایکروسافت جهت جلوگیری از آلودگی به این ویروس ضروری است.
با استفاده از DAT 5414 و Engine 5300 پاکسازی بصورت کامل صورت می پذيرد.
Dat براي شناسايي 5414
انتشار
ويروس Spy-Agent.da با سوء استفاده از حفره امنيتی در بخش Server service سيستم عامل Windows، اقدام به آلوده کردن کامپيوتر قربانی می کند. شرکت مايکروسافت در یک اقدام غیرعادی، در دوم آبان ماه برای اين حفره امنيتی اصلاحيه MS08-067 را بطور فوق العاده منتشر ساخت. اين در حالی بود که اين شرکت، طبق برنامه ماهانه خود، يازده اصلاحيه امنیتی برای ماه اکتبر را حدود يک هفته قبل از آن ارائه نموده بود. اين حفره امنيتی به نفوذگر اجازه می دهد تا از راه دور اقدام به اجرای هرگونه دستور و فرمان بر روی سيستم قربانی کند.
اصلاحيه MS08-067 را می توانيد از مسير زير دريافت نمائيد:
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx (http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx)
به محض آلوده شدن يک کامپيوتر به اين ويروس، فايلهايی با نام nx.exe ( كه X يک عدد متغير است) بر روی کامپيوتر قربانی ایجاد می شوند. با اجرای هر یک از این فایلها، فايل مخرب زير ايجاد می شود:
%SystemDir%\wbem\sysmgr.dll
پس از آن کليدهای زير در محضرخانه سيستم عامل ايجاد می گردند:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\sysmgr\Parameters
Servicedll = %SystemDir%\wbem\sysmgr.dll
Servicemain = servicemainfunc
به اين ترتيب سرويسی با عنوان System Maintenance Service و نام sysmgr به بخش سرويسهای سيستم عامل اضافه می شود.
در ادامه، اين ويروس اقدام به برقراری ارتباط با سرويس دهنده 59.106.145.58 می کند که در نتيجه آن فايل فشرده شده inetproc02x.cab دريافت و در پوشه سيستمی سيستم عامل ذخيره می شود. اين فايل فشرده شده حاوی فايلهای مخرب زير است:
sysmgr.dll
install.bat
syicon.dll
winbase.dll
winbaseInst.exe
سپس با اجرا شدن فايل install.bat تمامی اين فايلها در مسير زير کپی می شوند:
%SystemDir%\wbem
در مسير مذکور فايل winbaseInst.exe اجرا شده و کليدهای زير در محضرخانه ايجاد می گردند:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\BaseSvc\Parameters
Servicedll = %SystemDir%\wbem\winbase.dll
Servicemain = servicemainfunc
در نتيجه سرويس ديگری با عنوان Windows NT Baseline و نام BaseSvc به بخش سرويسهای سيستم عامل اضافه می شود.
از ديگر خرابکاری های اين ويروس برقراری ارتباط با سرويس دهنده های زير بمنظور دريافت فايلهای مخرب بيشتر می باشد:
59.106.145.58
doradora.atzend.com
perlbody.t35.com
summertime.1gokurimu.com
توجه: اکيداً توصيه می شود وارد سايتهای مذکور نشويد؛ ذکر نام آن تنها برای اطلاع رسانی به مديران شبکه جهت اتخاذ تدابير پيشگيرانه می باشد.
پاکسازی
اعمال اصلاحیه امنیتی MS08-067 مایکروسافت جهت جلوگیری از آلودگی به این ویروس ضروری است.
با استفاده از DAT 5414 و Engine 5300 پاکسازی بصورت کامل صورت می پذيرد.