آبجی
1st April 2010, 03:40 PM
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در دسته دریافت کننده فایلهای مخرب (Downloader) قرار می گیرد.
انتشار
ویروس JS/Downloader-BNL کد مخربی به زبان Java Script است که از طریق آن ویروسهای دیگر فراخوانی شده و بر روی کامپیوتر اجرا می گردند. یک نفوذگر می تواند با قرار دادن این کد آلوده در سایتی اینترنتی سبب شود مراجعین سایت، فایلهای مخرب مورد نظر نفوذگر را دریافت کنند. در ادامه این فایلهای مخرب در پشت صحنه اجرا شده و نفوذگر به اهداف شوم خود می رسد.
خرابکاری
آخرین گونه ویروس JS/Downloader-BNL، در هنگام مراجعه کاربر به سایتی که این ویروس به آن تزریق شده است، ویروس FakeAlert-BY (که یک ضدویروس جعلی است) بر روی کامپیوتر او اجرا می شود.
همچنین ویروس JS/Downloader-BNL برای دریافت ویروسها و فایلهای مخرب به سرویس دهنده های زیر متصل می گردد:
hxxp://91.212.65.12
hxxp://192.88.80.150
hxxp://195.88.80.207
hxxp://78.26.179.239
پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينکهای ناآشنا همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5579 استفاده می کنند از گزند اين ويروس در امان خواهند بود.
ويروس IRCbot.gen.a چيست ؟
ويروسی با درجه خطر کم با قابلیتهای مختلف (Generic) که در سيستم های عامل Windows از نوع 32 بيتی فعال می گردد.
انتشار
نحوه انتشار این ویروس در گونه های مختلف آن متفاوت است. اما بطور کلی، هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين ویروس کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين ویروس هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، اين ویروس دريافت کنند
آخرین گونه ویروس IRCbot.gen.a که در ماه جاری (فروردین 88) مشاهده شده است عملکردی مشابه ویروس پرسروصدای Conficker دارد و همانند آن، از حفره امنیتی *MS08-067 برای نفوذ به کامپیوترها استفاده می کند.
خرابکاری
به محض اجرا شدن، در مسيرهای زير فايلهای مخرب کپی می شوند:
%Windir%\netmon.exe
%WinDir%\drivers\sysdrv32.sys
وظیفه فایل دوم، حذف محدودیتهای ارتباطی است که سیستم عامل توسط فایل tcpip.sys (که یکی از راه اندازهای Windows است) آن کنترلها را اعمال می کند. با این کار، محدودیتهایی که از بسته امنیتی 2 به بعد در Windows لحاظ شده اند غیرفعال شده و ویروس می تواند به سرویس دهنده های مورد نظرش بدون مزاحمت سیستم عامل متصل گردد. فایل sysdrv32.sys توسط ضدویروس مک آفی با عنوان Generic Rootkit.g شناسایی می شود.
در ادامه این ویروس با سرویس دهنده های زیر ارتباط برقرار می کند :
hxxp://98.1[removed]
hxxp://74.2[removed]
در هنگام اتصال به این سرویس دهنده ها عمل تعیین هویت (Ahutentication) انجام می شود که این ویروس از مشخصه های زیر برای این منظور استفاده می کند:
PASS h4xg4ng
NICK [00-USA-XP-9215671]
USER SP2-ojd, followed by the name of the infected computer.
در نهایت کنترل دستگاه بدست نفوذگر می افتد و او می تواند اهداف شوم خود را از راه دور بر روی کامپیوتر قربانی پیاده سازد.
پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص اصلاحیه MS08-067 و همچنين استفاده از تنظيمات توصيه شده توسط کارشناسان شرکت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده هاي USB و برای کامپيوترهای پرخطر، فعال کردن قاعده هاي:
Prevent creation of new executable files in the Windows folder
Prevent creation of new executable files in the Program Files folder
همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند
همچنين مشترکينی که از ضدويروس مک آفی با حداقل DAT 5572 استفاده می کنند و سیستم عاملشان به اصلاحیه MS08-067 مجهز است از گزند اين ويروس در امان خواهند بود.
انتشار
ویروس JS/Downloader-BNL کد مخربی به زبان Java Script است که از طریق آن ویروسهای دیگر فراخوانی شده و بر روی کامپیوتر اجرا می گردند. یک نفوذگر می تواند با قرار دادن این کد آلوده در سایتی اینترنتی سبب شود مراجعین سایت، فایلهای مخرب مورد نظر نفوذگر را دریافت کنند. در ادامه این فایلهای مخرب در پشت صحنه اجرا شده و نفوذگر به اهداف شوم خود می رسد.
خرابکاری
آخرین گونه ویروس JS/Downloader-BNL، در هنگام مراجعه کاربر به سایتی که این ویروس به آن تزریق شده است، ویروس FakeAlert-BY (که یک ضدویروس جعلی است) بر روی کامپیوتر او اجرا می شود.
همچنین ویروس JS/Downloader-BNL برای دریافت ویروسها و فایلهای مخرب به سرویس دهنده های زیر متصل می گردد:
hxxp://91.212.65.12
hxxp://192.88.80.150
hxxp://195.88.80.207
hxxp://78.26.179.239
پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينکهای ناآشنا همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5579 استفاده می کنند از گزند اين ويروس در امان خواهند بود.
ويروس IRCbot.gen.a چيست ؟
ويروسی با درجه خطر کم با قابلیتهای مختلف (Generic) که در سيستم های عامل Windows از نوع 32 بيتی فعال می گردد.
انتشار
نحوه انتشار این ویروس در گونه های مختلف آن متفاوت است. اما بطور کلی، هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين ویروس کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين ویروس هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، اين ویروس دريافت کنند
آخرین گونه ویروس IRCbot.gen.a که در ماه جاری (فروردین 88) مشاهده شده است عملکردی مشابه ویروس پرسروصدای Conficker دارد و همانند آن، از حفره امنیتی *MS08-067 برای نفوذ به کامپیوترها استفاده می کند.
خرابکاری
به محض اجرا شدن، در مسيرهای زير فايلهای مخرب کپی می شوند:
%Windir%\netmon.exe
%WinDir%\drivers\sysdrv32.sys
وظیفه فایل دوم، حذف محدودیتهای ارتباطی است که سیستم عامل توسط فایل tcpip.sys (که یکی از راه اندازهای Windows است) آن کنترلها را اعمال می کند. با این کار، محدودیتهایی که از بسته امنیتی 2 به بعد در Windows لحاظ شده اند غیرفعال شده و ویروس می تواند به سرویس دهنده های مورد نظرش بدون مزاحمت سیستم عامل متصل گردد. فایل sysdrv32.sys توسط ضدویروس مک آفی با عنوان Generic Rootkit.g شناسایی می شود.
در ادامه این ویروس با سرویس دهنده های زیر ارتباط برقرار می کند :
hxxp://98.1[removed]
hxxp://74.2[removed]
در هنگام اتصال به این سرویس دهنده ها عمل تعیین هویت (Ahutentication) انجام می شود که این ویروس از مشخصه های زیر برای این منظور استفاده می کند:
PASS h4xg4ng
NICK [00-USA-XP-9215671]
USER SP2-ojd, followed by the name of the infected computer.
در نهایت کنترل دستگاه بدست نفوذگر می افتد و او می تواند اهداف شوم خود را از راه دور بر روی کامپیوتر قربانی پیاده سازد.
پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص اصلاحیه MS08-067 و همچنين استفاده از تنظيمات توصيه شده توسط کارشناسان شرکت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده هاي USB و برای کامپيوترهای پرخطر، فعال کردن قاعده هاي:
Prevent creation of new executable files in the Windows folder
Prevent creation of new executable files in the Program Files folder
همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند
همچنين مشترکينی که از ضدويروس مک آفی با حداقل DAT 5572 استفاده می کنند و سیستم عاملشان به اصلاحیه MS08-067 مجهز است از گزند اين ويروس در امان خواهند بود.