آبجی
1st April 2010, 03:44 PM
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در دسته "دریافت کننده فایلهای مخرب" (Downloader) قرار می گیرد. این ویروس نیز مانند صدها گونه دیگر از ویروس Downloader هدفی بغیر از دریافت فایلهای مخرب و اجرای فرامین خرابکارانه بر روی کامپیوتر قربانی ندارد.
انتشار :
این اسب تروا نیز مانند صدها گونه دیگر از اسبهای تروای Downloader هدفی بغیر از دریافت فایلهای مخرب و اجرای فرامین خرابکارانه بر روی کامپیوتر قربانی ندارد. تنها نکته قابل توجه درباره این گونه خاص، نحوه دریافت فرامین جدید است. فایلها و دستورات در قالب فایلهایی که در ظاهر حاوی تصاویر و گرافیک هستند، از یک سرويس دهنده مرکزی (که شبکه کامپیوترهای آلوده و تسخیر شده را کنترل میکند) به هر یک از کامپیوترهای آلوده ارسال می شود.
این فایلهای مخرب دارای Header از نوع فایلهای گرافیکی JPEG هستند و لذا کمتر کنترل شده و امکان شناسائی آنها نیز کمتر خواهد بود. اسب تروای فعال بر روی کامپیوتر آلوده نیز پس از دریافت فایل (در ظاهر گرافیکی)، بخش header آنرا کنترل کرده و پس از تشخیص آن، محتوای رمز شده آنرا خوانده و فرامین مخرب جدید را به اجرا می گذارد.
اسب تروا Downloader-BLV نيز همانند ساير اسب های تروا، با دريافت از اينترنت و اجرا بر روی دستگاه قربانی انتشار می یابد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل، که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
خرابكاري :
پس از فعال شدن اسب تروا Downloader-BLV بر روی کامپیوتر قربانی، فایل زیر را ایجاد میکند.
- %System%\mst123.dll
کلیدهای جدیدی در Registry سیستم عامل ایجاد کرده و بسیاری از سرویس های فعال بر روی کامپیوتر آلوده را از کار می اندارد.
این اسب تروا برای دریافت فرامین جدید به سایت های زیر وصل می شود:
- http://88.80 (http://88.80/).[removed]/karaq/[removed].php
- http://cdn.cdt (http://cdn.cdt/)[removed]/karaq/[removed].php
- http://cdn.cl (http://cdn.cl/)[removed]/karaq/[removed].php
پيشگيري :
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص بسته امنيتی (Service Pack) شماره 3 سيستم عامل Windows XP، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.
انتشار :
این اسب تروا نیز مانند صدها گونه دیگر از اسبهای تروای Downloader هدفی بغیر از دریافت فایلهای مخرب و اجرای فرامین خرابکارانه بر روی کامپیوتر قربانی ندارد. تنها نکته قابل توجه درباره این گونه خاص، نحوه دریافت فرامین جدید است. فایلها و دستورات در قالب فایلهایی که در ظاهر حاوی تصاویر و گرافیک هستند، از یک سرويس دهنده مرکزی (که شبکه کامپیوترهای آلوده و تسخیر شده را کنترل میکند) به هر یک از کامپیوترهای آلوده ارسال می شود.
این فایلهای مخرب دارای Header از نوع فایلهای گرافیکی JPEG هستند و لذا کمتر کنترل شده و امکان شناسائی آنها نیز کمتر خواهد بود. اسب تروای فعال بر روی کامپیوتر آلوده نیز پس از دریافت فایل (در ظاهر گرافیکی)، بخش header آنرا کنترل کرده و پس از تشخیص آن، محتوای رمز شده آنرا خوانده و فرامین مخرب جدید را به اجرا می گذارد.
اسب تروا Downloader-BLV نيز همانند ساير اسب های تروا، با دريافت از اينترنت و اجرا بر روی دستگاه قربانی انتشار می یابد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل، که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
خرابكاري :
پس از فعال شدن اسب تروا Downloader-BLV بر روی کامپیوتر قربانی، فایل زیر را ایجاد میکند.
- %System%\mst123.dll
کلیدهای جدیدی در Registry سیستم عامل ایجاد کرده و بسیاری از سرویس های فعال بر روی کامپیوتر آلوده را از کار می اندارد.
این اسب تروا برای دریافت فرامین جدید به سایت های زیر وصل می شود:
- http://88.80 (http://88.80/).[removed]/karaq/[removed].php
- http://cdn.cdt (http://cdn.cdt/)[removed]/karaq/[removed].php
- http://cdn.cl (http://cdn.cl/)[removed]/karaq/[removed].php
پيشگيري :
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص بسته امنيتی (Service Pack) شماره 3 سيستم عامل Windows XP، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده در بخش Access Protection ضدويروس McAfee در کنار آگاه کردن کاربران شبکه از خطرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.