آبجی
1st April 2010, 03:45 PM
ويروسی با درجه خطر کم با قابلیتهای مختلف (Generic) که در سيستم های عامل Windows از نوع 32 بيتی فعال می گردد.
انتشار
نحوه انتشار این ویروس در گونه های مختلف آن متفاوت است. اما بطور کلی، هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين ویروس کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين ویروس هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، اين ویروس دريافت کنند
آخرین گونه ویروس IRCbot.gen.a که در ماه جاری (فروردین 88) مشاهده شده است عملکردی مشابه ویروس پرسروصدای Conficker دارد و همانند آن، از حفره امنیتی *MS08-067 برای نفوذ به کامپیوترها استفاده می کند.
خرابکاری
به محض اجرا شدن، در مسيرهای زير فايلهای مخرب کپی می شوند:
%Windir%\netmon.exe
%WinDir%\drivers\sysdrv32.sys
وظیفه فایل دوم، حذف محدودیتهای ارتباطی است که سیستم عامل توسط فایل tcpip.sys (که یکی از راه اندازهای Windows است) آن کنترلها را اعمال می کند. با این کار، محدودیتهایی که از بسته امنیتی 2 به بعد در Windows لحاظ شده اند غیرفعال شده و ویروس می تواند به سرویس دهنده های مورد نظرش بدون مزاحمت سیستم عامل متصل گردد. فایل sysdrv32.sys توسط ضدویروس مک آفی با عنوان Generic Rootkit.g شناسایی می شود.
در ادامه این ویروس با سرویس دهنده های زیر ارتباط برقرار می کند :
hxxp://98.1[removed]
hxxp://74.2[removed]
در هنگام اتصال به این سرویس دهنده ها عمل تعیین هویت (Ahutentication) انجام می شود که این ویروس از مشخصه های زیر برای این منظور استفاده می کند:
PASS h4xg4ng
NICK [00-USA-XP-9215671]
USER SP2-ojd, followed by the name of the infected computer.
در نهایت کنترل دستگاه بدست نفوذگر می افتد و او می تواند اهداف شوم خود را از راه دور بر روی کامپیوتر قربانی پیاده سازد.
پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص اصلاحیه MS08-067 و همچنين استفاده از تنظيمات توصيه شده توسط کارشناسان شرکت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده هاي USB و برای کامپيوترهای پرخطر، فعال کردن قاعده هاي:
Prevent creation of new executable files in the Windows folder
Prevent creation of new executable files in the Program Files folder
همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند
همچنين مشترکينی که از ضدويروس مک آفی با حداقل DAT 5572 استفاده می کنند و سیستم عاملشان به اصلاحیه MS08-067 مجهز است از گزند اين ويروس در امان خواهند بود.
انتشار
نحوه انتشار این ویروس در گونه های مختلف آن متفاوت است. اما بطور کلی، هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين ویروس کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين ویروس هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، اين ویروس دريافت کنند
آخرین گونه ویروس IRCbot.gen.a که در ماه جاری (فروردین 88) مشاهده شده است عملکردی مشابه ویروس پرسروصدای Conficker دارد و همانند آن، از حفره امنیتی *MS08-067 برای نفوذ به کامپیوترها استفاده می کند.
خرابکاری
به محض اجرا شدن، در مسيرهای زير فايلهای مخرب کپی می شوند:
%Windir%\netmon.exe
%WinDir%\drivers\sysdrv32.sys
وظیفه فایل دوم، حذف محدودیتهای ارتباطی است که سیستم عامل توسط فایل tcpip.sys (که یکی از راه اندازهای Windows است) آن کنترلها را اعمال می کند. با این کار، محدودیتهایی که از بسته امنیتی 2 به بعد در Windows لحاظ شده اند غیرفعال شده و ویروس می تواند به سرویس دهنده های مورد نظرش بدون مزاحمت سیستم عامل متصل گردد. فایل sysdrv32.sys توسط ضدویروس مک آفی با عنوان Generic Rootkit.g شناسایی می شود.
در ادامه این ویروس با سرویس دهنده های زیر ارتباط برقرار می کند :
hxxp://98.1[removed]
hxxp://74.2[removed]
در هنگام اتصال به این سرویس دهنده ها عمل تعیین هویت (Ahutentication) انجام می شود که این ویروس از مشخصه های زیر برای این منظور استفاده می کند:
PASS h4xg4ng
NICK [00-USA-XP-9215671]
USER SP2-ojd, followed by the name of the infected computer.
در نهایت کنترل دستگاه بدست نفوذگر می افتد و او می تواند اهداف شوم خود را از راه دور بر روی کامپیوتر قربانی پیاده سازد.
پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص اصلاحیه MS08-067 و همچنين استفاده از تنظيمات توصيه شده توسط کارشناسان شرکت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده هاي USB و برای کامپيوترهای پرخطر، فعال کردن قاعده هاي:
Prevent creation of new executable files in the Windows folder
Prevent creation of new executable files in the Program Files folder
همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند
همچنين مشترکينی که از ضدويروس مک آفی با حداقل DAT 5572 استفاده می کنند و سیستم عاملشان به اصلاحیه MS08-067 مجهز است از گزند اين ويروس در امان خواهند بود.