ويروس Spy-Agent.da چيست ؟
ويروسي با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و از آخرين حفره امينتی کشف شده در سيستم عامل Windows برای انتشار خود استفاده می کند.
Dat براي شناسايي 5414انتشارويروس Spy-Agent.da با سوء استفاده از حفره امنيتی در بخش Server service سيستم عامل Windows، اقدام به آلوده کردن کامپيوتر قربانی می کند. شرکت مايکروسافت در یک اقدام غیرعادی، در دوم آبان ماه برای اين حفره امنيتی اصلاحيه MS08-067 را بطور فوق العاده منتشر ساخت. اين در حالی بود که اين شرکت، طبق برنامه ماهانه خود، يازده اصلاحيه امنیتی برای ماه اکتبر را حدود يک هفته قبل از آن ارائه نموده بود. اين حفره امنيتی به نفوذگر اجازه می دهد تا از راه دور اقدام به اجرای هرگونه دستور و فرمان بر روی سيستم قربانی کند.
اصلاحيه MS08-067 را می توانيد از مسير زير دريافت نمائيد:
به محض آلوده شدن يک کامپيوتر به اين ويروس، فايلهايی با نام nx.exe ( كه X يک عدد متغير است) بر روی کامپيوتر قربانی ایجاد می شوند. با اجرای هر یک از این فایلها، فايل مخرب زير ايجاد می شود:
%SystemDir%\wbem\sysmgr.dllپس از آن کليدهای زير در محضرخانه سيستم عامل ايجاد می گردند:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\sysmgr\ParametersServicedll = %SystemDir%\wbem\sysmgr.dllServicemain = servicemainfuncبه اين ترتيب سرويسی با عنوان System Maintenance Service و نام sysmgr به بخش سرويسهای سيستم عامل اضافه می شود.
در ادامه، اين ويروس اقدام به برقراری ارتباط با سرويس دهنده 59.106.145.58 می کند که در نتيجه آن فايل فشرده شده inetproc02x.cab دريافت و در پوشه سيستمی سيستم عامل ذخيره می شود. اين فايل فشرده شده حاوی فايلهای مخرب زير است:
sysmgr.dllinstall.batsyicon.dllwinbase.dllwinbaseInst.exeسپس با اجرا شدن فايل install.bat تمامی اين فايلها در مسير زير کپی می شوند:
%SystemDir%\wbemدر مسير مذکور فايل winbaseInst.exe اجرا شده و کليدهای زير در محضرخانه ايجاد می گردند:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\BaseSvc\ParametersServicedll = %SystemDir%\wbem\winbase.dllServicemain = servicemainfuncدر نتيجه سرويس ديگری با عنوان Windows NT Baseline و نام BaseSvc به بخش سرويسهای سيستم عامل اضافه می شود.
از ديگر خرابکاری های اين ويروس برقراری ارتباط با سرويس دهنده های زير بمنظور دريافت فايلهای مخرب بيشتر می باشد:
59.106.145.58doradora.atzend.comperlbody.t35.comsummertime.1gokurimu.comتوجه: اکيداً توصيه می شود وارد سايتهای مذکور نشويد؛ ذکر نام آن تنها برای اطلاع رسانی به مديران شبکه جهت اتخاذ تدابير پيشگيرانه می باشد.
پاکسازی
اعمال اصلاحیه امنیتی MS08-067 مایکروسافت جهت جلوگیری از آلودگی به این ویروس ضروری است.
با استفاده از DAT 5414 و Engine 5300 پاکسازی بصورت کامل صورت می پذيرد.
دوست عزیز، به سایت علمی نخبگان جوان خوش آمدید
مشاهده این پیام به این معنی است که شما در سایت عضو نیستید، لطفا در صورت تمایل جهت عضویت در سایت علمی نخبگان جوان اینجا کلیک کنید.
توجه داشته باشید، در صورتی که عضو سایت نباشید نمی توانید از تمامی امکانات و خدمات سایت استفاده کنید.
پاسخ با نقل قول
علاقه مندی ها (Bookmarks)