Dat براي شناسايي 5384
ويـروسـی بـا درجـه خطـر کـم کـه عملکـرد "اسب تــروا" (Trojan) داشتـه و در Windows از نـوع 32 بيتی فعال می گردد
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سـالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ويروس Generic StartPage.l نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانـالهـای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
خرابكاري
اين ويروس فايل مخرب زير را در اين مسير کپی می کند:
C:\Windows\System32\iexplorer.exe
در ادامه، با دستکاری کليد زير در محضرخانه، خود را در هر بار راه اندازی دستگاه، به سيستم عامل تزريق می کند:
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] Shell = "Explorer.exe iexplorer.exe"
همچنین ویـروس Generic StartPage.l بـا دستـکاری کلیـدهـای زیـر در مـحـضـرخـانـه، صـفـحـه www.021cd.com/page.htm (در آخـريـن گـونـه مشـاهـده شـده در ايـران) را بعنوان صفحه اول مرورگر (HomePage) و موتور جستجوگر پيش فرض قرار می دهد:
توجه: اکيداً توصيه می شود وارد سايتهای مذکور نشويد؛ ذکر نام آن تنها برای اطلاع رسانی به مديران شبکه بمنظور اتخاذ تدابير پيشگيرانه می باشد.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\
Main\Search Page
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\
Main\Start Page
Default_Page_URL HKEY_LOCAL_MACHINE\Software\
Microsoft\Internet Explorer\Main\Search Page
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Start Page
از ديگر خرابکاری های اين ويروس، برقراری ارتباط با سرويس دهنده زير، با استفاده از پودمان HTTP می باشد:
207.210.83.67
پيشگيري
به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، بخصوص بسته امنيتی (Service Pack) شماره 3 سيستم عامل Windows XP، پرهيز از بکارگيری رمزهای ضعيف و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبـکه گستـر در بخش Access Protection ضـد ويـروس McAfee، نظير فعـال کـردن قاعده های
Prevent common programs from running files from the Temp folder
و برای کامپيوترهای پرخطر، فعال کردن قاعده های
Prevent creation of new executable files in the Windows folder
Prevent creation of new executable files in the Program Files folder
در کنـار آگـاه کـردن کاربران شبکه از خطرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند