تبليغاتX
صبح رامهرمز - با خصوصيت سه ويروس و بدافزار مطرح

samanghan


با خصوصيت سه ويروس و بدافزار مطرح 

اين هفته به بررسي خصوصيات كرم‌هاي اينترنتي ‪ Peerbot ،Oscarbot.IV‬و ‪ Netsad.B‬مي‌پردازيم.

"‪ "Oscarbot.IV‬كرمي اينترنتي است كه درگاههاي ارتباطي متعددي را در رايانه‌هاي آلوده باز كرده و به مهاجمين اين امكان را مي‌دهد كه از راه دور به سيستم دسترسي پيدا كنند.

اين كرم همچنين اسب ترواي ‪ Protestor.A‬را روي سيستم نصب مي‌كند كه مي تواند از صفحه نمايش كاربران عكسبرداري كرده و اطلاعات كاربران را مورد دستبرد قرار دهد.

انتشار اين كرم از طريق ‪ America Online Instant Messenger‬و با ارسال پيام به نشاني تمامي كاربران فعال انجام مي‌شود.

‪ Oscarbot.IV‬پس از اجرا ، به عنوان سرويسي با نام
‪ Windows Genuine Advantage Validation Notification‬روي سيستم نصب مي‌شود و در عين اينكه سعي مي‌كند خود را به عنوان يكي از سرويس‌هاي ضدسرقت مايكروسافت جابزند، سعي دارد اطمينان يابد كه با هربار شروع، ويندوز اجرا مي‌شود.

كرم اينترنتي ‪ Peerbot.B‬مي‌تواند به شكل يك دربازكن نفوذي براي دريافت دستورهاي مهاجمين از طريق ‪ IRC‬عمل كند، اين كرم درعين حال مي‌تواند از ‪SQL Server‬ها يا پايگاه‌هاي داده‌اي ‪ MySql‬روي سيستم‌ها، اطلاعات را ربوده و نسبت به ارسال آن از طريق پست الكترونيكي اقدام كند.

اين كرم اينترنتي هنگام اجرا ، فايلهاي متعددي روي سيستم مي‌سازد كه ‪ taskdrv.exe(‬نسخه‌اي از خود كرم) و (‪ Libmysql.dll)‬كتابخانه‌اي متعلق به بانك اطلاعات ‪ (Mysql‬نمونه‌هايي از آنها هستند.

اين كرم فايلهاي متعددي با اسامي مرتبط با ‪ ،crack‬برنامه‌هاي كاربردي و بازيهاي معروف در فولدرهاي اشتراكي برنامه‌هاي ‪ ،P2P‬ايجاد مي‌كند.

وقتي ساير كاربران برنامه‌هاي ‪ P2P‬جستجويي انجام مي‌دهند، در نتيجه جستجوي خود، به فايلهاي آلوده قرباني نخست برمي خورند.

تغيير فايلهاي ميزبان به منظور جلوگيري از دسترسي به صفحات وب محصولات امنيتي از ديگر عملكردهاي اين كرم اينترنتي است.

‪ Netsad.B‬كرمي است كه از راه پيوست نامه‌هاي الكترونيكي و با موضوعاتي مختلف منتشر مي‌شود، اين كرم همچنين با استفاده از برنامه‌هاي ‪ P2P‬متعددي چون ‪ Kazaa‬و ‪ ، Emule‬نسخه‌هايي از خود را در فولدرهاي اشتراكي قرار مي دهد تا ساير كاربران نيز آن را بردارند و آلوده شوند.

كرم ‪ Netsad.B‬تنها در صورتي مي‌تواند عمل كند كه ‪،Net framework‬ ‪ Microsoft‬روي دستگاه نصب باشد و وقتي كه اجرا مي‌شود، نسخه‌اي از خود را تحت نام ‪ winservices.cab.bak.exe‬در فولدر ‪ System‬ويندوز مي‌گذارد.

اين كرم با استفاده از اسامي مرتبط با محصولات ضدويروسي، نسخه‌هاي گوناگون ديگري از خود نيز در ساير درايوهاي سيستم برجاي مي‌گذارد و براي پنهان ماندن خود پردازش‌هاي مرتبط با امور امنيتي را متوقف مي‌كند و دستگاه را در مقابل حملات بعدي آسيب پذيرتر رها مي‌سازد.

قدرتمندترین انجمن تخصصی ایرانیان پارسیفا

نوشته شده توسط samanghan | لینک ثابت | موضوع: اینترنت و شبکه |



<