|
نویسنده مطالب زیر: امیر حسین یقموری
ویروس شناسی و حذف آن
|
سه شنبه 85 خرداد 23 ساعت 8:27 صبح |
|
ویروس W32/Agobot-ADH
نام :: W32/Agobot-ADH
نوع :: کرم
شیوه پخش :: از طریق فایل های به اشتراک گزاشته شده در شبکه
سیستم عامل هدف :: ویندوز
نام مستعار :: WORM_SPYBOT.KV
کارهای پخش ::
1 – دسترسی دیگران به منابع کامپیوتر
2 – دزدیدن اطلاعات
3 – دانلود کردن کد های مخرب از اینترنت
4 – کم کردن قدرت ایمنی سیستم
5 – ضبط صفحه کلید
6 – نصب خود بر روی ریجیستری
7 – از کار انداختن برنامه های آنتی ویروس
شرح::
این کرم حاوی یک در پشتی است که به هکر اجازه استفاده از سیستم را می دهد . و این کرم قدرت پخش خوبی بر روی شبکه های محلی دارد و همچنین برای اولین بار که اجرا می شود خود را بر روی شاخه سیستم کپی می کند . و همچنین این شاخه ها را می سازد ::
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services\
بکدور این کرم از طریق کانال های IRC به هکر اجازه استفاده از منابع سیستم را می دهد و همچنین این کرم می تواند جلوی بازدید و اتصال به سایت های آنتی ویروس را به شکل ایجاد یک فایل HOSTS در مسیر %SYSTEM%\Drivers\etc\HOSTS بگیرد بدین شکل که در این فایل آدرس های زیر را وارد می کنند ::
127.0.0.1 http://www.symantec.com/
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 http://www.sophos.com/
127.0.0.1 sophos.com
127.0.0.1 http://www.mcafee.com/
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 http://www.viruslist.com/
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 http://www.f-secure.com/
127.0.0.1 kaspersky.com
127.0.0.1 http://www.avp.com/
127.0.0.1 http://www.kaspersky.com/
127.0.0.1 avp.com
127.0.0.1 http://www.networkassociates.com/
127.0.0.1 networkassociates.com
127.0.0.1 http://www.ca.com/
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 http://www.my-etrust.com/
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 http://www.nai.com/
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 http://www.trendmicro.com/
برای پاک سازی این کرم به صورت دستی باید اول بدنه کرم را از حالت فعالیت خارج کنید که این کار را می توانید با یافتن فایل بدنه کرم در Windows Task Manager ? Processes انجام دهید فایل بدنه در بالا ذکر شده است و بعد از طی این مراحل شما باید شاخه های ریجیستری که در بالا پیدا شده است را یافته و مقادیر آن را پاک کنید . اگر نتوانستید فایل بدنه کرم را پیدا کنید باید از ریجستری ویندوز مدد بگیرید و به شاخه RUN یا زیر شاخه های ان رفته و فایل های مشکوک را پیدا کنید و بررسی کنید.
ویروس W32/Rbot-SX
نام :: W32/Rbot-SX
نوع :: کرم
شیوه پخش :: از طریق فایل های به اشتراک گزاشته شده در شبکه
سیستم عامل هدف :: ویندوز
نام مستعار :: WORM_SPYBOT.KV
کارهای پخش ::
1 – دسترسی دیگران به منابع کامپیوتر
2 – دزدیدن اطلاعات
3 – دانلود کردن کد های مخرب از اینترنت
4 – کم کردن قدرت ایمنی سیستم
5 – ضبط صفحه کلید
6 – نصب خود بر روی ریجیستری
شرح::
این کرم دارای کدهای یک بکدور است که این بکدور بر روی کانال های IRC می باشد. این بکدور اطلاعات و دستور ها را از هکر میگیرد و بر روی سیستم انجام می دهد . همچنین این کرم از آسیب پذیری های LSASS و RPC-DCOM و WebDav برای پخش استفاده می کند شماره تخصصی این آسیب پذیری ها به ترتیب MS04-011 و MS03-039 و MS03-007 می باشد . همچنین این کرم هنگامی که برای اولین بار اجرا می شود خود را به نام فایل win32src.exe به صورت مخفی در پوشه سیستم ویندوز ذخیره می کند. همچنین این کرم شاخه های زیر را در ریجستری وارد می کند::
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Win32 Src Service
win32src.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
Win32 Src Service
win32src.exe
The worm also creates the following registry entry:
HKCU\Software\Microsoft\OLE
Win32 Src Service
win32src.exe
همچنین این کرم می تواند DoS کند و همچنین می تواند اطلاعاتی مانند CD keys و log keystrokes را بدزدد و همچنین می تواند وارد MS SQL servers شود و فرمانها را وارد کند
برای پاک سازی این کرم به صورت دستی باید اول بدنه کرم را از حالت فعالیت خارج کنید که این کار را می توانید با یافتن فایل بدنه کرم در Windows Task Manager ? Processes انجام دهید فایل بدنه در بالا ذکر شده است و بعد از طی این مراحل شما باید شاخه های ریجیستری که در بالا پیدا شده است را یافته و مقادیر آن را پاک کنید .
نام :: W32/MyDoom-BD
سیستم عامل هدف :: ویندوز
طریقه پخش :: میل
نام مستعار :: Email-Worm.Win32.Mydoom.am و W32/Mydoom.bd@MM و WORM_MYDOOM.BD
وظایف ::
1 - از کار انداختن آنتی ویروس ها
2 - فرستادن خود به واسطه میل های آلوده
3 - آلوده کردن کامپیوتر
4 - جعل آدرس فرستنده میل
تشریح ::
این کرم خود را در شاخه Temp ویندوز به نام فایل java.exe ذخیره میکند . و این شاخه ها را در رجیستری می سازد ::
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \JavaVM
HKCU\Software\Microsoft\Windows\CurrentVersion\Run \JavaVM
و همچنین فایلی به نام services.exe می سازد . این فایل شامل کد های بکدور است . این کرم همچنین برای یافتن آدرس های میل فایل های PL*, PH*, TX*, HT*, ASP, TBB, SHT و WAB, ADB و DBX را می گردد بر روی سیستم قربانی . همچنین این کرم دوری می کند از فرستادن میل به آدرس هایی که رشته های زیر را داشته باشند ::
mailer-d
spam
abuse
master
sample
accoun
privacycertific
bugs
listserv
submit
ntivi
support
admin
page
the.bat
gold-certs
ca
feste
not
help
foo
no
soft
site
rating
me
you
your
someone
anyone
nothing
nobody
noone
info
winrar
winzip
rarsoft
sf.net
sourceforge
ripe.
arin.
google
gnu.
gmail
seclist
secur
bar.
foo.com
trend
update
uslis
domain
example
sophos
yahoo
spersk
panda
hotmail
msn.
msdn.
microsoft
sarc.
syma
avp
موضوع میل های آلوده از لیست زیر انتخاب می شوند ::
hello
hi
error
status
test
report
delivery failed
Message could not be delivered
Mail System Error - Returned Mail
Delivery reports about your e-mail
Returned mail: see transcript for details
Returned mail: Data format error
همچنین فایل های ضمیمه به نام های زیر هستند ::
readme
instruction
transcript
mail
letter
file
text
attachment
document
|
 |
نظرات شما ( ) |
|
| 
:جستجو