کرم اینترنتی SDBOT.UH

شواهد حاکی از ظهور کرم اینترنتی جدیدی بنام  SDBOT.UH  می باشد که در تاریخ  هشتم سپتامبر کشف گردیده است و در حال گسترش در اینترنت می باشد.

این کرم اینترنتی بر اساس چهار نقطه ضعف عمده که در سیستمهای مبتنی بر ویندوز وجود دارند خود را اشاعه می دهد و با توجه به اینکه بعد از نصب بعنوان یک Sniffer  به ترافیک داده های دستگاه قربانی گوش داده و کلمات عبور و مشخصات بانکی قربانی را به هکر گزارش می دهد بسیار حائز اهمیت  و خطرناک است.

جزئیات :


این کرم با استفاده از نقاط ضعف :

• Remote Procedure Call (RPC) Distributed Component Model (DCOM) vulnerability
• Buffer Overflow in SQL Server 2000 vulnerability
• IIS5/WEBDAV buffer overrun vulnerability
• LSASS vulnerability

به سیستم قربانی وارد می شود و سپس  با نام Win32x.exe  خود را در شاخه ویندوز کپی می نماید. همچنین مسیرهای

HKEY_LOCAL_MACHINE/Software/Microsoft/
Windows/CurrentVersion/Run
Microsoft Time Manager = "dveldr.exe"
HKEY_LOCAL_MACHINE/Software/Microsoft/
Windows/CurrentVersion/RunServices
Microsoft Time Manager = "dveldr.exe"
و
HKEY_LOCAL_MACHINE/Software/Microsoft/Ole
Microsoft Time Manager = "dveldr.exe"

را به  رجیستری سیستم هدف اضافه می کند که امکان اجرای دوباره را بعد از restart شدن کامپیوتر قربانی به این کرم می دهد. این کرم قابلیت های گوناگونی از جمله Sniffing ، Keylogging  و همچنین ایجاد Backdoor را دارا می باشد و نیز از سیستم قربانی بعنوان یک TFTP Server برای انتقال خود به سایر کامپیوتر ها استفاده می کند . شاید مهلک ترین قابلیت این کرم همان Sniffing باشد  که سعی در دریافت  کلمات عبور و مشخصات کارت های اعتباری قربانی و گزارش آن  به هکر است. ضمن اینکه اصولاً شناسائی  Sniffer ها کار مشکلی می باشد.

راه حل‌:


1- برنامه ضد ویروس خود را بروز نمائید و سریعاً سیستم خود را چک کنید .
2- Task Manager را اجرا و در صورت مشاهده task ای با نامهای Win32x.exe یا dveldr.exe
آنها را End Task کرده و سپس با اجرای Regedit ،  در صورت وجود مسیرهائی که قبلاً اشاره شد آنها را  پاک نمائید .




برگرفته از سایت آشیانه


آشنایی با کرم Dref-AF

توضیحات:

Dref-AF یک کرم ایمیل برای سیستم های ویندوزی می باشد.

این کرم آدرس های ایمیل را از کامپیوتر آلوده جمع آوری کرده و یک کپی از خود را با آدرس  "random name@yahoo.com"  به این آدرس ها ارسال می کند. این ایمیل دارای خصوصیات زیر می باشد :

 

Subject line (موضوع ایمیل):

  Iran Just Have Started World War III

  USA Just Have Started World War III

  Israel Just Have Started World War III

  Missle Strike: The USA kills more then 10000 Iranian citizens

  Missle Strike: The USA kills more then 1000 Iranian citizens

  Missle Strike: The USA kills more then 20000 Iranian citizens

  USA Missle Strike: Iran War just have started

  USA Declares War on Iran

 

Attachment filename(فایل‌های الحاقی):

  Video.exe

  News.exe

  Movie.exe

  Read Me.exe

  Click Me.exe

  Click Here.exe

  Read More.exe

  More.exe

 

همچنین زمانی که  کرم Dref-AF اجرا می شود یک فایل exe با نامی تصادفی که از 7 حرف تشکیل شده در سیستم ایجاد می کند. این فایل مانند کرم Dref-AB تشخیص داده می شود .

 سپس Dref-AF مدخل زیر را پاک می کند :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Agent

مدخل زیر را نیز تغییر می دهد :

 HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess

Start

4

پاک سازی ویروس ها

توصیه ها:

  1. به روز کردن آنتی ویروس

  2.روش پاک سازی دستی توسط آنتی ویروس  سوفوس برای Windows NT مدل 4.5x  و Windows NT/2000/XP/2003 مدل 4.1x  و پایین تر :

برای حذف یک تروجان کارهای زیر را انجام دهید :

•   همه ی برنامه های خود را ببندید

•   مراحل Start|Programs| SophosAnti-Virus را بگذرانید وبرنامه آنتی ویروس را اجرا کنید

•   تب ""Immediate"" و سپس درایو مورد نظر  را انتخاب کنید

•   به Options|Configuration رفته و تب ""Disinfection"" یا  ""Action"" را انتخاب کرده سپس "Infected files" وبعد از آن "Delete"را انتخاب کنید  و در آخر OK را بزنید.

•    برای اجرا کردن پویش،"scan" یا دکمه "GO" را بزنید.

•   فایل های مورد نظر را پاک کنید، سپس یک پویش دیگر را اجرا کنید تا مطمئن شوید پاک سازی صورت گرفته است.

•   به Options|Configuration برگردید و تب "Disinfection",  "Action" انتخاب کرده سپس "Infected files" وبعد از آن "Delete" را انتخاب کنید  و در آخر OK را بزنید.

•  کامپیوتر را Reboot کرده و پویش نهایی را اجرا کنید تا کاملا مطمئن شوید پاک ساری صورت گرفته است

3. روش پاک سازی به صورت دستی :

 ابتدا تمامی داده خود را در سیستم تغییر داده و یک کپی از آنها تهیه کنید.

پسورد Administrator را دوباره تغییر دهید و یک نگاهی به مسایل امنیتی شبکه خود بیندازید.

در taskbar دکمه start را بزنید و منوی run را اجرا کنید و در آن Regedit را بنویسید و دکمه ok را کلیک کنید تا صفحه ویرایشگر رجیستری شما باز شود . فراموش نکنید که قبل از دستکاری رجیستری یک نسخه پشتیبان از آن تهیه کنید .

برای تهیه نسخه پشتیبان از رجیستری خود ؛ در منوی Registry روی گزینهExport Registry File  و در پنل Export range گزینه All را انتخاب کرده و سپس دکمه Save را کلیک کنید تا نسخه پشتیبان از رجیستری شما تهیه شود.

حال در مدخلHKEY_LOCAL_MACHINE رجیستری زیر مدخل‌های:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Agent

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess

Start

4

 هر مدخلی که به فایلی اشاره می کرد حذف کنید.

سپس رجیستری خود را ببندید و دوباره سیستم خود را راه اندازی کنید.


آشنایی با کرم W32/Dorf-BF

توضیحات:

W32/Dorf-BF یک کرم برای سیستم‌های ویندوزی است که با نام‌های زیر نیز شناخته می‌شود:

       W32/Nuwar@mm virus

      Email-Worm.Win32.Zhelatin.xv

این کرم با اولین اجرا خودش را در <Windows>\kavir.exe کپی می‌کند .

همچنین مدخل زیر در رجیستری ایجاد می‌شود تا kavir.exe بتواند با آغاز سیستم اجرا شود :

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

kavir

<Windows>\kavir.exe

ایجاد خرابی در کامپیوتر توسط نرم افزارهای بدخواه

توصیه‌هایی برای پاک کردن این کرم کامپیوتری:

1 . به روز کردن آنتی ویروس

2.روش پاک سازی دستی توسط آنتی ویروس سوفوس برای Windows NT مدل 4.5x  و Windows NT/2000/XP/2003 مدل 4.1x  و پایین‌تر :

برای حذف یک کرم کامپیوتری کارهای زیر را انجام دهید :

همه ی برنامه های خود را ببندید

• مراحل Start|Programs| SophosAnti-Virus را بگذرانید وبرنامه آنتی ویروس را اجرا کنید

• تب ""Immediate"" و سپس درایو مورد نظر  را انتخاب کنید

• به Options|Configuration رفته و تب ""Disinfection"" یا  ""Action"" را انتخاب کرده سپس ""Infected files"" وبعد از آن ""Delete"" را انتخاب کنید  و در آخر ""OK.  را بزنید

• برای اجرا کردن پویش، ""scan"" یا دکمه ""GO"" را بزنید

• فایل های مورد نظر را پاک کنید ، سپس یک پویش دیگر را اجرا کنید تا مطمئن شوید پاک سازی صورت گرفته است

• به Options|Configuration برگردید و تب ""Disinfection"" یا  ""Action"" انتخاب کرده سپس ""Infected files"" وبعد از آن ""Delete"" را انتخاب کنید  و در آخر ""OK.  را بزنید

• کامپیوتر را Reboot کرده و پویش نهایی را اجرا کنید تا کاملا مطمئن شوید پاک سازی صورت گرفته است.

 

3 .روش پاک سازی به صورت دستی:

 ابتدا تمامی داده خود را در سیستم تغییر داده و یک کپی از آنها تهیه کنید.

پسورد Administrator را دوباره تغییر دهید و یک نگاهی به مسایل امنیتی شبکه خود بیندازید.

در taskbar دکمه start را بزنید و منوی run را اجرا کنید و در آن Regedit را بنویسید و دکمه ok را کلیک کنید تا صفحه ویرایشگر رجیستری شما باز شود. فراموش نکنید که قبل از دستکاری رجیستری یک نسخه پشتیبان از آن تهیه کنید .

برای تهیه نسخه پشتیبان از رجیستری خود؛ در منوی Registry روی گزینه"Export Registry File" و در پنل""Export range""گزینه All را انتخاب کرده و سپس دکمه Save را کلیک کنید تا نسخه پشتیبان از رجیستری شما تهیه شود.

حال در مدخلHKEY_CURRENT_USERرجیستری زیر مدخل‌های:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

kavir

<Windows>\kavir.exe

هر مدخلی که به فایلی اشاره می‌کرد حذف کنید.

سپس رجیستری خود را ببندید و دوباره سیستم خود را راه اندازی کنید.