کرم اینترنتی SDBOT.UH
شواهد حاکی از ظهور کرم اینترنتی جدیدی بنام SDBOT.UH می باشد که در تاریخ هشتم سپتامبر کشف گردیده است و در حال گسترش در اینترنت می باشد.
این کرم اینترنتی بر اساس چهار نقطه ضعف عمده که در سیستمهای مبتنی بر ویندوز وجود دارند خود را اشاعه می دهد و با توجه به اینکه بعد از نصب بعنوان یک Sniffer به ترافیک داده های دستگاه قربانی گوش داده و کلمات عبور و مشخصات بانکی قربانی را به هکر گزارش می دهد بسیار حائز اهمیت و خطرناک است.
جزئیات :
این کرم با استفاده از نقاط ضعف :
• Remote Procedure Call (RPC) Distributed Component Model (DCOM) vulnerability
• Buffer Overflow in SQL Server 2000 vulnerability
• IIS5/WEBDAV buffer overrun vulnerability
• LSASS vulnerability
به سیستم قربانی وارد می شود و سپس با نام Win32x.exe خود را در شاخه ویندوز کپی می نماید. همچنین مسیرهای
HKEY_LOCAL_MACHINE/Software/Microsoft/
Windows/CurrentVersion/Run
Microsoft Time Manager = "dveldr.exe"
HKEY_LOCAL_MACHINE/Software/Microsoft/
Windows/CurrentVersion/RunServices
Microsoft Time Manager = "dveldr.exe"
و
HKEY_LOCAL_MACHINE/Software/Microsoft/Ole
Microsoft Time Manager = "dveldr.exe"
را به رجیستری سیستم هدف اضافه می کند که امکان اجرای دوباره را بعد از restart شدن کامپیوتر قربانی به این کرم می دهد. این کرم قابلیت های گوناگونی از جمله Sniffing ، Keylogging و همچنین ایجاد Backdoor را دارا می باشد و نیز از سیستم قربانی بعنوان یک TFTP Server برای انتقال خود به سایر کامپیوتر ها استفاده می کند . شاید مهلک ترین قابلیت این کرم همان Sniffing باشد که سعی در دریافت کلمات عبور و مشخصات کارت های اعتباری قربانی و گزارش آن به هکر است. ضمن اینکه اصولاً شناسائی Sniffer ها کار مشکلی می باشد.
راه حل:
1- برنامه ضد ویروس خود را بروز نمائید و سریعاً سیستم خود را چک کنید .
2- Task Manager را اجرا و در صورت مشاهده task ای با نامهای Win32x.exe یا dveldr.exe
آنها را End Task کرده و سپس با اجرای Regedit ، در صورت وجود مسیرهائی که قبلاً اشاره شد آنها را پاک نمائید .