ويروس

[خوبی کن]

گسترش ويروس ‌‏‎ Avril

ويروس آوريل در حال شايع شدن مي باشد اين کرم رايانه اي که با نام هاي متفاوتي نظير Avril , Lirva , Naith شناخته مي شود در آمريکا و کشور هاي چون آلمان ، سوئد و فرانسه گسترش زيادي پيدا کرد اين ويروس نرم افزار هاي فايروال وضد ويروس هاي رايانه مبتلا را از کار انداخته و بصورت خودکار خود را به آدرس هاي الکترونيک موجود بر روي رايانه آلوده شده ارسال مي نمايد .

ويروس آوريل در صورت اجرا خود را در چندين پوشه سيستم عامل ويندوز کپي نموده و در رجيستري ثبت مي نمايد تا به صورت خودکار پس از هر بار راه اندازي سيستم اجرا شود

 

[خوبی کن]

W32.Blaster.Worm

هدف اصلي اين كرم اينترنتي ضربه زدن به مايكروسافت و سايت اينترنتي Windowsupdate.comاين كمپاني مي باشد . نويسنده اين كرم با اين عمل مي خواهد براي كاربراني كه مي خواهند سيستم عامل ويندوز خود را از اين طريق در برابر هجوم اين كرم محافظت كنند مشكل ايجاد نمايد . اين كرم حاوي رشته پيغام زير در كدهاي خود مي باشد :

I Just want to say LOVE YOU SAN!! Billy Gates why do you make this possible ? Stop making money and fix your software .

البته اين پيغام در نسخه ديگر و جديدتر اين كرم (W32/Blaster-B) تغيير كرده است .
كرم Blaster از طريق ايميل گسترش پيدا نمي كند ، اين كرم از طريق يافتن نسخه هاي آسيب پذير ويندوز گسترش مي يابد و اين كار را از طريق سرويس (Remote Procedure Call) RPC ويندوز انجام مي دهد . بنابراين برنامه هاي محافظ ايميل قادر به شناسايي اين كرم نيستند .
شركتها و مديران شبكه ها مي بايست تكه نرم افزارهاي محافظ مخصوص اين كرم را از روي سايت مايكروسافت دريافت و نيز از صحيح نصب شدن Firewall ها بروي سيستمها و سرورهاي خود اطمينان حاصل كرده و نيز مهمتر از همه آنتي ويروس بروز شده را فراموش نكنند .

تمهيداتي براي مديران شبكه ها

مديران شبكه (Adminstrators) براي مقابله با نفوذ اين كرم به درون سيستمها و خنثي كردن آن بهتر است به گونه زير عمل كنند :
- در اولين قدم بهتر است اگر آنتي ويروسي بروي سيستم خود نداريد يك آنتي ويروس مناسب از يكي از سايتهاي مشهور و مورد اطمينان مانند Symantec و يا Mcafee را بروي سيستمهاي خود نصب نماييد و يا اگر آنتي ويروس بروي سيستمها موجود است آنها را update نمائيد .
- در قدم بعدي patch موجود در سايت
مايكروسافت را بروي تك تك سيستمها و سرورها دريافت و نصب كنيد ، اين patch عمليات Blaster را خنثي مي كند .
- در قدم بعدي از آنجا كه Blaster از فايل Tftp.exe كه يكي از فايلهاي برنامه اي ويندوز بشمار مي رود براي رسيدن به مقاصد خود استفاده مي كند ، اگر اين فايل بروي سيستمهاي شبكه موجود است و زياد از آن استفاده نمي كنيد بهتر است ترجيجاً آنرا تغيير نام بدهيد ، مثلاً به Tftp-exe.old . فراموش نكنيد كه آنرا نبايد پاك كرد ، ممكن است در آينده نرم افزارهاي ما به آن احتياج پيدا كنند .
- در قدم آخر توصيه مي شود حتي الامكان ترافيك موجود در پورت هاي زير را در نرم افزار Firewall خود مسدود نمائيد .
- TCP/69 -used by Tftp process
- TCP/135-RPC remote access
- TCP/4444-used by this worm to connect

شرح و بررسي W32/Blaster-A

نامهاي مستعار :

W32/Lovsan.worm , W32.Blaster.worm , WORM_MSBLAST.A , win32.Poza , Worm/Lovsan.A

نوع :

win32 worm
W32/Blaster-A كرمي است كه از طريق اينترنت و با استفاده از خطاي آسيب پذيري DCOM موجود در سرويس (Remote Procedure Call) RPC سيستم عاملهاي ويندوز كه اين خطا براي اولين بار توسط خود كمپاني مايكروسافت در اواسط ماه جولاي 2003 فاش شد ، منتشر مي شود . لازم به ذكر است اين كرم برخلاف اغلب كرمهاي ديگر از طريق ايميل گسترش نمي يابد .
سيستم عاملهايي كه در معرض هجوم اين كرم مي باشند بشرح زير هستند :
Windows NT 4.0
Windows NT 4.0 Terminal Services Edition
Windows 2000
Windows XP
Windows Server 2003
در نسخه هاي ويندوز xp آلوده شده به اين كرم ، باعث مي شود بطور متوالي سرويس RPC متوقف شود و پيغامي مبني بر خاموش شدن سيستم ظاهر شود “ System ShutDown" و بعد از حدود يك دقيقه سيستم حاوي ويندوز xp ، Reboot مي شود .
ويندوزهاي 95 ، 98 ، ME كه از سرويس RPC استفاده نمي كنند از اين بابت در خطر نيستند .
در مسير يافتن سيستمهاي آسيب پذير ، كرم سيستم راه دور (كامپيوتر آسيب پذير) را وادار به دريافت فايلي از طريق پروتكل دريافت فايل TFTP با عنوان msblast.exe ويا penis32.exe مي نمايد .
اين فايل در شاخه ويندوز كپي مي شود .
همچنين دستور زير را در مسير زير واقع در رجيستري ويندوز اظافه مي كند :

HKLM/Software/microsoft/windows/currentVersion/Run/windows auto update = "msblast.exe"

و نيز رشته كاراكتر زير در كدهاي اين ويروس ديده شده كه البته واضح نيست :

I Just want to say LOVE YOU SAN!! Billy Gates why do you make this possible ?
Stop making money and fix your software

 

[خوبی کن]

حذف کرم W32.Blaster.Worm

اثرات W32.Blaster.Worm
این کرم بسیار پیشرفته باعث می شود تا سیستم شما تنها پس از گذشت 60 ثانیه از اتصال به اینترنت ، خاموش شود .


برای پاک سازی دستگاه خود مراحل زیر را بترتیب اجرا نمایید :


1- فایل اصلاحیه MS03-026 Patch را از سایت مایکروسافت دریافت نمایید (لينک در يافت اين فايل در زير قرار دارد)


2- پس از نصب این اصلاحیه ، سیستم خود را ریست کنید .


3- بعد از بالا آمدن سيستم فایل FIXBLAST.exe را دریافت و اجرا کرده ، این فایل فعالیت کرم (MSBLAST.exe) را متوقف نموده و باعث می شود کدهای ریجستری که توسط آن در ویندوز وارد شده اند حذف گردند .


4- مجدداً و برای آخرین بار سیستم خود را ریست نمایید .


5- به سایت WindowsUpdate.com مراجعه کنيد تا در صورت لزوم آخرین به روز رسانی ها برای حذف این کرم بصورت خودکار برای شما صورت گیرد .


توجه :
اگر شرایط به گونه ای باشد که سیستم شما قبل از دریافت این فایلها خاموش شود ، دکمه start و سپس run را کلیک نموده و در کادر مربوط عبارت shutdown -a را تایپ نمایید . این روش باعث می شود فرایند خاموش شدن دستگاه شما متوقف شود .
Windows 2000 Patchدريافت
Windows XP Patch دريافت:
FixBlast - W32.Blaster.Worm Removal Tool دريافت

 

[خوبی کن]

كرم برايد آهسته درون رايانه تان مي خزد

براساس گزارشات منتشره كرم رايانه اي موسوم به Braid.َW32 ازطريق ايميل وارد رايانه ها شده و بصورت آهسته درون آنها مي خزد. هرچند اين كرم از خانواده Klez به شمار مي رود اما انتشار اوليه آن نشان مي دهد كه نمي توانند مانند اجداد خود بسيار سريع رايانه ها را آلوده كند. نام ديگر كرم بريد است كه روي ويندوز ازطريق IE نسخه 5و 1/5 و وارد شده و نسخه هاي بالاتر و نيز سيستم هايي كه سرويس پك 2 را نصب كرده باشند از اين كرم در امان هستند. نكته خطرناك اين كه با ورود ويروس اين كرم سعي مي كند روي ساير برنامه ها اثر گذاشته و آنها را نيز مبتلا سازد

 

[خوبی کن]

شيوع ويروس كاموفلائو

ويروس جديد كاموفلائو كه شيوع آن از اسپانيا آغاز شده است ، رايانه كاربران اينترنتي را تهديد مي كند. به گزارش خبرنگار واحد مركزي خبر، به نقل از يك پايگاه اينترنتي ، شركت نرم افزاري پاندا اعلام كرد اين ويروس جديد كه نخستين بار درچهاردهم فروردين (سوم آوريل) ديده شده است از نوع تروا است و هدف آن بازكردن راه هكرها به رايانه كاربران است . اين ويروس روي سيستم عامل ويندوز xp عمل مي كند و اثر آن شامل نمايش كلمه عبور كاربران پيغام رسان msn و پاك كردن فايلهايي از دايركتوري اصلي ديسك سخت است . ويروس كاموفلائو داراي سه قسمت است كه يكي مخصوص نصب روي رايانه هكراست ، ديگري فايل اصلي است كه رايانه ميزبان را سرور مي كند وقسمت سوم شكل دهنده مشخصه هاي فايل سرور است . اين ويروس در حال اجرا شدن نوعي بازي را روي صفحه، نمايش مي

 

[خوبی کن]

شيوع نسخه جنگي ويروس اينترنتي گاندا

جام جم آنلاين - كرم جديدي موسوم به گاندا با پيامهايي مربوط به جنگ آمريكا و عراق به سرعت روي اينترنت پخش شد. نويسنده اين كرم كه خود را عمو راجر ملقب ساخته و ظاهرا در اعتراض به سيستم آموزشي سوئد دست به چنين كاري زده با سوءاستفاده از اخبار جنگ ضميمه آلوده اي را به آتلوك مايكروسافت چسباند و آنرا براي كاربران اينترنت ارسال كرد . گراهام كلولي مشاور ارشد در شركت ضد ويروس سوپوس ضمن بيان اين مطلب افزود اين ضميمه در ويژوال بيسيك نوشته شده و با موضوعاتي مانند عكسهاي جاسوسي از تاسيسات عراق و اخبار مربوط به جنگ كاربران را فريب مي دهد و وقتي آنها ضميمه راكه به صورت اسكرين سيور يا فايل اجرايي است باز كنند ; بلافاصله سيستم آلوده شده و برنامه هاي ضد ويروس هم از كار مي افتد . بدليل علاقمندي كاربران نسبت به دنبال كردن اخبار جنگ ; گراهام هشدار داد كه از باز كردن هر گونه ضميمه مشكوك درباره اخبار جنگ خودداري كنند تا از خطرات آن در امان بمانند. گرفتن

 

[خوبی کن]

Blaster چهره ديگر “GrayBird” اسب تروآ

آزمايشگاه تحقيقاتي sophos چند روز قبل برروي وب سايت اختصاصي خود اعلام كرد كه نرم افزار آنتي ويروس خود را بار ديگر update نمود ، چرا كه متخصصان اين مركز به يك نوع نرم افزار مخرب اسب تروآ جديد با نام “Graybird” Trojan برخورد نموده اند .
اين اسب تروآ جديد كه به منظور بدنام كردن مايكروسافت و شايد جوابي عليه تمهيدات اين كمپاني در مبارزه با كرم جديد Blaster بصورت عمدي بوجود آمده است كه در قالب يك patch نرم افزاري محافظ عليه Blaster ، مربوط به كمپاني مايكروسافت خود را ارسال مي كند .
اين مركز به كاربران توصيه مي كند به هيچ عنوان patch هاي محافظتي ( Security patch) را كه از طريق ايميل براي آنها ارسال مي شود ، باز نكنيد ، حتي از منابع شناخته شده و مشهور باشد .
صحيح ترين و قابل اطمينان ترين محل براي دريافت patch هاي محافظ ، وب سايت اختصاصي كمپاني ها و فروشنده هاي مربوطه مي باشد . همچنين از عمل كردن و يا Forward كردن پيغامهاي مشكوكي كه به هر شكلي رويدادها و پيشامدهايي را شرح و تفصيل مي كنند و به خيال خود ممكن است مفيد واقع گردد ، به همكاران و دوستان خود پرهيز كنيد .
Graybird در قالب يك patch نرم افزاري متعلق به مايكروسافت مي باشد و فقط يك حقه گمراه كننده است براي نفوذ كرم Blaster .
به گفته يكي از متخصصان اين مركز Blaster فقط و فقط يك باور و توهّم خيالي است كه با نفوذ به صدها و هزاران سيستم در سراسر دنيا تلاش مي كند تا كاربران را به ترس و وحشت گرفتار كند .
هيچوقت كدهاي اجرائئ ارسال شده توسط ايميل را باز نكنيد

 

[خوبی کن]

ويروس جديد نفت عراق

يک کرم شبکه موسوم به «نفت عراق» به آرامي از طريق سيستم عامل ويندوز NT، 2000 و xp روي اينترنت منتشر شده است .به گفته شرکت F-Secure نام اصلي کرم Lioten است اما نام ديگر Iraq Oil را نيز دارد که برخلاف ساير ويروس ها که از طريق ايميل تکثير مي شوند، اين ويروس از راه پوشه هاي مشترک روي شبکه بسرعت منتشر مي شود و ماشين کاربر نسخه Home و نسخه تجاري را آلوده مي کنند. از نظر سطح خطر نيز اين ويروس در حد متوسط گزارش شده و تاکنون رايانه هاي کمي را آلوده کرده است . براي از ميان بردن آن ، شرکت F-Secure پادزهر آن را روي سايت گذاشته و به کاربران توصيه کرده است که آن را نصب کنند؛ اما ماشين هايي که سر راهشان فايروال وجود دارد از کرم مصون هستند. براي در امان ماندن ، مي توان پورت 445 را بلوکه کرد تا ويروس در شبکه پخش نشود. اين ويروس به شکل تصادفي Host خود را انتخاب کرده ، تلاش مي کند از طريق يک Ip خود را روي اينترنت برساند و کنار آن از پروتکل SMB روي ويندوز که فايل ها را به اشتراک مي گذارد نيز سوءاستفاده مي کند؛ بنابراين منتظر پاسخ از سوي سرور مي شود تا سيستم عامل را بشکند و accountها را نيز روي شبکه به سرقت ببرد و با شبيه سازي کلمه هاي Admin و Root به کلمه هاي عبور دسترسي يابد

 

[خوبی کن]

- Klezكرمي كه هرگز نمي ميرد

خود را براي يك مبارزه ديگر آماده كنيد !نوع ديگري از كرم كامپيوتري klez متولد شده است .يكي از انواع آزار دهنده كرم سمج klez در ششم جولاي، دوباره جان گرفت و نامه هاي الكترونيكي آلوده را منتشر كرد .متخصصان ويروس مي گويند كه احتمالا اين ويروس همچنان سيستم ها را آلوده خواهد كرد، مگر اينكه براي متوقف كردن آن كاري انجام شود .

كرم klez تقريبا از هفت ماه گذشته تاكنون در وب ميلولد و به اين ترتيب سمجترين ويروسي است كه تا به حال متولد شده است .اين كرم، انرژي عجيبي دارد و با تداومي مخاطره آميز توليد مثل ميكند .كرم klez از ساير پيشينيان` خود مصرتر است .شركت امنيتي MessageLabs در انگليس، تخمين ميزند كه از هر 200 پيام الكترونيكي، حداقل يكي از آنها حاوي نوعي ويروس klez است .شركتهاي سيمانتك و مكآفي، دو شركت بزرگ توليد كننده نرم افزارهاي ضدويروس، هنوز روزانه 2000 گزارش از موارد آلودگي به اين ويروس را دريافت مي كنند .شركت MessageLabs پيشبيني مي كند كه ويروس klez به زودي به عنوان زاينده ترين ويروس، شناخته شده و از ويروس SirCam كه تابستان سال گذشته منتشر شد، سبقت خواهد گرفت .

ويژگيهاي منحصر به فردklez
klezچند ويژگي آزاردهنده دارد كه ممكن است در آينده بين ويروس هاي اينترنتي، عمومي شوند .در وهله اول، خطر اين ويروس مركب است، چون نرم افزار آن خود را مانند ويروس تكثير كرده و گاه مانند يك كرم كامپيوتري يا اسب تروا عمل مي كند .

ويروس klez خود را به آدرس هايي كه از كتاب آدرس به سرقت برده، پست مي كند، اما در عين حال مي تواند در يك هاردديسك آلوده، به جستجوي آدرس هاي موجود در Cache مرورگر وب يا در بين فايل هاي موقتي بپردازد .ويروس klez همچنين آدرس بازگشت خود را از همان منابع تهيه ميكند و همين امر موجب دشواري رديابي آن مي شود .ساختار اين ويروس نشان مي دهد كساني كه برنامههاي ويروس را مي نويسند به فرزندان مخلوقات خود آموخته اند تا زيركتر باشند .دسترسي به آدرسها با روانشناسي كاربران ارتباط دارد .كاربران بايد روي ضميمه هاي فايلي كه ويروس را آزاد مي سازد، كليك كنند تا آن را به ساير سيستم ها انتشار دهند .اما klez فقط يك ويروس مزاحم نيست و كارشناسان ويروس هنوز نميدانند اين ويروس توسط كدام نفوذگر فعال شده است .

به گفته يكي از كارشناسان ويروس، ماهيت ويروسها به شكلي است كه هويت توليد كنندگان خود را مخفي نگاه مي دارند .ما فقط در صورتي كه ارسال كننده ويروس، مسووليت ارسال آن را قبول كند، مي توانيم به منشاء ويروس و اينكه آيا ارسال آن عمدي بوده است يا خير و يا به دليل اصلي انتشار آن، پي ببريم .

 

[خوبی کن]

روش كارklez
ويروس هايي كه خطرات مركب دارند، به روشهاي گوناگون، سيستم هارا آلوده كرده و براي سوءاستفاده از آسيب پذيريهاي شبكه، از تكنيكهاي مختلفي استفاده مي كنند .در اين رابطه ارتقاي دائمي نرمافزار ضد ويروس كافي نيست .كاربراني كه به طور مرتب برنامه هاي ترميمي (Patch) امنيتي را نصب مي كنند، براي دفاع از كامپيوترهاي خود در مقابل كرمهايي كه از نقطه ضعفهاي شناخته شده ويندوز استفاده مي كنند، مجهزتر هستند .از زماني كه klez شناسايي شد، توليدكنندگان نرم افزارهاي ضدويروس، هفت نوع متفاوت از اين ويروس را كشف كردهاند .اين گونه ها، از بسياري جهات به يكديگر شبيه هستند و تنهاكمي متفاوت از يكديگر عمل ميكنند .براي مثال، بعضي از نسخه هاي اخير اين ويروس، حتي قادرند از طريق كپي كردن فايلهاي آلوده در سرورها و هاردديسكهاي به اشتراك گذاشته شده، به ساير كامپيوترهاي شبكه حمله كنند .آخرين نوع شناخته شده از اين ويروس،W32.klez.h@mm ، كرم ديگري را در بردارد كه اصطلاحا EIKern به معني ويروس درون يك ويروس ناميده ميشود و ميتواند به قدري به سيستم عامل لطمه وارد كند كه هيچ نرمافزار ضد ويروسي قادر به مرمت آن نباشد .در برخي از موارد، كاربران ناگزيرند كل هاردديسك را فرمت كرده و ويندوز را دوباره نصب كنند تا اين ويروس را از PC خود پاك كنند.

پژوهشگران، كدهاي مضري چون klez را كرم كامپيوتري مينامند، چون اين كدها ميتوانند خود را به كامپيوتر شخصي قرباني بعدي انتقال دهند .اما ويروسها براي انتشار به كامپيوتر قربانيان ديگر، به برنامه هاي آسيب پذير متكي هستند و اغلب از برنامه پست الكترونيك قربانيان استفاده مي كنند .در سالهاي اخير Outlook Express پرطرفدارترين هدف نويسندگان ويروس بوده است، چون اين برنامه همراه با ويندوزعرضه مي شود و تقريبا در تمام كامپيوترهاي شخصي نصب شده است .

klezمعمولا در صندوق نامه قربانيان از همه جا بيخبر به صورت ضميمه فايل از راه مي رسد و وقتي قرباني، دوبار روي ضميمه كليك مي كند، ضيافت klez آغاز مي شود .اين كرم آدرسهاي جديد بازگشت را به سرقت برده و خود را با دهها خط موضوع (Subject line) مختلف منتشر ميكند .گاه ظاهر خود را به شكل ابزار نابود كننده klez در مي آورد و گاه به طور تصادفي از فايل هاي موجود در هاردديسك قرباني، خط موضوعي را استخراج كرده و مورد استفاده قرار مي دهد .

سارا گوردون كه دنياي اسرارآميز نويسندگان ويروس را مطالعه مي كند، مي گويد: اين نوع ترفندهاي مهندسي اجتماعي بسيار موثرند .مردم نميخواهند نامه هاي دوستان يا همكاران خود را بدون پاسخ بگذارند، بنابراين احساس مي كنند كه بايد ضميمه ها را باز كنند، حتي اگر در اين مورد به آنها هشدار داده شده باشد.

رديابي klez غيرممكن است
متخصصان نرم افزارهاي ضد ويروس اتفاق نظر دارند كه اولين بار، چين و آسياي جنوب شرقي، شيوع وسيع klez را تجربه كردند .اما اين بدان معني نيست كه خالق اين ويروس در آسيا يا حتي در نيمكرهاي كه اين قاره در آن واقع است، زندگي مي كند .

خانم گوردون مي گويد: معمولا از متن درون يك ويروس يا حتي اولين محلي كه ويروس در آن مشاهده شده است نميتوان به محل اصلي كه ويروس در آن نوشته و يا فعال شده است، پي برد.ساير متخصصان با وي موافق هستند و اعتراف ميكنند سابقه آنها در رديابي نويسندگان ويروس به هيچ وجه درخشان نبوده است .حتي اگر كارشناسان بتوانند كامپيوتري كه ويروس براي اولين بار در آن ديده شده، شناسايي كنند، فردي كه ويروس مورد نظر را فعال كرده، لزوما همان فردي نيست كه برنامه آن را نوشته است .

در نتيجه، چون اين موجودات مزاحم اساسا خارج از كنترل هستند، كاربران PC بايد هميشه آماده مواجهه با اين موجودات باشند .داستان مايكل جيلسون، يك داستان كاملا عادي است .وقتي او از مجله PC World درخواست كمك كرد، سيل پيامهاي الكترونيكي آلوده به ويروس klez به كامپيوتر او سرازير شده بود.

جيلسون مي گويد: من هر روز نرم افزار ضد ويروس خود را به روز مي رسانم و درباره آلوده شدن نرم افزارهاي خود زياد نگران نيستم، اما اين موقعيت بسيار كلافه كننده است و من ميخواهم هر چه زودتر متوقف شود.

احتمالا klez راه كامپيوتر جيلسون را به اين دليل در پيش گرفته كه آدرس پست الكترونيك او در يكي از كتابهاي آدرس موجود در يك يا چند كامپيوتر آلوده، وجود داشته است .متاسفانه تا زماني كه تمام دوستان و آشنايان جيلسون با استفاده از ابزارklez Removal Tool ، هاردديسك آلوده خود را پاكسازي نكردند و ابزار ضدويروس جديد را نصب نكردند، klez همچنان در صندوق نامه جيلسون ظاهر ميشد

 

[خوبی کن]

لاوگيت در حال خزيدن روي اينترنت است

کرم رايانه اي به نام لاوگيت در 3نسخه A و B و C به صورت backdoor روي سرورها و رايانه هاي شخصي متصل به اينترنت افتاده است . ويروس مذکور از مهندسي SMTP سوءاستفاده کرده و مجموعه اي از فايل هاي DLL را از طريق پورت 1192 به صورت backdoor وارد سيستم مي کند و اطلاعات شخصي را به آدرس ايميل [email protected] مي فرستد. سپس با کپي کردن خود نسخه هاي اجرايي متعددي با پسوند exe مانند pic.exe ، Joke.exe و... مي سازد و بر روي فايل هاي به اشتراک گذاشته شده ، خود را مي اندازد. از اسم کاربر مهمان يا ادمين استفاده کرده و با پسوردهاي تصادفي دسترسي به دايرکتوري system32 را مهيا مي سازد و اطلاعات خود را درون پوشه اي به نام win32pwd.sys يا win32add.sys جمع آوري و ذخيره مي سازد. در زير شاخه command به آدرس زير نيز خود را مانند بختک مي اندازد:

HKEY-CLASSES-ROOT\txtfile\shell\open\command@=% "winsysdir%\winprc.exe"%1

مواظب هرگونه فايل ضميمه با پسوند exe روي ايميل باشيد و بيخودي روي آن کليک نکنيد که بسيار خطرناک است . براي گرفتن اطلاعات بيشتر به آدرس زير مراجعه کنيد: www.F-secure.com

 

[خوبی کن]

ويروس Worm-Lovgate.C

ويروس Worm-Lovgate.C از نوع كرمهاي كامپيوتري است و در حال حاضر در اروپا، تايوان، استراليا و ژاپن در حال گسترش است. اين ويروس كپي خود را براي گسترش در شبكه، درشاخه ها (دايركتوري ها) و زير شاخه هايي كه به صورت مشترك از آن استفاده مي شود، قرار مي دهد. علاوه بر آن حاوي برنامه Backdoorاست كه اين برنامه شبكه مورد حمله قرار گرفته را براي كاربران متخلف - به اصطلاح هكرها - از راه دور باز مي گذارد تا آنها بتوانند به آن كامپيوتر دست يافته و حمله كنند. اين عمل از طريق پورت 10168 انجام مي پذيرد. اين ويروس در عصر حاضر، به خاطر اينكه اقدام به انجام يك تاكتيك مهندسي -اجتماعي مي كند، از خطر فوق العاده اي برخوردار است. نحوه عملكرد اين ويروس به گونه اي است كه به صورت آزاد و مستقل به ايميل هايي كه در صندوق پستي (Inbox) كاربر مورد حمله قرار گرفته وجود دارند، پاسخ مي دهد. پس از آن، اولين ارسال كننده ايميل پاسخي را مي گيرد كه دقيقاً استناد به ايميل شخص فرستنده مي كند، بدين صورت كه گيرنده نامه در قسمت موضوع (Sub) همان Sub خود را كه قبلاً فرستاده بود به صورت Forward دريافت مي كند و در قسمت متن نوشته زير را مي خواند: ”Ill try to reply as soon as possible. Take a look at the attachment and send me your opinion!” ( من سعي مي كنم مجدداً آن را براي شما فعال كنم. به پيوست نامه نگاه كنيد و نظرتان را براي من بفرستيد. ) از آنجا كه شخص گيرنده اين روند را عادي تلقي مي كند، به احتمال زياد پيوست ايميل را باز و با اين كار اجازه ورود ويروس Worm-Lovgate.c را عملاً صادر مي كند. اين ويروس همه جا وجود دارد و به زبان انگليسي نوشته شده است. Worm-Lovgate.c در Windows – Platlform تكثير و گسترش پيدا مي كند و حجمي معادل 78848 بايت دارد. اين كرم مي تواند در كامپيوتر مورد حمله قرار گرفته كپي هايي از خود در دايركتوري Windows/System قرار دهد. اين فايلها ممكن است يكي از مشخصات زير را در برداشته باشند:Repcsrv.exeيا WinPpcsrv.e,Syshelp.exe,Winrpc.exe,Wingate.exe سايت Zdnet اطلاعات جديدي را در مورد ويروسها در اختيار كاربران مي گذارد و قادر است فايلهاي تا حجم 1 گيگا بايت را به صورت Live (همزمان) چك كند.

 

[خوبی کن]

LOVAGE.C

تهران ـ يك‎ كرم‎ جديد اينترنتـي‎ بـا قـدرت‎ تخريبي‎ فراوان‎ در اينترنت‎‎ پخش‎ شده‎ است. به‎‎ گزارش‎ واحد مركزي‎ خبر , يك‎ پايگاه اينترنتي‎ , اعلام‎‎‎ كرد: كرم جديـدي‎ بـه‎ نـام LOVAGE.C كه‎ در اروپا و آسيـا فعال‎ شده‎‎‎ به شبكه اينتـرنـت‎‎ خسارت وارد كرده‎ است‎ . اين‎‎‎ كرم‎‎ كه‎ جانشين كرم ديگري‎ با همين نام‎ شده‎‎‎ است ‎, با پاسخ‎ دادن‎ به نـامه هـاي‎ الكترونيكي‎ كه‎‎ حـاوي‎‎‎ ضمـيمه اي داراي كـد نامناسب‎ است‎ , تكثير مي‎ شود. اين‎‎ كرم‎ در ادامه‎ يك‎ پورت‎ پنهان نصب‎ مي‎‎ كند كه‎ امكان‎ دستيابي و تغيير فايلهاي‎ موجود روي‎ سيستـم‎‎ آسيـب‎ ديده‎ را فـراهـم مي‎ آورد

 

[خوبی کن]

پلاکسو ، کرمي از نسل جديد ويروس ها

به ظاهر همه چيز عادي به نظر مي رسد. کمپاني plaxo.com براي شما يک ايميل مي زند و از شما مي خواهد با نصب آخرين برنامه اين شرکت دفترچه آدرس الکترونيکي خود را در آتلوک به روز نماييد. شما به قسمت دانلود سايت رفته و پس از ذخيره آن شروع به نصب برنامه مورد نظر مي کنيد غافل از اين که اين برنامه مخرب و آلوده است و سيستم ها را مورد تهديد قرار مي دهد. آنچه رخ داده شيوه جديد شيوع کرم هاي رايانه اي است . بدين صورت که ويروس نويس کرم خود را درون برنامه اي قانوني روي سايت مورد نظرش انداخته و يک برنامه معروف را آلوده مي سازد و بدين صورت هر کاربر با نصب برنامه سيستم اش آلوده مي شود. فرق بزرگي که اين نوع ويروس با ويروس هاي عادي دارد اين است که خودش را به صورت ضميمه يا attach در آتلوک ظاهر نمي کنند بلکه روي يک سرور بظاهر قانوني نشسته و از آن طريق اجرا مي شود

 

[خوبی کن]

كرم پرستيژ، كشتي غرق شده تقلبي روي رايانه ها

شركت پاندا از كاربران خود در برابر كرم رايانه اي جديد به نام پرستيژ (ماخوذ از كشتي غرق شده در ساحل مرگ آبهاي اسپانيا) حمايت مي كند. كرم جديد با استفاده از يك مهندسي اجتماعي داخل يك ايميل با موضوع «تصاوير كشتي غرق شده پرستيژ و مصيبت هاي محيط زيستي آن» بهره گرفته است و باعث مي شود كاربر بلافاصله ضميمه پيام به صورت Prestige.zip را باز كند و با فايل اجرايي prestige.exe روبه رو شود. وقتي روي آن كليك شود از كاربر مي خواهد با نصب برنامه تصاوير را ببيند و وقتي كاربر روي آن كليك مي كند يك پيام خطا ظاهر مي شود و به آرامي و بدون اطلاع به كاربر، خود را روي دفترچه نشاني مي اندازد و به تمامي نشاني ها ارسال شده ، از طريق محيط IRC نيز پخش مي شود. بدتر از همه فايل اجرايي رجيستري را تغيير مي دهد و به صورت m-regedit.exe درمي آورد و با اجراي رجيستري ، ويندوز را كاملا به هم مي ريزد و سرانجام يك ورودي براي خود باز مي كند تا با هر بار بوت شدن سيستم ، بالا بيايد و سيستم را دوباره تخريب كند. پاندا اعلام كرد كه هر چند اين ويروس كاملا خطرناك نيست ، اما كاربران براي نابودي آن مي توانند به سايت زير مراجعه كرده ، آخرين ضدويروس را دانلود كنند: www.pandasoftware.com

 

[خوبی کن]

نسخه اينترنتي ويروس سارس پيدا شد

ويروس نويسان با سوء استفاده از اخبار مربوط به ويروس كشنده سارس ، نسخه اينترنتي آن را روانه سرورها و شبكه هاي رايانه اي كردند. نام اصلي ويروس Coronex-A است كه در ايميل ظاهر شده و به كاربران مي گويد كه مي توان با اطلاعات اين فايل با ويروس سارس مبارزه كرد. بلافاصله پس از اجرا شدن فايل Virus.exe/Sars.exe ، Hongkong.exe دفترچه آدرس آتلوك به طور اتوماتيك ، ويروس را براي ساير كاربران مي فرستد. در اين هنگام ويروس سارس در 2 شاخه زير نيز در رجيستري مي نشيند: در شاخه C:MMy Downloads نيز مي نشيند و از آنجا بروي شبكه نيز پخش مي شود.

http://www.who.int/csr/don/2003_04_19/en
براي گرفتن اطلاعات بيشتر و نحوه پاك كردن ويروس به آدرس زير مراجعه كنيد
www.Sophos.com

 

[خوبی کن]

SQL Slammerهجوم كرمهاي رايانه اي و كرم جديد

4كرم ويندوز به نامهايLirva.A ،Explore Zip.E ، Lirve.B و جديدترين آن يعني Sobig حمله به شبكه ها و كامپيوترها را آغاز كرده اند .موسسه F-Secure در مورد تمامي اين ويروسها هشدار سطح 2 اعلام كرده است. بدين معني كه مديران سيستم و كاربران نهايي بايد از ايمني سيستم خود اطمينان حاصل كنند Level2 .سطح2، از نظر اهميت، دومين سطح هشدار موسسه F-Secure محسوب ميشود) Lirva.A .با نام مستعار (ArviL به نامه هاي الكترونيكي حمله ميكند و از طريق سيستمهاي گفت وگوKazaa ، ICQ و IRC و همچنين درايوهاي شبكه ويندوز و پوشه هاي اشتراكي خود را تكثير ميكند. اين ويروس شامل كدي براي غيرفعال كردن ويروسياب و برنامه هاي كاربردي امنيتي است علاوه بر آن كلمات عبور را نيز به سرقت مي برد .گونه B آن، از كد ديگري براي فريب افراد استفاده ميكند و شامل كدهاي بيشتري براي از كار انداختن برخي برنامههاي ويروسياب است .عمر Explore Zip.E كوتاه بود اما نسخه اصلاح شده آن كه مجددا منتشر شده، قادر به از كار انداختن بسياري از برنامه هاي ويروسياب است. اين كرم از طريق پست الكترونيكي و با افزودن يك پيوسته آلوده به نامه هاي خوانده نشده و پاسخ به آنها تكثير مي شود. در اين ميان، Sobig از پيوست نامهالكترونيكي PIF استفاده ميكند و به اشخاص امكان ميدهد دستگاههاي آلوده را كنترل كنند. شركت panda software اعلام كرده است ويروس Sobig به سرعت از طريق نامه الكترونيكي و از آدرس [email protected] و با عنوان Attached file منتشر ميشود .در صورت انگليسي بودن زبان سيستم عامل sobig از طريق درايوهاي اشتراكي شبكه نيز تكثير ميشود .زماني كه sobig كامپيوتري را آلوده ميكند، پيامي به آدرس pagers.icq.com ارسال ميكند و براي دريافت يك اسب تروا به اينترنت متصل ميشود .ميزان خطر اين كرم، اندك است .اخيرا نيز كرم رايانهاي <SQL Slammer> برنامه پروازها و دستگاههاي خودپرداز را در آژانسهاي هواپيمايي و بانكهاي آمريكا مختل كرد .درحدي كه دسترسي به اين كامپيوترها غير ممكن بود .طبق اظهارات كارشناسان امنيتي اينترنت به نظر ميرسد كه اين كرم، خسارتهاي جدي به بار نياورده است. اين كرم رايانه اي كه <SQL Slammer> نام گرفته است، اواخر ژانويه سال جاري با استفاده از آسيب پذيري نرم افزار SQL Server 2000 مايكروسافت كه شش ماه قبل كشف شده بود، حمله را آغاز كرد .مايكروسافت يك برنامه ترميمي رايگان براي برطرف كردن اين مشكل ارائه كرده است . كارشناسان معتقدند كه اين حمله در18 ماه گذشته زيان بارترين حمله بوده است، زيرا طبق گزارش رويتر اين حمله به طور گسترده، شبكه هايي را در آسيا، اروپا و آمريكا از كار انداخته است. مقامات بانك Bank of America در آمريكا اظهار داشتند كه در اثر اين حمله، بسياري از مشتريان نتوانستند با استفاده از 13000 دستگاه خود پرداز اين بانك، از حسابهاي خود پول دريافت كنند .با اين وجود اين بانك موفق شد پس از چند ساعت تقريبا تمام دستگاههاي خود پرداز را به حالت اول بازگرداند، بدون آنكه به وجوه نقد و اطلاعات شخصي مشتريانش آسيبي وارد شود . اين كرم به دورن سرور رخنه ميكند و پس از انتشار، ترافيك زيادي در شبكه ايجاد كرده و از سرعت اينترنت مي كاهد. SANS، سازماني است كه به كارشناسان سيستمها و شبكه ها، روشهاي حفاظت را آموزش ميدهد، اين موسسه اعلام كرده كه كرم SQL به فايلهاي ذخيره شده در كامپيوترها آسيبي نرسانده است اما با تكثير سريع و ارسال پرسوجو در خطوط كامپيوتري، براي كامپيوترهاي آسيب پذيرتر مشكل ايجاد ميكند. چند شركت، از جملهContinental Airlines ، خسارت كامپيوتري قابل توجهي را گزارش كرده اند. در اثر حمله اين كرم، كارمندان اين خط هوايي ناگزير شدند براي ثبت اطلاعات مربوط به بليطهاي رزرو شده و بليطهاي الكترونيكي، دوباره از روشهاي قديمي تلفن، قلم و كاغذ استفاده كنند و به علت كند شدن كار، چند مورد تاخير و انحلال پروازهاي داخلي رخ داد .دفتر مركزي اين شركت در شهر نيوآرك در ايالت نيوجرسي، شديدترين آسيبها را ديد .مشكلاتي هم در شهر هيوستن ايالت تكزاس و شهر كليولند ايالت اوهايو بروز كرد .اما طولانيترين تاخيرها بيش از 30 دقيقه طول نكشيد. اين گونه كرمها موجب قطع خدمات توزيعي ميشوند .در اين حالت، كامپيوترهاي آلوده شده توسط اين كرم يا برنامه هاي ديگر، سيلي از اطلاعات را به يك مكان خاص در اينترنت ارسال ميكنند كه اين كار موجب قطع ارتباط آنها با شبكه مي شود . كرم رايانهاي SQL به كرم code red شبيه است كه به سرورهاي IIS2001 حمله كرد و با درج پيام: Welcom to http://www.worm.com! Hacked By Chinese! در صفحات وب به آنها آسيب رساند .كرم Code Red در مجموع به بيش از700 هزار كامپيوتر آسيب رساند و سرعت انتشار آن به قدري زياد بود كه رديابي منشا آن امكان نداشت .تاكنون در مورد آسيب كرمSQL ، به صفحات وب و فايلهاي ديگر گزارشي دريافت نشده است .رديابي منشا كرم SQL نيز با ابزارهاي فني موجود دشوار خواهد بود .اما خوشبختانه مراكز خدمات اينترنت و ساير سازمانهاي امنيتي به موقع موفق شدند از سرعت انتشار آن بكاهند، و از خسارات سنگين تر جلوگيري كنند

 

[خوبی کن]

SULFNBK يك ويروس، يك شوخي و يا هردو؟!

سايت خبري سافس چندي پيش خبري مبني بر شناخته شدن يك ويروس جديد منتشر كرد، ويروسي با مشخصه SULFNBK (SULFNBK.EXE)
شايد براي بعضي از شما اين نام آشنا باشد.
SULFNBK.EXE نام فايلي است در سيستم عامل ويندوز 98 كه وظيفه بازيابي اسامي طولاني فايلها را به عهده دارد و يك فايل سودمند در سيستم عامل ويندوز 98 مي‌باشد.
اينجاست كه مي‌توان به مفهوم واقعي HOAX ها پي برد، فايل SULFNBK.EXE اي كه معمولاً به همراه يك نامه فريب آميز و شايد تهديد اميز بزبان پرتغالي از طريق پست الكترونيكي وارد سيستم مي‌شود دقيقاً در جايي ساكن مي‌شود كه فايل SULFNBK.EXE سالم در آنجاست، در واقع بهتراست بگوييم جايگزين آن مي‌شود. فايل SULFNBK.EXE آلوده در شاخه Command ويندوز 98 ساكن شده و چون داراي همان شمايل و سايز مي‌باشد به همين منظور كاربر متوجه حضور يك ويروس جديد در سيستم خود نخواهد شد و اينجاست كه كاربر فريب خورده و ويروس خطرناك Magistre-A كه در هسته اين فايل وجود دارد در اول ماه ژوين فعال شده و سازنده خود را به مقصودش مي‌رساند. نسخه‌اي ديگر از اين ويروس را مي‌توان يافت كه در 25 ماه مي فعال شده و تفاوتي كه با نسخه قبلي خود دارد آنست كه روي فايل SULFNBK.EXE آلوده در ريشه درايو C ساكن مي‌شود. لازم به ذكر است اين ويروس در سيستم عامل ويندوز 9X فعال مي‌شود و حوزه فعاليتش در درايو C مي‌باشد. تشخيص اينكه فايل SULFNBK.EXE ما واقعاً آلوده است يا خير دشوار است. البته شايد از طريق ويروس يابهاي جديد بعد از ماه ژوئن 2002 مانند جديدترين نسخه Norton، McAfee بتوان آنها را تشخيص داد اما اگر به ويروس يابهاي ذكر شده دسترسي نداشته باشيم مي‌توانيم حداقل فايل SULFNBK.EXE را چه آلوده باشد و چه نباشد پاك كنيم، البته از آنجايي كه فايل SULFNBK.EXE يك فايل سيستمي ويندوز به شمار مي‌رود ممكن است پاك كردن آن به سيستم عامل لطمه وارد كند، از اينرو بد نيست قبل از پاك كردن، نسخه‌اي از آن را بر روي يك فلاپي كپي كرده و نگه داريم. البته اگر مايل به اجراي آن نيستيد! حقيقت آنست كه كمتر كسي هم تن به اجرا كردن مي‌دهد و ريسك مي‌كند.
اما پيغامي كه ضميمه اين فايل ارسال مي‌شود نيز در چند نسخه وجود دارد كه نسخه اصل آن همانطور كه گفته شد به زبان پرتغالي است كه اين پيغام نيز ممكن است بزبانهاي انگليسي و اسپانيولي ترجمه و يا حتي تغيير داده شده باشد.
به هرحال هر ويروسي چه از نوع HOAX باشد و چه از انواع ديگر، يك دوراني دارد و به قول معروف يك مدت كوتاه يا بلند روي بورس است و معمولاً لطمه‌هاي غير قابل جبران خود را در همان بدو تولد به جاي مي‌گذارند و بعد از مدتي مهار مي‌شوند . اما نكته‌اي كه قابل توجه است اينست كه با داشتن يك پيش زمينه مي‌توان حداقل با نسخه‌هاي جديدتر آن ويروس و يا ويروسهاي مشابه آن به راحتي در همان شروع كار مبارزه كرد

 

[خوبی کن]

گسترش يک ويروس جديد اينترنتی -Yaha.k))

يک ويروس جديد اينترنتی که ابتدا پيش از کريسمس (25 دسامبر) ظاهر شده بود در حال آلوده کردن هزاران رايانه در سراسر جهان است.شيوع سريع ويروسی که از طريق نامه های الکترونيکی (ايميل) تکثير می شود و "ياها. ک" (Yaha.k) نام دارد باعث شده است شرکت هايی که برنامه های ضدويروس توليد می کنند آن را جزو ويروس های بسيار خطرناک دسته بندی کنند.به گزارش شرکت "مسج لبز" (Message Labs) که پيام های الکترونيکی را برای يافتن ويروس جستجو می کند، وجود اين ويروس تاکنون در صد کشور گزارش شده است اما بريتانيا و هلند را بيش از ساير کشورها آلوده کرده است.اين ويروس وارد هر رايانه ای شود نشانی ايميل های آن را يافته و خود را به تمامی نشانی ها پست می کند. اين ويروس همچنين ممکن است تلاش کند برنامه های ضد ويروس را از کار بياندازد.به کاربران توصيه می شود هر گونه نامه الکترونيکی مشکوک را پاک کرده و برنامه های ضدويروس خود را روزآمد کنند.
عشق و نفرت
اين ويروس نمونه تازه ای از ويروس ياها (Yaha) است که ابتدا در ماه فوريه گذشته پديدار شده بود.ويروس جديد ابتدا روز 21 دسامبر در يک نامه الکترونيکی که منشا ارسال آن کويت بود کشف شد. "مسج لبز" می گويد از آن زمان تاکنون 33 هزار و 487 نمونه آن را رديابی و نابود کرده است.ياها.ک که پسوندهای آن exe يا scr است خود را به نامه ها پيوست کرده و تحت عناوين مختلف با مضامين عشق و نفرت منتشر می شود
عناوين نامه های الکترونيکی آلوده به ويروس

Are you in Love
You are so sweet
Shake it baby
Sample Playboy
?? Wanna Hack
Free Screensavers
?Need a friend
Free Win32 API source
Wanna be a HE-MAN
One Hackers Love .​

طاعون رايانه ای
اين ويروس به محل ضبط آدرس های الکترونيکی موجود در سيستم عامل ويندوز دستبرد زده و خود را به تمامی آدرس های موجود ارسال می کند.اين ويروس همچنين ممکن است سعی کند برنامه های ضدويروسی يا محافظتی (Firewall) را از کار بياندازد.شرکت های توليد برنامه های ضدويروس می گويند که ياها.ک همچنين ممکن است در برخی سايت های دولتی پاکستان خرابکاری کند.ويروس هايی که از طريق نامه های الکترونيکی تکثير می شوند در سراسر سال گذشته کاربران را به دردسر انداخته اند و مثل طاعونی رايانه های سراسر جهان را مبتلا کرده اند.آمارهای شرکت "مسج لبز" نشان می دهد که در سال 2002 از هر 212 نامه الکترونيکی، يکی به ويروس آلوده بوده است.اين رقم نشانگر رشدی چشمگير نسبت به سال های قبل است. در سال 2001، اين شرکت در هر 380 نامه الکترونيکی يک ويروس شناسايی می کرد و در سال 2000 اين رقم به يک ويروس در هر 790 نامه می رسيد

 

[خوبی کن]

تولد كرم Roron در بلغارستان

كرم رايانه اي جديد موسوم به Roron كه منشا آن به گفته شركت كاسپرسكي از بلغارستان است ، رايانه هاي امريكا، روسيه و اروپا را آلوده كرد. ساختار اين ويروس به صورت Backdoor طراحي شده است و پس از آلوده كردن سيستم ، دسترسي از راه دور رايانه قرباني را در اختيار حمله كننده قرار مي دهد. براساس رده بندي ويروسها، كرم رورون خطرناك توصيف شده است و از طريق ايميل (به صورت فايل ضميمه ) يا از طريق شبكه محلي (LAN) و يا از طريق شبكه Kazaa گسترش مي يابد. پس از آلوده شدن روي رجيستري ويندوز ثبت شده و خود را روي اجراي اتوماتيك قرار مي دهد و هر بار كه سيستم بوت مي شود، اجرا شده و روي شبكه منتشر مي شود. وقتي كه سيستم بالا مي آيد، كاربر چنين پيامي را مي بيند:
winzip self-Extractor License confirmation
بدين معني كه وين زيپ شما امتياز ندارد و اطلاعات آن خراب مي شود و لطفا با سايت www.winzip.com تماس بگيريد.
اين بك دور اجازه حملات DDOS را نيز مي دهد و ضمن جستجو براي يافتن نرم افزارهاي ضد ويروسي اطلاعات روي هارد را نيز خراب مي كند