معرفی چند ویروس رایانه ای

AHMAD_KHALILI

معرفی چند ویروس رایانه ای:

آخرين اخبار دنياي تروجان‌ها
تروجان LunchLoad.A به محض فعال شدن روي سيستم، فايل‌هايي به نام backup2_36 را در سيستم ايجاد مي‌كند و قادر است با اتصال به يك سرور خاص، فرمان‌هاي مخرب را از منتشركننده خود دريافت و اجرا نمايد.
آن‌قدر از تروجان‌هاي جديد در بخش اخبار نوشتيم كه ديگر خودمان هم عادت كرده‌ايم جديدترين تروجان‌ها را ردگيري كرده و گزارش دهيم. اين بار مي‌خواهيم به سراغ دو تروجان LunchLoad.A و FakeGoogleBar.M برويم.

LunchLoad.A به محض فعال شدن روي سيستم، فايل‌هايي به نام backup2_36 را در سيستم ايجاد مي‌كند و قادر است با اتصال به يك سرور خاص، فرمان‌هاي مخرب را از منتشركننده خود دريافت و اجرا نمايد. مهم‌ترين ويژگي اين تروجان، شناسايي آدرس MAC رايانه‌ها و انتقال آن به خراب‌كاران اينترنتي است.

FakeGoogleBar.M هم طوري طراحي شده است كه با ايجاد تغيير در Google Toolbar، يك ابزار جانبي پركاربرد براي مرورگرهاي وب، عملكردهاي تخريبي خود را آغاز مي‌كند. ايجاد تغييرات گسترده در رجيستري سيستم‌عامل و نيز تزريق يك DLL Library در مرورگر مورد استفاده كاربر، از مهم‌ترين اثرات مخرب اين كد در سيستم محسوب مي‌شوند. مواظب باشيد.

AHMAD_KHALILI

: كرم برايد آهسته درون رايانه تان مي خزد

براساس گزارشات منتشره كرم رايانه اي موسوم به Braid.َW32 ازطريق ايميل وارد رايانه ها شده و بصورت آهسته درون آنها مي خزد. هرچند اين كرم از خانواده Klez به شمار مي رود اما انتشار اوليه آن نشان مي دهد كه نمي توانند مانند اجداد خود بسيار سريع رايانه ها را آلوده كند. نام ديگر كرم بريد است كه روي ويندوز ازطريق IE نسخه 5و 1/5 و وارد شده و نسخه هاي بالاتر و نيز سيستم هايي كه سرويس پك 2 را نصب كرده باشند از اين كرم در امان هستند. نكته خطرناك اين كه با ورود ويروس اين كرم سعي مي كند روي ساير برنامه ها اثر گذاشته و آنها را نيز مبتلا سازد .

AHMAD_KHALILI

Klez كرمي كه هرگز نمي ميرد
خود را براي يك مبارزه ديگر آماده كنيد !نوع ديگري از كرم كامپيوتري klez متولد شده است .يكي از انواع آزار دهنده كرم سمج klez در ششم جولاي، دوباره جان گرفت و نامه هاي الكترونيكي آلوده را منتشر كرد .متخصصان ويروس مي گويند كه احتمالا اين ويروس همچنان سيستم ها را آلوده خواهد كرد، مگر اينكه براي متوقف كردن آن كاري انجام شود .
كرم klez تقريبا از هفت ماه گذشته تاكنون در وب ميلولد و به اين ترتيب سمجترين ويروسي است كه تا به حال متولد شده است .اين كرم، انرژي عجيبي دارد و با تداومي مخاطره آميز توليد مثل ميكند .كرم klez از ساير پيشينيان` خود مصرتر است .شركت امنيتي MessageLabs در انگليس، تخمين ميزند كه از هر 200 پيام الكترونيكي، حداقل يكي از آنها حاوي نوعي ويروس klez است .شركتهاي سيمانتك و مكآفي، دو شركت بزرگ توليد كننده نرم افزارهاي ضدويروس، هنوز روزانه 2000 گزارش از موارد آلودگي به اين ويروس را دريافت مي كنند .شركت MessageLabs پيشبيني مي كند كه ويروس klez به زودي به عنوان زاينده ترين ويروس، شناخته شده و از ويروس SirCam كه تابستان سال گذشته منتشر شد، سبقت خواهد گرفت .
ويژگيهاي منحصر به فردklez
klezچند ويژگي آزاردهنده دارد كه ممكن است در آينده بين ويروس هاي اينترنتي، عمومي شوند .در وهله اول، خطر اين ويروس مركب است، چون نرم افزار آن خود را مانند ويروس تكثير كرده و گاه مانند يك كرم كامپيوتري يا اسب تروا عمل مي كند .
ويروس klez خود را به آدرس هايي كه از كتاب آدرس به سرقت برده، پست مي كند، اما در عين حال مي تواند در يك هاردديسك آلوده، به جستجوي آدرس هاي موجود در Cache مرورگر وب يا در بين فايل هاي موقتي بپردازد .ويروس klez همچنين آدرس بازگشت خود را از همان منابع تهيه ميكند و همين امر موجب دشواري رديابي آن مي شود .ساختار اين ويروس نشان مي دهد كساني كه برنامههاي ويروس را مي نويسند به فرزندان مخلوقات خود آموخته اند تا زيركتر باشند .دسترسي به آدرسها با روانشناسي كاربران ارتباط دارد .كاربران بايد روي ضميمه هاي فايلي كه ويروس را آزاد مي سازد، كليك كنند تا آن را به ساير سيستم ها انتشار دهند .اما klez فقط يك ويروس مزاحم نيست و كارشناسان ويروس هنوز نميدانند اين ويروس توسط كدام نفوذگر فعال شده است .
به گفته يكي از كارشناسان ويروس، ماهيت ويروسها به شكلي است كه هويت توليد كنندگان خود را مخفي نگاه مي دارند .ما فقط در صورتي كه ارسال كننده ويروس، مسووليت ارسال آن را قبول كند، مي توانيم به منشاء ويروس و اينكه آيا ارسال آن عمدي بوده است يا خير و يا به دليل اصلي انتشار آن، پي ببريم .
روش كارklez
ويروس هايي كه خطرات مركب دارند، به روشهاي گوناگون، سيستم هارا آلوده كرده و براي سوءاستفاده از آسيب پذيريهاي شبكه، از تكنيكهاي مختلفي استفاده مي كنند .در اين رابطه ارتقاي دائمي نرمافزار ضد ويروس كافي نيست .كاربراني كه به طور مرتب برنامه هاي ترميمي (Patch) امنيتي را نصب مي كنند، براي دفاع از كامپيوترهاي خود در مقابل كرمهايي كه از نقطه ضعفهاي شناخته شده ويندوز استفاده مي كنند، مجهزتر هستند .از زماني كه klez شناسايي شد، توليدكنندگان نرم افزارهاي ضدويروس، هفت نوع متفاوت از اين ويروس را كشف كردهاند .اين گونه ها، از بسياري جهات به يكديگر شبيه هستند و تنهاكمي متفاوت از يكديگر عمل ميكنند .براي مثال، بعضي از نسخه هاي اخير اين ويروس، حتي قادرند از طريق كپي كردن فايلهاي آلوده در سرورها و هاردديسكهاي به اشتراك گذاشته شده، به ساير كامپيوترهاي شبكه حمله كنند .آخرين نوع شناخته شده از اين ويروس،W32.klez.h@mm ، كرم ديگري را در بردارد كه اصطلاحا EIKern به معني ويروس درون يك ويروس ناميده ميشود و ميتواند به قدري به سيستم عامل لطمه وارد كند كه هيچ نرمافزار ضد ويروسي قادر به مرمت آن نباشد .در برخي از موارد، كاربران ناگزيرند كل هاردديسك را فرمت كرده و ويندوز را دوباره نصب كنند تا اين ويروس را از PC خود پاك كنند.
پژوهشگران، كدهاي مضري چون klez را كرم كامپيوتري مينامند، چون اين كدها ميتوانند خود را به كامپيوتر شخصي قرباني بعدي انتقال دهند .اما ويروسها براي انتشار به كامپيوتر قربانيان ديگر، به برنامه هاي آسيب پذير متكي هستند و اغلب از برنامه پست الكترونيك قربانيان استفاده مي كنند .در سالهاي اخير Outlook Express پرطرفدارترين هدف نويسندگان ويروس بوده است، چون اين برنامه همراه با ويندوزعرضه مي شود و تقريبا در تمام كامپيوترهاي شخصي نصب شده است .
klezمعمولا در صندوق نامه قربانيان از همه جا بيخبر به صورت ضميمه فايل از راه مي رسد و وقتي قرباني، دوبار روي ضميمه كليك مي كند، ضيافت klez آغاز مي شود .اين كرم آدرسهاي جديد بازگشت را به سرقت برده و خود را با دهها خط موضوع (Subject line) مختلف منتشر ميكند .گاه ظاهر خود را به شكل ابزار نابود كننده klez در مي آورد و گاه به طور تصادفي از فايل هاي موجود در هاردديسك قرباني، خط موضوعي را استخراج كرده و مورد استفاده قرار مي دهد .
سارا گوردون كه دنياي اسرارآميز نويسندگان ويروس را مطالعه مي كند، مي گويد: اين نوع ترفندهاي مهندسي اجتماعي بسيار موثرند .مردم نميخواهند نامه هاي دوستان يا همكاران خود را بدون پاسخ بگذارند، بنابراين احساس مي كنند كه بايد ضميمه ها را باز كنند، حتي اگر در اين مورد به آنها هشدار داده شده باشد.
رديابي klez غيرممكن است
متخصصان نرم افزارهاي ضد ويروس اتفاق نظر دارند كه اولين بار، چين و آسياي جنوب شرقي، شيوع وسيع klez را تجربه كردند .اما اين بدان معني نيست كه خالق اين ويروس در آسيا يا حتي در نيمكرهاي كه اين قاره در آن واقع است، زندگي مي كند .
خانم گوردون مي گويد: معمولا از متن درون يك ويروس يا حتي اولين محلي كه ويروس در آن مشاهده شده است نميتوان به محل اصلي كه ويروس در آن نوشته و يا فعال شده است، پي برد.ساير متخصصان با وي موافق هستند و اعتراف ميكنند سابقه آنها در رديابي نويسندگان ويروس به هيچ وجه درخشان نبوده است .حتي اگر كارشناسان بتوانند كامپيوتري كه ويروس براي اولين بار در آن ديده شده، شناسايي كنند، فردي كه ويروس مورد نظر را فعال كرده، لزوما همان فردي نيست كه برنامه آن را نوشته است .
در نتيجه، چون اين موجودات مزاحم اساسا خارج از كنترل هستند، كاربران PC بايد هميشه آماده مواجهه با اين موجودات باشند .داستان مايكل جيلسون، يك داستان كاملا عادي است .وقتي او از مجله PC World درخواست كمك كرد، سيل پيامهاي الكترونيكي آلوده به ويروس klez به كامپيوتر او سرازير شده بود.
جيلسون مي گويد: من هر روز نرم افزار ضد ويروس خود را به روز مي رسانم و درباره آلوده شدن نرم افزارهاي خود زياد نگران نيستم، اما اين موقعيت بسيار كلافه كننده است و من ميخواهم هر چه زودتر متوقف شود.
احتمالا klez راه كامپيوتر جيلسون را به اين دليل در پيش گرفته كه آدرس پست الكترونيك او در يكي از كتابهاي آدرس موجود در يك يا چند كامپيوتر آلوده، وجود داشته است .متاسفانه تا زماني كه تمام دوستان و آشنايان جيلسون با استفاده از ابزارklez Removal Tool ، هاردديسك آلوده خود را پاكسازي نكردند و ابزار ضدويروس جديد را نصب نكردند، klez همچنان در صندوق نامه جيلسون ظاهر ميشد .

AHMAD_KHALILI

گسترش يک ويروس جديد اينترنتی - (Yaha.k)
يک ويروس جديد اينترنتی که ابتدا پيش از کريسمس (25 دسامبر) ظاهر شده بود در حال آلوده کردن هزاران رايانه در سراسر جهان است.شيوع سريع ويروسی که از طريق نامه های الکترونيکی (ايميل) تکثير می شود و "ياها. ک" (Yaha.k) نام دارد باعث شده است شرکت هايی که برنامه های ضدويروس توليد می کنند آن را جزو ويروس های بسيار خطرناک دسته بندی کنند.به گزارش شرکت "مسج لبز" (Message Labs) که پيام های الکترونيکی را برای يافتن ويروس جستجو می کند، وجود اين ويروس تاکنون در صد کشور گزارش شده است اما بريتانيا و هلند را بيش از ساير کشورها آلوده کرده است.اين ويروس وارد هر رايانه ای شود نشانی ايميل های آن را يافته و خود را به تمامی نشانی ها پست می کند. اين ويروس همچنين ممکن است تلاش کند برنامه های ضد ويروس را از کار بياندازد.به کاربران توصيه می شود هر گونه نامه الکترونيکی مشکوک را پاک کرده و برنامه های ضدويروس خود را روزآمد کنند.
عشق و نفرت
اين ويروس نمونه تازه ای از ويروس ياها (Yaha) است که ابتدا در ماه فوريه گذشته پديدار شده بود.ويروس جديد ابتدا روز 21 دسامبر در يک نامه الکترونيکی که منشا ارسال آن کويت بود کشف شد. "مسج لبز" می گويد از آن زمان تاکنون 33 هزار و 487 نمونه آن را رديابی و نابود کرده است.ياها.ک که پسوندهای آن exe يا scr است خود را به نامه ها پيوست کرده و تحت عناوين مختلف با مضامين عشق و نفرت منتشر می شود
عناوين نامه های الکترونيکی آلوده به ويروس
Are you in Love
You are so sweet
Shake it baby
Sample Playboy
?? Wanna Hack
Free Screensavers
?Need a friend
Free Win32 API source
Wanna be a HE-MAN
One Hackers Love .
طاعون رايانه ای
اين ويروس به محل ضبط آدرس های الکترونيکی موجود در سيستم عامل ويندوز دستبرد زده و خود را به تمامی آدرس های موجود ارسال می کند.اين ويروس همچنين ممکن است سعی کند برنامه های ضدويروسی يا محافظتی (Firewall) را از کار بياندازد.شرکت های توليد برنامه های ضدويروس می گويند که ياها.ک همچنين ممکن است در برخی سايت های دولتی پاکستان خرابکاری کند.ويروس هايی که از طريق نامه های الکترونيکی تکثير می شوند در سراسر سال گذشته کاربران را به دردسر انداخته اند و مثل طاعونی رايانه های سراسر جهان را مبتلا کرده اند.آمارهای شرکت "مسج لبز" نشان می دهد که در سال 2002 از هر 212 نامه الکترونيکی، يکی به ويروس آلوده بوده است.اين رقم نشانگر رشدی چشمگير نسبت به سال های قبل است. در سال 2001، اين شرکت در هر 380 نامه الکترونيکی يک ويروس شناسايی می کرد و در سال 2000 اين رقم به يک ويروس در هر 790 نامه می رسيد .

AHMAD_KHALILI

نحوه پاک کردن ويروس جديد ياهو مسنجر
راهکار تشخیص و حذف ویروس را در اینجا معرفی می نمایم.

1- نحوه تشخیص آلوده شدن به ویروس :

بارز ترین نشانه های آلودگی به ویروس تغییر یافتن صفحه اول مرورگر وب به آدرس nsl-school.org یا mytermex.com می باشد. نشانه دیگر آن ارسال پیغام های مختلف به دوستان شما در یاهو مسنجر است که در آنها به سایت nsl-school.org یا mytermex.com آدرس داده شده است. برخی از این پیغام ها عبارتند از:
A new dangerous computer virus that can destroys all your data has just been released . Click here to know how to avoid it :

تنها کاربران عضو سايت قادر به مشاهده لينک ها هستند.
عضويت در سايت / ورود به سايت

Download free MP3s :

تنها کاربران عضو سايت قادر به مشاهده لينک ها هستند.
عضويت در سايت / ورود به سايت

have you ever seen such a silly man like this ?

تنها کاربران عضو سايت قادر به مشاهده لينک ها هستند.
عضويت در سايت / ورود به سايت

2- نحوه پاک کردن ویروس

برای سهولت کاربران غیر حرفه ای کامپیوتر مجموعه دستورات لازم در یک فایل قرار داده شده است که می توانید این فایل را داونلود و احرا نمایید.
برای داونلود آنتی ویروس اینجا را کلیک کنید.

کاربران حرفه ای می توانند بصورت دستی این کار را انجام دهند و توضیحات لازم را از این آدرس بخوانند. ترجمه فارسی این مطالب هم در سایت winbeta.net قرار گرفته است.

3- نحوه جلوگیری از ویروسی شدن:
بهترین کار کنار گذشتن مرورگر Microsoft Internet Explorer و استفاده از Firefox است.
برای جوگیری موقتی از ویروسی شدن می توانید از راهکار ارایه شده توسط شرکت میکروسافت استفاده نمایید.
Ad-Aware SE Personal Edition 1.06 پیشنهاد میکنیم این نرم افزار را بر روی سیستم خود نصب داشته باشید
وبلاگ آی تی ایران

ويروس ایرانی YUSUFALI . B

اين ويروس با بررسي كلماتي مانند Sex از باز كردن فايل‌ها يا سايت‌هايي در اين زمينه جلوگيري مي‌نمايد، اين در حالي است كه در بسياري از سايت‌هاي پزشكي نيز از اين كلمات استفاده شده است و كاربران آلوده به اين ويروس قادر به استفاده از اطلاعات مفيد اين سايت‌ها نيستند.
بررسي ويروس Yusufali.B
نيما مجيدي
Nima_Majidi(at)hat-squad.com
Hat-Squad گروه تحقيقات امنيتي
«...و در آينده‌اي نزديك زياد دور از ذهن نيست كه ويروس‌هاي محلي توسط برنامه‌نويسان ايراني توليد شوند و به علت ويژگي‌هايي مانند استفاده از زبان فارسي و اطلاعات موجود از فرهنگ ايراني، رايانه‌هاي هزاران كاربر ايراني را در سرار جهان آلوده سازند و ضربه‌هاي غيرقابل جبراني را به اطلاعات فارسي وارد كنند...»
(ايتنا - روزنامه ايران - پنجشنبه 21 خردادماه 1383)

پاراگراف بالا قسمتي از مقاله‌اي است كه به عنوان «Cycle اولين كرم رايانه‌اي ايراني» حدود يك سال پيش توسط اينجانب به رشته تحرير در آمد. اين ويروس با دنبال كردن اهداف سياسي توانست نظر كارشناسان خارج از ايران را به خود جلب نمايد. پس از گذشت روزها از انتشار آن هيچ خبري از بازتاب گسترش ويروس Cycle در داخل كشور نشد. پيشگويي من بار ديگر به حقيقت پيوست با گذشت زمان شاهد انتشار اولين ويروس بومي در كشور هستيم. و حال پس از گذشت يك سال، شاهد انتشار اولين ويروس بومي ايراني هستيم. اين ويروس با نام Yusufali در ميان كارشناسان امنيت مشهور گرديده و از ورود كاربران به سايت‌هاي غيراخلاقي جلوگيري مي‌نمايد. البته اين قسمتي از داستان است كه توسط سايت‌هاي خبري ايراني منتشر گرديده است و با وجود استفاده شدن از زبان فارسي در ساختار اين برنامه مخرب، هيچ يك از سايت‌هاي خبري در داخل كشور به بومي بودن اين ويروس، اشاره‌اي نكرده و تنها به ترجمه خبر از سايت‌هاي خارجي قناعت كرده‌اند، گرچه به سايت‌هاي خبري نمي‌توان خرده گرفت.

زمان در ادامه به بسياري نشان خواهد داد كه بي‌توجهي به مسائلي از اين دست، به بهاي گراني تمام خواهد شد. امروزه در دنياي امنيت، كوتاه بودن زمان بررسي حوادث و هشداردهي به كاربران به عنوان اصل اول براي پيشگيري مورد توجه قرار مي‌گيرد. علت آن نيز برنامه‌ريزهاي درازمدت و سازماندهي تيم‌هاي فعالي است كه در جهان غرب با صرف هزينه‌هاي دولتي و بخش خصوصي روز به روز ديوار محكم‌تري را در مقابل حملات ويروس‌نويسان و نفوذگران پديد مي‌آورند. كشورهاي پيشرو در صنعت IT پذيرفته‌اند كه قدم برداشتن در راه تامين امنيت فضاي تبادل اطلاعات، به يك كنفرانس دانشجويي و چاپ كردن تعدادي مقاله و راه‌اندازي يك وب سايت خلاصه نمي‌شود، بلكه نياز اصلي آن به نيروهاي متخصصي است كه قادر باشند خود را با حملات و تكنيك‌هاي جديد آشنا سازند و در مقابل آنها به ارائه راه حل بپردازند. گرچه معلوم نيست اندك نيروي محدودي كه در ايران در حال فعاليت در زمينه امنيت اطلاعات هستند نيز تا به كي صبر را پيشه كنند و حرفه اصلي خود را فداي ندانم‌كاري‌هاي مسئولين نمايند. بسياري كه از ايران رفته‌اند و احتمالا بازماندگان ديگر نيز راهي جز رفتن به جايي كه بهاي فعاليت آنها را بدانند نمي‌يابند.

اين بار نيز ويروس Yusufali با ظاهر ساختن آيه‌اي از قرآن مجيد بر روي كامپيوترهاي آلوده شده، توانست نظر كارشناسان خارج از ايران را بار ديگر به خود جلب نمايد و با عنوان يك ويروس عربي شناخته شود، گر چه متن فارسي نيز در مقابل كاربران ظاهر مي‌گشت كه متاسفانه به علت نزديك بودن ظاهري كلمات فارسي و عربي كارشناسان خارجي قادر به تشخيص آن نشده‌اند. اين ويروس با بررسي كلماتي مانند Sex از باز كردن فايل‌ها يا سايت‌هايي در اين زمينه جلوگيري مي‌نمايد، اين در حالي است كه در بسياري از سايت‌هاي پزشكي نيز از اين كلمات استفاده شده است و كاربران آلوده به اين ويروس قادر به استفاده از اطلاعات مفيد اين سايت‌ها نيستند. بازتاب خبري اين ويروس در خارج از ايران، حرف‌ها و حديث‌هاي زيادي را به دنبال داشته است. گروهي آن را فعاليت تروريستي ناميده‌اند، و گروهي ديگر، انتشار ويروس را در جهت ترويج مسائل ديني، كاري اشتباه دانسته‌اند. در جايي خبرنگار گاردين از يكي از متخصصين امنيت مي‌پرسد كه معني كلمه jeggar كه در ساختار اين ويروس از آن استفاده شده است چيست!؟ و متخصص جوابي را براي بيان كردن نمي‌يابد. گرچه تمام كاربران ايراني در داخل كشور به زبان بيان اين كلمه آشنايي كامل دارند.

در ادامه به بررسي نسخه جديد اين ويروس مي‌پردازيم كه در داخل ايران رواج يافته است.

بررسي روش شروع به كار خودكار ويروس(StartUp Method):
در قدم اول پس از اجراي برنامه Documents.exe توسط كاربر يك نسخه از فايل برنامه ويروس به نام Systemdll.exe در زير پوشه System32 كپي مي‌شود. ويروس با اضافه ساختن كليدهاي زير به رجيستري قادر است تا پس از هر بار بوت شدن، خود را فعال سازد اين كليدها عبارتند از:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run”LoadService”=””

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run”System4224411”=”\system32\systemdll.exe”

نكته : كليد اول به علت اشتباه برنامه‌نويس ويروس با هيچ مقداري پر نمي‌شود.

بررسي عملكردهاي منفي ويروس(Virus Payloads):
اين ويروس در قدم بعد به جست‌وجوي فايلي به نام Systask.exe در پوشه System32 مي‌پردازد. در صورتي كه اين فايل موجود بوده و فعال نباشد، آن را از پوشهSystem32 حذف مي‌نمايد، هدف از انجام اين عمل مشخص نيست.
همچنين اين ويروس پس از اجرا شدن به بررسي مقادير كليدهاي زير از رجيستري مي‌پردازد:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Control\Terminal Server\”TSAppCompat”]

مقدار عددي اين كليد، وضعيت نوع فعاليت سرويس Terminal Server را مشخص مي‌سازد كه در كدام يك از حالاتApplication يا Remote Administrators قرار دارد.

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Control\Terminal Server\”TSUserEnabled”]

مقدار اين كليد در مورد وضيت گروه كاربري است كه اجازه استفاده از سرويس راه دور Terminal Server را دارا مي‌باشد.

نكته: با تغيير مقادير عددي اين كليدها مي‌توان حالت يا حتي نوع سطح دسترسي كاربران به سرويس Terminal Server كه براي مديريت ويندوز از راه دور استفاده مي‌شود را تغيير داد اما به نظر مي‌رسد بار ديگر به علت اشتباه در برنامه‌نويسي اين ويروس، تنها اين مقادير مورد بازبيني قرار مي‌گيرند و تغييري در آنها ايجاد نمي‌شود.

پس از فعال شدن ويروس بر روي ماشين كاربر، اين برنامه به بررسي فعاليت‌هاي كاربر مي‌پردازد و Title Bar تمام پنجره‌هاي فعال را مورد بررسي قرار مي دهد تا در صورت مشاهده كلمات حساس كه به برنامه معرفي شده است، از خود وا كنش نشان دهد اين كلمات عبارتند از :

Sex, Teen, xx, Phallus, Jeggar, Priapus, Phallic, Penis, Exhibitionism
در صورتي كه هر يك از اين كلمات در قسمت Title Bar يك پنجره فعال موجود باشند، پنجره مورد نظر در مدت چند ثانيه به حال Minimize در آمده و سه جعبه براي كاربر به نمايش درمي‌آيد:

اين جعبه از نوع پنجره اخطار است و عدد 7 مانند يك شمارنده مي‌باشد كه تعداد فعاليت اين ويروس را بيان مي‌كند، در ادامه به بررسي دقيق‌تر آن خواهيم پرداخت. پس از كليلك كردن بر روي دكمه ok پنجره بعد باز مي‌شود كه مربوط به نمايش ساعت فعلي سيستم است:

در صورتي كه كاربر نشانه گر Mouse خود را بر روي اين پنجره به حركت در بياورد، پنجره بعدي ظاهر مي‌شود:

در اين پنجره، كاربر قادر نيست تا نشانه‌گر Mouse خود را از محيط قرمز رنگ خارج سازد و در صورت فشار دادن هر يك از سه دكمه، از ويندوز خارج مي‌شود و به اصطلاح فني، از سيستم عامل ويندوز Logoff مي‌شود.

نكته: هر يك از اين سه كليد عمل Log Off را انجام مي‌دهند كه به نظر مي‌رسد باز برنامه‌نويس اين ويروس، اشتباهي را در كدنويسي مرتكب شده است. همچنين صفحه كليد، فعاليت طبيعي خود را دنبال مي‌كند و مي‌توان با باز كردن Task Managerبه فعاليت اين برنامه پايان داد و برنامه ويروس را از ليست پردازش هاي موجود End Task نمود.

شمارشگر :
پس از شروع فعاليت منفي ويروس و بعد از اولين نمايش پنجره اخطار، برنامه ويروس، كليدي را در رجيستري ايجاد مي‌نمايد تا از آن به عنوان يك شمارشگر ساده استفاده نمايد. آدرس كليد شمارشگر در رجيستري:

[HKEY__CURRENT_USER\Software\VB and VBA Program Settings\
sexing\sex”tedad”=”1”]

پس از مقداردهي اوليه در هر مرتبه باز شدن پنجره اخطار، مقدار اين شمارشگر از كليد مورد نظر خوانده شده و در انتهاي پيام جعبه اخطار به كاربر نشان داده مي‌شود. سپس يك عدد به آن اضافه شده و در كليد Tedad ذخيره مي‌شود.

نكته : با انجام عمليات مهندسي معكوس بر روي فايل باينري ويروس مشاهده شد كه برنامه‌نويس، هدفي خاصي را از ايجاد اين شمارشگر دنبال مي‌كرده است. در واقع اين شمارشگر به عنوان متغيري از يك شرط است تا با رسيدن به عدد مورد نظر، ويروس عمليات مخربي را آغاز نمايد. كه اين قسمت نيز به علت نامعلوم درست طراحي نشده است.

روش گسترش ويروس(Spreading Method):
اين ويروس از روش‌هاي امروزي براي گسترش خود مانند ويروس‌هاي Blaster از طريق سوءاستفاده كردن از يك ضعف امنيتي شناخته شده و يا Mydoom به طريق ارسال ضميمه نامه‌هاي پستي آلوده استفاده نمي‌كند، بلكه روش سنتي يعني استفاده از ديسك‌هاي فلاپي را براي توزيع خود برگزيده است.
برنامه فعال ويروس در حافظه منتظر مي‌ماند تا در نام يكي از پنجره‌هاي باز شده عبارات حساس زير را بيايد:

Format 3.5 Floppy (A Smile

Formating 3.5 Floppy (A Smile

Floppy
A:

سپس در صورت استفاده كاربر از درايو فلاپي، ويروس يك نسخه از فايل خود را به نام Documents.exe

در درايو A: بر روي فلاپي ديسك كپي كرده و همچنين يك پوشه مخفي به اسم Documents در همين درايو ايجاد مي‌نمايد. شكل ICON اين فايل اجرايي به صورت يك پوشه است كه كه كاربر را ترغيب به باز كردن اين برنامه و در نتيجه اجراي فايل آلوده مي‌كند. پس از اجراي برنامه Documents.exe، ويروس پوشه مخفي را براي كاربر به نمايش درمي‌آورد تا كاربر متوجه اجراي برنامه آلوده نشود و نوار Address در پنجره فلاپي درايو به صورت زير درمي‌آيد:

A:\Documents\

نكته : چهار جمله حساس بيان شده به غير از كلمه Floppy، در ويندوز تنها به عنوان اسم پنجره فلاپي درايو مورد استفاده قرار مي‌گيرند. در نتيجه، اين ويروس با اين روش متوجه مي‌شود در چه زماني كاربر از فلاپي استفاده مي‌كند تا در موقع موردنظر، فلاپي ديسك را آلوده سازد. همچنين كلمه Formtaing داراي غلط املايي است و درست آن كلمه Formatting مي‌باشد، كه اين نيز جزو اشتباهات ويروس‌نويس محسوب مي‌شود.

روش پاك‌سازي ويروس:
1 – در ابتدا Task Manager را با فشار دادن همزمان كليدهاي Ctrl+shift+Esc باز كرده سپس به قسمت Process رفته و از آنجا فايل‌هاي Documents.exe و Systemdll.exe را End Task نماييد.
2 – به قست Start و Run رفته و برنامه Regedit را صدا بزنيد. پس از باز شده برنامه به آدرس:

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run

برويد و سپس كليدهاي System4224411 و LoadService را پاك نماييد.
3- به پوشه ويندوز و از آنجا به پوشه System32 برويد، سپس فايل System32.exe را جست‌وجو كنيد و آن را پاك نماييد.

رديابي:
علمي كه امروزه به عنوان Forensics مشهور گشته، متخصصين جرايم رايانه‌اي را قادر مي‌سازد تا با بررسي شواهد بدست آمده از فايل آلوده، و رديابي اطلاعات از نقطه گسترش ويروس، برنامه‌نويسان كدهاي مخرب را شناسايي كنند. اشاره به تكنيك‌هاي خاص Forensics از حوصله اين مقاله خارج است از اين رو تنها به بررسي قسمتي از اطلاعات بدست امده از فايل Ducuments.exe مي‌پردازيم.

اين اطلاعات به ما نشان مي‌دهند كه به طور فيزيكي، سورس ويروس در پوشه‌اي به نام virus بر روي Desktop شخص كاربري به نام محمد قرار داشته است. همچنين اين ويروس بوسيله زبان برنامه‌نويسي MS Visual Basic 6 توليد شده است. برنامه Visual Basic نيز بر روي سيستم ويروس‌نويس(محمد) در درايو E و تحت پوشه VB98 نصب شده است. اين ويروس براي اولين بار در خارج از كشور در اوايل سپتامبر 2005 مشاهده شده است و در ايران نيز در ماه هاي خرداد و تير 84 مشاهده شده است.گرچه هنوز زمان دقيقي از انتشار آن در دست نيست.

amirtaji

عالي بود

AHMAD_KHALILI

سرقت هویت کاربران هدف جدید ویروسها است

ویروسهای جدید نامه های آلوده را با نام اشخاص دیگر ارسال می کنند
به گزارش خبرنگار ict خبرگزاری کارایران , ایلنا , در حال حاضر سرقت هویت کاربران spooh.ng به عنوان هدف جدید ویروسها و برنامه های مخرب مطرح شده است.
بنا بهاین گزارش در این روش مخرب در نامه های الکترونیکی از نام و نشانی جعلی برای فرستنده استفاده می شود در گیرنده نامه ها را دچار سردرگمی می کند , به طوری که در قسمت مبداء از نام و نشانی غیر واقعی استفاده شده و نام اصلی ارسال کننده نامه الکترونیکی محقی نگه داشته می شود , که در نهایت علاوه بر صدماتی که به دریافت کننده نامه آلوده وارد می شود سبب بی اعتمادی کاربران به نامه های دریافتی نیز خواهد شد.
گفتنی است نسل جدید این دسته از ویروسها با ورود به دفتر آدرس کاربران به کلیه آدرسهای الکترونیکی ذخیره شده دسترسی پیدا کرده و با نام جعلی به آنها نیز صدمه می زنند و یا نام یکی از آنها را به عنوان فرستنده انتخاب کرده که سبب اطمینان خاطرکاربر به باز کردن نامه آلوده ویروس خواهند شد.
لازم به ذکر است با توجه به مطالب فوق اگر پیام آلوده به ویروس دریافت کردید به احتمال زیاد نام فرستنده ای را که می بینید فرستنده واقعی نیست و دلیلی بر الوده بودن کامپیوترهای این فرستنده جعلی نیست و در مقابل اگر به شما اطلاع داده شد که پیام های آلوده به ویروس ارسال می کنید به احتمال فراوان این نامه ها از جانب شما ارسال شده و از همه مهمتر دلیلی بر آلوده بودن کامپیوتر شما نیست.

منبع :اخبار فناوری اطلاعات

AHMAD_KHALILI

تکنیک جدید حمله ویروسها، گذر از فیلترهاست

ویروس نویسان باز هم خواب از چشم شرکتهای ضدویروس و البته این بار از چشم ادمین های شبکه ربودند و با تکنیکی جدید در روزهای آخر ماه ژانویه حمله کردند .
به گزارش بخش خبر شبکه فن آوری اطلاعات ایران، از

تنها کاربران عضو سايت قادر به مشاهده لينک ها هستند.
عضويت در سايت / ورود به سايت

. cometonet . com و به نقل از eweek، درچند روز اخیر، ادمین ها و سرویس دهندگان با پیامهای آلوده به ویروس جدیدی روبرو شدند که با یک نوع پیوست متفاوت، سرورهای mail را مورد حمله قرار داد، یک فایل از نوع rar . فایلهای نوع rar مشابه فایلهای zip هستند و میتوانند حاوی یک یا چند فایل کمپرس شده باشند . از این نوع فایل معمولا برای کمپرس کردن فایلهای خیلی بزرگ مانند فیلم و موسیقی استفاده میشود .
ضرورت بهره گیری ویروسها از بسته های rar نشان میدهد که نویسندگان ویروس در حال گریز از چنگال سیستمهای ضدویروس هستند و درضمن سعی میکنند روش معمول شناسایی براساس مشخصه هایشان را تغییر دهند .
کارشناسان میگویند ویروسهای جدید حاوی فایلهای rar از چندین محصول تجاری ضدویروس گذشته و راه خود را به صندوق ایمیل یوزرها باز کرده اند . یوزرهایی که با این نوع فایل بیگانه اند .
administrator هایی که با این کد مخرب rar برخورد کرده اند ادعا میکنند که هیچکدام از این پیامها بوسیله سیستمهای دفاعی ضدویروس آنها گرفته نشده است .
بعضی از این پیامهای ایمیل برای دیدن از سایتهای مستهجن دعوت میکنند و حاوی فایلی با دو پسوند مانند foto . jpg . exe هستند . خود این ویروسها جدید هستند و معمولا بصورتی عمل میکنند که یا یک تروا در ماشین نصب میکنند و یا اقدام به باز کردن یک راه نفوذی در کامپیوتر برای هکر میکنند .
جدیدترین نمونه این ویروسها که اواخر هفته دیده شد، خود را بعنوان اصلاحیه ای از طرف شرکت مایکروسافت معرفی میکند . هرچند که این پیام، ضعف نگارش دارد اما برای گول زدن کافیست .
کارشناسان شرکت مک آفی معتقد هستند که هدف ویروس نویسها از بهره گیری از آرشیوهای rar آنست که از قوانین فیلترسازی gateway ها بگذرند . اخیرا شرکتهای بزرگ اقدام به بستن ایمیلهایی کرده اند که فایلهای پیوست zip دارند و آنها را تحویل نمیدهند . لذا فایلهای rar از طرف ویروس نویسها انتخاب شد تا بتوانند به این نقطه هم نفوذ کنند .

منبع :شبکه فن آوری اطلاعات ایران

AHMAD_KHALILI

ویروس رایانه ای جدید به شکل بازی رایانه ای معروف

ایرنا - کارشناسان امنیتی رایانه ها در مورد ویروس اینترنتی جدیدی که در پشت
بازی رایانه ای محبوب و معروف "تتریس " مخفی میشود، هشدار دادند.
به گزارش سایت اینترنتی "بیبیسی نیوز"، ویروس جدید با نام "سلری"
(cellery)، نسخه ای از بازی قدیمی "تتریس " را روی رایانه های آلوده شده
نصب میکند و هنگامی که کاربران سرگرم بازی با این گیم میشوند، ویروس از
فرصت استفاده کرده و از همان رایانه برای جستجوی شبکه و یافتن رایانه های
جدید و نفوذ به آنها بهره میگیرد.
ویروس "سلری" بر خلاف روش مرسوم ویروسهای جدید، برای گسترش خود از پست
الکترونیک استفاده نمیکند و فقط به کمک رایانه آلوده شده ، به جستجوی دیگر
رایانه های آسیب پذیر درون شبکه ها میپردازد.
همزمان با آلوده شدن دستگاه به ویروس "سلری"، یک نسخه از بازی
رایانه ای "تتریس " نیز روی رایانه نصب میشود و اگرچه این ویروس آسیب خاصی
به رایانه ها وارد نمیکند، اما با جستجوی شبکه به منظور یافتن رایانه های
آسیب پذیر، سبب کندی ترافیک شبکه ها میشود.
"گراهام کلولی" سخنگوی شرکت تولیدکننده نرم افزارهای ضد ویروس "سوفوس "
اعلام کرد که این ویروس رایانه های استفاده کننده از نگارشهای مختلف
"ویندوز95 "، "ویندوز98 "، "ویندوز ام یی"، "ویندوز ان تی"، "ویندوز
2000" و "ویندوز ایکس پی" را آلوده میکند.
وی افزود : اگرچه تعداد گزارشهای مربوط به انتشار این ویروس رایانه ای
محدود است ، اما کاربران بهتر است با به روز کردن نرم افزارهای ضد ویروس
خود، رایانه ها را ایمن کنند .

منبع :اولین پایگاه اطلاع رسانی تخصصی فناوری اطلاعات