آبجی
1st April 2010, 04:17 PM
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در Windows از نوع 32 بيتی فعال می گردد. اولين نمونه آن در مرداد هشتاد و دو مشاهده شده و از آن زمان تاکنون، گونه های متعددی از GenericDownloader.c با حجمهای مختلف ايجاد شده است.
اين ويروس توسط نرم افزار ضدويروس Panda با نام Nabload.U شناسايی می گردد.
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل، دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
ويروس Generic Downloader.c بيشتر از طريق هرزنامه هايی که سعی می کنند با استفاده از روشهای مهندسی اجتماعی (Socail Engineering)، کاربر را تشويق به دريافت اين اسب تروا کنند، منتشر می شود.
برای نمونه آخرین گونه این ویروس در قالبی مشابه متن زیر بهمراه فایل آلوده details.rtf به ایمیل کاربر ارسال می شود و از او می خواهد تا با باز کردن فایل پیوست اطلاعات مالی درون آنرا بررسی کند. حال آنکه با اجرای فایل details.rtf کامپیوتر کاربر آلوده خواهد شد.
From: Kenneth Duford [mailto:ken.duford@]
Sent: Wednesday, June 0X, 2009 XX:XX PM
To:
Subject: Re:Please verify wire details
The wire transfer has been released.
BENEFICIARY :
ABA ROUTING# : XXXX1197
ACCOUNT# : XXX-XXX-XXX394
AMMOUNT : $17,653.15
Please check the wire statement attached and let me know if everything is correct.
I am waiting for your reply.
Kenneth Duford
--- On Sun, 02/06/09, wrote:
From:
Subject: wire transfer
To: ken.duford@
Date: Mon, 1 June 2009, 10:47 AM
We still haven't received the wire transfer.
Thank you
خرابکاری
به محض اجرا شدن ويروس، فايل ويروسی تلاش می کند با برقراری ارتباط با سايتهای زير، برنامه های مخرب ديگری (که معمولاً ويروس Generic PWS.y است) را دريافت کند:
12oaks.net/[blocked]/index.php
bluegorillamedia.net/[blocked]/ActiveContent/index.php
abfforms.com/[blocked]/index.php
www.understandinghealthcare.com (http://www.understandinghealthcare.com/)
www.redeuniversidade.com.br (http://www.redeuniversidade.com.br/)
www.hywic.co.uk (http://www.hywic.co.uk/)
برنامه های مخرب دريافت شده در مسيرهای زير ذخيره می شوند. (نام فايلها در گونه های مختلف اين ويروس، متفاوت گزارش شده است.):
%UserProfile%\Application Data\wks.exe
%WinDir%\services.exe
%imesh%\my shared folder\adaware2008full.rar.scr
%imesh%\my shared folder\Ahead_Nero_9_new!_full+crack.zip.scr
%imesh%\my shared folder\antispyware.rar.scr
%imesh%\my shared folder\antivirus.rar.scr
C:\Documents and Settings\%USER%\Local Settings\temporary\internet files\content.ie5\ktx34vgq\coco2006[1].jpg
% WinDir %\system32\service\service.dll c:\Documents and Settings\%USER%\Local Settings\temp\391670.dmp
% WinDir %\System32\service\navupdt.exe c:\Documents and Dettings\%USER%\Local Settings\temp\wer2.tmp.dir00\appcompat.txt
که فایل آخر وظيفه دريافت برنامه های مخرب در برعهده دارد:
navupdt.exe server:hometown.aol.com.au port:80
همچنين اين ويروس دست اندازی های زير را در محضرخانه انجام می دهد:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ Shell= "Explorer.exe %WinDir%\services.exe"
HKey_Current_User\Software\Microsoft\Windows\Curre ntVersion\internet settings\zonemap\\intranetname="1"
HKey_Current_User\Software\microsoft\Windows\Curre ntVersion\internet settings\zonemap\\uncasintranet="1"
HKey_Current_User\Software\Microsoft\Windows\Curre ntVersion\internet settings\zonemap\\proxybypass="1"
پيشگيري
اولين راه برای پيشگيری از آلودگی، عدم كنجكاوی درباره فايل های مشكوك و ناشناس و يا با عناوين جذاب است كه در سايت های اشتراك فايل و هرزنامه ها، فراوان ديده می شوند. بهتر است فايل ها و ابزار مورد نياز از سايت های معتبر تهيه شود. به روز نگه داشتن ضدويروس همچنين نصب آخرين اصلاحيه های سيستم عامل می تواند کامپيوتر را در مقابل اين اسب تروا محافظت کند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5634 استفاده می کنند از گزند اين ويروس در امان خواهند بود
اين ويروس توسط نرم افزار ضدويروس Panda با نام Nabload.U شناسايی می گردد.
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل، دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
ويروس Generic Downloader.c بيشتر از طريق هرزنامه هايی که سعی می کنند با استفاده از روشهای مهندسی اجتماعی (Socail Engineering)، کاربر را تشويق به دريافت اين اسب تروا کنند، منتشر می شود.
برای نمونه آخرین گونه این ویروس در قالبی مشابه متن زیر بهمراه فایل آلوده details.rtf به ایمیل کاربر ارسال می شود و از او می خواهد تا با باز کردن فایل پیوست اطلاعات مالی درون آنرا بررسی کند. حال آنکه با اجرای فایل details.rtf کامپیوتر کاربر آلوده خواهد شد.
From: Kenneth Duford [mailto:ken.duford@]
Sent: Wednesday, June 0X, 2009 XX:XX PM
To:
Subject: Re:Please verify wire details
The wire transfer has been released.
BENEFICIARY :
ABA ROUTING# : XXXX1197
ACCOUNT# : XXX-XXX-XXX394
AMMOUNT : $17,653.15
Please check the wire statement attached and let me know if everything is correct.
I am waiting for your reply.
Kenneth Duford
--- On Sun, 02/06/09, wrote:
From:
Subject: wire transfer
To: ken.duford@
Date: Mon, 1 June 2009, 10:47 AM
We still haven't received the wire transfer.
Thank you
خرابکاری
به محض اجرا شدن ويروس، فايل ويروسی تلاش می کند با برقراری ارتباط با سايتهای زير، برنامه های مخرب ديگری (که معمولاً ويروس Generic PWS.y است) را دريافت کند:
12oaks.net/[blocked]/index.php
bluegorillamedia.net/[blocked]/ActiveContent/index.php
abfforms.com/[blocked]/index.php
www.understandinghealthcare.com (http://www.understandinghealthcare.com/)
www.redeuniversidade.com.br (http://www.redeuniversidade.com.br/)
www.hywic.co.uk (http://www.hywic.co.uk/)
برنامه های مخرب دريافت شده در مسيرهای زير ذخيره می شوند. (نام فايلها در گونه های مختلف اين ويروس، متفاوت گزارش شده است.):
%UserProfile%\Application Data\wks.exe
%WinDir%\services.exe
%imesh%\my shared folder\adaware2008full.rar.scr
%imesh%\my shared folder\Ahead_Nero_9_new!_full+crack.zip.scr
%imesh%\my shared folder\antispyware.rar.scr
%imesh%\my shared folder\antivirus.rar.scr
C:\Documents and Settings\%USER%\Local Settings\temporary\internet files\content.ie5\ktx34vgq\coco2006[1].jpg
% WinDir %\system32\service\service.dll c:\Documents and Settings\%USER%\Local Settings\temp\391670.dmp
% WinDir %\System32\service\navupdt.exe c:\Documents and Dettings\%USER%\Local Settings\temp\wer2.tmp.dir00\appcompat.txt
که فایل آخر وظيفه دريافت برنامه های مخرب در برعهده دارد:
navupdt.exe server:hometown.aol.com.au port:80
همچنين اين ويروس دست اندازی های زير را در محضرخانه انجام می دهد:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ Shell= "Explorer.exe %WinDir%\services.exe"
HKey_Current_User\Software\Microsoft\Windows\Curre ntVersion\internet settings\zonemap\\intranetname="1"
HKey_Current_User\Software\microsoft\Windows\Curre ntVersion\internet settings\zonemap\\uncasintranet="1"
HKey_Current_User\Software\Microsoft\Windows\Curre ntVersion\internet settings\zonemap\\proxybypass="1"
پيشگيري
اولين راه برای پيشگيری از آلودگی، عدم كنجكاوی درباره فايل های مشكوك و ناشناس و يا با عناوين جذاب است كه در سايت های اشتراك فايل و هرزنامه ها، فراوان ديده می شوند. بهتر است فايل ها و ابزار مورد نياز از سايت های معتبر تهيه شود. به روز نگه داشتن ضدويروس همچنين نصب آخرين اصلاحيه های سيستم عامل می تواند کامپيوتر را در مقابل اين اسب تروا محافظت کند.
همچنین مشترکينی که از ضدويروس مک آفی با حداقل DAT 5634 استفاده می کنند از گزند اين ويروس در امان خواهند بود