پاسخ به:ويروس شناسي
دوشنبه 13 شهریور 1391 2:11 AM
هرچند وقت یكبار در اخبار ساعات اولیه صبحگاهی می شنویم كه ویروسی جدید رایانه ها را تهدید می كند.
این اخبار تا آخرین دقایق شب بارها و بارها تكرار می شود. شاید آخرین ویروسی كه به این ترتیب نقل محافل خبری شده است ، ویروس بحث برانگیز جی.اس.اسكاب. تروجان (Js.Scob.Trojan) باشد. این تهدید جدید در بولتن امنیتی مایكروسافت MS04-011 كاملا مورد بحث قرار گرفته است.
برخلاف كرمهای ساسر و كرگو كه مستقیما رایانه های كاربران نهایی را مورد هدف قرار می دادند ، این ویروس ، وب سرور را مورد حمله قرار می دهد. گزارش ها حاكی از آن است كه آسیب رسان مورد نظر از آسیب پذیری بیش از حد بافر PCTSSL كه روی سرور هدف وجود دارد استفاده می كند تا پیامی را نصب نماید كه این پیام باعث ایجاد كد آسیب رسان در صفحات وب سرور شود. كد سمت كاربر چیزی را داونلود می كند كه منابع خبری معتقدند Padodor/Berbew Trojan نام دارد. اسامی و رمز عبور مرتبط با اطلاعات مالی را گزارش می دهد و رایانه را به یك سیستم كنترل از راه دور باز كرده و مرتبط می كند. در حال حاضر این خطر برای اكثر كاربران جدی نیست. تروجان خود به خود گسترش پیدا نمی كند، بنابراین یك ویروس حقیقی نیست. طبق نظر مایكروسافت ، وب سایت منبع ، شات داون شده است.
اخبار منتشره و تجزیه و تحلیل مراكز تولید ضدویروس ، وب سایت های خاصی را كه به این ویروس مبتلا شده باشند ، گزارش نكرده اند اما اینچنین عنوان شده كه احتمالا صدها مركز خرید و فروش ، مراكز مقایسه قیمت در بازار یا مراكز دولتی مبتلا شده باشند. البته مایكروسافت معتقد است تهدید ناشی از این ویروس كاملا محدود و مهار شده است ، اما SANS گزارش كرده است ممكن است مسیرهای مخفی در سرورها نصب شده باشد و كار به جایی برسد كه كل سایتهای مورد نظر دوباره مورد بازسازی قرار بگیرند. حال چه این تهدید ویژه محدود شده باشد یا هنوز وجود داشته باشد و همچنان بر رایانه ها بتازد ، كد مورد نظر روی وب وجود دارد و احتمال دارد رایانه های زیادی را آلوده كند اما با این ویروس جدید چه باید كرد؟ شاید بهترین و اولین اقدام ، شناسایی آن باشد.
جی.اس.اسكاب.تروجان (Js.Scob.Trojan) محل اثر: مستقیما روی وب سرور ویندوز IIS.5.o غیرمستقیم بر كاربران اینترنت اكسپلورر (كاوشگر اینترنت).
: تروجان روی وب سرورهای ویندوز كه برنامه IIS.5.o را اجرا می كنند ، نوشته ای را به نمایش می گذارد كه به آن نوشته تبلیغاتی می گویند و باعث می شود سرور مورد نظر زیرنویسی را به طور اجباری در برنامه خود پیاده كند كه حاوی كد آسیب رسان Java Script است.
از طرف دیگر در رایانه كاربر، كد مورد نظر باعث آسیب رسانی دوطرفه می شود و فایلی را دانلود و اجرا می كند كه از وب سایت گرفته شده است.
سیستم ایمنی F فایلی را گزارش می كند كه ممكن است همان گزارشگر آسیب رسان كلیدی باشد كه به طور مخفی در Trojan فعالیت می كند و پادودور (Padodor) نام دارد.
اگر سرور مدنظر باشد ، باید MS04-011 همراه با ضدویروس موجود در آن دوباره تجدید شده و به كار برده و كد زیرنویس در IIS بررسی شود. اگر كاربر مدنظر باشد ، باید ضدویروس همیشه تجدید شده و به روز باشد. Internet Security Zone باید بالا نگهداشته شود تا پیام نوشتاری دادن غیرممكن شود.
تمام ضدویروس هایی را كه ما بررسی كرده ایم ، توان شناسایی اسكاب تروجان و تروجان های وابسته را دارند. اگر اسكنر ضدویروس ندارید یا مایلید از روشی غیر از خرید ضد ویروس استفاده كنید ، می توانید از اسكنرهای قابل پیاده شدن و رایگان كه به صورت آنلاین وجود دارند استفاده نمایید. مثل House call كه در نشانی http://housecall.trendmicro.com، sStinger ، McAfee كه در نشانیhttp://vil.nai.com/vil/stingerوجود دارد یا اسكن فعال نرم افزار Panda استفاده كنید كه می توانید آن را در نشانی www.pandasoftware.com/products/activescan ببینید.
Js.scob.trojan،scob،download Ject
اسب تروجان
24 ژوئن 2004
شوروی سابق سیستم هایی كه تحت تاثیر قرار می گیرند: سرور ویندوز 2000 (كاوشگر IIS) ، كاربرانی كه با ویندوز 2000 XP، Me ، 9X كار می كنند.
كاوشگر اینترنت.
اوپرا ، MacIE ، موزیلا ، نت اسكیپ.
داس ، ویندوز 30X ، لینوكس ، ماك ، Os/2 و یونیكس.
جی اس.اسكاب تروجان باعث ایجاد نویز بسیار زیادی در سیستم ارتباطی می شود اما به نظر نمی رسد چندان طول بكشد. این ویروس در رایانه كاربر دانلود می شود. برای آلوده شدن سیستم ها ، هكر از MS04-011 استفاده می كند، نوشته ای را با نام ads.vbsدر پوشه سرور وارد می كند و 3 فایل را به صورت %inetsrv/folder// %system درمی آورد. این سه فایل با نام iisxxx.dll مشهور است.
نوشته مورد نظر به سرور IISمی آموزد تا یك زیرنویس حاوی سه فایل مورد نظر را اضافه كند. دستور زیرنویس به صورت یك انتخاب در IISمشخص شده است.
در سیستم كاربر ، كد Java Script یك پنجره مجزای مخفی را باز می كند و سعی می كند نوشته را از وب سایت دوردست اجرا كند. سایت مورد نظر براساس نوشته ای كه مدنظر بوده است قابل اجرا نیست.
اگر تروجان موفق عمل كند ، قادر خواهد بود پادودور تروجان را دانلود كند. پادودور به دنبال اطلاعات رمز عبور مالی مخصوص از Paypal ، eBay ، Juno ، Earthlink و Yahoo می گردد. این وضع پنهانی و مخفی كه به آن Berbew مخفی نیز می گویند ، اطلاعات را جمع آوری می كند و سپس آن را به URL حمله كننده می فرستد. خانواده Padodor/berbew می تواند آموزش های دوردست را دریافت كند تا PC را شات داون كند یا برنامه هایی را دانلود و اجرا كند. مشكلی كه در گزارش های مربوط به اقدامات ضدویروس ها به چشم می خورد ، آن است كه به نظر نمی رسداسكاب هیچیك از انواع Backdoor.padodor/berbew را مورد استفاده قرار دهد. كاسپرسكی گزارش كرده است كد مورد نظر ممكن است پادودور W،X،Y یا Z باشد در حالی كه امنیت F ادعا دارد پادودور W است كه البته ما با سیستم امنیت F موافق هستیم.
توجه داشته باشید تروجان مثل ویروس ها گسترش پیدا نمی كند. كاربران تنها از طریق مشاهده سایتهای آلوده به این ویروس مبتلا می شوند. با استفاده از یك ضدویروس جدید یا ابزار قابل دانلود موجود می توان اسكاب را برداشت.
کریمی که جهان پاینده دارد تواند حجتی را زنده دارد
دانلود پروژه و کارآموزی و کارافرینی
