پاسخ به:ويروس شناسي
دوشنبه 13 شهریور 1391 2:19 AM
شواهد حاكی از ظهور كرم اینترنتی جدیدی بنام SDBOT.UH می باشد كه در تاریخ هشتم سپتامبر كشف گردیده است و در حال گسترش در اینترنت می باشد.
این كرم اینترنتی بر اساس چهار نقطه ضعف عمده كه در سیستمهای مبتنی بر ویندوز وجود دارند خود را اشاعه می دهد و با توجه به اینكه بعد از نصب بعنوان یك Sniffer به ترافیك داده های دستگاه قربانی گوش داده و كلمات عبور و مشخصات بانكی قربانی را به هكر گزارش می دهد بسیار حائز اهمیت و خطرناك است.
این كرم با استفاده از نقاط ضعف :
• Remote Procedure Call (RPC) Distributed Component Object Model (DCOM) vulnerability
• Buffer Overflow in SQL Server 2000 vulnerability
• IIS5/WEBDAV buffer overrun vulnerability
• LSASS vulnerability
به سیستم قربانی وارد می شود و سپس با نام Win32x.exe خود را در شاخه ویندوز كپی می نماید. همچنین مسیرهای
HKEY_LOCAL_MACHINE/Software/Microsoft/
Windows/CurrentVersion/Run
Microsoft Time Manager = "dveldr.exe"
HKEY_LOCAL_MACHINE/Software/Microsoft/
Windows/CurrentVersion/RunServices
Microsoft Time Manager = "dveldr.exe"
و
HKEY_LOCAL_MACHINE/Software/Microsoft/Ole
Microsoft Time Manager = "dveldr.exe"
را به رجیستری سیستم هدف اضافه می كند كه امكان اجرای دوباره را بعد از restart شدن كامپیوتر قربانی به این كرم می دهد. این كرم قابلیت های گوناگونی از جمله Sniffing ، Keylogging و همچنین ایجاد Backdoor را دارا می باشد و نیز از سیستم قربانی بعنوان یك TFTP Server برای انتقال خود به سایر كامپیوتر ها استفاده می كند . شاید مهلك ترین قابلیت این كرم همان Sniffing باشد كه سعی در دریافت كلمات عبور و مشخصات كارت های اعتباری قربانی و گزارش آن به هكر است. ضمن اینكه اصولاً شناسائی Sniffer ها كار مشكلی می باشد.
1- برنامه ضد ویروس خود را بروز نمائید و سریعاً سیستم خود را چك كنید .
2- Task Manager را اجرا و در صورت مشاهده task ای با نامهای Win32x.exe یا dveldr.exe
آنها را End Task كرده و سپس با اجرای Regedit ، در صورت وجود مسیرهائی كه قبلاً اشاره شد آنها را پاك نمائید .
کریمی که جهان پاینده دارد تواند حجتی را زنده دارد
دانلود پروژه و کارآموزی و کارافرینی
