تبیان، دستیار زندگی
شواهد حاكی از ظهور كرم اینترنتی جدیدی بنام  SDBOT.UH  می باشد كه در تاریخ  هشتم سپتامبر كشف گردیده است و در حال گسترش در اینترنت می باشد. این كرم اینترنتی بر اساس چهار نقطه ضعف عمده كه در سیستمهای مبتنی بر ویندوز وجود دارند ...
بازدید :
زمان تقریبی مطالعه :

كرم اینترنتی SDBOT.UH


شواهد حاكی از ظهور كرم اینترنتی جدیدی بنام  SDBOT.UH  می باشد كه در تاریخ  هشتم سپتامبر كشف گردیده است و در حال گسترش در اینترنت می باشد.

این كرم اینترنتی بر اساس چهار نقطه ضعف عمده كه در سیستمهای مبتنی بر ویندوز وجود دارند خود را اشاعه می دهد و با توجه به اینكه بعد از نصب بعنوان یك Sniffer  به ترافیك داده های دستگاه قربانی گوش داده و كلمات عبور و مشخصات بانكی قربانی را به هكر گزارش می دهد بسیار حائز اهمیت  و خطرناك است.

جزئیات :


این كرم با استفاده از نقاط ضعف :

• Remote Procedure Call (RPC) Distributed Component Object Model (DCOM) vulnerability
• Buffer Overflow in SQL Server 2000 vulnerability
• IIS5/WEBDAV buffer overrun vulnerability
• LSASS vulnerability

به سیستم قربانی وارد می شود و سپس  با نام Win32x.exe  خود را در شاخه ویندوز كپی می نماید. همچنین مسیرهای

HKEY_LOCAL_MACHINE/Software/Microsoft/
Windows/CurrentVersion/Run
Microsoft Time Manager = "dveldr.exe"
HKEY_LOCAL_MACHINE/Software/Microsoft/
Windows/CurrentVersion/RunServices
Microsoft Time Manager = "dveldr.exe"
و
HKEY_LOCAL_MACHINE/Software/Microsoft/Ole
Microsoft Time Manager = "dveldr.exe"

را به  رجیستری سیستم هدف اضافه می كند كه امكان اجرای دوباره را بعد از restart شدن كامپیوتر قربانی به این كرم می دهد. این كرم قابلیت های گوناگونی از جمله Sniffing ، Keylogging  و همچنین ایجاد Backdoor را دارا می باشد و نیز از سیستم قربانی بعنوان یك TFTP Server برای انتقال خود به سایر كامپیوتر ها استفاده می كند . شاید مهلك ترین قابلیت این كرم همان Sniffing باشد  كه سعی در دریافت  كلمات عبور و مشخصات كارت های اعتباری قربانی و گزارش آن  به هكر است. ضمن اینكه اصولاً شناسائی  Sniffer ها كار مشكلی می باشد.

راه حل‌:


1- برنامه ضد ویروس خود را بروز نمائید و سریعاً سیستم خود را چك كنید .
2- Task Manager را اجرا و در صورت مشاهده task ای با نامهای Win32x.exe یا dveldr.exe
آنها را End Task كرده و سپس با اجرای Regedit ،  در صورت وجود مسیرهائی كه قبلاً اشاره شد آنها را  پاك نمائید .




برگرفته از سایت آشیانه