• مشکی
  • سفید
  • سبز
  • آبی
  • قرمز
  • نارنجی
  • بنفش
  • طلایی
  • تعداد بازديد :
  • 4682
  • چهارشنبه 1383/4/31
  • تاريخ :


اسب تروا رایانه ها را تهدید می كند!

هرچند وقت یكبار در اخبار ساعات اولیه صبحگاهی می شنویم كه ویروسی جدید رایانه ها را تهدید می كند.
این اخبار تا آخرین دقایق شب بارها و بارها تكرار می شود. شاید آخرین ویروسی كه به این ترتیب نقل محافل خبری شده است ، ویروس بحث برانگیز جی.اس.اسكاب. تروجان (Js.Scob.Trojan) باشد. این تهدید جدید در بولتن امنیتی مایكروسافت MS04-011 كاملا مورد بحث قرار گرفته است.

برخلاف كرمهای ساسر و كرگو كه مستقیما رایانه های كاربران نهایی را مورد هدف قرار می دادند ، این ویروس ، وب سرور را مورد حمله قرار می دهد. گزارش ها حاكی از آن است كه آسیب رسان مورد نظر از آسیب پذیری بیش از حد بافر PCTSSL كه روی سرور هدف وجود دارد استفاده می كند تا پیامی را نصب نماید كه این پیام باعث ایجاد كد آسیب رسان در صفحات وب سرور شود. كد سمت كاربر چیزی را داونلود می كند كه منابع خبری معتقدند Padodor/Berbew Trojan نام دارد. اسامی و رمز عبور مرتبط با اطلاعات مالی را گزارش می دهد و رایانه را به یك سیستم كنترل از راه دور باز كرده و مرتبط می كند. در حال حاضر این خطر برای اكثر كاربران جدی نیست. تروجان خود به خود گسترش پیدا نمی كند، بنابراین یك ویروس حقیقی نیست. طبق نظر مایكروسافت ، وب سایت منبع ، شات داون شده است.

اخبار منتشره و تجزیه و تحلیل مراكز تولید ضدویروس ، وب سایت های خاصی را كه به این ویروس مبتلا شده باشند ، گزارش نكرده اند اما اینچنین عنوان شده كه احتمالا صدها مركز خرید و فروش ، مراكز مقایسه قیمت در بازار یا مراكز دولتی مبتلا شده باشند. البته مایكروسافت معتقد است تهدید ناشی از این ویروس كاملا محدود و مهار شده است ، اما SANS گزارش كرده است ممكن است مسیرهای مخفی در سرورها نصب شده باشد و كار به جایی برسد كه كل سایتهای مورد نظر دوباره مورد بازسازی قرار بگیرند. حال چه این تهدید ویژه محدود شده باشد یا هنوز وجود داشته باشد و همچنان بر رایانه ها بتازد ، كد مورد نظر روی وب وجود دارد و احتمال دارد رایانه های زیادی را آلوده كند اما با این ویروس جدید چه باید كرد؟ شاید بهترین و اولین اقدام ، شناسایی آن باشد.

متهم را بهتر بشناسیم!

نام :

جی.اس.اسكاب.تروجان (Js.Scob.Trojan) محل اثر: مستقیما روی وب سرور ویندوز IIS.5.o غیرمستقیم بر كاربران اینترنت اكسپلورر (كاوشگر اینترنت).

نحوه عملكرد

: تروجان روی وب سرورهای ویندوز كه برنامه IIS.5.o را اجرا می كنند ، نوشته ای را به نمایش می گذارد كه به آن نوشته تبلیغاتی می گویند و باعث می شود سرور مورد نظر زیرنویسی را به طور اجباری در برنامه خود پیاده كند كه حاوی كد آسیب رسان Java Script است.

از طرف دیگر در رایانه كاربر، كد مورد نظر باعث آسیب رسانی دوطرفه می شود و فایلی را دانلود و اجرا می كند كه از وب سایت گرفته شده است.

سیستم ایمنی F فایلی را گزارش می كند كه ممكن است همان گزارشگر آسیب رسان كلیدی باشد كه به طور مخفی در Trojan فعالیت می كند و پادودور (Padodor) نام دارد.

راه پیشگیری :

اگر سرور مدنظر باشد ، باید MS04-011 همراه با ضدویروس موجود در آن دوباره تجدید شده و به كار برده و كد زیرنویس در IIS بررسی شود. اگر كاربر مدنظر باشد ، باید ضدویروس همیشه تجدید شده و به روز باشد. Internet Security Zone باید بالا نگهداشته شود تا پیام نوشتاری دادن غیرممكن شود.

برطرف كردن آلودگی

تمام ضدویروس هایی را كه ما بررسی كرده ایم ، توان شناسایی اسكاب تروجان و تروجان های وابسته را دارند. اگر اسكنر ضدویروس ندارید یا مایلید از روشی غیر از خرید ضد ویروس استفاده كنید ، می توانید از اسكنرهای قابل پیاده شدن و رایگان كه به صورت آنلاین وجود دارند استفاده نمایید. مثل House call كه در نشانی http://housecall.trendmicro.com، sStinger ، McAfee كه در نشانیhttp://vil.nai.com/vil/stingerوجود دارد یا اسكن فعال نرم افزار Panda استفاده كنید كه می توانید آن را در نشانی www.pandasoftware.com/products/activescan ببینید.

و اما فایل حقیقی

نام :

Js.scob.trojan،scob،download Ject

نوع تهدید :

اسب تروجان

تاریخ كشف :

24 ژوئن 2004

كشور منبع :

شوروی سابق سیستم هایی كه تحت تاثیر قرار می گیرند: سرور ویندوز 2000 (كاوشگر IIS) ، كاربرانی كه با ویندوز 2000 XP، Me ، 9X كار می كنند.

جستجوگر هدف :

كاوشگر اینترنت.

جستجوگرهایی كه تحت تاثیر قرار نمی گیرند:

اوپرا ، MacIE ، موزیلا ، نت اسكیپ.

سیستم هایی كه در امان هستند :

داس ، ویندوز 30X ، لینوكس ، ماك ، Os/2 و یونیكس.

جزییات اسكاب

جی اس.اسكاب تروجان باعث ایجاد نویز بسیار زیادی در سیستم ارتباطی می شود اما به نظر نمی رسد چندان طول بكشد. این ویروس در رایانه كاربر دانلود می شود. برای آلوده شدن سیستم ها ، هكر از MS04-011 استفاده می كند، نوشته ای را با نام ads.vbsدر پوشه سرور وارد می كند و 3 فایل را به صورت %inetsrv/folder// %system درمی آورد. این سه فایل با نام iisxxx.dll مشهور است.

نوشته مورد نظر به سرور IISمی آموزد تا یك زیرنویس حاوی سه فایل مورد نظر را اضافه كند. دستور زیرنویس به صورت یك انتخاب در IISمشخص شده است.

در سیستم كاربر ، كد Java Script یك پنجره مجزای مخفی را باز می كند و سعی می كند نوشته را از وب سایت دوردست اجرا كند. سایت مورد نظر براساس نوشته ای كه مدنظر بوده است قابل اجرا نیست.

مشكلات پنهان

اگر تروجان موفق عمل كند ، قادر خواهد بود پادودور تروجان را دانلود كند. پادودور به دنبال اطلاعات رمز عبور مالی مخصوص از Paypal ، eBay ، Juno ، Earthlink و Yahoo می گردد. این وضع پنهانی و مخفی كه به آن Berbew مخفی نیز می گویند ، اطلاعات را جمع آوری می كند و سپس آن را به URL حمله كننده می فرستد. خانواده Padodor/berbew می تواند آموزش های دوردست را دریافت كند تا PC را شات داون كند یا برنامه هایی را دانلود و اجرا كند. مشكلی كه در گزارش های مربوط به اقدامات ضدویروس ها به چشم می خورد ، آن است كه به نظر نمی رسداسكاب هیچیك از انواع Backdoor.padodor/berbew را مورد استفاده قرار دهد. كاسپرسكی گزارش كرده است كد مورد نظر ممكن است پادودور W،X،Y یا Z باشد در حالی كه امنیت F ادعا دارد پادودور W است كه البته ما با سیستم امنیت F موافق هستیم.

توجه داشته باشید تروجان مثل ویروس ها گسترش پیدا نمی كند. كاربران تنها از طریق مشاهده سایتهای آلوده به این ویروس مبتلا می شوند. با استفاده از یك ضدویروس جدید یا ابزار قابل دانلود موجود می توان اسكاب را برداشت.

برداشتن Backdoor.padodor.w به صورت دستی

با حذف فایلهایی در پوشه سیستم ویندوز و خلاص شدن از شر ورودی های ثبت شده می توان آلودگی اصلی را برطرف كرد. اگر با Registry آشنایی ندارید ، می توانید از ابزار حذف آلودگی كه قبلا ذكر شد استفاده كنید. وقتی یك بار سیستم خود را پاكسازی كردید و درست كار كرد ، ممكن است بخواهید پشتیبانی Registry را كه حاوی ورودی های پادودور است ، حذف كنید. اگر از ویندوز Me یا XP استفاده می كنید ، Restore سیستم را خاموش كنید. وقتی سیستم خود را تغییر می دهید این نسخ جدید OS ، نقاط بررسی شده ذخیره شده ای را ایجاد می كنند. اگر سیستم شما آلوده است ، Restore كردن ممكن است باعث ایجاد آلودگی مجدد شود. رایانه را در Safemode دوباره restart كنید زیرا پادودور فرآیندهای اجرایی ایجاد می كند و ویندوز به شما اجازه حذف فایلهای مربوط به آنها را نمی دهد بنابراین مجبور خواهید شد كامپیوترتان را restart كنید. Safemode از لود درایوها و ورودی های خودكار در ویندوز جلوگیری می كند بنابراین بوت سیستم شما نسبتا پاكسازی می شود. با استفاده از اسكنرهای ضدویروس جدید یا یكی از اسكنرهای آنلاین موجود ، كل سیستم را اسكن كنید. اگر اسكنر شما همه موارد را حذف نكرد ، از مراحل زیر استفاده كنید.

قابل توجه :

نرم افزار ضدویروس شما باید در حین شناسایی ، فهرستی از فایلهای مربوط به پادودور یا Berbew را ایجاد كند (نام ذكر شده به اسكنر بستگی دارد). ضدویروس خود را به نحوی تنظیم كنید تا آنها را حذف كند یا به طور دستی این كار را انجام دهید.

محمدعلی تقی پور

برگرفته از جام جم آنلاین

UserName