X
تبلیغات
رایتل

آموزش فناوری دانلود

آشنایی با ویروس ها (16)- کرم اینترنتی W32Cycle


کرم اینترنتی W32.Cycle و آسیب پذیری موجود در سرویس LSASS

کرم اینترنتی جدیدی به نام W32 . cycle که از آسیب پذیری موجود در سرویس LSASS برای تکثیر استفاده می کند, شناسائی شد . همچنین خبرها حاکی از ظهور نسل جدید کرم ساسر معروف به W32 . Sasser . f می باشند .
قبلا از طریق همین سایت در مورد کرم ساسر اطلاعاتی در اختیار شما قرار گرفته است , با توجه به اهمیت موضوع و اینکه همه این کرمها از یک آسیب پذیری ستفاده می کنند به طور خلاصه این آسیب پذیری » Windows LSASS remote Buffer overrun « را بررسی می کنیم :
گروه امنتی eeye این آسیب پذیری را در lsa Service کشف کرده است که منجر به remote OVERFLOW می شود و به نفوذگر این امکان رامی دهد که کدهای خود را از طریق پایپ ارتباطی lsa RPC بر روی پورتهای 135 و 445 بر روی سیستم قربانی با سطح دسترسی admin اجرا کند . این باگ از نقطه ضعف توابع LSASS dce/RPC که در داخل Microsoft active directory می باشد استفاده می کند , این توابع امکان استفاده از active directory را بصورت local و remote فراهم می کنند .
اما عاملی که باعث بروز مشکل می شود به صورت خلاصه بشکل زیر است:
تابع مذکور که از سرویس های active directory می باشد یک log file به منظور اشکال زدائی ( Debug ) ایجاد می کند , این log file که" dcpromo . log " نام دارد در دایرکتوری Debug از زیر شاخه های دایرکتوری Windows قرار دارد . ابزار logging به صورت تابعی در داخل lsasrv . DLL فراخوانی می شود, این تابع از روتین ( ) vsprintf برای ایجاد اقلام ورودی در داخل log file استفاده می کند . نکته مهم اینجاست که هیچ محدودیتی برای طول رشته ای که این تابع استفاده می کند وجود ندارد , حال اگر یک رشته با طول بزرگ به عنوان پارامتر ورودی برای این تابع ارسال شود boffer OVERFLOW رخ می دهد . به ترتیب نفوذگر با ایجاد یک OVERFLOW بر پایه stack قادر به گرفتن Shell از سیستم هدف خواهد بود .
به همه عزیزان توصیه می کنم بسته اصلاحی ms04-011 را حتما دریافت و بر روی سیستم خود نصب کنید .
http://www . Microsoft . com/technet/Security/bulletin/ms011-04.aspx
ادامه دارد ......

آشنایی با ویروس ها (15)- کرم اینترنتی Sasser

نام : Sasser نام مستعار :: Sasser . a, worm . Win32 . Sasser . a
حجم :: 15872
تمامی نسخه این کرم b,c,d همه و حتی پدر این کرم یعنی ورژین اصلی آن برای پخش در اینترنت از یک آسیب پذیری به نام ms04-011 (LSASS ) استفاده می کنند که این آسیب پذیری باعث Buffer overrun در Local Security authority subsystem Service می شود .
و نتیجه آن این است
1 - اجرا شدن بر روی ویندوز های 2000 و xp
2 – هیچ پچ امنیتی برای آن شناخته شده نیست .
3 – باعث اتصال شما بدون فایروال بر روی اینترنت می شود .
یکی از مشخصه های وجود این کرم بر روی سیستم وجود فایل ' c:\win . log ' و تکرار خرد شدن فایل ' LSASS . exe ' است . یکی دیگر از مشخصه های این کرم ایجاد ترافیک بر روی پورت های tcp ports 445, 5554 and 9996 است .
برای پاک کردن این کرم می توانید به لینک زیر مراجعه کنید و بسته آنتی این کرم را دانلود و اجرا کنید .
http://www . f-secure . com/Tools/f-Sasser . zip
و برای پاک کردن دستی این کرم می توانید مراحل زیر را دنبال کنید ::
1 – بسته آنتی آسیب پذیری Microsoft Patch ms04-011 را دانلود کرده و نصب کنید
2 - task manager ویندوز را اجرا کنید و سپس فایل " avserve . exe " را از چرخه پروسس خارج کنید .
3 – و فایل avserve . exe را از شاخه ویندوز و شاخه root پاک کنید .
این کرم به وسیله نرم افزار Visual c ++ نوشته شده است و بسته پخش آن به وسیله یک فایل اجرایی است .

توضیحات بیشتر

هنگامی که کرم اجرا می شود خود را در شاخه ویندوز به نام فایل ' avserve . exe ' ذخیره می کند و همچنین این شاخه را در ریجیستر ویندوز می سازد ::
[ software\Microsoft\windows\currentversion\run ]
" avserve . exe" = "%windir%\avserve . exe "
توجه داشته باشید اسم mutex این کرم ' jobaka3l ' است . گفته شد که کرم برای پخش خود از یک آسیب پذیری استفاده می کند و همچنین برای پیدا کردن قربانی از قالب range ip استفاده می کند و IP ها را به صورت راندوم پیدا می کند .
رفتار کرم : بر روی ویندوز های 2000 همان 50 ثانیه معروف دیده می شود
ولی بر روی ویندوز xp یروری به نام lsa Shell دیده می شود .
نکته :: ویندوز های NT & me این کرم را نخواهند گرفت . بدین معنی که کرم بر روی این ویندوز ها کار نمی کند . کرم از پورت 455 برای حمله استفاده می کند و از پورت 5554 برای سرور FTP بر روی سیستم آلوده و همچنین از پورت 9996 برای Shell کامل استفاده می کند .
ادامه دارد ......

آشنایی با ویروس ها (14) - کرم Bagle.x!proxy

کرم اینترنتی جدیدی بنام bagle . x!Proxy که نسخه جدیدی از W32/bagle می باشد در حال گسترش در اینترنت است که خود را با فرستادن e-mail و همچنین استفاده از منابع اشتراکی در شبکه منتشر می کند . این کرم از نوع ویروس-تروجان بوده که پس از نصب بعنوان mail-Proxy عمل می کند .
هنگام اجرای این کرم اینترنتی اعمال زیر روی سیستم قربانی صورت می گیرد :
1- خود را با نام Windows . exe در شاخه % system % کپی می نماید .
2- این شاخه از رجیستری سیستم جهت اجرای اتوماتیک تروجان هنگام روشن شدن سیستم دستکاری می شود:
hkey_local_machine\software\microsoft\Windows\currentversion\run "window . exe" = %sysdir%\window . exe پس از نصب ، یک بسته HTTP به یکی از سایتهای

. HTTP://bohema . amillo . net
. HTTP://abc517 . net
. HTTP://www . abc986 . net

فرستاده خواهد شد که هکر را از نصب خویش مطلع می نماید .
* توجه : لازم است آدرس های بالا را در بخش restricted sites مرورگر اینترنت خود وارد نمائید .
3- یک پورت پروکسی روی سیستم قربانی (معمولا پورت 14247 ) باز و به عنوان هدایت کننده ایمیل mail relay از آن استفاده می کند .
راه حل پاکسازی:
برنامه ضد ویروس خود را سریعا به روز نمائید . همچنین شرکت Trend Micro برنامه ای جهت پاکسازی سیستم های آلوده منتشر کرده است.
ادامه دارد ......

آشنایی با ویروس ها (13)- ویروس Bagle.n


آشنایی با کرم اینترنتی Bagle.n نام :: bagle.n
نام مستعار :: i-worm.bagle.n, W32/bagle.n@mm
اندازه و حجم :: 20923
نوع جدیدی از کرم Bagle به نام نسخه n آن در تاریخ march 13th, 2004 بر روی اینترنت پخش شد.
این کرم همچنین خود را به این نام ها در شاخه ها کپی می کند ::

Microsoft Office 2003 crack, working!.exe
microsoft windows xp, winxp crack, working keygen.exe
Microsoft Office xp working crack, keygen.exe
porno, sex, oral, anal cool, awesome!!.exe
porno screensaver.scr
serials.txt.exe
porno pics arhive, xxx.exe
Windows sourcecode Update.doc.exe
Ahead Nero 7.exe
windown longhorn beta leak.exe
Opera 8 new!.exe
xxx hardcore images.exe
Winamp 6 new!.exe
Winamp 5 PRO keygen crack Update.exe
Adobe Photoshop 9 full.exe
matrix 3 revolution english subtitles.exe
acdsee 9.exe

ادامه دارد ......

آشنایی با ویروس ها (12) – تروجان

تروجان Backdoor.Win32.mIRC-based و IRC/Flood.mirc
نوع :: تروجان
شدت پخش :: 1
سیستم عامل هدف :: ویندوز
طریقه پخش :: برنامه های گفتمان
نام مستعار :: Backdoor.Win32.mIRC-based و IRC/Flood.mirc

وظایف ::

1 - دسترسی دیگران به منابع سیستم
2 - دزدین اطلاعات
3 - اجرای ویروس های دیگر
4 - دانلود کد های خود از اینترنت

تشریح ::

این تروجان که روی سیستم عامل های ویندوز فعالیت می کند سعی می کند از طریق کانال های IRC برای هکر بر روی سیستم عامل هدف دسترسی ایجاد کند . همچنین سعی می کند از همین کانال ها از طریق DCC به نام فایل postcard.gif.exe پخش شود .
در پشتی این تروجان قابلیت دزدین اطلاعات و دانلود و اپلود فایل و اجرای برنامه ها را به ویروس نویس می دهد .این تروجام هنگامی که برای اولین بار اجرا می شود خود را با نام فایل های زیر در شاخه System کپی می کند :

svchost.exe
script.ini

همچنین این تروجان فایل های زیر را بر روی سیستم هدف می سازد ::

mirc.ini
msg.txt
nicks.txt
pri.txt
remote.ini
serv.txt
servers.ini
sup.bat
sup.reg
username.txt

و همچنین این شاخه ها را در رجیستری ویندوز درست می کند :

HKLM\SOFTWARE\CLASSES\irc\Shell\open\command
@
" C:\Windows\System\svchost.exe" -noconnect
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
GNP Generic Host Process
" C:\Windows\system\svchost.exe

ادامه دارد ......
1 2 3 4 5 ... 20 >>