آموزش فناوری دانلود

آموزش و پرورش - فناوری -دانلود

آموزش فناوری دانلود

آموزش و پرورش - فناوری -دانلود

آشنایی با ویروس ها (11) – ویروس W32Rbot-SX



نام :: W32/Rbot-SX
نوع :: کرم
شیوه پخش :: از طریق فایل های به اشتراک گزاشته شده در شبکه
سیستم عامل هدف :: ویندوز
نام مستعار :: WORM_SPYBOT.KV

کارهای پخش ::

1 – دسترسی دیگران به منابع کامپیوتر
2 – دزدیدن اطلاعات
3 – دانلود کردن کد های مخرب از اینترنت
4 – کم کردن قدرت ایمنی سیستم
5 – ضبط صفحه کلید
6 – نصب خود بر روی ریجیستری

شرح::

این کرم دارای کدهای یک بکدور است که این بکدور بر روی کانال های IRC می باشد. این بکدور اطلاعات و دستور ها را از هکر میگیرد و بر روی سیستم انجام می دهد . همچنین این کرم از آسیب پذیری های LSASS و RPC-DCOM و WebDav برای پخش استفاده می کند شماره تخصصی این آسیب پذیری ها به ترتیب MS04-011 و MS03-039 و MS03-007 می باشد . همچنین این کرم هنگامی که برای اولین بار اجرا می شود خود را به نام فایل win32src.exe به صورت مخفی در پوشه سیستم ویندوز ذخیره می کند. همچنین این کرم شاخه های زیر را در ریجستری وارد می کند::

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Win32 Src Service
win32src.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Win32 Src Service
win32src.exe
The worm also creates the following registry entry:
HKCU\Software\Microsoft\OLE
Win32 Src Service
win32src.exe

همچنین این کرم می تواند DoS کند و همچنین می تواند اطلاعاتی مانند CD keys و log keystrokes را بدزدد و همچنین می تواند وارد MS SQL servers شود و فرمانها را وارد کند
برای پاک سازی این کرم به صورت دستی باید اول بدنه کرم را از حالت فعالیت خارج کنید که این کار را می توانید با یافتن فایل بدنه کرم در Processes انجام دهید فایل بدنه در بالا ذکر شده است و بعد à Windows Task Manager از طی این مراحل شما باید شاخه های ریجیستری که در بالا پیدا شده است را یافته و مقادیر آن را پاک کنید .
ادامه دارد ......

آشنایی با ویروس ها (10) – ویروس W32Agobot-ADH


نام :: W32/Agobot-ADH
نوع :: کرم
شیوه پخش :: از طریق فایل های به اشتراک گزاشته شده در شبکه
سیستم عامل هدف :: ویندوز
نام مستعار :: WORM_SPYBOT.KV

کارهای پخش ::

1 – دسترسی دیگران به منابع کامپیوتر
2 – دزدیدن اطلاعات
3 – دانلود کردن کد های مخرب از اینترنت
4 – کم کردن قدرت ایمنی سیستم
5 – ضبط صفحه کلید
6 – نصب خود بر روی ریجیستری
7 – از کار انداختن برنامه های آنتی ویروس

شرح::

این کرم حاوی یک در پشتی است که به هکر اجازه استفاده از سیستم را می دهد . و این کرم قدرت پخش خوبی بر روی شبکه های محلی دارد و همچنین برای اولین بار که اجرا می شود خود را بر روی شاخه سیستم کپی می کند . و همچنین این شاخه ها را می سازد :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices \

بکدور این کرم از طریق کانال های IRC به هکر اجازه استفاده از منابع سیستم را می دهد و همچنین این کرم می تواند جلوی بازدید و اتصال به سایت های آنتی ویروس را به شکل ایجاد یک فایل HOSTS در مسیر % SYSTEM%\Drivers\etc\HOSTS بگیرد بدین شکل که در این فایل آدرس های زیر را وارد می کنند ::

127.0.0.1 http://www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 http://www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 http://www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 http://www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 http://www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 http://www.avp.com
127.0.0.1 http://www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 http://www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 http://www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 http://www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 http://www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 http://www.trendmicro.com

برای پاک سازی این کرم به صورت دستی باید اول بدنه کرم را از حالت فعالیت خارج کنید که این کار را می Processes انجام دهید à توانید با یافتن فایل بدنه کرم در Windows Task Manager فایل بدنه در بالا ذکر شده است و بعد از طی این مراحل شما باید شاخه های ریجیستری که در بالا پیدا شده است را یافته و مقادیر آن را پاک کنید . اگر نتوانستید فایل بدنه کرم را پیدا کنید باید از ریجستری ویندوز مدد بگیرید و به شاخه RUN یا زیر شاخه های ان رفته و فایل های مشکوک را پیدا کنید و بررسی کنید.
ادامه دارد ......

آشنایی با ویروس ها (9) – ویروس W32Sdbot-TB

نام :: W32/Sdbot-TB
نوع :: کرم
سیستم عامل هدف :: ویندوز
راه پخش :: برنامه های گفتمان (چت)

کارها ::

1 – دسترسی هکر به منابع سیستم
2 – دانلود کردن کدهای خود از اینترنت
3 – ضبط صفحه کلید
4 – نصب خود بر روی ریجستری
5 – دزدین اطلاعات
6 – کم کردن قدرت امنیت سیستم

شرح ::

این کرم از راه کانال های IRC خود را انتقال می دهد . و حاوی کد بکدوری است که دسترسی کامل هکر را به سیستم میدهد . این کرم در اولین بار که اجرا می شود فایل wupdated.exe را بر روی شاخه سیستم ویندوز می سازد . و بر روی سیستم های NT خود را Wupdated معرفی می کند که شباهت زیادی به سرویس Windows Update Service دارد و همچنین شاخه های زیر را در ریجستری می سازد ::

HKLM\SYSTEM\CurrentControlSet\Services\Wupdated\Security
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WUPDATED

همچنین این کرم سعی می کند خود را از طریق اشتراکات شبکه جابجا کند . همچنین این کرم یک HTTP proxy server بر روی سیستم قربانی نصب می کند . و می تواند حملات DoS کند . و همچنین اطلاعات سیستم را می دزدد و همچنین انها را در فایلی به نام keys.txt در شاخه سیستم قرار می دهد و به هکر می رساند . همچنین این کرم سعی می کند خود را از طریق جابجایی فایل های DCC در کانال های IRC انتقال دهد . با متن پیغام زیر ::

The message text can be of any of the following :
dude, chk out this new AdminMOD exploit, it gives you admin
privs on any server running AM, plz dont give it out tho, thnx
i just caught this guy cheating with the Cheat Scanner in the
CAL Demo Viewer, chk it out
omfg this is so cool! i just caught this guy cheating with
this cal demoviewer or whatever its called, here's a copy of it
Here is the new CAL Demo Viewer, it includes

همچنین فایل های آلوده عبارت از ::

AdminMOD-ExploitHack.exe
cheater-caught.pif
CAL-DemoViewer.exe
Setup.exe

ادامه دارد ......

آشنایی با ویروس ها (8)- ویروس W32Rbot-UU


نام :: W32Rbot-UU
نام مستعار :: Backdoor.Win32.Rbot.gen و W32/Sdbot.worm.gen.j
طریقه پخش :: اشتراکات شبکه
سیستم عامل هدف :: ویندوز

وظایف :

1 - دسترسی دیگران به منابع سیستم
2 - دانلود کد های خود از اینترنت
3 - کم کردن قدرت امنیت سیستم
4 - نصب خود بر روی رجیستری
5 - استفاده از سیستم آسیب پذیری

تشریح :

این کرم حاوی کد های تروجان مانندی است که از طریق کانال های IRC اجازه نفوذ به هکر می دهد . این سرویس در پشت پردازش ها اجرا می شود به دور از چشم کاربر . همچنین این کرم خود را در داخل شاخه سیستم ویندوز به نام فایل USBHARDWARE32C.EXE کپی می کند . و این شاخه ها را برای اجرا مجدد خود می سازد ::

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
همچنین این مقدار ها را تغییر می دهد ::
" HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N
" HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrict anonymous = "1

ادامه دارد ......

آشنایی با ویروس ها (7)- ویروس W32Rbot-UW

نام :: W32/Rbot-UW
نوع :: کرم
طریقه پخش :: اشتراکات شبکه
سیستم عامل هدف :: ویندوز

وظایف ::

1 - دسترسی دیگران به منابع سیستم
2 - دزدین اطلاعات
3 - دانلود کد از اینتر نت
4 - کم کردن قدرست امنیت سیستم
5 - عوض کردن کلمات عبور
6 - ضبط صفحه کلید

تشریح ::

این کرم همچنین شامل کد های تروجان مانندی است که از طریق کانال های IRC کار می کند . کار این کرم ساختن یک اکانت در سطح ادمین است و دزدن اطلاعات و اطلاعات مانند کلمات عبور سریال برنامه ها و باز ها و همچنین حملات D.O.S و همچنین ضبط صفحه کلید . و از کار انداختن آنتی ویروس ها و دیوار اتش ها و همچنین این کرم شاخه های زیر را در رجیستری می سازد ::

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
Default =
lsassM.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\
Default =
lsassM.exe

ادامه دارد ......