Maxton
Active Member
شواهد حاکی از ظهور کرم اینترنتی جدیدی بنام SDBOT.UH می باشد که در تاريخ هشتم سپتامبر کشف گرديده است و در حال گسترش در اينترنت مي باشد. اين کرم اينترنتي بر اساس چهار نقطه ضعف عمده که در سيستم هاي مبتنی بر ويندوز وجود دارند خود را اشاعه مي دهد و با توجه به اينکه بعد از نصب بعنوان يک Sniffer به ترافيک داده هاي دستگاه قرباني گوش داده و کلمات عبور و مشخصات بانکي قرباني را به هکر گزارش مي دهد بسيار حائز اهميت و خطرناک است.
جزئيات :
اين کرم با استفاده از نقاط ضعف :
• Remote Procedure Call (RPC) Distributed Component Object Model (DCOM) vulnerability
• Buffer Overflow in SQL Server 2000 vulnerability
• IIS5/WEBDAV buffer overrun vulnerability
• LSASS vulnerability
به سيستم قرباني وارد مي شود و سپس با نام Win32x.exe خود را در شاخه ويندوز کپي مي نمايد. همچنين مسيرهاي
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
Microsoft Time Manager = "dveldr.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunServices
Microsoft Time Manager = "dveldr.exe"
و
HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
Microsoft Time Manager = "dveldr.exe"
را به رجيستري سيستم هدف اضافه مي کند که امکان اجراي دوباره را بعد از restart شدن کامپيوتر قرباني به اين کرم مي دهد. اين کرم قابليت هاي گوناگوني از جمله Sniffing ، Keylogging و همچنين ايجاد Backdoor را دارا مي باشد و نيز از سيستم قرباني بعنوان يک TFTP Server براي انتقال خود به ساير کامپيوتر ها استفاده مي کند . شايد مهلک ترين قابليت اين کرم همان Sniffing باشد که سعي در دريافت کلمات عبور و مشخصات کارت هاي اعتباري قرباني و گزارش آن به هکر است. ضمن اينکه اصولاً شناسائي Sniffer ها کار مشکلی مي باشد.
راه حل:
1- برنامه ضد ويروس خود را بروز نمائيد و سريعاً سيستم خود را چک کنيد .
2- Task Manager را اجرا و در صورت مشاهده task اي با نامهاي Win32x.exe يا dveldr.exe
آنها را End Task کرده و سپس با اجراي Regedit ، در صورت وجود مسيرهائي که قبلاً اشاره شد آنها را پاک نمائيد .
جهت اطلاعات بیشتر به آدرس http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SDBOT.UH
مراجعه نمائید.
من از اينجا تر جمه نكردم(كپي كردم :roll: :roll:
)
جزئيات :
اين کرم با استفاده از نقاط ضعف :
• Remote Procedure Call (RPC) Distributed Component Object Model (DCOM) vulnerability
• Buffer Overflow in SQL Server 2000 vulnerability
• IIS5/WEBDAV buffer overrun vulnerability
• LSASS vulnerability
به سيستم قرباني وارد مي شود و سپس با نام Win32x.exe خود را در شاخه ويندوز کپي مي نمايد. همچنين مسيرهاي
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
Microsoft Time Manager = "dveldr.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunServices
Microsoft Time Manager = "dveldr.exe"
و
HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
Microsoft Time Manager = "dveldr.exe"
را به رجيستري سيستم هدف اضافه مي کند که امکان اجراي دوباره را بعد از restart شدن کامپيوتر قرباني به اين کرم مي دهد. اين کرم قابليت هاي گوناگوني از جمله Sniffing ، Keylogging و همچنين ايجاد Backdoor را دارا مي باشد و نيز از سيستم قرباني بعنوان يک TFTP Server براي انتقال خود به ساير کامپيوتر ها استفاده مي کند . شايد مهلک ترين قابليت اين کرم همان Sniffing باشد که سعي در دريافت کلمات عبور و مشخصات کارت هاي اعتباري قرباني و گزارش آن به هکر است. ضمن اينکه اصولاً شناسائي Sniffer ها کار مشکلی مي باشد.
راه حل:
1- برنامه ضد ويروس خود را بروز نمائيد و سريعاً سيستم خود را چک کنيد .
2- Task Manager را اجرا و در صورت مشاهده task اي با نامهاي Win32x.exe يا dveldr.exe
آنها را End Task کرده و سپس با اجراي Regedit ، در صورت وجود مسيرهائي که قبلاً اشاره شد آنها را پاک نمائيد .
جهت اطلاعات بیشتر به آدرس http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SDBOT.UH
مراجعه نمائید.
من از اينجا تر جمه نكردم(كپي كردم :roll: :roll:
)
