سيستم عامل تلفن همراه سيمبيان هدف حمله ورم جديدي قرار گرفته كه از طريقپيام كوتاه و دسترسي به اينترنت منتشر شده و تلفنهاي قرباني را از كارمياندازد.
به گزارش ايسنا، شركت امنيتي فورتينت به كاربران تلفنهاي همراه نوكيا هشدار داد نسبت به اين تهديد هشيار باشند.
ورمSymbOS/Yxes.A به تلفنهايي كه با نسخه سوم S60 سيستم عامل سيمبيان عملميكنند حمله ميكند؛ اين برنامه در مدلهاي 3250 نوكيا و ان 73 نوكيامورد استفاده قرار گرفته و ممكن است در دستگاههاي مختلف ديگري نيز بهكارگرفته شده باشد.
بر اساس اين گزارش، هيچ اطلاعاتي در مورد وسعت اينحمله منتشر نشده است و جزييات حمله مذكور براي نخستين بار در اجتماعاتاينترنتي در آسيا مطرح شد.
به گفته محققان فورتينت، اين حملهدرصورتي موفقيتآميز است كه Yxes كاربران را براي كليك برروي لينكي كه درپيام كوتاه ارسال شده، فريب دهد.
بهمحض آلوده شدن تلفن، ورم سعيميكند به افراد ديگري كه شماره آنها در تلفن قرباني وجود دارد پيامكوتاه ارسال كند. اين حمله تنها در تلفنهايي كه به اينترنت دسترسي دارنداجرا ميشود.
اين ورم مخرب بوده و تلفن قرباني را از طريق برخيروندها مانند وظيفه يا مديريت برنامه، از كار مياندازد. همچنين اطلاعاتدر مورد تلفن قرباني جمعآوري كرده و آنها را به سروري ارسال ميكند كهدر آن خلافكاران اينترنتي ميتوانند اطلاعات را مشاهده كنند.
براساس اين گزارش در حال حاضر هدف عاملان انتشار اين نرمافزار مخرب ازجمعآوري اطلاعات مشخص نيست اما طبق ورم Yxes در تلاش براي تماس بادامنههاي به ثبت رسيده در چين است. از آنجا كه بهنظر ميرسد ورم Yxesبسيار پيشرفتهتر از ورمهاي قبلي باشد، محققان امنيتي علاقه بيشتري بهاين ورم نشان دادهاند.
ورم كبير در سال 2004 از طريق ضميمهفايلهاي به اشتراك گذاشته شده از طريق بلوتوث و كارتهاي حافظه حمله كردهو منتشر ميشد. ورم Commwarrior در سال 2005 نخستين ورمي بود كه از طريقپيام مولتي مدياي MMS منتشر شد اما همچنان از طريق ضميمه فايل منتشر ميشد.
براساس اين گزارش ورم Yxes در مقايسه با اين ورمها، از طريق پيام كوتاهبسيار سريعتر منتشر شده و ميتواند با دانلود كپي جديد از خود از يك سروروب مخرب، تكثير شود.
منبع : بازياب
برگرفته از مرکز انجمنهای تخصصی گنجینه دانش
ورم جديد به تلفنهاي همراه نوكيا حمله كرد
مدیر انجمن: شوراي نظارت
-
- پست: 5234
- تاریخ عضویت: پنجشنبه ۲۵ خرداد ۱۳۸۵, ۲:۴۷ ب.ظ
- سپاسهای ارسالی: 1747 بار
- سپاسهای دریافتی: 4179 بار
- تماس:
ورم جديد به تلفنهاي همراه نوكيا حمله كرد
مرکز انجمنهای تخصصی گنجینه دانش
[External Link Removed for Guests]
مرکز انجمنهای اعتقادی گنجینه الهی
[External Link Removed for Guests]
[External Link Removed for Guests]
مرکز انجمنهای اعتقادی گنجینه الهی
[External Link Removed for Guests]
-
- پست: 5234
- تاریخ عضویت: پنجشنبه ۲۵ خرداد ۱۳۸۵, ۲:۴۷ ب.ظ
- سپاسهای ارسالی: 1747 بار
- سپاسهای دریافتی: 4179 بار
- تماس:
Re: ورم جديد به تلفنهاي همراه نوكيا حمله كرد
تشريح كامل و نحوه پاكسازي Conficker Worm
===========================
تاریخ پیدایش : ژانویه 2009
طریقه انتشار :
Local network
Mapped network drives
نامهای دیگر ان برای سایر انتی ویروس ها:
Symantec: W32.Downadup.B
Kaspersky: Net-Worm.Win32.Kido.fw
F-Secure: Worm:W32/Downadup.gen!A
Sophos: Mal/Conficker-A
Panda: Trj/Downloader.MDW
Grisoft: I-Worm/Generic.CJY
Eset: a variant of Win32/Conficker.AE worm
Bitdefender: Win32.Worm.Downadup.Gen
آلوده کردن سیستمهای :
Windows 95
Windows 98
Windows 98 SE
Windows NT
Windows ME
Windows 2000
Windows XP
Windows 2003
کارهائی که انجام میدهد : تغییر رجیستر - نفوذ به تمامی سافت ویرها - باز کردن راه برای کنترل از راه دور
خود را در فایلهای زیر کپی می کند :
%all shared folders% \RECYCLER\S-%number%\%random character string%.vmx
%ProgramFiles%\Internet Explorer\%random character string%.dll
%ProgramFiles%\Movie Maker\%random character string%.dll
%System%\%random character string%.dll
%Temp%\%random character string%.dll
%ALLUSERSPROFILE%\Application Data\%random character string%.dll
فایلهای زیر را ايجاد مي كند :
%all shared folders%\autorun.inf This is a non malicious text file with the following content:
%random comments%
shellexecute rundll32.exe %paths and filenames of malware copies%,%random character string%
%random comments%
کلیدهای زیر را به رجیستري ويندوز اضافه می کند :
HKLM\SYSTEM\CurrentControlSet\Services\%random words%\
Parameters\
ServiceDll" = "%paths and filenames of malware copies%"
HKLM\SYSTEM\CurrentControlSet\Services\%random words%\
"ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs
"Type" = "4"
"Start" = "4"
"ErrorControl" = "4"
گلیدهای رجیستر زیر را تغییر می دهد :
– [HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]
Old value:
"Start"=dword:00000003
New value:
"Start"=dword:00000004
– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
Old value:
"Start"=dword:00000003
New value:
"Start"=dword:00000004
– [HKLM\SYSTEM\CurrentControlSet\Services\BITS]
Old value:
"Start"=dword:00000003
New value:
"Start"=dword:00000004
– [HKLM\SYSTEM\CurrentControlSet\Services\ERSvc]
Old value:
"Start"=dword:00000003
New value:
"Start"=dword:00000004
– HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced
New value:
"Hidden"=dword:00000002
"ShowCompColor"=dword:00000001
"HideFileExt"=dword:00000000
"DontPrettyPath"=dword:00000000
"ShowInfoTip"=dword:00000001
"HideIcons"=dword:00000000
"MapNetDrvBtn"=dword:00000000
"WebView"=dword:00000000
"Filter"=dword:00000000
"SuperHidden"=dword:00000000
"SeparateProcess"=dword:00000000
برای اطمینان از انتشار خود به سایر کامپیوترها به انها نفوذ میکند و برای اینکار از Login های زیر استفاده می کند :
ایجاد پسوردهای زیر :
000; 0000; 00000; 0000000; 00000000; 0987654321; 111; 1111; 11111;
111111; 1111111; 11111111; 123; 123123; 12321; 123321; 1234; 12345;
123456; 1234567; 12345678; 123456789; 1234567890; 1234abcd; 1234qwer;
123abc; 123asd; 123qwe; 1q2w3e; 222; 2222; 22222; 222222; 2222222;
22222222; 321; 333; 3333; 33333; 333333; 3333333; 33333333; 4321; 444;
4444; 44444; 444444; 4444444; 44444444; 54321; 555; 5555; 55555;
555555; 5555555; 55555555; 654321; 666; 6666; 66666; 666666; 6666666;
66666666; 7654321; 777; 7777; 77777; 777777; 7777777; 77777777;
87654321; 888; 8888; 88888; 888888; 8888888; 88888888; 987654321; 999;
9999; 99999; 999999; 9999999; 99999999; a1b2c3; aaa; aaaa; aaaaa;
abc123; academia; access; account; Admin; admin; admin1; admin12;
admin123; adminadmin; administrator; anything; asddsa; asdfgh; asdsa;
asdzxc; backup; boss123; business; campus; changeme; cluster;
codename; codeword; coffee; computer; controller; cookie; customer;
database; default; desktop; domain; example; exchange; explorer; file;
files; foo; foobar; foofoo; forever; freedom; ----; games; home;
home123; ihavenopass; Internet; internet; intranet; job; killer;
letitbe; letmein; login; Login; lotus; love123; manager; market;
money; monitor; mypass; mypassword; mypc123; nimda; nobody; nopass;
nopassword; nothing; office; oracle; owner; pass; pass1; pass12;
pass123; passwd; password; Password; password1; password12;
password123; private; public; pw123; q1w2e3; qazwsx; qazwsxedc; qqq;
qqqq; qqqqq; qwe123; qweasd; qweasdzxc; qweewq; qwerty; qwewq; root;
root123; rootroot; sample; secret; secure; security; server; shadow;
share; sql; student; super; superuser; supervisor; system; temp;
temp123; temporary; temptemp; test; test123; testtest; unknown; web;
windows; work; work123; xxx; xxxx; xxxxx; zxccxz; zxcvb; zxcvbn;
zxcxz; zzz; zzzz; zzzzz
ساختن IP هائی که فقط فقط سه octets انها متعلق به خودش میباشند و سپس تلاش میکند تا با ادرسهای ایجاد شده تماس بر قرار کند.
از طریق کامپیوتری که انرا الوده کرده و به عنوان پایگاه استفاده میکند فایلی را که معمولا در RECYCLER\S-%number%\%random character string%.vmx قرار دارد را به سایر کامپیوترها به صورت دانلود اتوماتیک ان منتقل می کند
امکان دسترسی به دامین های زیر را غیر ممکن می سازد :
ahnlab; arcabit; avast; avg.; avira; avp.; bit9.; ca.; castlecops;
centralcommand; cert.; clamav; comodo; computerassociates; cpsecure;
defender; drweb; emsisoft; esafe; eset; etrust; ewido; f-prot;
f-secure; fortinet; gdata; grisoft; hacksoft; hauri; ikarus; jotti;
k7computing; kaspersky; malware; mcafee; microsoft; nai.;
networkassociates; nod32; norman; norton; panda; pctools; prevx;
quickheal; rising; rootkit; sans.; securecomputing; sophos; spamhaus;
spyware; sunbelt; symantec; threatexpert; trendmicro; vet.; virus;
wilderssecurity; windowsupdate
برای اینکه از کانکشن عود به اینترنت مطمئن شود با DNS های زیر ارتباط بر قرار می کند :
[External Link Removed for Guests]
[External Link Removed for Guests]
[External Link Removed for Guests]
[External Link Removed for Guests]
و همینطور سایت های زیر :
baidu.com; google.com; yahoo.com; msn.com; ask.com; w3.org; aol.com;
cnn.com; ebay.com; msn.com; myspace.com
برای بیشتر کردن تعداد کانکشنهایش به اینترنت فایل tcpip.sys را تغییر می دهد
در API زیر رخنه می کند :
DNS_Query_A
DNS_Query_UTF8
DNS_Query_W
Query_Main
sendto
زبان پروگرام نویسی آن ++ MS Visual C می باشد.
برای غیر قابل تشخیص بودن با runtime packer فشرده شده و حجم آن بسیار کم شده است
برای از بین بردن آن یکی از برنامه های زیر را دانلود کرده و طبق توصیه ها عمل شود.
ftp://ftp.f-secure.com/anti-virus/tools ... wnadup.zip
[External Link Removed for Guests]
[External Link Removed for Guests]
برای از بین بردن آن بدون استفاده از برنامه ای و بطور دستی به لینک زیر و قسمت How to Remove Conficker Worm Manually مراجعه شود
[External Link Removed for Guests]
برگرفته از مرکز انجمنهای تخصصی گنجینه دانش
===========================
تاریخ پیدایش : ژانویه 2009
طریقه انتشار :
Local network
Mapped network drives
نامهای دیگر ان برای سایر انتی ویروس ها:
Symantec: W32.Downadup.B
Kaspersky: Net-Worm.Win32.Kido.fw
F-Secure: Worm:W32/Downadup.gen!A
Sophos: Mal/Conficker-A
Panda: Trj/Downloader.MDW
Grisoft: I-Worm/Generic.CJY
Eset: a variant of Win32/Conficker.AE worm
Bitdefender: Win32.Worm.Downadup.Gen
آلوده کردن سیستمهای :
Windows 95
Windows 98
Windows 98 SE
Windows NT
Windows ME
Windows 2000
Windows XP
Windows 2003
کارهائی که انجام میدهد : تغییر رجیستر - نفوذ به تمامی سافت ویرها - باز کردن راه برای کنترل از راه دور
خود را در فایلهای زیر کپی می کند :
%all shared folders% \RECYCLER\S-%number%\%random character string%.vmx
%ProgramFiles%\Internet Explorer\%random character string%.dll
%ProgramFiles%\Movie Maker\%random character string%.dll
%System%\%random character string%.dll
%Temp%\%random character string%.dll
%ALLUSERSPROFILE%\Application Data\%random character string%.dll
فایلهای زیر را ايجاد مي كند :
%all shared folders%\autorun.inf This is a non malicious text file with the following content:
%random comments%
shellexecute rundll32.exe %paths and filenames of malware copies%,%random character string%
%random comments%
کلیدهای زیر را به رجیستري ويندوز اضافه می کند :
HKLM\SYSTEM\CurrentControlSet\Services\%random words%\
Parameters\
ServiceDll" = "%paths and filenames of malware copies%"
HKLM\SYSTEM\CurrentControlSet\Services\%random words%\
"ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs
"Type" = "4"
"Start" = "4"
"ErrorControl" = "4"
گلیدهای رجیستر زیر را تغییر می دهد :
– [HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]
Old value:
"Start"=dword:00000003
New value:
"Start"=dword:00000004
– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
Old value:
"Start"=dword:00000003
New value:
"Start"=dword:00000004
– [HKLM\SYSTEM\CurrentControlSet\Services\BITS]
Old value:
"Start"=dword:00000003
New value:
"Start"=dword:00000004
– [HKLM\SYSTEM\CurrentControlSet\Services\ERSvc]
Old value:
"Start"=dword:00000003
New value:
"Start"=dword:00000004
– HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced
New value:
"Hidden"=dword:00000002
"ShowCompColor"=dword:00000001
"HideFileExt"=dword:00000000
"DontPrettyPath"=dword:00000000
"ShowInfoTip"=dword:00000001
"HideIcons"=dword:00000000
"MapNetDrvBtn"=dword:00000000
"WebView"=dword:00000000
"Filter"=dword:00000000
"SuperHidden"=dword:00000000
"SeparateProcess"=dword:00000000
برای اطمینان از انتشار خود به سایر کامپیوترها به انها نفوذ میکند و برای اینکار از Login های زیر استفاده می کند :
ایجاد پسوردهای زیر :
000; 0000; 00000; 0000000; 00000000; 0987654321; 111; 1111; 11111;
111111; 1111111; 11111111; 123; 123123; 12321; 123321; 1234; 12345;
123456; 1234567; 12345678; 123456789; 1234567890; 1234abcd; 1234qwer;
123abc; 123asd; 123qwe; 1q2w3e; 222; 2222; 22222; 222222; 2222222;
22222222; 321; 333; 3333; 33333; 333333; 3333333; 33333333; 4321; 444;
4444; 44444; 444444; 4444444; 44444444; 54321; 555; 5555; 55555;
555555; 5555555; 55555555; 654321; 666; 6666; 66666; 666666; 6666666;
66666666; 7654321; 777; 7777; 77777; 777777; 7777777; 77777777;
87654321; 888; 8888; 88888; 888888; 8888888; 88888888; 987654321; 999;
9999; 99999; 999999; 9999999; 99999999; a1b2c3; aaa; aaaa; aaaaa;
abc123; academia; access; account; Admin; admin; admin1; admin12;
admin123; adminadmin; administrator; anything; asddsa; asdfgh; asdsa;
asdzxc; backup; boss123; business; campus; changeme; cluster;
codename; codeword; coffee; computer; controller; cookie; customer;
database; default; desktop; domain; example; exchange; explorer; file;
files; foo; foobar; foofoo; forever; freedom; ----; games; home;
home123; ihavenopass; Internet; internet; intranet; job; killer;
letitbe; letmein; login; Login; lotus; love123; manager; market;
money; monitor; mypass; mypassword; mypc123; nimda; nobody; nopass;
nopassword; nothing; office; oracle; owner; pass; pass1; pass12;
pass123; passwd; password; Password; password1; password12;
password123; private; public; pw123; q1w2e3; qazwsx; qazwsxedc; qqq;
qqqq; qqqqq; qwe123; qweasd; qweasdzxc; qweewq; qwerty; qwewq; root;
root123; rootroot; sample; secret; secure; security; server; shadow;
share; sql; student; super; superuser; supervisor; system; temp;
temp123; temporary; temptemp; test; test123; testtest; unknown; web;
windows; work; work123; xxx; xxxx; xxxxx; zxccxz; zxcvb; zxcvbn;
zxcxz; zzz; zzzz; zzzzz
ساختن IP هائی که فقط فقط سه octets انها متعلق به خودش میباشند و سپس تلاش میکند تا با ادرسهای ایجاد شده تماس بر قرار کند.
از طریق کامپیوتری که انرا الوده کرده و به عنوان پایگاه استفاده میکند فایلی را که معمولا در RECYCLER\S-%number%\%random character string%.vmx قرار دارد را به سایر کامپیوترها به صورت دانلود اتوماتیک ان منتقل می کند
امکان دسترسی به دامین های زیر را غیر ممکن می سازد :
ahnlab; arcabit; avast; avg.; avira; avp.; bit9.; ca.; castlecops;
centralcommand; cert.; clamav; comodo; computerassociates; cpsecure;
defender; drweb; emsisoft; esafe; eset; etrust; ewido; f-prot;
f-secure; fortinet; gdata; grisoft; hacksoft; hauri; ikarus; jotti;
k7computing; kaspersky; malware; mcafee; microsoft; nai.;
networkassociates; nod32; norman; norton; panda; pctools; prevx;
quickheal; rising; rootkit; sans.; securecomputing; sophos; spamhaus;
spyware; sunbelt; symantec; threatexpert; trendmicro; vet.; virus;
wilderssecurity; windowsupdate
برای اینکه از کانکشن عود به اینترنت مطمئن شود با DNS های زیر ارتباط بر قرار می کند :
[External Link Removed for Guests]
[External Link Removed for Guests]
[External Link Removed for Guests]
[External Link Removed for Guests]
و همینطور سایت های زیر :
baidu.com; google.com; yahoo.com; msn.com; ask.com; w3.org; aol.com;
cnn.com; ebay.com; msn.com; myspace.com
برای بیشتر کردن تعداد کانکشنهایش به اینترنت فایل tcpip.sys را تغییر می دهد
در API زیر رخنه می کند :
DNS_Query_A
DNS_Query_UTF8
DNS_Query_W
Query_Main
sendto
زبان پروگرام نویسی آن ++ MS Visual C می باشد.
برای غیر قابل تشخیص بودن با runtime packer فشرده شده و حجم آن بسیار کم شده است
برای از بین بردن آن یکی از برنامه های زیر را دانلود کرده و طبق توصیه ها عمل شود.
ftp://ftp.f-secure.com/anti-virus/tools ... wnadup.zip
[External Link Removed for Guests]
[External Link Removed for Guests]
برای از بین بردن آن بدون استفاده از برنامه ای و بطور دستی به لینک زیر و قسمت How to Remove Conficker Worm Manually مراجعه شود
[External Link Removed for Guests]
برگرفته از مرکز انجمنهای تخصصی گنجینه دانش
مرکز انجمنهای تخصصی گنجینه دانش
[External Link Removed for Guests]
مرکز انجمنهای اعتقادی گنجینه الهی
[External Link Removed for Guests]
[External Link Removed for Guests]
مرکز انجمنهای اعتقادی گنجینه الهی
[External Link Removed for Guests]