مرکز انجمنهای تخصصی

سيستم عامل تلفن همراه سيمبيان هدف حمله ورم جديدي قرار گرفته كه از طريقپيام كوتاه و دسترسي به اينترنت منتشر شده و تلفن‌هاي قرباني را از كارمي‌اندازد.

به گزارش ايسنا، شركت امنيتي فورتينت به كاربران تلفن‌هاي همراه نوكيا هشدار داد نسبت به اين تهديد هشيار باشند.

ورمSymbOS/Yxes.A به تلفن‌هايي كه با نسخه سوم S60 سيستم عامل سيمبيان عملمي‌كنند حمله مي‌كند؛ اين برنامه در مدل‌هاي 3250 نوكيا و ان 73 نوكيامورد استفاده قرار گرفته و ممكن است در دستگاه‌هاي مختلف ديگري نيز به‌كارگرفته شده باشد.

بر اساس اين گزارش، هيچ اطلاعاتي در مورد وسعت اينحمله منتشر نشده است و جزييات حمله مذكور براي نخستين بار در اجتماعاتاينترنتي در آسيا مطرح شد.

به گفته محققان فورتينت، اين حملهدرصورتي موفقيت‌آميز است كه Yxes كاربران را براي كليك برروي لينكي كه درپيام كوتاه ارسال شده، فريب دهد.

به‌محض آلوده شدن تلفن، ورم سعيمي‌كند به افراد ديگري كه شماره آن‌ها در تلفن قرباني وجود دارد پيامكوتاه ارسال كند. اين حمله تنها در تلفن‌هايي كه به اينترنت دسترسي دارنداجرا مي‌شود.

اين ورم مخرب بوده و تلفن قرباني را از طريق برخيروندها مانند وظيفه يا مديريت برنامه، از كار مي‌اندازد. همچنين اطلاعاتدر مورد تلفن قرباني جمع‌آوري كرده و آن‌ها را به سروري ارسال مي‌كند كهدر آن خلافكاران اينترنتي مي‌توانند اطلاعات را مشاهده كنند.

براساس اين گزارش در حال حاضر هدف عاملان انتشار اين نرم‌افزار مخرب ازجمع‌آوري اطلاعات مشخص نيست اما طبق ورم Yxes در تلاش براي تماس بادامنه‌هاي به ثبت رسيده در چين است. از آنجا كه به‌نظر مي‌رسد ورم Yxesبسيار پيشرفته‌تر از ورم‌هاي قبلي باشد، محققان امنيتي علاقه بيش‌تري بهاين ورم نشان داده‌اند.

ورم كبير در سال 2004 از طريق ضميمهفايل‌هاي به اشتراك گذاشته شده از طريق بلوتوث و كارت‌هاي حافظه حمله كردهو منتشر مي‌شد. ورم Commwarrior در سال 2005 نخستين ورمي بود كه از طريقپيام مولتي مدياي MMS منتشر شد اما همچنان از طريق ضميمه فايل منتشر مي‌شد.
براساس اين گزارش ورم Yxes در مقايسه با اين ورم‌ها، از طريق پيام كوتاهبسيار سريع‌تر منتشر شده و مي‌تواند با دانلود كپي جديد از خود از يك سروروب مخرب، تكثير شود.

منبع : بازياب

برگرفته از مرکز انجمنهای تخصصی گنجینه دانش

تشريح كامل و نحوه پاكسازي Conficker Worm
===========================
تاریخ پیدایش : ژانویه 2009

طریقه انتشار :
 
Local network
Mapped network drives
 
نامهای دیگر ان برای سایر انتی ویروس ها:
 
Symantec: W32.Downadup.B
Kaspersky: Net-Worm.Win32.Kido.fw
F-Secure: Worm:W32/Downadup.gen!A
Sophos: Mal/Conficker-A
Panda: Trj/Downloader.MDW
Grisoft: I-Worm/Generic.CJY
Eset: a variant of Win32/Conficker.AE worm
Bitdefender: Win32.Worm.Downadup.Gen
 
آلوده کردن سیستمهای :
 
Windows 95
Windows 98
Windows 98 SE
Windows NT
Windows ME
Windows 2000
Windows XP
Windows 2003
 
کارهائی که انجام میدهد : تغییر رجیستر - نفوذ به تمامی سافت ویرها - باز کردن راه برای کنترل از راه دور


خود را در فایلهای زیر کپی می کند :
 
%all shared folders% \RECYCLER\S-%number%\%random character string%.vmx
%ProgramFiles%\Internet Explorer\%random character string%.dll
%ProgramFiles%\Movie Maker\%random character string%.dll
%System%\%random character string%.dll
%Temp%\%random character string%.dll
%ALLUSERSPROFILE%\Application Data\%random character string%.dll

 
فایلهای زیر را ايجاد مي كند :
 
%all shared folders%\autorun.inf This is a non malicious text file with the following content:
%random comments%
shellexecute rundll32.exe %paths and filenames of malware copies%,%random character string%
%random comments%
 

کلیدهای زیر را به رجیستري ويندوز اضافه می کند :
 
HKLM\SYSTEM\CurrentControlSet\Services\%random words%\
Parameters\
ServiceDll" = "%paths and filenames of malware copies%"
HKLM\SYSTEM\CurrentControlSet\Services\%random words%\
"ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs
"Type" = "4"
"Start" = "4"
"ErrorControl" = "4"
 
گلیدهای رجیستر زیر را تغییر می دهد :

 
– [HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]
Old value:
"Start"=dword:00000003
New value:
"Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
Old value:
"Start"=dword:00000003
New value:
"Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\BITS]
Old value:
"Start"=dword:00000003
New value:
"Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\ERSvc]
Old value:
"Start"=dword:00000003
New value:
"Start"=dword:00000004

– HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced
New value:
"Hidden"=dword:00000002
"ShowCompColor"=dword:00000001
"HideFileExt"=dword:00000000
"DontPrettyPath"=dword:00000000
"ShowInfoTip"=dword:00000001
"HideIcons"=dword:00000000
"MapNetDrvBtn"=dword:00000000
"WebView"=dword:00000000
"Filter"=dword:00000000
"SuperHidden"=dword:00000000
"SeparateProcess"=dword:00000000
 
برای اطمینان از انتشار خود به سایر کامپیوترها به انها نفوذ میکند و برای اینکار از Login های زیر استفاده می کند :

ایجاد پسوردهای زیر :
 
000; 0000; 00000; 0000000; 00000000; 0987654321; 111; 1111; 11111;
111111; 1111111; 11111111; 123; 123123; 12321; 123321; 1234; 12345;
123456; 1234567; 12345678; 123456789; 1234567890; 1234abcd; 1234qwer;
123abc; 123asd; 123qwe; 1q2w3e; 222; 2222; 22222; 222222; 2222222;
22222222; 321; 333; 3333; 33333; 333333; 3333333; 33333333; 4321; 444;
4444; 44444; 444444; 4444444; 44444444; 54321; 555; 5555; 55555;
555555; 5555555; 55555555; 654321; 666; 6666; 66666; 666666; 6666666;
66666666; 7654321; 777; 7777; 77777; 777777; 7777777; 77777777;
87654321; 888; 8888; 88888; 888888; 8888888; 88888888; 987654321; 999;
9999; 99999; 999999; 9999999; 99999999; a1b2c3; aaa; aaaa; aaaaa;
abc123; academia; access; account; Admin; admin; admin1; admin12;
admin123; adminadmin; administrator; anything; asddsa; asdfgh; asdsa;
asdzxc; backup; boss123; business; campus; changeme; cluster;
codename; codeword; coffee; computer; controller; cookie; customer;
database; default; desktop; domain; example; exchange; explorer; file;
files; foo; foobar; foofoo; forever; freedom; ----; games; home;
home123; ihavenopass; Internet; internet; intranet; job; killer;
letitbe; letmein; login; Login; lotus; love123; manager; market;
money; monitor; mypass; mypassword; mypc123; nimda; nobody; nopass;
nopassword; nothing; office; oracle; owner; pass; pass1; pass12;
pass123; passwd; password; Password; password1; password12;
password123; private; public; pw123; q1w2e3; qazwsx; qazwsxedc; qqq;
qqqq; qqqqq; qwe123; qweasd; qweasdzxc; qweewq; qwerty; qwewq; root;
root123; rootroot; sample; secret; secure; security; server; shadow;
share; sql; student; super; superuser; supervisor; system; temp;
temp123; temporary; temptemp; test; test123; testtest; unknown; web;
windows; work; work123; xxx; xxxx; xxxxx; zxccxz; zxcvb; zxcvbn;
zxcxz; zzz; zzzz; zzzzz
 
ساختن IP هائی که فقط فقط سه octets انها متعلق به خودش میباشند و سپس تلاش میکند تا با ادرسهای ایجاد شده تماس بر قرار کند.
از طریق کامپیوتری که انرا الوده کرده و به عنوان پایگاه استفاده میکند فایلی را که معمولا در RECYCLER\S-%number%\%random character string%.vmx قرار دارد را به سایر کامپیوترها به صورت دانلود اتوماتیک ان منتقل می کند

امکان دسترسی به دامین های زیر را غیر ممکن می سازد :
 
ahnlab; arcabit; avast; avg.; avira; avp.; bit9.; ca.; castlecops;
centralcommand; cert.; clamav; comodo; computerassociates; cpsecure;
defender; drweb; emsisoft; esafe; eset; etrust; ewido; f-prot;
f-secure; fortinet; gdata; grisoft; hacksoft; hauri; ikarus; jotti;
k7computing; kaspersky; malware; mcafee; microsoft; nai.;
networkassociates; nod32; norman; norton; panda; pctools; prevx;
quickheal; rising; rootkit; sans.; securecomputing; sophos; spamhaus;
spyware; sunbelt; symantec; threatexpert; trendmicro; vet.; virus;
wilderssecurity; windowsupdate
 
برای اینکه از کانکشن عود به اینترنت مطمئن شود با DNS های زیر ارتباط بر قرار می کند :
 
[External Link Removed for Guests]
[External Link Removed for Guests]
[External Link Removed for Guests]
[External Link Removed for Guests]
 
و همینطور سایت های زیر :
 
baidu.com; google.com; yahoo.com; msn.com; ask.com; w3.org; aol.com;
cnn.com; ebay.com; msn.com; myspace.com
 
برای بیشتر کردن تعداد کانکشنهایش به اینترنت فایل tcpip.sys را تغییر می دهد

در API زیر رخنه می کند :
 
DNS_Query_A
DNS_Query_UTF8
DNS_Query_W
Query_Main
sendto
 
زبان پروگرام نویسی آن ++ MS Visual C می باشد.

برای غیر قابل تشخیص بودن با runtime packer فشرده شده و حجم آن بسیار کم شده است

برای از بین بردن آن یکی از برنامه های زیر را دانلود کرده و طبق توصیه ها عمل شود.
 
ftp://ftp.f-secure.com/anti-virus/tools ... wnadup.zip
[External Link Removed for Guests]
[External Link Removed for Guests]
 

برای از بین بردن آن بدون استفاده از برنامه ای و بطور دستی به لینک زیر و قسمت How to Remove Conficker Worm Manually مراجعه شود

 
[External Link Removed for Guests]

 


برگرفته از مرکز انجمنهای تخصصی گنجینه دانش