آی تی ایران – بيشترين آلودگيهاى اينترنتى در ماه فوريه در ايران توسط آنتى ويروس پاندا مطابق ذيل اعلام شد. Sdbot.ftp با 17.59% ميزان آلودگى، صدر نشين جدول و
Qhost.gen با 12.4% در رتبه دوم اين ليست قرار گرفته است . در ذيل بطور خلاصه به معرفى رايج ترين كدهاى مخرب شناسائى شده در ايران به ترتيب ميزان آلودگى مى پردازيم:
Sdbot.ftp : اين كرم اينترنتى اولين بار در تاريخ 15 دسامبر سال 2004 در لاباتوار آنتى ويروس پاندا ثبت شده است. ميزان شيوع آن در ايران در ماه گذشته از بقيه ويروسهاى اينترنتى بيشتر بوده است. از آنجا كه اين كرم اينترنتى پس از ورود به سيستم هيچگونه علامت مشخصى ندارد شناسائى آن كار مشكلى است.
اين كرم با حمله كردن به IP آدرس هاى انتخابى و با استفاده از نقاط ضعف سيستم عامل ويندوز مانند آسيب پذيريهاى شناسائى شده در RPC-DCOM, LSASS وارد سيستم شده و يك فايل را نصب و اجرا مى كند كه توسط آن مى تواند كرم هاى اينترنتى را از طريق FTP
( File Transfer Protocol ) داونلود مى كند.
Qhost.gen: دومين بدافزار اين ليست يك تروجان است .
اين تروجان شكل تغيير يافته فايل HOST يستم عامل ويندوز است. سيستم عامل ويندوز براى اينكه IP addresses ها را مطابق اسامى شناسائى كند قبل از اينكه ساير سرويسها مانند WINS را بررسى كند فايل Host را چك مى كند.
برخى بدافرارها مخصوصا گونه هاى مختلف كرم اينترنتى Gaobot كدهايى را به برنامه فايل Host
اضافه مى كنند و يا آنها را تغيير مى دهند. بدين ترتيب كاربر قادر به مشاهده برخى وب سايت ها نخواهد بود. اين وب سايت ها اغلب وب سايت هاى آنتى ويروس و يا امنيت شبكه هستند كه كاربر نتواند آنتى ويروس خود را بروز كند.
Plexus.A.worm: اين كرم اينترنتى مى تواند با 4 روش مختلف منتشر شود: 1- به كارگيرى آسب پذيريهاى سيستم مانند RPC DCOM يا LSASS . 2- از طريق ايميل 3- از طريق فايلهاى به اشتراك گذاشته شده برنامه KaZaA 4- از طريق شبكه هاى كامپيوتري.
شناسائى اين كرم اينترنتى بسيار ساده است چون به محض نصب بر روى سيستم يك پيغام شمارش معكوس براى Restartَ شدن كامپيوتر مى دهد.
Dumador.H : چهارمين رتبه شيوع بدافزارهاى اين ليست به اين backdoor تعلق دارد. Dumador.H روش خاصى براى انتشار ندارد. او مى تواند از همه روشهايى كه
ويروسها براى انتشار خود استفاده مى كنند، استفاده كند .مانند : CD-ROMs ، ايميلى با يك ضميمه آلوده، داونلود كردن از اينترنت ، FTP و غيره.
اين Backdoor به هكرها اجازه مى دهد تا به كامپيوتر آلوده شده دسترسى داشته باشند. تنها راه شناسائى آن اسكن كردن كامپيوتر با يك آنتى ويروس بروز شده است.
Dumarin.B.worm: اين كرم اينترنتى مشخصات Backdoor ها را نيز دارد. وظيفه Dumarin.B سرقت password ها است. اين بدافزار پورت هاى TCP ، 1001 و 10000 را نيز جاسوسى مى
كند تا به دستوراتى كه از راه دور برايش ارسال مى شود پاسخ دهد. اين كرم با تغيير دادن فايل Host اجازه دسترسى به سايت هاى آنتى ويروس را از كاربر مى گيرد.
Sdbot.BCW.worm: اين كرم اينترنتى نيز با داشتن خصوصيات backdoor ها به هكرها اجازه مى دهد كه براى اجراى عمليات مخرب خود كنترل سيستم آلوده را در دست
بگيرند. Sdbot.BCW از طريق كامپيوترهاى تحت شبكه منتقل مى شود براى اين كار نخست كنترل مى كند كه كامپيوتر آلوده شده تحت شبكه باشد. اين ويروس تلاش مى كند با يافتن password ها ى موجود در شبكه به منابع به اشتراك گذاشته شده در شبكه دسترسى پيدا
كند. سپس يك كپى از خود را به اين منابع به اشتراك گذاشته شده مى فرستد.
Redlof.A: اين كرم اينترنتى كه از طريق ايميل و به سرعت منتقل مى شود، در طول سال گذشته نيز از پيشكسوتان كدهاى مخرب در ايران بوده است و تنها تلاش مى كند كامپيوترهاى ديگر را آلوده كند و هيچ اثر مخربى ندارد. اين كرم كدهاى خود را روى
فايلهاى HTT كپى مى كند ( اين فايلها براى ديدن فولدر هاى سيستم به صورت صفحات وب استفاده مى شند.) و به محض اينكه كاربر آلوده به اين ويروس، يك فولدر را باز كند اين كرم فعاليت خود را آغاز مى كند. Redlof.A فايلهايى با پسوند HTML را نيز آلوده
مى كند.
پيشنهاد لابراتوار پاندا به كاربران اين است كه آنتى ويروس خود را مرتبا بروز كنند. در صورت
نداشتن آنتى ويروس مى توانيد با مراجعه به سايت http://www.pandasoftware.com/activescan/ كامپيوتر خود را بصورت رايگان اسكن كنيد.
منبع : www.pandasoftware.com
