گزارش ويروس هاى اينترنتى در هفته اى كه گذشت

آی تی ایران – آنتى ويروس پاندا در گزارش هفتگى خود سه نوع کرم اينترنتى را مورد بررسى قرار داده است: Infober.A, Incef.A و Bobax.AU.

Infober.A که از طريق شبکه هاى کامپيوترى منتشر مى شود با ساختن فهرستى از منابعى که در شبکه به اشتراک گذاشته شده، خود را در آنها کپى مى کند. اين کرم کار خود را با ساختن چهار فايل آغاز مى کند؛ دو فايل با نام هاى MMSOFTCPL.CPL و DEATHLOG.TXT و دو فايل ديگر که نام آنها پس از جست و جو در ميان فايل هاى با پسوند cpl ، exe و doc در تمام درايو هاى کامپيوتر انتخاب مى شود.

يکى از اين فايل ها پس از روشن شدن کامپيوتر کرم اينترنتى را فعال مى کند و پس از آن سيستم با فايل جعلى MMSOFTCPL.CPL آغاز به کار مى کند. کرم اينترنتى Infober.A پورت UDP 45075 را باز مى کند و از اين طريق دسترسى از راه دور به کامپيوتر و اطلاعات آن را ممکن مى سازد.

کرم دوم با نام Incef.A از طريق IRC – با استفاده از mIRC – و همچنين نرم افزار اشتراک فايل KaZaA منتشر مى شود. اين کرم به شيوه هاى زير در کامپيوتر آلوده عمل مى کند:
 تنظيمات KaZaA را در جهت کمک به انتشارش دستکارى مى کند. اين کرم درايو C: و يک زير فولدر در دايرکتورى Windows را را به اشتراک مى گذارد. همچنين firewall ها و فيلتر هاى ويروس را از کار مى اندازد.

 فايل MIRC.INI را طورى دستکارى مى کند که اسکريپت مشخصى را اجرا کند.
کرم سوم با عنوان Bobax.AU از طريق ايميل و در پيغامى با مشخصات متفاوت منتشر مى شود. ايميل آلوده حاوى فايل ضميمه اى با نام دو بخشى، متشکل از کلمتى مانند BUSH ، FUNNY ، JOKE ، PICS يا SECRET و پسوند exe ، pif يا scr است.

پس از اجراى اين فايل Bobax.AU فعال مى شود و به دنبال آدرس هاى ايميل موجود در کامپيوتر آلوده مى گردد تا خود را به اين آدرس ها ارسال کند. اين کرم مى تواند کار هاى ديگرى نيز انجام دهد؛ از جمله آن که فايل HOSTS را طورى دستکارى مى کند که امکان دسترسى به برخى صفحات وب، به خصوص سايت هاى شرکت هاى آنتى ويروس، از بين برود.

براى دريافت اطلاعات بيشتر در اين زمينه و درباره ساير بدافزارها مى تواند به سايت www.mec-security.com يا www.pandasoftware.com مراجعه کنيد.