امنیت

نگاهی به ویروس‌های اینترنتی در هفته گذشته

 خبر شیوع كرم‌های اینترنتی ‪ IRCBot.KC ،Zotab.D ،Zotab.B ،Zotab.A‬و ‪ IRCBot.KC‬در ‪ ۱۰‬روز گذشته در صدر اخبار امنیت شبكه‌ها و رایانه‌ها قرار داشت.


یك تروجان نیز با نام ‪ Mitglieder.EK‬و یك ابزار هك با عنوان ‪ModemSpy‬ نیز در این هفته شیوع یافتند.


‪ Mitglieder.EK‬تروجانی است كه با هدف از كار انداختن برنامه‌های اجرایی مربوط به آنتی ویروس ها، دیوارهای آتش و ایجاد مشكل در به روز رسانی آنها، تنظیمات ثبت ویندوز را دستكاری می‌كند.


علاوه بر این تروجان تلاش می‌كند فایلی به نام ‪ OSA۴.GIF‬را كه به نظر یك فایل تصویری می‌آید، اما در اصل فایل اجرایی است داونلود كند.


آنتی ویروس پاندا در گزارش خود به ایرنا اعلام كرد همانند دیگر تروجان‌ها این مورد نمی‌تواند به صورت خود به خود پخش شود و انتشار آن از طریق ایمیل، برنامه‌های اشتراك فایل و راههای دیگر صورت می‌گیرد.


‪ Zotob.A‬و ‪ Zotob.B‬دو كرم اینترنتی با عملكرد مشابه هستند كه با استفاده از حفره امنیتی موجود در سرویس ‪ Plug and Play‬ویندوز، كه كمی پیش از انتشار این كرم‌ها در بولتن ‪ MS۰۵ -۰۳۹‬مایكروسافت نسبت به وجود آن هشدار داده شده بود، راه خود را باز می‌كنند.


این دو كرم كه قابلیت آلوده كردن ویندوز ‪ ۲۰۰۰ ،XP‬و ‪ ۲۰۰۳ Server‬را دارند، با ایجاد ‪ IP‬آدرس‌های تصادفی سعی در برقراری ارتباط با پورت ‪ ۴۴۵‬و اطلاع از آسیب پذیر بودن سیستم می‌كنند.


پس از آلوده كردن كامپیوتر نیز دو كار اصلی انجام می‌دهند كه دسترسی به سایت شركت‌های آنتی ویروس را از بین می‌برند و راه كنترل كامپیوتر از طریق یك سرور ‪ IRC‬برای دستكاری فایل‌های سیستم را باز می‌گذارند.


‪ IRCBot.KC ،Zotob.D‬و ‪ IRCBot.KD‬سه كرم دیگر با عملكرد مشابه هستند كه همانند دو تای قبلی، آنها هم از حفره امنیتی ‪ Plug and Play‬ویندوز بهره می‌برند.


این سه كرم نیز با ایجاد ‪ IP‬آدرس‌های تصادفی سعی در برقراری ارتباط با پورت ‪ ۴۴۵‬و یافتن سیستم‌های آسیب پذیر می‌كنند.


پس از آن، سیستم آلوده را مجبور به داونلود كردن یك نسخه از كرم از طریق ‪ TFTP‬می‌كنند.


‪ Zotob.D‬پس از استقرار، ‪adware‬ها و نرم افزارهای جاسوسی‌های موجود در رایانه و همچنین نسخه‌های قبلی ‪ (A,B,C) Zotob‬را پاك می‌كند.


‪ IRCBot.KD‬نیز تلاش می‌كند نسخه‌های قبلی بد افزارهای ‪ Zotob‬و ‪IRCBot‬ را از بین برده و سایر بدافزارها را نیز پاك كند، این كرم‌ها نیز با ایجاد یك در پشتی، كنترل رایانه را به دستورات رسیده از طریق یك كانال مشخص ‪ IRC‬می‌سپارد.


این سه كرم با آلوده كردن تعداد زیادی از شركت‌های تجاری در آمریكا باعث اعلام وضعیت نارنجی شدند.


به كاربران توصیه می‌شود برای پیشگیری از آلوده شدن به این كرم ها آنتی ویروس خود را به روز نگاه داشته و وصله امنیتی ارایه شده در سایت مایكروسافت برای اصلاح حفره امنیتی ‪ Plug and Play‬را نصب كنند.


‪ ،ModemSpy‬آخرین موردی كه در گزارش این هفته مورد بررسی قرار می‌گیرد نوعی ابزار هك كردن است، با اینكه ‪ ModemSpy‬یك برنامه اجرایی قانونی است اما هكرها می‌توانند از آن سوء استفاده كنند.


این برنامه به هكر اجازه می‌دهد مكالمه‌های تلفنی را ضبط و از طریق ایمیل یا پیغام‌های صوتی پخش كند، عملكرد آن هم به صورتی است كه كاربر به هیچ وجه متوجه این دزدی نمی‌شود.


​​