اسب تروا رایانه ها را تهدید می کند!

هرچند وقت یکبار در اخبار ساعات اولیه صبحگاهی می شنویم که ویروسی جدید رایانه ها را تهدید می کند. این اخبار تا آخرین دقایق شب بارها و بارها تکرار می شود.

کد خبر: ۴۴۸۱۷

شاید آخرین ویروسی که به این ترتیب نقل محافل خبری شده است ، ویروس بحث برانگیز جی.اس.اسکاب. تروجان (Js.Scob.Trojan) باشد. این تهدید جدید در بولتن امنیتی مایکروسافت MS04-011 کاملا مورد بحث قرار گرفته است . برخلاف کرمهای ساسر و کرگو که مستقیما رایانه های کاربران نهایی را مورد هدف قرار می دادند ، این ویروس ، وب سرور را مورد حمله قرار می دهد. گزارش ها حاکی از آن است که آسیب رسان مورد نظر از آسیب پذیری بیش از حد بافر PCTSSL که روی سرور هدف وجود دارد استفاده می کند تا پیامی را نصب نماید که این پیام باعث ایجاد کد آسیب رسان در صفحات وب سرور شود. کد سمت کاربر چیزی را داونلود می کند که منابع خبری معتقدند Padodor/Berbew Trojan نام دارد. اسامی و رمز عبور مرتبط با اطلاعات مالی را گزارش می دهد و رایانه را به یک سیستم کنترل از راه دور باز کرده و مرتبط می کند. در حال حاضر این خطر برای اکثر کاربران جدی نیست. تروجان خود به خود گسترش پیدا نمی کند، بنابراین یک ویروس حقیقی نیست. طبق نظر مایکروسافت ، وب سایت منبع ، شات داون شده است . اخبار منتشره و تجزیه و تحلیل مراکز تولید ضدویروس ، وب سایت های خاصی را که به این ویروس مبتلا شده باشند ، گزارش نکرده اند اما اینچنین عنوان شده که احتمالا صدها مرکز خرید و فروش ، مراکز مقایسه قیمت در بازار یا مراکز دولتی مبتلا شده باشند. البته مایکروسافت معتقد است تهدید ناشی از این ویروس کاملا محدود و مهار شده است ، اما SANS گزارش کرده است ممکن است مسیرهای مخفی در سرورها نصب شده باشد و کار به جایی برسد که کل سایتهای مورد نظر دوباره مورد بازسازی قرار بگیرند. حال چه این تهدید ویژه محدود شده باشد یا هنوز وجود داشته باشد و همچنان بر رایانه ها بتازد ، کد مورد نظر روی وب وجود دارد و احتمال دارد رایانه های زیادی را آلوده کند اما با این ویروس جدید چه باید کرد؛ شاید بهترین و اولین اقدام ، شناسایی آن باشد.

متهم را بهتر بشناسیم!

نام : جی.اس.اسکاب.تروجان (Js.Scob.Trojan) محل اثر: مستقیما روی وب سرور ویندوز IIS.5.o غیرمستقیم بر کاربران اینترنت اکسپلورر (کاوشگر اینترنت).
نحوه عملکرد : تروجان روی وب سرورهای ویندوز که برنامه IIS.5.o را اجرا می کنند ، نوشته ای را به نمایش می گذارد که به آن نوشته تبلیغاتی می گویند و باعث می شود سرور مورد نظر زیرنویسی را به طور اجباری در برنامه خود پیاده کند که حاوی کد آسیب رسان Java Script است . از طرف دیگر در رایانه کاربر، کد مورد نظر باعث آسیب رسانی دوطرفه می شود و فایلی را دانلود و اجرا می کند که از وب سایت گرفته شده است . سیستم ایمنی F فایلی را گزارش می کند که ممکن است همان گزارشگر آسیب رسان کلیدی باشد که به طور مخفی در Trojan فعالیت می کند و پادودور (Padodor) نام دارد.
راه پیشگیری : اگر سرور مدنظر باشد ، باید MS04-011 همراه با ضدویروس موجود در آن دوباره تجدید شده و به کار برده و کد زیرنویس در IIS بررسی شود. اگر کاربر مدنظر باشد ، باید ضدویروس همیشه تجدید شده و به روز باشد. Internet Security Zone باید بالا نگهداشته شود تا پیام نوشتاری دادن غیرممکن شود.

برطرف کردن آلودگی

تمام ضدویروس هایی را که ما بررسی کرده ایم ، توان شناسایی اسکاب تروجان و تروجان های وابسته را دارند. اگر اسکنر ضدویروس ندارید یا مایلید از روشی غیر از خرید ضد ویروس استفاده کنید ، می توانید از اسکنرهای قابل پیاده شدن و رایگان که به صورت آنلاین وجود دارند استفاده نمایید. مثل House call که در نشانی http://housecall.trendmicro.com، sStinger ، McAfee که در نشانی http://vil.nai.com/vil/stinger وجود دارد یا اسکن فعال نرم افزار Panda استفاده کنید که می توانید آن را در نشانی www.pandasoftware.com/products/activescan ببینید.

و اما فایل حقیقی

نام : Js.scob.trojan،scob،download Ject
نوع تهدید : اسب تروجان
تاریخ کشف : 24 ژوئن 2004
کشور منبع : شوروی سابق سیستم هایی که تحت تاثیر قرار می گیرند: سرور ویندوز 2000 (کاوشگر IIS) ، کاربرانی که با ویندوز 2000 XP، Me ، 9X کار می کنند.
جستجوگر هدف : کاوشگر اینترنت.
جستجوگرهایی که تحت تاثیر قرار نمی گیرند: اوپرا ، MacIE ، موزیلا ، نت اسکیپ.
سیستم هایی که در امان هستند : داس ، ویندوز 30X ، لینوکس ، ماک ، Os/2 و یونیکس.

جزییات اسکاب

جی اس.اسکاب تروجان باعث ایجاد نویز بسیار زیادی در سیستم ارتباطی می شود اما به نظر نمی رسد چندان طول بکشد. این ویروس در رایانه کاربر دانلود می شود. برای آلوده شدن سیستم ها ، هکر از MS04-011 استفاده می کند، نوشته ای را با نام ads.vbsدر پوشه سرور وارد می کند و 3 فایل را به صورت %inetsrv/folder\\ %system درمی آورد. این سه فایل با نام iisxxx.dll مشهور است . نوشته مورد نظر به سرور IISمی آموزد تا یک زیرنویس حاوی سه فایل مورد نظر را اضافه کند. دستور زیرنویس به صورت یک انتخاب در IISمشخص شده است . در سیستم کاربر ، کد Java Script یک پنجره مجزای مخفی را باز می کند و سعی می کند نوشته را از وب سایت دوردست اجرا کند. سایت مورد نظر براساس نوشته ای که مدنظر بوده است قابل اجرا نیست.

مشکلات پنهان

اگر تروجان موفق عمل کند ، قادر خواهد بود پادودور تروجان را دانلود کند. پادودور به دنبال اطلاعات رمز عبور مالی مخصوص از Paypal ، eBay ، Juno ، Earthlink و Yahoo می گردد. این وضع پنهانی و مخفی که به آن Berbew مخفی نیز می گویند ، اطلاعات را جمع آوری می کند و سپس آن را به URL حمله کننده می فرستد. خانواده Padodor/berbew می تواند آموزش های دوردست را دریافت کند تا PC را شات داون کند یا برنامه هایی را دانلود و اجرا کند. مشکلی که در گزارش های مربوط به اقدامات ضدویروس ها به چشم می خورد ، آن است که به نظر نمی رسداسکاب هیچیک از انواع Backdoor.padodor/berbew را مورد استفاده قرار دهد. کاسپرسکی گزارش کرده است کد مورد نظر ممکن است پادودور W،X،Y یا Z باشد در حالی که امنیت F ادعا دارد پادودور W است که البته ما با سیستم امنیت F موافق هستیم . توجه داشته باشید تروجان مثل ویروس ها گسترش پیدا نمی کند. کاربران تنها از طریق مشاهده سایتهای آلوده به این ویروس مبتلا می شوند. با استفاده از یک ضدویروس جدید یا ابزار قابل دانلود موجود می توان اسکاب را برداشت.

برداشتن Backdoor.padodor.w به صورت دستی

با حذف فایلهایی در پوشه سیستم ویندوز و خلاص شدن از شر ورودی های ثبت شده می توان آلودگی اصلی را برطرف کرد. اگر با Registry آشنایی ندارید ، می توانید از ابزار حذف آلودگی که قبلا ذکر شد استفاده کنید. وقتی یک بار سیستم خود را پاکسازی کردید و درست کار کرد ، ممکن است بخواهید پشتیبانی Registry را که حاوی ورودی های پادودور است ، حذف کنید. اگر از ویندوز Me یا XP استفاده می کنید ، Restore سیستم را خاموش کنید. وقتی سیستم خود را تغییر می دهید این نسخ جدید OS ، نقاط بررسی شده ذخیره شده ای را ایجاد می کنند. اگر سیستم شما آلوده است ، Restore کردن ممکن است باعث ایجاد آلودگی مجدد شود. رایانه را در Safemode دوباره restart کنید زیرا پادودور فرآیندهای اجرایی ایجاد می کند و ویندوز به شما اجازه حذف فایلهای مربوط به آنها را نمی دهد بنابراین مجبور خواهید شد کامپیوترتان را restart کنید. Safemode از لود درایوها و ورودی های خودکار در ویندوز جلوگیری می کند بنابراین بوت سیستم شما نسبتا پاکسازی می شود. با استفاده از اسکنرهای ضدویروس جدید یا یکی از اسکنرهای آنلاین موجود ، کل سیستم را اسکن کنید. اگر اسکنر شما همه موارد را حذف نکرد ، از مراحل زیر استفاده کنید.
قابل توجه : نرم افزار ضدویروس شما باید در حین شناسایی ، فهرستی از فایلهای مربوط به پادودور یا Berbew را ایجاد کند (نام ذکر شده به اسکنر بستگی دارد). ضدویروس خود را به نحوی تنظیم کنید تا آنها را حذف کند یا به طور دستی این کار را انجام دهید.