آشنایی با ویروس ها (10) – ویروس W32Agobot-ADH

این کرم حاوی یک در پشتی است که به هکر اجازه استفاده از سیستم را می دهد . و این کرم قدرت پخش خوبی بر روی شبکه های محلی دارد و همچنین برای اولین بار که اجرا می شود خود را بر روی شاخه سیستم کپی می کند . و همچنین این شاخه ها را می سازد :
يکشنبه، 11 بهمن 1388
تخمین زمان مطالعه:
موارد بیشتر برای شما
آشنایی با ویروس ها (10) – ویروس W32Agobot-ADH
آشنایی با ویروس ها (10) – ویروس W32Agobot-ADH
آشنایی با ویروس ها (10) – ویروس W32Agobot-ADH






نام :: W32/Agobot-ADH
نوع :: کرم
شیوه پخش :: از طریق فایل های به اشتراک گزاشته شده در شبکه
سیستم عامل هدف :: ویندوز
نام مستعار :: WORM_SPYBOT.KV

کارهای پخش ::

1 – دسترسی دیگران به منابع کامپیوتر
2 – دزدیدن اطلاعات
3 – دانلود کردن کد های مخرب از اینترنت
4 – کم کردن قدرت ایمنی سیستم
5 – ضبط صفحه کلید
6 – نصب خود بر روی ریجیستری
7 – از کار انداختن برنامه های آنتی ویروس

شرح::

این کرم حاوی یک در پشتی است که به هکر اجازه استفاده از سیستم را می دهد . و این کرم قدرت پخش خوبی بر روی شبکه های محلی دارد و همچنین برای اولین بار که اجرا می شود خود را بر روی شاخه سیستم کپی می کند . و همچنین این شاخه ها را می سازد :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices \

بکدور این کرم از طریق کانال های IRC به هکر اجازه استفاده از منابع سیستم را می دهد و همچنین این کرم می تواند جلوی بازدید و اتصال به سایت های آنتی ویروس را به شکل ایجاد یک فایل HOSTS در مسیر % SYSTEM%\Drivers\etc\HOSTS بگیرد بدین شکل که در این فایل آدرس های زیر را وارد می کنند ::

127.0.0.1 http://www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 http://www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 http://www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 http://www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 http://www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 http://www.avp.com
127.0.0.1 http://www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 http://www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 http://www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 http://www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 http://www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 http://www.trendmicro.com

برای پاک سازی این کرم به صورت دستی باید اول بدنه کرم را از حالت فعالیت خارج کنید که این کار را می Processes انجام دهید à توانید با یافتن فایل بدنه کرم در Windows Task Manager فایل بدنه در بالا ذکر شده است و بعد از طی این مراحل شما باید شاخه های ریجیستری که در بالا پیدا شده است را یافته و مقادیر آن را پاک کنید . اگر نتوانستید فایل بدنه کرم را پیدا کنید باید از ریجستری ویندوز مدد بگیرید و به شاخه RUN یا زیر شاخه های ان رفته و فایل های مشکوک را پیدا کنید و بررسی کنید.
ادامه دارد ......
ارسال مقاله توسط عضو محترم سایت با نام کاربری : sm1372




ارسال نظر
با تشکر، نظر شما پس از بررسی و تایید در سایت قرار خواهد گرفت.
متاسفانه در برقراری ارتباط خطایی رخ داده. لطفاً دوباره تلاش کنید.
مقالات مرتبط