|
Backdoor.Hesive
تاريخ انتشار:
27 سپتامبر 2005
تاريخ به روز رساني:
4 اكتبر 2005
04:35:09PM
سيستمهاي تحت تاثير:
Windows 2000, Windows 95, Windows 98, Windows
Me,
Windows NT, Windows Server 2003, Windows XP
چكيده:
Backdoor.Hesive
تروجاني است كه با باز كردن يك در پشتي روي كامپيوتر مورد نظر
(كامپيوتر آسيب پذير) اجازه دسترسي از راه دور و غير مجاز يك
نفوذگر را به آن كامپيوتر ميسر مي سازد.
اين تروجان ممكن است در قالب يك فايل
Microsoft Access
ظاهر شود كه در اين صورت با سوء استفاده از آسيب پذيري موجود در
Microsoft Jet Database Engine
مي تواند خودش را روي كامپيوتر نصب كند.
اين تروجان با دريافت كردن فايلها از راه دور مي
تواند سبب كاهش كارايي شبكه شده و در ضمن اطلاعات محرمانه كاربر
را در اختيار نفوذگر قرار دهد.
توضيح:
وقتي كه
Backdoor.Hesive
اجرا مي شود موارد زير را انجام مي دهد:
1.
مسير
%Windir%\temp\csrse.exe
را ساخته و اجرا مي كند.
%Windir%
متغييري است كه پوشه نصب ويندوز را برمي گرداند. به طور پيش فرض
اين مقدار
C:\Windows
يا
C:\Winnt
است.
2.
مقدار
"csrse.exe" = "%Windir%\temp\csrse.exe"
را به رجيستري اضافه مي كند:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
بنابراين هر بار كه ويندوز اجرا مي شود اين
تروجان نيز اجرا خواهد شد.
3.
سعي مي كند به
data.lovequintet.com
روي پورت 80 يا 8088 دسترسي پيدا كند.
4.
اجازه دسترسي نفوذگر از راه دور و توانايي اجراي
موارد زير را ممكن مي سازد:
·
پيدا كردن پورتهاي فعال
·
پيدا كردن پروسه ها و سرويس ها و ريسمان ها
·
دريافت كردن و اجرا نمودن فايلها از راه دور
·
Upload
كردن فايل
·
اجراي
system shell
·
تغيير دادن مقادير رجيستري
·
خاتمه دادن پروسه ها
·
جمع آوري اطلاعات سيستم
·
جمع آوري اطلاعات شبكه
·
ارسال اطلاعات جمع آوري شده به
[http://]data.lovequintet.com:8088/[REMOVED]/index.php
يا
[http://]data.lovequintet.com:80/[REMOVED]/index.php.
نحوه پاك كردن سيستم:
·
غير فعال كردن
System Restore
ويندوز
·
به روز كردن ضدويروس
·
چك كردن كل سيستم و حذف كليه فايلهاي آلوده
·
پاك كردن مقادير اضافه شده به رجيستري
منابع:
http://www.symantec.com/avcenter/venc/data/backdoor.hesive.html
نويسنده:
محسن شريفي |
