كرم ساسر
نسخه های به روز شده كرم موسوم به ساسر ، وحشي تر از كرم بلاستر با درنورديدن ميليون ها رايانه در دنيا ، عرصه را به كاربران اينترنت تنگ كرد.
سرورهاي بزرگ استراليا كه براي اولين بار ساسر نسخه B را مانيتور كردند ، براي ساعتها از كار افتادند و همچنين سرورهاي خبر و عكس خبرگزاري AFP و نيز سيستم هاي بانكي در اروپا نيز تحت تاثير اين كرم خطرناك از كار افتاد.
هر چند نسخه A اين كرم از نظر سيمانتك درجه دو محسوب شد ، اما نسخه اخير آن كاملا خطرناك توصيف شده است که تاکنون 5/3 درصد رايانه ها جهان را آلوده کرده است.
گفتني است اين کرم براي آلودگي نياز به باز شدن به صورت ضميمه (Attach) نداشته و صرفا از طريق حفره موجود روي ويندوز ايكس پي ، ويندوز 2000 و ويندوز سرور 2003 گسترش مي يابد.
شركت پاندا اعلام كرد: تا اوايل روز دوشنبه بيش از 3/5 درصد كل رايانه هاي جهان ساسر گرفته اند كه اين معادل 18 ميليون سيستم از 600 ميليون رايانه موجود در جهان است.
ميكو هيپونن ، رئيس شركت ضدويروس F-secure گفت : ساسر در نسخه هاي بعدي خود بسيار خطرناکتر خواهد شد و مي تواند بدتر از بلاستر شود.
بانك فنلاندي سامپو نيز 160 شعبه خود را پس از آلوده شدن تعطيل كرد.
كرم ساسر B پس از آلودگي در دايركتوري %windir% يك فايل اجرايي به نام avserve2.exe ايجاد مي كند و روي شاخه Run در رجيستري مي نشيند و بعد باعث خاموش شدن رايانه به طور كامل مي شود.
سيمانتك از ورود نسخه C آن نيز خبر داده كه در حال گسترده شدن به طور بي سابقه اي است.
براي نابودي نسخه هاي A و B و C مي توانيد فايل زير را پس از نصب ، اجرا كنيد:
براي نابودي نسخه هاي A و B و C مي توانيد فايل زير را پس از نصب ، اجرا كنيد:
دريافت: FxSasser - W32.Sasser.Worm Removal Tool
برای پیشگیری از ابتلای مجدد لازم است Patch مربوط به سیستم عامل خود را دریافت کرده و برروی کامپيوتر خود نصب کنید.
دريافت: Windows XP Patch | Windows 2000 Patch
بالاي صفحه ▲
اثرات W32.Vote.k@mm
اين ويروس تمام آدرس هاي ايميل در برنامه ايميل رساني Microsoft Outlook را پيدا کرده و بصورت خودکار ايميل هاي آلوده ميفرستد.
بالاي صفحه ▲
اثرات W32.Sobig.F@mm
اين ويروس تمام آدرس هاي ايميل در سيستم را که در فايل هاي با پسوند .dbx .eml .hlp .htm .html .mht .wab .txt. موجود است را پيدا کرده و ايميل هاي آلوده با مضمون زير ميفرستد مواظب ايميلي با نام فرستنده admin@internet.com باشید.
بالاي صفحه ▲
اثرات W32.Dumaru@mm
اين کرم جديد داراي پيغام فريب دهنده اي به صورت زير است
From: "Microsoft"
Subject: Use this patch immediately !
:Message
Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!
Attachment: patch.exe
بالاي صفحه ▲
اثرات W32.Welchia.Worm
اين ويروس قدرتمند در واقع ضد ويروسي برای ويروس بلستر بود که بصورت مشابه با ويروس بلستر پخش شده و سيستم ها را آلوده ميکند و سپس در صورت وجود ويروس بلستر آن را از سيستم پاک می کرد و در صورتي که فايل اصلاحي مايکروسافت بر روي سيستم نصب نشده باشد آنرا بصورت خودکار نصب ميکرد هر چند اين ويروس ظاهرا مفيد به نظر ميرسید ولي چون فايل اصلاحي را بصورت خودکار نصب ميکرد باعث اختلال و ايجاد مشکل در ويندوز می شد.
بالاي صفحه ▲
اثرات W32.Yaha.F@mm
مراقب ويروس قديمي (يــاهــا) باشيد چون بصورت گسترده اي داره تو سيستم هاي ايراني پخش ميشه مخصوصا اگه از برنامه ( آت لوک ) استفاده ميکنيد ، چون آت لوک بصورت خودکار ايميل ها را تو هارد ذخيره ميکنه و ويروس هم اجرا ميشه و اينجاست که مشکل شروع ميشه و در عرض مدت کوتاهي ديگه فايلهاي اجرائي ويندوز کاملا از بين ميرن و فقط ميتونيد ويندوزتون را خاموش کنيد و ، حتي ديگه آنتي ويروس هم نميتونيد نصب کنيد يا حتي از تو ريجستري مشکل را حل کنيد پس اگه آلوده شدين اول يه آنتي ويروس به روز شده نصب کنيد و سريعا سيستم را اسکن کنيد چون اگه يک کم دير بجنبين و سيستم را خاموش کنيد ديگه کار از کار ميگذره و همه چيز نابود ميشه .... همچنين دقت کنيد اگه فهميدين که ويروسي شدين سريعا از اينترنت قطع بشين و تا وقتي مشکل سيستم بر طرف نشده به اينترنت وصل نشيد ، چون اين ويروس بصورت خودکار تمام آدرس هاي ايميل در سيستم شما را هر کجا که باشند پيدا کرده و به نام شما يا يکي از همين آدرس ها براي همه ويروس ميفرسته .
بالاي صفحه ▲
اثرات W32.Nolor@mm.Dr
اين ويروس بصورت گسترده اي موتور ياهو را آلوده کرده و براي کاربران ياهو با آدرس هاي مختلف ويروس ميفرستد موضوع ايميل اين ويروس مشابه موارد زير است ضمنا اين ويروس معمولا با حجم 272 کيلو يا 137 کيلو همراه ايميل است .
Re-I Love You...OKE! يا Re-Kiss you..^@^ يا A Greeting-card for you يا "Re:Baby! 2000USD,Win this game"
بالاي صفحه ▲
حذف کرم W32.Blaster.Worm
اثرات W32.Blaster.Worm
این کرم بسیار پیشرفته باعث می شود تا سیستم شما تنها پس از گذشت 60 ثانیه از اتصال به اینترنت ، خاموش شود .
برای پاک سازی دستگاه خود مراحل زیر را بترتیب اجرا نمایید :
1- فایل اصلاحیه MS03-026 Patch را از زیر دریافت نمایید .
2- پس از نصب این اصلاحیه ، سیستم خود را ریست کنید .
3- بعد از بالا آمدن سيستم فایل FIXBLAST.exe را دریافت و اجرا کرده ، این فایل فعالیت کرم (MSBLAST.exe) را متوقف نموده و باعث می شود کدهای ریجستری که توسط آن در ویندوز وارد شده اند حذف گردند .
4- مجدداً و برای آخرین بار سیستم خود را ریست نمایید .
5- به سایت WindowsUpdate.com مراجعه کنيد تا در صورت لزوم آخرین به روز رسانی ها برای حذف این کرم بصورت خودکار برای شما صورت گیرد .
توجه :
اگر شرایط به گونه ای باشد که سیستم شما قبل از دریافت این فایلها خاموش شود ، دکمه start و سپس run را کلیک نموده و در کادر مربوط عبارت shutdown -a را تایپ نمایید . این روش باعث می شود فرایند خاموش شدن دستگاه شما متوقف شود .
دريافت: Windows XP Patch | Windows 2000 Patch
دريافت: FixBlast - W32.Blaster.Worm Removal Tool
بالاي صفحه ▲
نسخه اينترنتي ويروس سارس پيدا شد
ويروس نويسان با سوء استفاده از اخبار مربوط به ويروس كشنده سارس ، نسخه اينترنتي آن را روانه سرورها و شبكه هاي رايانه اي كردند. نام اصلي ويروس Coronex-A است كه در ايميل ظاهر شده و به كاربران مي گويد كه مي توان با اطلاعات اين فايل با ويروس سارس مبارزه كرد. بلافاصله پس از اجرا شدن فايل Virus.exe/Sars.exe ، Hongkong.exe دفترچه آدرس آتلوك به طور اتوماتيك ، ويروس را براي ساير كاربران مي فرستد. در اين هنگام ويروس سارس در 2 شاخه زير نيز در رجيستري مي نشيند: در شاخه C:MMy Downloads نيز مي نشيند و از آنجا بروي شبكه نيز پخش مي شود.
http://www.who.int/csr/don/2003_04_19/en
براي گرفتن اطلاعات بيشتر و نحوه پاك كردن ويروس به آدرس زير مراجعه كنيد : www.Sophos.com
بالاي صفحه ▲
شيوع ويروس كاموفلائو
ويروس جديد كاموفلائو كه شيوع آن از اسپانيا آغاز شده است ، رايانه كاربران اينترنتي را تهديد مي كند. به گزارش خبرنگار واحد مركزي خبر، به نقل از يك پايگاه اينترنتي ، شركت نرم افزاري پاندا اعلام كرد اين ويروس جديد كه نخستين بار درچهاردهم فروردين (سوم آوريل) ديده شده است از نوع تروا است و هدف آن بازكردن راه هكرها به رايانه كاربران است . اين ويروس روي سيستم عامل ويندوز xp عمل مي كند و اثر آن شامل نمايش كلمه عبور كاربران پيغام رسان msn و پاك كردن فايلهايي از دايركتوري اصلي ديسك سخت است . ويروس كاموفلائو داراي سه قسمت است كه يكي مخصوص نصب روي رايانه هكراست ، ديگري فايل اصلي است كه رايانه ميزبان را سرور مي كند وقسمت سوم شكل دهنده مشخصه هاي فايل سرور است . اين ويروس در حال اجرا شدن نوعي بازي را روي صفحه، نمايش مي دهد .
بالاي صفحه ▲
ويروس Worm-Lovgate.C
ويروس Worm-Lovgate.C از نوع كرمهاي كامپيوتري است و در حال حاضر در اروپا، تايوان، استراليا و ژاپن در حال گسترش است. اين ويروس كپي خود را براي گسترش در شبكه، درشاخه ها (دايركتوري ها) و زير شاخه هايي كه به صورت مشترك از آن استفاده مي شود، قرار مي دهد. علاوه بر آن حاوي برنامه Backdoorاست كه اين برنامه شبكه مورد حمله قرار گرفته را براي كاربران متخلف - به اصطلاح هكرها - از راه دور باز مي گذارد تا آنها بتوانند به آن كامپيوتر دست يافته و حمله كنند. اين عمل از طريق پورت 10168 انجام مي پذيرد. اين ويروس در عصر حاضر، به خاطر اينكه اقدام به انجام يك تاكتيك مهندسي -اجتماعي مي كند، از خطر فوق العاده اي برخوردار است. نحوه عملكرد اين ويروس به گونه اي است كه به صورت آزاد و مستقل به ايميل هايي كه در صندوق پستي (Inbox) كاربر مورد حمله قرار گرفته وجود دارند، پاسخ مي دهد. پس از آن، اولين ارسال كننده ايميل پاسخي را مي گيرد كه دقيقاً استناد به ايميل شخص فرستنده مي كند، بدين صورت كه گيرنده نامه در قسمت موضوع (Sub) همان Sub خود را كه قبلاً فرستاده بود به صورت Forward دريافت مي كند و در قسمت متن نوشته زير را مي خواند: ”Ill try to reply as soon as possible. Take a look at the attachment and send me your opinion!” ( من سعي مي كنم مجدداً آن را براي شما فعال كنم. به پيوست نامه نگاه كنيد و نظرتان را براي من بفرستيد. ) از آنجا كه شخص گيرنده اين روند را عادي تلقي مي كند، به احتمال زياد پيوست ايميل را باز و با اين كار اجازه ورود ويروس Worm-Lovgate.c را عملاً صادر مي كند. اين ويروس همه جا وجود دارد و به زبان انگليسي نوشته شده است. Worm-Lovgate.c در Windows – Platlform تكثير و گسترش پيدا مي كند و حجمي معادل 78848 بايت دارد. اين كرم مي تواند در كامپيوتر مورد حمله قرار گرفته كپي هايي از خود در دايركتوري Windows/System قرار دهد. اين فايلها ممكن است يكي از مشخصات زير را در برداشته باشند:Repcsrv.exeيا WinPpcsrv.e,Syshelp.exe,Winrpc.exe,Wingate.exe سايت Zdnet اطلاعات جديدي را در مورد ويروسها در اختيار كاربران مي گذارد و قادر است فايلهاي تا حجم 1 گيگا بايت را به صورت Live (همزمان) چك كند.
بالاي صفحه ▲
افزايش حملات ويروسي از آغاز جنگ عراق
كارشناسان رايانه هفته گذشته به كاربران رايانه هاي شخصي هشدار دادند نظرسنجي هاي اينترنتي كه در آنها از مردم خواسته مي شود كه موافق يا مخالف جنگ آمريكا عليه عراق راي دهند، مي تواند روشي براي انتقال يك ويروس جديد رايانه اي باشد.به گزارش خبرگزاري آلمان از سنگاپور، چارلز كازينز، مديرعامل يك شركت فروشنده نرم افزارهاي ضد ويروس در سنگاپور گفت با نوشتن يك برنامه زيركانه ، مي توان ويروس را زير پوشش راي درباره جنگ عراق فعال كرد. كرم رايانه اي موسوم به «گاندا» ، با ترغيب كاربران به تماشاي تصاويري كه توسط ماهواره هاي جاسوسي آمريكا گرفته شده و يا ثبت تصاويرمضحك از رئيس جمهور آمريكا روي صفحه مانيتور، ويروس را به فعاليت وامي دارد. يك كارشناس ويروسهاي رايانه اي گفت : در عراق و ساير كشورهايي كه ازلحاظ توسعه يافتگي در سطح پايينتري قرار دارند، برنامه نويس هاي بسيارماهري هستند كه قادرند ويروس هاي پيچيده بوجود آورند. وي پيش بيني كرد با الگوبرداري از ويروس «يحيي » كه برخي از برنامه نويسان هندي براي حمله به سايت هاي اينترنتي پاكستان تهيه كرده بودند واز طريق پست الكترونيكي عمل مي كرد، ويروسهاي موثري تهيه شود. طي چند سال گذشته ويروسهاي زيادي با انگيزه هاي سياسي تهيه شد و احتمالا اين كار ادامه خواهد يافت . اما مساله اينست كه بسياري از اين ويروسها با استفاده از رايانه كاربران بيگناه جنگ مي كنند. يك كرم رايانه اي به نام «بي عدالتي » كه با درگيريهاي اسرائيل وفلسطين در ارتباط است ، با استفاده از آدرس كاربراني كه رايانه هايشان آلوده به اين كرم شده است ، براي سياستمداران صهيونيست نامه الكترونيكي مي فرستد. دو هفته قبل ، گروهي از «ويروس نويسان» هندي ، نسخه جديدي از ويروس «يحيي » را تهيه كردند كه به منظور مختل كردن كار سايت هاي اينترنتي پاكستان ، از طريق رايانه هاي شخصي ، انبوه مطالب مختلف و بي ارزش براي اين سايتها ارسال مي كند.
بالاي صفحه ▲
SQL Slammerهجوم كرمهاي رايانه اي و كرم جديد
4كرم ويندوز به نامهايLirva.A ،Explore Zip.E ، Lirve.B و جديدترين آن يعني Sobig حمله به شبكه ها و كامپيوترها را آغاز كرده اند .موسسه F-Secure در مورد تمامي اين ويروسها هشدار سطح 2 اعلام كرده است. بدين معني كه مديران سيستم و كاربران نهايي بايد از ايمني سيستم خود اطمينان حاصل كنند Level2 .سطح2، از نظر اهميت، دومين سطح هشدار موسسه F-Secure محسوب ميشود) Lirva.A .با نام مستعار (ArviL به نامه هاي الكترونيكي حمله ميكند و از طريق سيستمهاي گفت وگوKazaa ، ICQ و IRC و همچنين درايوهاي شبكه ويندوز و پوشه هاي اشتراكي خود را تكثير ميكند. اين ويروس شامل كدي براي غيرفعال كردن ويروسياب و برنامه هاي كاربردي امنيتي است علاوه بر آن كلمات عبور را نيز به سرقت مي برد .گونه B آن، از كد ديگري براي فريب افراد استفاده ميكند و شامل كدهاي بيشتري براي از كار انداختن برخي برنامههاي ويروسياب است .عمر Explore Zip.E كوتاه بود اما نسخه اصلاح شده آن كه مجددا منتشر شده، قادر به از كار انداختن بسياري از برنامه هاي ويروسياب است. اين كرم از طريق پست الكترونيكي و با افزودن يك پيوسته آلوده به نامه هاي خوانده نشده و پاسخ به آنها تكثير مي شود. در اين ميان، Sobig از پيوست نامهالكترونيكي PIF استفاده ميكند و به اشخاص امكان ميدهد دستگاههاي آلوده را كنترل كنند. شركت panda software اعلام كرده است ويروس Sobig به سرعت از طريق نامه الكترونيكي و از آدرس big@boss.com و با عنوان Attached file منتشر ميشود .در صورت انگليسي بودن زبان سيستم عامل sobig از طريق درايوهاي اشتراكي شبكه نيز تكثير ميشود .زماني كه sobig كامپيوتري را آلوده ميكند، پيامي به آدرس pagers.icq.com ارسال ميكند و براي دريافت يك اسب تروا به اينترنت متصل ميشود .ميزان خطر اين كرم، اندك است .اخيرا نيز كرم رايانهاي برنامه پروازها و دستگاههاي خودپرداز را در آژانسهاي هواپيمايي و بانكهاي آمريكا مختل كرد .درحدي كه دسترسي به اين كامپيوترها غير ممكن بود .طبق اظهارات كارشناسان امنيتي اينترنت به نظر ميرسد كه اين كرم، خسارتهاي جدي به بار نياورده است. اين كرم رايانه اي كه نام گرفته است، اواخر ژانويه سال جاري با استفاده از آسيب پذيري نرم افزار SQL Server 2000 مايكروسافت كه شش ماه قبل كشف شده بود، حمله را آغاز كرد .مايكروسافت يك برنامه ترميمي رايگان براي برطرف كردن اين مشكل ارائه كرده است . كارشناسان معتقدند كه اين حمله در18 ماه گذشته زيان بارترين حمله بوده است، زيرا طبق گزارش رويتر اين حمله به طور گسترده، شبكه هايي را در آسيا، اروپا و آمريكا از كار انداخته است. مقامات بانك Bank of America در آمريكا اظهار داشتند كه در اثر اين حمله، بسياري از مشتريان نتوانستند با استفاده از 13000 دستگاه خود پرداز اين بانك، از حسابهاي خود پول دريافت كنند .با اين وجود اين بانك موفق شد پس از چند ساعت تقريبا تمام دستگاههاي خود پرداز را به حالت اول بازگرداند، بدون آنكه به وجوه نقد و اطلاعات شخصي مشتريانش آسيبي وارد شود . اين كرم به دورن سرور رخنه ميكند و پس از انتشار، ترافيك زيادي در شبكه ايجاد كرده و از سرعت اينترنت مي كاهد. SANS، سازماني است كه به كارشناسان سيستمها و شبكه ها، روشهاي حفاظت را آموزش ميدهد، اين موسسه اعلام كرده كه كرم SQL به فايلهاي ذخيره شده در كامپيوترها آسيبي نرسانده است اما با تكثير سريع و ارسال پرسوجو در خطوط كامپيوتري، براي كامپيوترهاي آسيب پذيرتر مشكل ايجاد ميكند. چند شركت، از جملهContinental Airlines ، خسارت كامپيوتري قابل توجهي را گزارش كرده اند. در اثر حمله اين كرم، كارمندان اين خط هوايي ناگزير شدند براي ثبت اطلاعات مربوط به بليطهاي رزرو شده و بليطهاي الكترونيكي، دوباره از روشهاي قديمي تلفن، قلم و كاغذ استفاده كنند و به علت كند شدن كار، چند مورد تاخير و انحلال پروازهاي داخلي رخ داد .دفتر مركزي اين شركت در شهر نيوآرك در ايالت نيوجرسي، شديدترين آسيبها را ديد .مشكلاتي هم در شهر هيوستن ايالت تكزاس و شهر كليولند ايالت اوهايو بروز كرد .اما طولانيترين تاخيرها بيش از 30 دقيقه طول نكشيد. اين گونه كرمها موجب قطع خدمات توزيعي ميشوند .در اين حالت، كامپيوترهاي آلوده شده توسط اين كرم يا برنامه هاي ديگر، سيلي از اطلاعات را به يك مكان خاص در اينترنت ارسال ميكنند كه اين كار موجب قطع ارتباط آنها با شبكه مي شود . كرم رايانهاي SQL به كرم code red شبيه است كه به سرورهاي IIS2001 حمله كرد و با درج پيام: Welcom to http://www.worm.com! Hacked By Chinese! در صفحات وب به آنها آسيب رساند .كرم Code Red در مجموع به بيش از700 هزار كامپيوتر آسيب رساند و سرعت انتشار آن به قدري زياد بود كه رديابي منشا آن امكان نداشت .تاكنون در مورد آسيب كرمSQL ، به صفحات وب و فايلهاي ديگر گزارشي دريافت نشده است .رديابي منشا كرم SQL نيز با ابزارهاي فني موجود دشوار خواهد بود .اما خوشبختانه مراكز خدمات اينترنت و ساير سازمانهاي امنيتي به موقع موفق شدند از سرعت انتشار آن بكاهند، و از خسارات سنگين تر جلوگيري كنند.
بالاي صفحه ▲
شيوع نسخه جنگي ويروس اينترنتي گاندا
جام جم آنلاين - كرم جديدي موسوم به گاندا با پيامهايي مربوط به جنگ آمريكا و عراق به سرعت روي اينترنت پخش شد. نويسنده اين كرم كه خود را عمو راجر ملقب ساخته و ظاهرا در اعتراض به سيستم آموزشي سوئد دست به چنين كاري زده با سوءاستفاده از اخبار جنگ ضميمه آلوده اي را به آتلوك مايكروسافت چسباند و آنرا براي كاربران اينترنت ارسال كرد . گراهام كلولي مشاور ارشد در شركت ضد ويروس سوپوس ضمن بيان اين مطلب افزود اين ضميمه در ويژوال بيسيك نوشته شده و با موضوعاتي مانند عكسهاي جاسوسي از تاسيسات عراق و اخبار مربوط به جنگ كاربران را فريب مي دهد و وقتي آنها ضميمه راكه به صورت اسكرين سيور يا فايل اجرايي است باز كنند ; بلافاصله سيستم آلوده شده و برنامه هاي ضد ويروس هم از كار مي افتد . بدليل علاقمندي كاربران نسبت به دنبال كردن اخبار جنگ ; گراهام هشدار داد كه از باز كردن هر گونه ضميمه مشكوك درباره اخبار جنگ خودداري كنند تا از خطرات آن در امان بمانند. براي گرفتن www.Sophos.com اطلاعات بيشتر به اين آدرس مراجعه كنيد :
بالاي صفحه ▲
پلاکسو ، کرمي از نسل جديد ويروس ها
به ظاهر همه چيز عادي به نظر مي رسد. کمپاني plaxo.com براي شما يک ايميل مي زند و از شما مي خواهد با نصب آخرين برنامه اين شرکت دفترچه آدرس الکترونيکي خود را در آتلوک به روز نماييد. شما به قسمت دانلود سايت رفته و پس از ذخيره آن شروع به نصب برنامه مورد نظر مي کنيد غافل از اين که اين برنامه مخرب و آلوده است و سيستم ها را مورد تهديد قرار مي دهد. آنچه رخ داده شيوه جديد شيوع کرم هاي رايانه اي است . بدين صورت که ويروس نويس کرم خود را درون برنامه اي قانوني روي سايت مورد نظرش انداخته و يک برنامه معروف را آلوده مي سازد و بدين صورت هر کاربر با نصب برنامه سيستم اش آلوده مي شود. فرق بزرگي که اين نوع ويروس با ويروس هاي عادي دارد اين است که خودش را به صورت ضميمه يا attach در آتلوک ظاهر نمي کنند بلکه روي يک سرور بظاهر قانوني نشسته و از آن طريق اجرا مي شود
بالاي صفحه ▲
لاوگيت در حال خزيدن روي اينترنت است
کرم رايانه اي به نام لاوگيت در 3نسخه A و B و C به صورت backdoor روي سرورها و رايانه هاي شخصي متصل به اينترنت افتاده است . ويروس مذکور از مهندسي SMTP سوءاستفاده کرده و مجموعه اي از فايل هاي DLL را از طريق پورت 1192 به صورت backdoor وارد سيستم مي کند و اطلاعات شخصي را به آدرس ايميل hacker117@163.com مي فرستد. سپس با کپي کردن خود نسخه هاي اجرايي متعددي با پسوند exe مانند pic.exe ، Joke.exe و... مي سازد و بر روي فايل هاي به اشتراک گذاشته شده ، خود را مي اندازد. از اسم کاربر مهمان يا ادمين استفاده کرده و با پسوردهاي تصادفي دسترسي به دايرکتوري system32 را مهيا مي سازد و اطلاعات خود را درون پوشه اي به نام win32pwd.sys يا win32add.sys جمع آوري و ذخيره مي سازد. در زير شاخه command به آدرس زير نيز خود را مانند بختک مي اندازد:
HKEY-CLASSES-ROOT\txtfile\shell\open\command@=% "winsysdir%\winprc.exe"%1
مواظب هرگونه فايل ضميمه با پسوند exe روي ايميل باشيد و بيخودي روي آن کليک نکنيد که بسيار خطرناک است . براي گرفتن اطلاعات بيشتر به آدرس زير مراجعه کنيد: www.F-secure.com
بالاي صفحه ▲
ظهور يك كرم جديد اينترنتي بـه نـام LOVAGE.C
تهران ـ يك كرم جديد اينترنتـي بـا قـدرت تخريبي فراوان در اينترنت پخش شده است. به گزارش واحد مركزي خبر , يك پايگاه اينترنتي , اعلام كرد: كرم جديـدي بـه نـام LOVAGE.C كه در اروپا و آسيـا فعال شده به شبكه اينتـرنـت خسارت وارد كرده است . اين كرم كه جانشين كرم ديگري با همين نام شده است , با پاسخ دادن به نـامه هـاي الكترونيكي كه حـاوي ضمـيمه اي داراي كـد نامناسب است , تكثير مي شود. اين كرم در ادامه يك پورت پنهان نصب مي كند كه امكان دستيابي و تغيير فايلهاي موجود روي سيستـم آسيـب ديده را فـراهـم مي آورد
بالاي صفحه ▲
گسترش ويروس Avril
ويروس آوريل در حال شايع شدن مي باشد اين کرم رايانه اي که با نام هاي متفاوتي نظير Avril , Lirva , Naith شناخته مي شود در آمريکا و کشور هاي چون آلمان ، سوئد و فرانسه گسترش زيادي پيدا کرد اين ويروس نرم افزار هاي فايروال وضد ويروس هاي رايانه مبتلا را از کار انداخته و بصورت خودکار خود را به آدرس هاي الکترونيک موجود بر روي رايانه آلوده شده ارسال مي نمايد .
ويروس آوريل در صورت اجرا خود را در چندين پوشه سيستم عامل ويندوز کپي نموده و در رجيستري ثبت مي نمايد تا به صورت خودکار پس از هر بار راه اندازي سيستم اجرا شود.
بالاي صفحه ▲
گسترش يک ويروس جديد اينترنتی - (Yaha.k)
يک ويروس جديد اينترنتی که ابتدا پيش از کريسمس (25 دسامبر) ظاهر شده بود در حال آلوده کردن هزاران رايانه در سراسر جهان است.شيوع سريع ويروسی که از طريق نامه های الکترونيکی (ايميل) تکثير می شود و "ياها. ک" (Yaha.k) نام دارد باعث شده است شرکت هايی که برنامه های ضدويروس توليد می کنند آن را جزو ويروس های بسيار خطرناک دسته بندی کنند.به گزارش شرکت "مسج لبز" (Message Labs) که پيام های الکترونيکی را برای يافتن ويروس جستجو می کند، وجود اين ويروس تاکنون در صد کشور گزارش شده است اما بريتانيا و هلند را بيش از ساير کشورها آلوده کرده است.اين ويروس وارد هر رايانه ای شود نشانی ايميل های آن را يافته و خود را به تمامی نشانی ها پست می کند. اين ويروس همچنين ممکن است تلاش کند برنامه های ضد ويروس را از کار بياندازد.به کاربران توصيه می شود هر گونه نامه الکترونيکی مشکوک را پاک کرده و برنامه های ضدويروس خود را روزآمد کنند.
عشق و نفرت
اين ويروس نمونه تازه ای از ويروس ياها (Yaha) است که ابتدا در ماه فوريه گذشته پديدار شده بود.ويروس جديد ابتدا روز 21 دسامبر در يک نامه الکترونيکی که منشا ارسال آن کويت بود کشف شد. "مسج لبز" می گويد از آن زمان تاکنون 33 هزار و 487 نمونه آن را رديابی و نابود کرده است.ياها.ک که پسوندهای آن exe يا scr است خود را به نامه ها پيوست کرده و تحت عناوين مختلف با مضامين عشق و نفرت منتشر می شود
عناوين نامه های الکترونيکی آلوده به ويروس
Are you in Love
You are so sweet
Shake it baby
Sample Playboy
?? Wanna Hack
Free Screensavers
?Need a friend
Free Win32 API source
Wanna be a HE-MAN
One Hackers Love .
طاعون رايانه ای
اين ويروس به محل ضبط آدرس های الکترونيکی موجود در سيستم عامل ويندوز دستبرد زده و خود را به تمامی آدرس های موجود ارسال می کند.اين ويروس همچنين ممکن است سعی کند برنامه های ضدويروسی يا محافظتی (Firewall) را از کار بياندازد.شرکت های توليد برنامه های ضدويروس می گويند که ياها.ک همچنين ممکن است در برخی سايت های دولتی پاکستان خرابکاری کند.ويروس هايی که از طريق نامه های الکترونيکی تکثير می شوند در سراسر سال گذشته کاربران را به دردسر انداخته اند و مثل طاعونی رايانه های سراسر جهان را مبتلا کرده اند.آمارهای شرکت "مسج لبز" نشان می دهد که در سال 2002 از هر 212 نامه الکترونيکی، يکی به ويروس آلوده بوده است.اين رقم نشانگر رشدی چشمگير نسبت به سال های قبل است. در سال 2001، اين شرکت در هر 380 نامه الکترونيکی يک ويروس شناسايی می کرد و در سال 2000 اين رقم به يک ويروس در هر 790 نامه می رسيد
بالاي صفحه ▲
ويروس جديد نفت عراق
يک کرم شبکه موسوم به «نفت عراق» به آرامي از طريق سيستم عامل ويندوز NT، 2000 و xp روي اينترنت منتشر شده است .به گفته شرکت F-Secure نام اصلي کرم Lioten است اما نام ديگر Iraq Oil را نيز دارد که برخلاف ساير ويروس ها که از طريق ايميل تکثير مي شوند، اين ويروس از راه پوشه هاي مشترک روي شبکه بسرعت منتشر مي شود و ماشين کاربر نسخه Home و نسخه تجاري را آلوده مي کنند. از نظر سطح خطر نيز اين ويروس در حد متوسط گزارش شده و تاکنون رايانه هاي کمي را آلوده کرده است . براي از ميان بردن آن ، شرکت F-Secure پادزهر آن را روي سايت گذاشته و به کاربران توصيه کرده است که آن را نصب کنند؛ اما ماشين هايي که سر راهشان فايروال وجود دارد از کرم مصون هستند. براي در امان ماندن ، مي توان پورت 445 را بلوکه کرد تا ويروس در شبکه پخش نشود. اين ويروس به شکل تصادفي Host خود را انتخاب کرده ، تلاش مي کند از طريق يک Ip خود را روي اينترنت برساند و کنار آن از پروتکل SMB روي ويندوز که فايل ها را به اشتراک مي گذارد نيز سوءاستفاده مي کند؛ بنابراين منتظر پاسخ از سوي سرور مي شود تا سيستم عامل را بشکند و accountها را نيز روي شبکه به سرقت ببرد و با شبيه سازي کلمه هاي Admin و Root به کلمه هاي عبور دسترسي يابد. | 
