|
Backdoor.Hesive
تاریخ انتشار:
27 سپتامبر 2005
تاریخ به روز رسانی:
4 اکتبر 2005
04:35:09PM
سیستمهای تحت تاثیر:
Windows 2000, Windows 95, Windows 98, Windows
Me,
Windows NT, Windows Server 2003, Windows XP
چکیده:
Backdoor.Hesive
تروجانی است که با باز کردن یک در پشتی روی کامپیوتر مورد نظر
(کامپیوتر آسیب پذیر) اجازه دسترسی از راه دور و غیر مجاز یک
نفوذگر را به آن کامپیوتر میسر می سازد.
این تروجان ممکن است در قالب یک فایل
Microsoft Access
ظاهر شود که در این صورت با سوء استفاده از آسیب پذیری موجود در
Microsoft Jet Database Engine
می تواند خودش را روی کامپیوتر نصب کند.
این تروجان با دریافت کردن فایلها از راه دور می
تواند سبب کاهش کارایی شبکه شده و در ضمن اطلاعات محرمانه کاربر
را در اختیار نفوذگر قرار دهد.
توضیح:
وقتی که
Backdoor.Hesive
اجرا می شود موارد زیر را انجام می دهد:
1.
مسیر
%Windir%\temp\csrse.exe
را ساخته و اجرا می کند.
%Windir%
متغییری است که پوشه نصب ویندوز را برمی گرداند. به طور پیش فرض
این مقدار
C:\Windows
یا
C:\Winnt
است.
2.
مقدار
"csrse.exe" = "%Windir%\temp\csrse.exe"
را به رجیستری اضافه می کند:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
بنابراین هر بار که ویندوز اجرا می شود این
تروجان نیز اجرا خواهد شد.
3.
سعی می کند به
data.lovequintet.com
روی پورت 80 یا 8088 دسترسی پیدا کند.
4.
اجازه دسترسی نفوذگر از راه دور و توانایی اجرای
موارد زیر را ممکن می سازد:
·
پیدا کردن پورتهای فعال
·
پیدا کردن پروسه ها و سرویس ها و ریسمان ها
·
دریافت کردن و اجرا نمودن فایلها از راه دور
·
Upload
کردن فایل
·
اجرای
system shell
·
تغییر دادن مقادیر رجیستری
·
خاتمه دادن پروسه ها
·
جمع آوری اطلاعات سیستم
·
جمع آوری اطلاعات شبکه
·
ارسال اطلاعات جمع آوری شده به
[http://]data.lovequintet.com:8088/[REMOVED]/index.php
یا
[http://]data.lovequintet.com:80/[REMOVED]/index.php.
نحوه پاک کردن سیستم:
·
غیر فعال کردن
System Restore
ویندوز
·
به روز کردن ضدویروس
·
چک کردن کل سیستم و حذف کلیه فایلهای آلوده
·
پاک کردن مقادیر اضافه شده به رجیستری
منابع:
http://www.symantec.com/avcenter/venc/data/backdoor.hesive.html
نویسنده:
محسن شریفی |
