آموزش اینترنت و کامپیوتر و تبادل لینک

 

منوی کاربری


این وبلاگ را به صفحات مورد علاقه تان اضافه کنید!     با ما تماس بگیرید!     این وبلاگ را صفحه خانگی خودتان کنید!


   پیغام مدیر : خوش آمدید

   افراد آنلاین :

.


نظر سنجی

 


آدرسهای ورود

www.pclearnpc.persianhackers.com

www.pclearnpc.bigestblog.com
www.pclearnpc.mihanblog.com

www.pclearnpc.myblog.ir


وضعیت در یاهو

[yahoo]


صفحات وبلاگ


صفحات اضافی

آموزش کامل و جامع استفاده از مرورگر


لینک به ما / لوگوی دوستان

 

لینک به ما

.

توضیحی برای لوگو


 


لوگوی دوستان

 




 

برای تبادل لوگو پیغام بگزارید.

 


آمار وبلاگ

امروز :
بازدید های امروز :
بازدید های دیروز :
كل مطالب :
كل نظرها :
كل بازدید ها :
ایجاد صفحه : - ثانیه


با تشکر از

 

  برای دیدین قالبهای آماده برای وبلاگ اینجا کلیک کنید


طراحی از : مجتبی ابراهیمی

قدرت از : میهن بلاگ

 



  ویروس بلاستر و راه های مقابله | ویروس ها ,

                           

کرم اینترنتی W32.Blaster.Worm بر مبنای آسیب پذیری و ضعف امنیتی موجود در سرویس DCOM RPC ویندوز که جدیدا شناخته شده بود برای نفوذ استفاده می کند. این کرم چندین نوع دارد که W32.Blaster.Worm شایعترین نوع این ویروس می باشد و از سرویس TFTP که از پورت 65 برای انجام کارهای خود استفاده می کند ، بهره می برد.
البته ویندوزهای 2000 و xp مورد حمله این کرم واقع می شوند. در حالیکه ویندوز های NT و 2003 سرور در صورتی که patch آنها بدرستی نصب نشده باشد مورد آسیب پذیری واقع می شوند.
این کرم سعی می کند تا فایلی با نام msblast.exe را در مسیر %WinDir%\system32 کپی کرده وسپس آنرا اجرا می کند .
از آنجا که این کرم از پورت 4444 امکان کنترل سیستم را به حمله کنندگان می دهد ،به کاربران توصیه می شود تا دسترسی به پورت مزبور را در سیستم خود غیر فعال کرده و بلوک کنند و سپس در صورتی که از سرویس های RPC و TFTP استفاده نمی کنند پورت های زیر را نیز غیر فعال کنند:


• TCP Port 135, "DCOM RPC"
• UDP Port 69, "TFTP"

 


این کرم سعی می کند تا با اجرای عدم پذیرش سرویس( Denial of Service (DoS در Microsoft Windows Update Web server (windowsupdate.com) مانع از اعمال patch مربوط به رفع آسییب پذیری DCOM RPC در سیستم کاربران می شود.

کاربران می توانند در صورت نیاز و برای رفع این مشکل حذف کننده آن را از قسمت دانلود سایت تبیان دریافت کنند .
البته برای رفع مشکلات احتمالی بهتر است از آدرس های زیر Patch مناسب را دریافت و بر روی سیستم تان نصب کنید:

ویندوز نسخه NT 4.0
ویندوز نسخه NT 4.0 Terminal
ویندوز نسخه 2000
ویندوز نسخه XP
ویندوز نسخه 2003 Server
 

                                      

جزئیات تکنیکی :
هنگامی که این کرم اجرا می شود ، کارهای زیر را انجام می دهد:
1- این کرم در ابتدا اقدام به ایجاد یک Mutex به نام BILLY می کند . در صورتی که Mutex از قبل وجود داشته باشد ، کرم فعال می شود.
2-سپس عبارت "windows auto update"="msblast.exe" به کلید رجیستری زیر اضافه می شود:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
و از این طریق در هربار اجرای رجیستری این کرم اجرا و فعال می شود.
3- یک آدرس IP تولید کرده وسعی می کند تا کامپیوتری که دارای آن آدرس است را آلوده کند.این آدرس مطابق الگوریتم خاصی تولید می شود.
4- داده ها را به پورت 135 TCP ارسال می کند که می تواند از آسیب پذیری DCOM PRC استفاده کند . کرم مزبور یکی از دو نوع داده های زیر را ارسال می کند: در 80 درصد موارد داده ها به ویندوز XP و در 20 درصد موارد به ویندوز 2000 فرستاده می شود.
5- استفاده از فرمان Cmd.exe برای ایجاد یک فرایند پردازشی راه دور مخفی که در نتیجه آن سیستم به پورت 4444 گوش می دهد و به حمله کننده امکان می دهد تا فرامین خود را از راه دور در سیستم قربانی اجرا کند.
6- به پورت 69 مربوط به UDP گوش می دهد . هنگامی که کرم پاسخی از یک سیستم دریافت می کند که در آن امکان ارتباط از طریق DCMP RPC وجود داشته باشد ، فایل msblast.exe را به کامپیوتر قربانی فرستاده و آن را اجرا می کند.
7- اگر ماه جاری بعد از ماه آگوست باشد، ویا اگر بعد از پانزدهمین روز سال باشد این کرم یک DoS در Windows Update اجرا می کند . حمله DoS در 16 دهمین روز ماه فعال شده و تاپایان سال ادامه می یابد.

این کرم حاوی متن زیر است که هرگز نشان داده نمی شود :


I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!

منبع:tarfandestan.com


نوشته شده توسط بی نام و نشان در چهارشنبه 7 دی 1384 و ساعت 01:12 ق.ظ
ویرایش شده در - و ساعت -

لینک ثابت | نظرات ()



    حقوق این وبلاگ محفوظ است و کپی از آن تنها با ذکر نام مجاز می باشد
All Rights Reserved 2005-2006 © http://pclearnpc.mihanblog.com

 Resolution: 1024 * 768

منوی اصلی

= صفحه نخست
= پست الکترونیک

= طراح قالب وبلاگ

= نامه به مدیر وبلاگ


نویسندگان

بی نام و نشان(237)


موضوعات
عمومی(35)
اینترنت(52)
کد های جاوا(4)
آموزش کامپیوتر(46)
ترفند رجستری(14)
ویروس ها(11)
شبکه(28)
یاهو(12)
نکاتی از ورد(5)
سخت افزار(7)
برنامه نویسی(3)
اینترنت رایگان(8)
موبایل(2)
نکاتی از اکسس(2)
نکاتی از اکسل(2)
نکاتی از پاور پوینت(2)
دانلود(1)
Cisco Systems یا روتر (1)
نکاتی از فتوشاپ(1)
هاست رایگان و ...(1)


آرشیو

دی 1384 (237)


لینکستان

هاست رایگان ۱۰۰۰ مگابایت

السلام علیک یا صاحب الزمان ادرکنی


لینکدونی

حکمت (- کلیک)
دانلود نرم افزار جدید همراه با آموزش آن (- کلیک)
اطلاعات جامع در مورد ISP (- کلیک)
گروم نرم افزاری نسل جوان (- کلیک)
دانلود نرم افزار و آموزش (- کلیک)
هشت (- کلیک)
موتور جستجویی که حرف میزند (- کلیک)
بدون یاهو مسنجرچت کنید (- کلیک)
کافی نت کیمیا (- کلیک)
دانلود نرم افزار (- کلیک)
وزارت مخابرات (- کلیک)
سازمان سنجش (- کلیک)
دنیای کامپیوتر و ارتباطات (- کلیک)
بیا ۲۰ بگیر (- کلیک)
حالا بیا تو (- کلیک)
 آرشیو لینكدونی


جست و جو


خبرنامه


مطالب پیشین

کدهای جاوی از وبلاگی دیگر در صورت ناقص بودن کدهای دیگر

اطلاعاتی در مورد قرص اِکس(قرص‌های روانساز/شادی آور)ء

هر آن‌چه که می‌خواهید درباره‌ی لپ‌تاپ بدانید!

هر آن‌چه که می‌خواهید درباره‌ی لپ‌تاپ بدانید!

نرم افزار ISA Internet Security and Acceleration

آشنایی با روترهای Cisco

معرفی سایت یا وبلاگتان به موتور جستجوهای متعدد

Chatfab2.0

تذكر به احمدی نژاد بخاطر فیلترینگ

کم کردن هزینه تلفن

آموزش كامل ساخت دومین رایگان TK

امکان فارسی نویسی ویندوز XP

۱۰ برنامه‌ی کاملا رایگانی که بیشترین دانلود را داشته‌اند

معرفی یک سایت که ۴۵۰ مگابایت فضا میده

آن‌چه که از جی‌میل می‌گویند



.

Copyright © 2005 by Mojtaba Ebrahimi. All rights reserved