پنجشنبه, ۱۳ اردیبهشت, ۱۴۰۳ / 2 May, 2024
مجله ویستا
کرم Opanki-BT
Opanki-BT کرمی با قابلیت های درپشتی می باشد.
كرم دائما در پیش زمینه ویندوز اجرا شده و در پشتی را آماده می كند تا به مهاجم اجازه دهد از طریق کانال های IRC به سیستم دسترسی داشته باشد.
این کرم از طریق مسنجرهای AOL و کپی کردن خود در شبکه های share شده , با آسیب پذیریهای LSASS (MS۰۴-۰۱۱), RPC-DCOM (MS۰۴-۰۱۲), WKS (MS۰۳-۰۴۹) (CAN-۲۰۰۳-۰۸۱۲),
PNP (MS۰۵-۰۳۹), IMAIL Server, ASN.۱ (MS۰۴-۰۰۷) منتشر می شود .
و با اولین اجرا در <Windows folder>scvhost.exe کپی می شود .
فایل scvhost.exe یک درایو جدید با نام ظاهری"Local Security Authority Subsystem Service"که"lsass", نامیده می شود را ایجاد می کند که به صورت اتوماتیک اجرا می شود .هم چنین مدخل زیر را در رجیستری ایجاد می کند :
HKLMSYSTEMCurrentControlSetServiceslsass
کرم Opanki-BT مدخل های زیر را در رجیستری تغییر می دهد :
HKLMSYSTEMCurrentControlSetServicesMessenger
Start
۴
HKLMSYSTEMCurrentControlSetServicesRemoteRegistry
Start
۴
HKLMSYSTEMCurrentControlSetServicesTlntSvr
Start
۴
Registry entries are set as follows:
HKLMSOFTWAREPoliciesMicrosoftWindowsWindowsUpdate
DoNotAllowXPSP۲
۱
HKLMSOFTWAREMicrosoftOle
EnableDCOM
N
HKLMSYSTEMCurrentControlSetControlLsa
restrictanonymous
۱
و مدخل های زیر را ایجاد می کند :
HKLMSOFTWAREMicrosoftSecurity Center
HKLMSOFTWAREPoliciesMicrosoftWindowsFirewallDomainProfile
HKLMSOFTWAREPoliciesMicrosoftWindowsFirewallStandardProfile
● توصیه ها :
۱. به روز كردن آنتی ویروس
۲. دریافت Removal از سایت Kaspersky
۳. روش پاك سازی به صورت دستی :
ابتدا تمامی داده خود را در سیستم تغییر داده و یك كپی از آنها تهیه كنید.
پسورد Administrator را دوباره تغییر دهید و یك نگاهی به مسایل امنیتی شبكه خود بیندازید.
در taskbar دكمه start را بزنید و منوی run را اجرا كنید و در آن Regedit را بنویسید و دكمه ok را كلیك كنید تا صفحه ویرایشگر رجیستری شما باز شود . فراموش نكنید كه قبل از دستكاری رجیستری یك نسخه پشتیبان از آن تهیه كنید .
برای تهیه نسخه پشتیبان از رجیستری خود ؛ در منوی Registry روی گزینه"Export Registry File و در پنل Export range گزینه All را انتخاب كرده و سپس دكمه Save را كلیك كنید تا نسخه پشتیبان از رجیستری شما تهیه شود.
حال در مدخل HKEY_LOCAL_MACHINEرجیستری زیر مدخلهای:
HKLMSYSTEMCurrentControlSetServiceslsass
HKLMSYSTEMCurrentControlSetServicesMessenger
Start
۴
HKLMSYSTEMCurrentControlSetServicesRemoteRegistry
Start
۴
HKLMSYSTEMCurrentControlSetServicesTlntSvr
Start
۴
Registry entries are set as follows:
HKLMSOFTWAREPoliciesMicrosoftWindowsWindowsUpdate
DoNotAllowXPSP۲
۱
HKLMSOFTWAREMicrosoftOle
EnableDCOM
N
HKLMSYSTEMCurrentControlSetControlLsa
restrictanonymous
۱
HKLMSOFTWAREMicrosoftSecurity Center
HKLMSOFTWAREPoliciesMicrosoftWindowsFirewallDomainProfile
HKLMSOFTWAREPoliciesMicrosoftWindowsFirewallStandardProfile
هر مدخلی كه به فایلی اشاره می كرد حذف كنید.
سپس رجیستری خود را ببندید و دوباره سیستم خود را راه اندازی كنید.
منبع : مشورت مهندسی شبکه و راهبری تحقیقات همکاران سیستم
نمایندگی زیمنس ایران فروش PLC S71200/300/400/1500 | درایو …
دریافت خدمات پرستاری در منزل
pameranian.com
پیچ و مهره پارس سهند
تعمیر جک پارکینگ
خرید بلیط هواپیما
ایران اسرائیل غزه روز معلم مجلس شورای اسلامی دولت رهبر انقلاب نیکا شاکرمی دولت سیزدهم مجلس بابک زنجانی شهید مطهری
آتش سوزی تهران پلیس زلزله قوه قضاییه پلیس راهور شهرداری تهران سیل آموزش و پرورش سلامت سازمان هواشناسی دستگیری
قیمت طلا قیمت خودرو قیمت دلار خودرو بازار خودرو دلار بانک مرکزی ایران خودرو سایپا کارگران تورم حقوق بازنشستگان
سریال نمایشگاه کتاب فیلم سینمایی عفاف و حجاب تلویزیون جواد عزتی مسعود اسکویی سینما رضا عطاران سینمای ایران دفاع مقدس فیلم
مکزیک
رژیم صهیونیستی فلسطین آمریکا جنگ غزه حماس اوکراین نوار غزه انگلیس نتانیاهو یمن افغانستان ایالات متحده آمریکا
پرسپولیس استقلال فوتبال سپاهان تراکتور علی خطیر لیگ برتر ایران لیگ قهرمانان اروپا رئال مادرید باشگاه استقلال بایرن مونیخ لیگ برتر
هوش مصنوعی تلفن همراه اپل اینستاگرام گوگل همراه اول فرودگاه واکسن تبلیغات ناسا پهپاد
سرطان کبد چرب فشار خون بیمه کاهش وزن بیماری قلبی دیابت مسمومیت داروخانه