نمایش نتایج: از شماره 1 تا 2 از مجموع 2

موضوع: حملات اینترنتی با ایمیل

  
  1. 2010-06-05, 12:29 AM #1
    narvan
    narvan آنلاین نیست.
    نام حقيقي: farhad

    مسدود شده
    تاریخ عضویت
    Jun 2010
    محل سکونت
    tehran
    نوشته
    2
    سپاسگزاری شده
    1
    سپاسگزاری کرده
    0

    حملات اینترنتی با ایمیل

    حملات اینترنتی از طریق ایمیل


    موضوعات مشابه:
  2. 2010-06-05, 12:38 AM #2
    narvan
    narvan آنلاین نیست.
    نام حقيقي: farhad

    مسدود شده
    تاریخ عضویت
    Jun 2010
    محل سکونت
    tehran
    نوشته
    2
    سپاسگزاری شده
    1
    سپاسگزاری کرده
    0
    نمونه هائی از حملات اينترنتی توسط نامه های الکترونيکی
    بمنظور بررسی نقاط آسيب پذير و نحوه انتشار ويروس های کامپيوتری با استفاده از کدهای مخرب ،عملکرد سه ويروس را مورد بررسی قرار می دهيم . هدف از بررسی فوق استفاده از تجارب موجود و اتخاذ راهکارهای مناسب بمنظور پيشگيری از موارد مشابه است .آناليز دقيق رفتار هر يک از ويروس ها و نحوه مقابله و يا آسيب زدائی آنان از حوصله اين مقاله خارج بوده و هدف ، صرفا" نشان دادن تاثير نقاط آسيب پذير در يک تهاچم اطلاعاتی بمنظور تخريب اطلاعات و منابع موجود در يک شبکه کامپيوتری ( اينترانت ، اينترنت ) و نقش کاربران در اين زمينه است .
    بررسی عملکرد کرم ILOVEYOU
    کرم فوق ، در يک اسکريپت ويژوال بيسيک و بصورت فايلی ضميمه در يک نامه الکترونيکی عرضه می گردد .همزمان با بازنمودن فايل ضميمه توسط کاربران، زمينه فعال شدن کرم فوق، فراهم خواهد شد . عملکرد اين کرم ، بصورت زير است :
    • <LI dir=rtl>
      نسخه هائی از خود را در فولدر سيستم ويندوز با نام MSKernel32.vbs و LOVE-LETTER-FOR-YOU.vbs تکثير می نمايد.
      <LI dir=rtl>
      نسخه ای از خود را در فولدر ويندوز و با نام Win32DLL.vbs تکثير می نمايد .
    • اقدام به تغيير مقادير دو کليد ريجستری زير می نمايد .کليدهای فوق، باعث فعال نمودن ( فراخوانی ) کرم ، پس از هر بار راه انداری سيستم می گردند .
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr ent Version\Run\MSKernel32
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr ent Version\RunService\Win32DLL
    • در ادامه، بررسی می گردد که آيا دايرکتوری سيستم شامل فايل WinFAT32.exe است؟ در صورت وجود فايل فوق( نشاندهنده ويندوز 95 و 98 )، صفحه آغاز برنامه مرورگر اينترنت( IE ) ، به فايل WIN-BUGFIX.exe بر روی سايت bayanINTERNET تبديل می گردد . فايل فوق از يکی از دايرکتوری های موجود در سايت فوق با نام angelcat , chu , koichi دريافت خواهد شد . پس از فعال شدن مرورگر اينترنت ( در زمان آتی ) ، صفحه آغاز ، آدرس فايل مورد نظر را از راه دور مشخص وبدين ترتيب فايل از سايت skyinet اخذ می گردد . کليد ريجستری صفحه آغاز، در آدرس زير قرار می گيرد .
      HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
      ما قادر به دستيابی به bayanINTERNET ، بمنظور اخذ يک نسخه از فايل فوق نمی باشيم . با پيگيری انجام شده بر روی اينترنت مشخص شده است که برنامه فوق ، ممکن است آژانسی بمنظور جمع آوری رمزهای عبور و ارسال آنها به يک سايت مرکزی از طريق پست الکترونيکی باشد .

    • ILOVEYOU در ادامه بررسی می نمايد که آيا ماشين را آلوده کرده است؟ بدين منظور در دايرکتوری مربوط به اخذ فايل ها (Download directory) ، بدنبال فايل WIN-BUGFIX.exe می گردد . در صورتيکه فايل فوق پيدا گردد ، کدهای مخرب ، يک کليد RUN را بمنظور فراخوانی WIN-BUGFIX.exe از دايرکتوری مربوطه فعال می نمايند .نشانه گويای اين کليد ريجستری، بصورت زير است :
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\WINBUGFIX
    • <LI dir=rtl>ILOVEYOU در ادامه ، يک فايل با نام LOVE-LETTER-FOR-YOU.HTM در دايرکتوری سيستم ايجاد می نمايد .فايل Htm ، شامل منطق VBScript بوده که به نسخه مربوطه vbs ارتباط خواهد داشت .
      <LI dir=rtl>کدهای مخرب در ادامه ، از طريق نامه الکترونيکی برای افراديکه در ليست دفترچه آدرس مربوط به کاربر می باشند،اشاعه و توزيع می شوند . برای هر شخص موجود در دفترچه آدرس، يک پيام الکترونيکی ايجاد و يک نسخه از فايل LOVE-LETTER-FOR-YOU.vbs قبل از ارسال به آن ضميمه می گردد. پس ازارسال پيام برای تمام افراد موجود در ليست دفترچه آدرس، ILOVEYOU برروی تمام درايوهای موجود در کامپيوتر ، عمليات خود را تکرار می نمايد . درصورتيکه درايو يک درايو شناخته شده ( نظير هارد و يا CDROM ) باشد ، در تمام زيرفهرست های موجود در درايو مربوطه ، عمليات جستجو برای يافتن فايل های با انشعاب vbs , vbe , sct , hta jpg , jpeg . انجام خواهد شد . تمامی فايل ها ی با انشعابات فوق، توسط کدهای مخرب بازنويسی و يک نسخه از کدهای مخرب در آنها قرار خواهد گرفت .
    • در صورتيکه فايلی از نوع mp2 و يا mp3 پيدا گردد، يک نسخه از کدهای مخرب در فايلی با انشعاب vbs ايجاد و در دايرکتوری مربوطه مستقر می گردد . نام فايل به نام دايرکتوری بستگی داشته و دارای انشعاب vbs است .
    • در صورتيکه ILOVEYOU فايلی با نام micr32.exe , mlink.exe mric.ini و يا mirc.hlp را پيدا نمايد، فرض را بر اين خواهد گذاشت که فهرست مربوطه ، يک دايرکتوری شروع IRC)Internet Relay Chat) است وفايلی با نام Script.ini را ايجاد و در محل مربوطه قرار خواهد داد . اسکريپت فوق، زمانيکه برنامه سرويس گيرنده IRC اجراء گردد، شروع به فعاليت نموده و اقدام به ارسال کدهای مخرب برای تمام کامپيوترهائی که با ميزبان آلوده يک ارتباط IRC ايجاد نموده اند ، خواهد کرد .
    اگر در این مورد اطلاعات بیشتری می خواهید به لینک ذیل مراجعه کنید .


    http://www.narvanco.net/download/articles/email.pdf


« موضوع قبلی | موضوع بعدی »

کلمات کلیدی در جستجوها:

http://forum.persiannetworks.com/f100/t35830.html

بررسی و چگونگی حملات اینترنتی

حملات اينترنتي RTL

حملات اینترنتی

عملکرد کرم و ویروس در ایمیل

نام ایمیل و شروع با farhad

برچسب برای این موضوع

مجوز های ارسال و ویرایش

  • شما نمی توانید موضوع جدید ارسال کنید
  • شما نمی توانید به پست ها پاسخ دهید
  • شما نمی توانید فایل پیوست ضمیمه کنید
  • شما نمی توانید پست های خود را ویرایش کنید
  •  

قوانین انجمن