بلاگ

معرفی کرم اینترنتی Medbot.A

شناسنامه: Medbot.A

تاریخ انتشار : December 3, 2006

سیتم عامل های آسیب پذیر : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

توضیحات : این کرم اینترنتی پس از آلوده کردن سیتم عامل قربانی خود را با نام Svchost.exeدر پوشه system کپی کرده و سرویس های فایروال و آنتی ویروس های نصب شده از قبیل kavsvc , KAVPersonal50 , nava , SAVScan , Symantec Core LC , wscsvc , wuauserv را از بین می برد. همچنین با تغییر دادن قسمتی از رجیستری ، خود را از فایروال ویندوز پنهان می کند. 

کرم اینترنتی Medbot.A با جستجو کردن در محتویات فایل های txt , tbb , wab~ , wab , doc , xls , htm , xml , db , pdf , xsl , php , html , bak , tbi , dbx , tmp , sql , ini , rtf , eml , hta , wri , fpt آدرس ایمیل های ثبت شده در آن ها را پیدا می کند و با استفاده از آنها هرزنامه ( Spam ) ارسال می کند .

این کرم از پورت ۲۵ و از smtp سرور های hotmail.com , gmail.com , yahoo.com , aol.com , nestcape.com , pop.rizalof.com برای ارسال ایمیل استفاده می کند . همچنین این کرم اقدام به نصب backdoor بر روی سیستم عامل میکند که توسط آن هکر ها می توانند به کلیه اطلاعات سیستم عامل آلوده شده دسترسی پیدا کرده و از آنها سوء استفاده نمایند. این کرم backdoor های متفاوتی را بر روی سیستم های مختلف نصب میکند اما طبق آمار بیشتراز تروجان Lootseek.AV به عنوان backdoor استفاده کرده است . medbot.a برای بیشتر انتشار پیدا کردن، خود را درون پوشه های به اشتراک گذاشته ویندوز قرار می دهد. این کرم توسط تعدادی از آنتی ویروس ها از قبیل Norton قابل شناسایی می باشد.