ويروس چيست؟

ويروس ها هر روز در اينترنت بيشتر و بيشتر مي شوند. ولي تعداد شركت هاي آنتي ويروس ثابت است .پس ما بايد براي حفاظت از سيستم خود دست به كار شويم .

در اين سلسله مقالات سعي داريم كه نحوه مقابله با ويروس ها و همين تور بيوگرافي ويروس ها و نحوه مقابله با هر ويروس را آموزش بدهيم.

از نظر مردم عادي به هر برنامه اي كه در سيستم عامل اختلالات ايجاد كند ويروس است ولي بايد بدانيد كه خود ويروس ها بنا به كارها و امكاناتي كه دارند تقسيم بندي مي شوند. ويروس ها مثل ساير برنامه ها هستند . كساني كه ويروس را مي نويسند هم از همين برنامه هاي عادي برنامه نويسي استفاده مي كنند . اين برنامه ها دقيقا مثل چاقو مي ماند كه هم مي شود استفاده درست كرد هم نادرست.



تاريخچه :

در يك هفته پاييزي در سال 1988 بعد از چندين دهه ترس از بمباران آمريكا توسط روسيه تمام نگراني ها با از بين رفتن حكومت كمونيستي از بين رفت.

در اين زمان با كم شدن نگراني مردم نسبت به روسيه ترسي ديگر جايگزين آن گرديد در دوم نوامبر 1988 يك ويروس كامپيوتري در آمريكا سبب از كار افتادن كامپيوترها در مراكز حساس از جمله Lawrence Livermore Labs , MIT و ... گرديد .

اين حمله ناگهاني به مراكز علمي و ارتشي شروعي براي يك ترس عمومي جديد گرديد در سالهاي 1940 تا 1988 پناهگاه هاي زيادي به منظور استفاده مردم در هنگام جنگ اتمي ساخته شد ولي در پايان دهه 80 ميلادي اين پناهگاه ها به انبارهايي براي استفاده در مواقع اضطراري Y2K تبديل شدند بلكه زماني مورد استفاده قرار بگيرند!!

تا دهد 80 ميلادي كامپيوتر ها تنها در اختيار دولت، مراكز حساس علمي و ... بود ولي از سال 1980 تا 1985 ميلادي با كوچكتر شدن كامپيوترها و تهيه آسان آن توسط عموم مردم استفاده آن گسترش پيدا كرد.

شبكه ها – كامپيوترهاي متصل به يكديگر - نيز گام بلندي در اول دهه 80 بود در اين سالها استفاده از مودمها به منظور بر قراري ارتباط BBS با ديگر كامپيوتر ها رواج فراواني يافت و ...

ويروسها نيز در شبكه هاي كامپيوتري به روشهاي گوناگون از جمله E-Mail ,Trojan Horse هك كردن و ... از كامپيوتري به كامپيوتر ديگر انتقال مي يابند.

ويروس ها به 2 شكل تقسيم بندي مي شوند :

گروه اندكي بر اين باور هستند كه اولين و ابتدايي ترين خصوصيت ويروسهاي كامپيوتري هجوم به يك برنامه مانند ايجاد نوعي پارازيت است (بدين ترتيب نمي توان Melissa را در گروه ويروسها قرار داد).

1-ويروس هاي مركب (ويروس هاي چند وجهي)
2-ويروس هاي ساده

ويروس هاي ساده آن دسته از ويروس ها هستند كه ساده و به صورت تك فايلي بوده و فقط يك كار انجام مي دهند. اما ويروس هاي از تركيب چند ويروس در هم مي باشند و قادر خواهند بود چندين فعاليت را همزمان انجام بدهند كه اين امر سبب پيچيدگي كار ويروس خواهد شد


تقسيم بندي ريزتري از ساختمان ويروس ها و حوضه فعاليت آنها :

در ابتدا بايد ياد بگيريد كه هر ويروسي فقط ويروس نگوييد بلكه بتوانيد آن را شناخته و در يكي از دسته هاي زير جا داده و بنا به خصوصيات آن را بناميد.

1- Trojan Horse

2- Worm

3- Bomb

همان طور كه در بالا مشاهده مي كنيد كل ويروس ها را مي شود در 3 دسته تقسيم كرد كه ما به اختصار درباره هر كدام توضيح مي دهيم . به علت حساس بودن دسته كرم ها يا همان Worm ما از اين دسته توضيحات مان را شروع مي كنيم .



Worms

اولين و مشهورترين ويروس يك Worm مي باشد كه به طور تصادفي در 2 نوامبر 1988 وارد شبكه گرديد. طبق ادعاي طراح آن هدف از اين كار تنها اثبات كردن ضعف سيستم امنيتي كامپيوترها بوده است. اينترنت در سال 1988 دوران كودكي خود را طي مي كرد و تنها در اختيار محدودي از دانشگاه موسسات تحقيقاتي دولتي مانند NASA و آزمايشگاههاي بين المللي مانند Los Alamos بود . با وجود اينترنت بسيار محدود آن زمان خبر از كار افتادن اين مغزهاي كامپيوتري در MIT و Berkeley و... تمام مردم را شوكه كرد. تنها در مدت چند ساعت بيش از 3000 كامپيوتر در مهمترين مراكز آمريكا از كار افتاده و خسارت وارد بر آنها در حدود 100 ميليون دلار بر آورد گرديد.

Worm ها زير مجموعه اي از ويروسهاي كامپيوتري مي باشند كه بر خلاف ديگر ويروسها از جمله Melissa كه خود را به صورت E-Mail براي كاربران اينترنتي مي فرستد سيستم كامپيوتر را سوراخ كرده و به طرف مغز كامپيوتر پيش مي روند يكي از خصوصيات بارز Wormها توانايي پنهان شدن درون سيستم بوده بطوريكه قابل ردگيري نمي باشند اين Worm ها مانند ويروسهايي مي باشند كه خود را در اعصاب ستون فقرات پنهان كردن و گاه و بي گاه دردهاي شديدي را توليد مي كنند. و اما Worm هاي مفيد : در ميان انواع Worm ها كرمهاي مفيدي نيز طي ساليان متمادي به منظور چك كردن كارايي سيستم و ... مورد استفاده قرار گرفته اند.
اين Worm ها Agent ناميده شده و درون شبكه حركت كرده اطلاعات منابع مورد استفاده و ... را چك و اطلاعاتي در مورد كاركرد شبكه يا حتي محلي را كه مي توان ارزانترين DVD را خريداري نمود به كاربر اعلام مي دارند از تفاوتهاي بارز ميان Agent و Worm مي توان به اين مورد اشاره كرد كه Agent بر خلاف Worm خود را تكثير نكرده و درون سيستمهاي كاربران نفوذ نمي كند.



تاريخچه اولين Worm :

اين Worm كه توسط Robert Tappan Morris طراحي شد به RTM مشهور گرديد . Morris بعد از اتمام دوره ليسانس خود در پاييز سال 1988 از دانشگاه خارج و به برنامه نويسي كامپيوتر روي آورد بعد از آن در مقطع Ph.D دانشگاه MIT در رشته مورد علاقه خود مشغول به تحصيل گرديد و بدين ترتيب از امكانات كامپيوتري و اينترنتي دانشگاه بهره مند شد . وي در اكتبر سال 1988 برنامه اي را به منظور پي بردن به نقاط ضعف سيستمهاي اينترنتي و امنيتي كامپيوتر طراحي كرد . نحوه كار اين برنامه بدين ترتيب بود كه پس از رها شدن آن در اينترنت سريعاً و بدون جلب هيچ گونه توجهي پخش مي گشت (طبق اظهارات وكيل مدافع موريس).

موريس به منظور جلوگيري از مشخص شدن هويت خود پس از اتمام برنامه آن را از طريق كامپيوترهاي دانشگاه MIT وارد شبكه كرد. يكي از خصوصيات اين ويروس اضافه كردن يك شمارنده به برنامه بود. بدين ترتيب در صورتيكه اين برنامه حداكثر تا 6 بار يك كپي از خود را در كامپيوتر پيدا مي كرد تكثير نشده و در هفتمين بار اين برنامه پس از تكثير و نفوذ به كامپيوتر آن را مورد هجوم قرار مي داد. اين برنامه ضميمه يك اشتباه بسيار مهلك بود!! كامپيوترهايي كه در سال 1988 به اينترنت متصل مي شدند به طور ميانگين هر 10 روز يكبار خاموش شده و دوباره راه اندازي مي گشتند از آنجا كه برنامه موريس در كامپيوتر ذخيره نمي شد اين خصوصيت سوپاپ اطميناني گشت تا به هر بار خاموش شدن كامپيوتر برنامه به طور خودكار از ميان برود. با اين حال از آنجايي كه تمام كامپيوترهاي متصل به اينترنت به طور همزمان خاموش نمي شدند اين Worm مي توانست دوباره برگشته و در آنجا مقيم گردد. طبق اين نظريه موريس، تعداد Worm ها همواره داراي يك تعادل بوده و مشكل خاصي را در كامپيوتر سبب نمي شدند. و اما ايراد برنامه موريس در اين بود كه اين Worm بسيار سريعتر از انتظار موريس تكثير مي يافت در كمتر از چند ساعت بعد از آزاد سازي آن هزاران كامپيوتر در مراكز حساس از كار افتاده و دچار سكته شدند. پنج روز بعد از آزاد سازي worm در 6ام نوامبر همه چيز به حالت عادي خود برگشت در روز 12 توامبر سرانجام E-Mail هايي كه موريس در آنها طرز خنثي كردن Wrom را توضيح داده بود به مقاصد خود رسيده و مردم از نحوه خنثي سازي Worm آگاهي يافتند.

برگرفته از سايت irsecure

ويروسها چگونه پخش مي شوند :

راه هاي بسيار زيادي براي انتقال ويروسها موجود مي باشد كه يكي از آنها روش زير مي باشد :

1) يك ديسك فلاپي كه داراي بوت سكتور ويروسي مي باشد را درون كامپيوتر قرار داده و كامپيوتر را خاموش مي كنيد

2) هنگامي كه كامپيوتر را دوباره روشن مي كنيد ديسك هنوز در درايو A: موجود مي باشد پس بوت سكتور ويروس آن فعال مي گردد

3) ويروس يك كپي از خود را درون بوت سكتور هارد كامپيوتر ذخيره كرده بدين ترتيب ديگر هيچ نيازي به وجود ديسك نخواهد بود!!

4) هر بار كه ديسكتي را درون درايو A: قرار مي دهيد ويروس در بوت سكتور ديسكت كپي مي گردد.

5) سرانجام اين ديسكت را به دوست يا همكار خود غرض مي دهيد.

6) اين چرخه از كامپوتري به كامپيوتر ديگر ادامه پيدا كرده و ...

البته نياز به يادآوري نيست كه مطالب فوق تنها جهت كسب اطلاع و آشنايي شما با پخش ويروس ها است. از اين رو از بكار بردن آن بطور عملي جداً خود داري كنيد. زيرا ممكن است علاوه بر آسيب رسيدن به سيستم خودتان ديگران را نيز با مشكل مواجه كنيد.



نكته : مواظب Autorun سي دي ها باشيد چون آنها هم مثل بوت سكتور فلاپي عمل مي كنند و تنها با گذاشتن Cd در CD ROM ممكن است آلوده بشويد براي حل اين مشكل هنگامي كه Cd را در درايو قرار داديد براي اجرا نشدن Autorun بايد كليد Shift را پايين نگه داريد تا اجرا نشود بعد Cd را با يك آنتي ويروس اسكن كنيد.



نحوه مخفي شدن ويروسها و نحوه اطلاع ما از وجود ويروس :

ويروس كامپيوتري معمولاً برنامه اي كوتاه مي باشند كه خود را ضميمه يك برنامه ديگر مثلاً پردازشگر Word مي كند . رفتار اين ويروسهاي كامپيوتري كاملاً شبيه به ويروس آنفولانزا است، كه پس از وارد شدن به بدن شروع به تكثير كرده و در صورت نبودن مراقبت لازم سيستم دفاعي بدن را از كار مي اندازد .

حجم يك ويروس كامپيوتري مي تواند تنها 90 بايت بوده كه حتي از طول اين پاراگراف كه با احتساب فضاي خالي تنها 191 بايت مي باشد كوتاه تر است با اين حال ميانگين اندازه اين ويروسها برابر 2000 كاراكتر مي باشد.

هنگامي كه يك ويروس خود را به برنامه ديگري اضافه مي كند در حقيقت سبب مي شود تا آن برنامه افزايش حجم پيدا كند از آنجا كه اين برنامه ها خود به خود حجيم نمي شوند پس مي توان يكي از راههاي از بين بردن اين ويروسها يا پي بردن به وجود آنها را در كامپيوتر از طريق همين برنامه هاي حجيم شده تشخيص داد.

تمام اين ويروسها داراي سه مشخصه اساسي زير مي باشند :

1- روشي براي تكثير و پخش خود در ديگر كامپيوترها.

2- انجام دادن عملياتي خاص در كامپيوتر (مثلا در تاريخي مشخص).

3- از كار افتادن برنامه پس از انجام عملياتي خاص از قبيل نمايش يك پيغام كاملا بي ضرر مانند "Free Frodo" تا از بين بردن تمام محتويات هارد.

ويروسها بر حسب نحوه ورود به كامپيوتر به دو گروه مقدماتي تقسيم مي شوند. گروه اول برنامه هايي هستند كه داراي پسوندهاي .EXE ,.SYS ,و يا COM بوده و مي توانند از طريق E-Mail وارد Notepad موجود در Windows گردند. گروه دوم از طريق ديگر برنامه هاي فرعي وارد كامپيوتر شده و يكي از اهداف آنها آسيب رساندن به بوت سكتورها (Boot Sector) است. هر ديسك از چند هارد درايو و يك بوت سكتور كه برنامه هاي اجرايي كامپيوتر را در بر مي گيرد تشكيل شده است و ويروسها به راحتي مي توانند در اين مكانها ذخيره شوند.

ويروسي كه در يك برنامه پنهان شده است با هر بار اجراي برنامه راه اندازي مي شود بطور مثال اگر ويروس همراه برنامه Word شما باشد با هر بار استفاده ،ويروس موجود در آن راه اندازي مي شود. در صورتيكه ويروس هايي كه درون بوت سكتورها ذخيره شده باشند با هر بار روشن شدن كامپيوتر فعال مي شوند فرض كنيد يك ديسك را قبل از روشن كردن كامپيوتر درون درايو A: قرار داده ايد با روشن كردن دستگاه بوت سكتور موجود در ديسك فعال شده و از طريق كامپيوتر خوانده مي شود (همراه با ويروس موجود در آن).همچنين در صورتيكه هيچ ديسكتي درون درايو A: نباشد بوت سكتور موجود در درايو C: (همراه با ويروس موجود در آن)فعال مي گردد.

يك ويروس ممكن است پس از فعال سازي درون حافظه RAM نفوذ كرده و به ديگر برنامه ها سرايت كند به طور مثال تعداد دفعات راه اندازي خود را محاسبه كرده و در صورتيكه اين تعداد به رقم 100 رسيد تمام اطلاعات كامپيوتر را پاك كند يا ممكن است حافظه RAM را از طريق تكثير خود پر كرده و سرعت عملياتي كامپيوتر را تا حد بالايي پايين بياورد(اين گروه از ويروسها كرم ناميده مي شوند).



تاريخچه Love Bug سريعترين ويروس منتشر شده :

بعد از Melissa در چهارم ماه مي سال 2000 ويروس Love Bug توانست از طريق شركت خدماتي Sky Internet وارد شبكه شده و عنوان سريعترين انتشار را از آن خود بكند( البته اين دو ويروس جز زير مجموعه كرم ها Wormمي باشند)

Love Bug از آن جهت موفق شد كه داراي زيركي خاص Social Engineering بود. اين ويروس همانند Melissa خود را از طريق كامپيوتر يك دوست ارسال كرده با اين تفاوت كه در قسمت Subject آن عبارت اغوا كننده ILOVEYOU تايپ شده و چشم پوشي از آن تا حدي غير ممكن مي نمود البته درون E-Mail نيز تا حدودي گمراه كننده بود و به راحتي سبب فريفتن كاربر مي گشت :

“ Kindly check the attached LOVELETTER coming from me”

LOVE – LETTER – FOR – YOU.TXT.vbs

اين پيام داراي دو نكته بسيار گمراه كننده مي باشد :.اول: استفاده از كلمه فريبنده LOVE و ديگري استفاده از پسوند .TXT با حرف درشت بود زيرا همانطور كه همه مي دانيد پسوند .TXT كاملا بي ضرر بوده و تنها با Notepad باز مي گردد

پسوند حقيقي اين فايل .vbs بوده و تنها افراد ماهر مي دانند كه اين پسوند مربوط به Visual Basic Script مي باشد و نشانگر برنامه بودن فايل بوده نه سند بودن آن .برنامه Love Bug متشكل از 311 خط مي باشد كه علاوه بر سرعت فراوان در انتشار از قدرت تخريب بسيار بالايي نيز برخوردار بوده و طبق يك برايند توانست در حدود 300 ميليون كامپيوتر را مورد تجاوز خود قرار داده و خسارتي معادل 3 تا 10 ميليارد دلار را بالغ گردد . Love Bug بر خلاف Melissa هيچ گونه آسيبي به فايلهاي .DOC نرسانده بلكه فعاليت خود را متوجه فايلهاي با پسوند .MP3 ,.JPG,.CSS,.WSH,.VBS,.SCR,.HTA,.MP2 نمود.

نحوه كار Love Bug بدين ترتيب بود كه پس از تغييرات اندكي در Registery آن را جستجو كرده و در صورت يافتن هرگونه رمز عبوري فعال آن را به آدرسي در فيليپين ارسال (ديگر وجود ندارد) كرده و سپس چندين كپي از خود را به تمام آدرسهاي موجود در Outlook Express مي فرستاد پس از آن ابتدا Home Page اينترنت كاربر را Resetكرده و پس از آن تمام فايلهاي با پسوند ذكر شده را پاك و در عوض يك كپي از خود را در جاي آنها قرار مي داد.




لغات آسيب رسان نيستند:

تا چند سال پيش خواندن E-Mail يا يك فايل .DOC برنامه Word كاملاً بي خطر بوده و نيز مطمئن بوديد كه هيچ آسيبي متوجه شما نخواهد بود.در حاليكه اكنون فايلهاي اطلاعاتي نظير Excel , Word و ... نيز توانايي حمل و انتقال برنامه را داشته و عمليات معيني را براي كامپيوتر تعريف مي كنند . ويروسها نيز چيزي غير از برنامه ها ولي با اهداف غير اخلاقي نمي باشند. در حال حاضر براي اجراي برنامه ها نيازي به پسوند .EXE نداريد. تنها فعل خواندن يك فايل .DOC نيز مي تواند ويروسي را وارد كامپيوتر كرده و فعال كند. يكي از انواع برنامه هايي كه درون فايل .Doc قرار مي گيرد Macro ها مي باشند تمام برنامه هاي اصلي مايكروسافت از جمله Word , Excel , Access با زبان VBA كه همان زبان Macro ها مي باشد نوشته مي شوند .



آيا E-Mail هاي معمولي خطرناك هستند؟

همانطور كه مي دانيد يكي از راههاي جلوگيري از ورود ويروسهايي مانند Melissa به كامپيوتر باز نكردن فايلهاي ضميمه E-Mail هايي مي باشد كه انتظار آنها را نداريم اما آيا باز كردن E-MAIL هايي كه هيچ فايل ضميمه ندارند نيز خطرناك مي باشد؟

متاسفانه بله . در حقيقت مشكل همان اسكريپت ها مي باشند. اسكريپتها برنامه هاي كوچكي مانند Macro ها هستند كه توانايي بسيار اندكي دارند . به عنوان مثال بر خلاف Macro و ديگر زبانهاي كامپيوتري زبان اسكريپت قدرت پاك كردن فايلها را ندارد .دو زبان JavaScript و VBScript دو زبان بسيار معروف مي باشند كه در هيچ كدام از آن دو فرمانهايي كه بتواند به كامپيوتر خسارت بزند وجود ندارد با اينكه اين زبانها خود به تنهايي نمي توانند هدف خاصي را درون خود قرار دهند پس نصيحت من به شما اين مي باشد كه هرگز از دست افراد غريبه سيبي را دريافت نكنيد!!!



تكنيك Mata Hari : تله گذاري

يك تكنيك جالب استفاده شده در آنتي ويروس ها فرستادن يك برنامه درون كامپيوتر و جلب كردن توجه ويروسها مي باشد اين برنامه شرايط نفوذ ويروسها را در خود فراهم كرده و با بررسي مداوم برنامه از لحاظ افزايش حجم و ... به نفوذ برنامه ويروس پي مي برد.

همانطور كه مي دانيد بعضي از فايلها داراي پسوند .EXE مي باشند .EXE مربوط به فايلهاي اجرايي مانند Winword.EXE مي باشد كه تنها كاربردشان اجرا كردن برنامه ها مي باشد يكي از راههاي شناسايي ويروسها جستجو كردن فعاليتهاي غير عادي درون كامپيوتر مي باشد يكي از اين فعاليتها باز كردن و خواندن بوت سكتور و كپي كردن چيزهاي جديد بر روي آها و فايلهاي .EXE مي باشد كه همگي جز فعاليتهايي غير عادي تلقي مي شوند.



شاخص بررسي براي تغييرات فايل :

عمومي ترين آنتي ويروس بررسي كننده فايل، بطور پيوسته اي تمام قسمتهاي يك فايل كه توسط ويروس ها تغيير داده مي شوند را امتحان كرده و هر گونه تغييري در سايز و اسم و تاريخ و Checksum هر فايل را شناسايي مي نمايد. يك ويروس به راحتي مي تواند سايز , اسم و همچنين تاريخ يك فايل را ثابت نگاه دارد اما ثابت نگه داشتن Checksum يك فايل پس از انجام هرگونه تغيير جزئي يا كلي بر روي برنامه بسيار مشكل مي باشد.

Checksum چيست ؟ به خاطر بياوريد كه هر بايت يك برنامه عددي بين 0 و 255 مي باشد بعضي از اين كدها براي نشان دادن متن، بعضي براي ذخيره اطلاعات گروهي براي انجام عمليات محاسبه (جمع , ضرب ,هجي كردن لغات) و ... مي باشند. با اين حال همه آنها از اعدادي بين 0 و 255 تشكيل شده اند.

فرض كنيد كه يك فايل ذخيره اي داراي 10 دستورالعمل 27 ,157 , 2 ,88 , 240 ,240 , 8 , 99 , 201 , 84 مي باشد. براي بدست آوردن Checksum مربوط به اين فايل ارزش اين كدها را با يكديگر جمع كنيد : Checksum بدست آمده اين فايل مقدار 84+99+8+240+240+88+2+157+27 يا 1146 مي باشد .

ويروس به راحتي مي تواند بعضي از اين كدها را تغيير دهد ولي امكان تغيير Checksum فايل در هنگام هرگونه جايگزيني بسيار زياد مي باشد پس به راحتي مي توان به كمك Checksum هرگونه تغييري در فايل را رديابي كرد. ولي مشكلاتي نيز وجود دارد، به خاطر بياوريد كهWord2000 داراي 8799232 بايت مي باشد هر چقدر كامپيوتر ها نيز سريع باشند محاسبه مجموع اين بايتها در برنامه هاي حجيم امروزي وقت زيادي مي گيرد .

برگرفته از سايت irsecure

گردآورنده: TAHA

W32.Gibe.B@mm يا W32.Swen.A@mm



خبر پخش ويروس جديدي كه تحت عنوان و نام patch امنيتي شركت ميكروسافت اقدام به انتشار خود كرده است در منطقه اروپا شروع به آلوده كردن سيستم ها كرده است . بنا بر اعلام شركت هاي آنتي ويروس ، اين ويروس كه در آزادي كامل به سر مي برد مي تواند اطلاعات حساب هاي كاربري و جزئيات سرور هاي ايميل را از سيستم هاي آلوده جمع آوري كند.

ويروس W32.Swen.A@mm و يا W32.Gibe.B@mm در بد ترين شريط عمر مايكروسافت بروز كرد. در حاليكه بسته هاي نرم افزاري رفع ايراد مربوط به مايكروسافت به آرامي ماجراي خطر ويروس هاي SoBig و MSBlaster را كه سبب برپايي سرو صداهاي زيادي عليه ميكروسافت شده بود ، از ياد ها برده بود ، انتشار اين ويروس جديد مشكلات ديگري را به بار آورده است .

ويروس جديد كه سرچشمه انتشار آن را اروپا تعيين كرده اند ، صندوق هاي پست الكترونيكي را درآمريكا هدف قرار داده است و با يك فايل EXE . همراه است كه موضوع ايميل در آن بصورتMicrosoft Internet Update Pack يا "Microsoft Critical Patch" و يا "Newest Security Update" مي باشد .

بر مبناي گزارشات بخش امنيتي شركت Symantec اين كرم از موتور SMTP براي انتشار خود استفاده مي كند و سعي در از كار انداختن آنتي ويروس ها و برنامه هاي فايروال موجود در سيستم هاي قرباني خود مي كند . همچنين اين كرم قادر به بهره برداري از شكاف امنيتي شناخته شده Internet Explorer است و قادر است بر مبناي عضو به عضو در كاربراني كه از برنامه هايي همچون IRC و يا Kazaa استفاده مي كند نيز منتقل شود .

اين كرم به سرعت در اروپا در حال انتشار بوده و بسيار سريع در مناطق ديگر نيز منتشر خواهد شد .
اين ويروس از طريق برنامه++ C نوشته شده و قادر است نام ، رمز عبور و جزئيات ميل سرور قرباني خود را به سرقت ببرد.

براي جلوگيري از انتشار اين ويروس بهتر است جلوي ورود اين فايل EXE در مدخل Gateway گرفته شود . همچنين به كاربران توصيه مي شود تا از برنامه هايي همچون( instant messaging (IM و يا نرم افزارهايي همچون P2P استفاده نكنند.

براي دسترسي به اطلاعات كامل تر مي توانيد از آدرس http://www.microsoft.com/technet/security/bulletin/MS01-020.asp استفاده كنيد.

اين ويروس طي مراحل زير در سيستم قرباني خود نصب مي شود :

1- ابتدا سيستم را بررسي مي كند كه يا نسخه اي از قبل بر روي آن سيستم نصب شده يا خير و در صورتي كه از قبل بر روي آن سيستم موجود باشد پيام زير نمايان مي شود :

http://www.pnu-club.com/imported/2009/03/196.gif


2- اگر نام فايل اجرا شده با يكي از حروف p , u, q و يا i باشد كادر محاوره ي زير نمايان مي شود :

http://www.pnu-club.com/imported/2009/03/197.gif


صرفنظر از انتخاب هر گزينه اين كرم خود را در سيستم تان نصب مي كند ، البته در صورتي كه گزينه no را انتخاب كنيد اين ويروس در پشت پرده شروع به نصب خود مي كند و شما متوجه اين امر نمي شويد. و در صورت انتخاب گزينه yes كادر زير نمايان مي شود :
http://www.pnu-club.com/imported/2009/03/198.gif
http://www.pnu-club.com/imported/2009/03/199.gif



3- سپس سعي مي كند تا فرايند ها و اعمال زير را از كار بياندازد :

*

_avp
*

Azonealarm
*

avwupd32
*

avwin95
*

avsched32
*

avp
*

avnt
*

avkserv
*

avgw
*

avgctrl
*

avgcc32
*

ave32
*

avconsol
*

autodown
*

apvxdwin
*

aplica32
*

anti-trojan
*

ackwin32
*

bootwarn
*

blackice
*

blackd
*

claw95
*

cfinet
*

cfind
*

cfiaudit
*

cfiadmin
*

ccshtdwn
*

ccapp



*

dv95
*

espwatch
*

esafe
*

efinet32
*

ecengine
*

f-stopw
*

frw
*

fp-win
*

f-prot95
*

fprot95
*

f-prot
*

fprot
*

findviru
*

f-agnt95
*

gibe
*

iomon98
*

iface
*

icsupp
*

icssuppnt
*

icmoon
*

icmon
*

icloadnt
*

icload95
*

ibmavsp
*

ibmasn
*

iamserv
*

iamapp


jedi
*

kpfw32
*

luall
*

lookout
*

lockdown2000
*

msconfig
*

mpftray
*

moolive
*

nvc95
*

nupgrade
*

nupdate
*

normist
*

nmain
*

nisum
*

navw
*

navsched
*

navnt
*

navlu32
*

navapw32
*

nai_vs_stat
*

outpost
*

pview
*

pop3trap
*

persfw
*

pcfwallicon
*

pccwin98
*

pccmain



*

pcciomon
*

pavw
*

pavsched
*

pavcl
*

padmin
*

rescue
*

regedit
*

rav
*

sweep
*

sphinx
*

serv95
*

safeweb
*

tds2
*

tca
*

vsstat
*

vshwin32
*

vsecomr
*

vscan
*

vettray
*

vet98
*

vet95
*

vet32
*

vcontrol
*

vcleaner
*

wfindv32
*

webtrap
*

zapro

4- با توليد يك نام راندوم خود را در پوشه %Windir% كپي مي كند.

5- در فايل هاي .html, .asp, .eml, .dbx, .wab, .mbx موجود در سيستم بدنبال آدرس هاي ايميل مي گردد.

6- در محلي كه آدرس هاي ايميل يافت شده را نگهداري مي كند فايلي با نام Windir%\Germs0.dbv %مي سازد .

7- در محلي كه اخبار و ميل سرور هاي راه دور يافت شده را نگه داري مي كند فايلي با نام Windir%\Swen1.dat % ايجاد مي كند .

8- يك فايل با نام ComputerName%.bat % ايجاد مي كند كه در واقع كرم را اجرا كرده و يك نام راندوم براي نگه داري در سيستم محلي براي آن انتخاب مي كند. (ComputerName به نام كامپيوتر قرباني خود اشاره دارد )

در كليد

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion \explorer\*

رجيستري مقادير زير را اضافه مي كند :







"CacheBox Outfit"="yes"
*

"ZipName"="<random>"
*

"Email Address"="<The current users email address that the worm retrieves from the registry>"
*

"Server"="<The IP address of the SMTP server that the worm retrieves from the registry>"
*

"Mirc Install Folder"="<location of mirc client on system>"
*

"Installed"="...by Begbie"
*

"Install Item"="<random>"
*

"Unfile"="<random>"

10- يك مقدار نام راندوم را به كليد

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion \Run

رجيستري اضافه مي كند تا در هر بار اجراي سيستم اين فايل اجرا شود .

11- كليد هاي رجيستري زير را تغيير مي دهد :



*

HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\ open\comma nd
*

HKEY_LOCAL_MACHINE\Software\CLASSES\regfile\shell\ open\comma nd
*

HKEY_LOCAL_MACHINE\Software\CLASSES\scrfile\shell\ open\comma nd
*

HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\ open\comma nd
*

HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\ open\comma nd
*

HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\ open\comma nd



12- مقدار "DisableRegistryTools" = "1" را در كليد رجيستري زير تغيير مي دهد :

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\ Policies\System

كه مانع اجراي رجيستري توسط كاربر مي شود .

13- بطور دوره اي كاربر را با ايراد MAPI32 Exception مواجه مي كند .

http://www.pnu-club.com/imported/mising.jpg این عکس تغییر سایز داده شده است. روی این جایگاه کلیک کنید برای دیدن عکس کامل. تصویر اصلی دارای اندازه 686x352 یا سنگینی میباشد 38کیلو بایت.http://www.pnu-club.com/imported/2009/03/200.gif

كه در واقع كاربران را ترغيب به وارد كردن اطلاعات مربوط به خود از جمله موارد زير مي كند :



*

Email address
*

Username
*

Password
*

POP3 server
*

SMTP server

14- از طريق رمز عبور و نام كاربري كسب شده وارد ايميل قرباني شده و در صورتي كه ميلي از سوي ويروس براي مهاجم ارسال شده باشد آن را پاك مي كند .

15- كاربر را با پيام هاي ايراد زير مواجه مي كند :
- يك درخواست HTTP Get را به يك سرور HTTP از پيش تعيين شده ارسال مي كند تا اطلاعات مربوط به وضعيت انتشار و شمارنده كرم را از زمان انتشار تعيين كند .

http://www.pnu-club.com/imported/2009/03/201.gif

البته اين كرم به شيوه هاي مختلفي منتشر مي شود كه شيوه فوق تنها روش انتشار آن از طريق ايميل بوده است .
__________________

W32.Blaster.Worm

کرم اينترنتي W32.Blaster.Worm بر مبناي آسيب پذيري و ضعف امنيتي موجود در سرويس DCOM RPC ويندوز که جديدا شناخته شده بود براي نفوذ استفاده مي کند. اين کرم چندين نوع دارد که W32.Blaster.Worm شايعترين نوع اين ويروس مي باشد و از سرويس TFTP که از پورت 65 براي انجام کارهاي خود استفاده مي کند ، بهره مي برد.

البته ويندوزهاي 2000 و xp مورد حمله اين کرم واقع مي شوند. در حاليکه ويندوز هاي NT و 2003 سرور در صورتي که patch آنها بدرستي نصب نشده باشد مورد آسيب پذيري واقع مي شوند.
اين کرم سعي مي کند تا فايلي با نام msblast.exe را در مسير %WinDir%\system32 کپي کرده وسپس آنرا اجرا مي کند .

از آنجا که اين کرم از پورت 4444 امکان کنترل سيستم را به حمله کنندگان مي دهد ،به کاربران توصيه مي شود تا دسترسي به پورت مزبور را در سيستم خود غير فعال کرده و بلوک کنند و سپس در صورتي که از سرويس هاي RPC و TFTP استفاده نمي کنند پورت هاي زير را نيز غير فعال کنند:


• TCP Port 135, "DCOM RPC"
• UDP Port 69, "TFTP"

اين کرم سعي مي کند تا با اجراي عدم پذيرش سرويس( Denial of Service (DoS در Microsoft Windows Update Web server (windowsupdate.com) مانع از اعمال patch مربوط به رفع آسييب پذيري DCOM RPC در سيستم کاربران مي شود.


جزئيات تکنيکي :
هنگامي که اين کرم اجرا مي شود ، کارهاي زير را انجام مي دهد:
1- اين کرم در ابتدا اقدام به ايجاد يک Mutex به نام BILLY مي کند . در صورتي که Mutex از قبل وجود داشته باشد ، کرم فعال مي شود.

2-سپس عبارت "windows auto update"="msblast.exe" به کليد رجيستري زير اضافه مي شود:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion \Run
و از اين طريق در هربار اجراي رجيستري اين کرم اجرا و فعال مي شود.

3- يک آدرس IP توليد کرده وسعي مي کند تا کامپيوتري که داراي آن آدرس است را آلوده کند.اين آدرس مطابق الگوريتم خاصي توليد مي شود.

4- داده ها را به پورت 135 TCP ارسال مي کند که مي تواند از آسيب پذيري DCOM PRC استفاده کند . کرم مزبور يکي از دو نوع داده هاي زير را ارسال مي کند: در 80 درصد موارد داده ها به ويندوز XP و در 20 درصد موارد به ويندوز 2000 فرستاده مي شود.

5- استفاده از فرمان Cmd.exe براي ايجاد يک فرايند پردازشي راه دور مخفي که در نتيجه آن سيستم به پورت 4444 گوش مي دهد و به حمله کننده امکان مي دهد تا فرامين خود را از راه دور در سيستم قرباني اجرا کند.

6- به پورت 69 مربوط به UDP گوش مي دهد . هنگامي که کرم پاسخي از يک سيستم دريافت مي کند که در آن امکان ارتباط از طريق DCMP RPC وجود داشته باشد ، فايل msblast.exe را به کامپيوتر قرباني فرستاده و آن را اجرا مي کند.

7- اگر ماه جاري بعد از ماه آگوست باشد، ويا اگر بعد از پانزدهمين روز سال باشد اين کرم يک DoS در Windows Update اجرا مي کند . حمله DoS در 16 دهمين روز ماه فعال شده و تاپايان سال ادامه مي يابد.

اين کرم حاوي متن زير است که هرگز نشان داده نمي شود :


I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!

آشنايي با ويروس CHET



نام : Chet
نام مستعار : W32/Chet@MM, Anniv911, 11september, September11


اين كرم از نوع كرم هاي ايميلي بوده كه در تاريخ دهم ماه September سال 2002 فعال شد و داراي يك BUG جدي نيز مي باشد .

به همين دليل اين کرم موفقيت چنداني در گسترش و انتشار پيدا نکرد . با توجه به سر نخ هاي موجود منشاء آن از روسيه شناخته شده است.

اين كرم سعي مي كند خود را از راه ضميمه هاي نامه به نام 11 September.exe منتشر کند. پس از اجراي فايل کرم فايل را به آدرس هاي ديگري كه از Address Book در ويندوز مي گيرد ضميمه مي كند و به آنها ارسال مي کند:


From: main@world.com

To: all-people-in-the-address-book

Subject: All people!!

Attachment: 11september.exe

Dear ladies and gentlemen!

The given letter does not contain viruses, and is not Spam.

We ask you to be in earnest to this letter. As you know America and

England have begun bombardment of Iraq, cause of its threat for all the world.

It isn't the truth. The real reason is in money laundering and also to cover up traces

after acts of terrorism September, 11, 2001. Are real proofs of connection between

Bush and Al-Qaeda necessary for you? Please! There is a friendly dialogue between

Bin Laden and the secretary of a state security of USA in the given photos.

In the following photo you'll see, how FBI discusses how to strike over New York to lose

people as much as possible. And the document representing the super confidential

agreement between CIA and Al-Qaeda is submitted to your attention. All this

circus was specially played to powder brains!! You'll find out the truth.

Naked truth, instead of TV showed.

For your convenience, and to make letter less, all documentary materials

(photos and MS Word documents) are located in one EXE file. Open it, and all materials will be

installed on your computer. You will receive the freshest and classified

documents automatically from our site.

It isn't a virus! You can trust us absolutely. We hope, that it will open your

eyes on many things occurring in this world.



انتشار اين کرم در وضعيت عادي امکان پذير نيست . وقتي كرم نامه آلوده را مي فرستد اطلاعاتي در مورد كامپيوتر آلوده را نيز جمع مي كند و سپس اين اطلاعات را به آدرس ميلي در روسيه مي فرستد .
نحوه آلوده سازي سيستم :
وقتي كرم براي اولين بار اجرا مي شود يک کپي از خود بر روي كامپيوتر مي گيرد و در شاخه سيستم ويندوز به نام فايل Synchost.exe ذخيره مي کند. و كليدي را به رجيستري به شرح زير اضافه مي كند :


'HKLU\Software\Microsoft\Windows\CurrentVersion\Ru n\ICQ1'


زمان بارگذاري :
اگر كامپيوتر هاي آلوده داراي مودم باشند كرم سعي مي كند يك شماره از پيش تعيين شده را بگيرد. اين شماره محتمل يك شماره محلي در يك كشور خارجي است و مالك اين شماره معلوم نيست .

آشنايي با ويروس Sober



اسم كرم :Sober

نام مستعار : I-Worm.Sober

نوع ديگر : Sober.A



Sober يك كرم ايميل است كه از طريق فرستادن تكنيك mailing در Worm ها پخش و زياد مي شود .اين كرم پيغامي به زبانهاي ايگليسي و آلماني به ايميل كاربران مي فرستد ، براي همين نمي توان تشخيص داد كه نويسنده آن آلماني يا انگليسي است .

Sober براي اجراي خود اخطار هاي ايمني را به كاربران نشان مي دهد . اين كرم از ضميمه هايي به نام هاي Anti_Virusdoc.pif و Check Patch.bat و غيره كه در آخر اين مقاله ليست كامل اين فايل ها را ارائه شده است ، استفاده مي كند .

جزئيات توصيف :

اين كرم توسط UPX پكيج شده و با زبان برنامه نويسي VB طراحي شده است و در درون خود از يك SMTP براي ارسال ميل ها استفاده مي كند .



نصب شدن بر روي سيستم :

پس از فعال شدن اين برنامه در رجيستري ويندوز اين تغييرات ايجاد مي شود :

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

يا

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]



اين كليد ها براي باز خواني بدنه كرم است كه بعضي اوقات ويروس كپي هايي از خود را در اين مكان ها به اين اسم فايل ها صادر مي كند :

%SysDir%\similare.exe

%SysDir%\sysrunll.exe



اين كرم قادر است در Clinte هاي زير به راحتي فعاليت كرده و پخش شود :

X-Mailer: Microsoft Outlook Express 6.00.2600.0000

X-Mailer: Microsoft Outlook Express 5.00.3018.1300

X-Mailer: Safety_Mail Server

X-Mailer: Microsoft Outlook IMO, Build 9.0.2416 (9.0.2910.0)

X-Mailer: Microsoft Outlook IMO, Build 9.0.

نحوه پخش شدن در ايميل ها :



اين كرم ايميلي را با Subjects هاي زير در زبان آلماني مي فرستد :

Neuer Virus im Umlauf!

Back At The Funny Farm

Sie versenden Spam Mails (Virus?)

Ein Wurm ist auf Ihrem Computer!

Langsam reicht es mir

Sie haben mir einen Wurm geschickt!

Hi Schnuckel was machst du so ?

VORSICHT!!! Neuer Mail Wurm

Re: Kontakt

RE: ***

Sorry, Ich habe Ihre Mail bekommen

Hi Olle, lange niks mehr geh

Re: lol

Viurs blockiert jeden PC (Vorsicht!)

berraschung

Ich habe Ihre E-Mail bekommen !

Jetzt rate mal, wer ich bin !?

Neue Sobig Variante (Lesen!!)

Ich Liebe Dich



و در ربان اتگليسي با موضوع هاي زير ميل ارسال مي شود :



Congratulations!! Your Sobig Worms are very good!!!

You are a very good programmer!

Yours faithfully

Odin alias Anon

Odin_Worm.exe

New internet virus!

You send spam mails (Worm?)

A worm is on your computer!

You have sent me a virus!

Hi darling, what are you doing now?

Be careful! New mail worm

Re: Contact

Sorry, I've become your mail

Hey man, long not see you

Viurs blocked every PC (Take care!)

Surprise

I've become your mail!

Advise who I am!

New Sobig-Worm variation (please read)

I love you (I'm not a virus!)

I permanently get Spam-Mails from you and inside is a virus!!

You should remove these thing.



ضميمه اين ميل ها كه حاوي بدنه ويروس است ، عبارتند از:



AntiVirusDoc.pif

Check-Patch.bat

Screen_Doku.scr

Removal-Tool.exe

Perversionen.scr

CM-Recover.com

Bild.scr

schnitzel.exe

robot_mail.scr

RobotMailer.com

Privat.exe

AntiTrojan.exe

Mausi.scr

NackiDei.com

Anti-Sob.bat

security.pif

Funny.scr

Liebe.com

Odin_Worm.exe

check-patch.bat

anti_virusdoc.pif

perversion.scr

removal-tool.exe

screen_doc.scr

potency.pif

CM-Recover.com

pic.scr

playme.exe

robot_mailer.pif

private.exe

anti-trojan.exe

love.com

nacked.com

anti-Sob.bat

NAV.pif

funny.scr

little-scr.scr

آشنايي با ويروس Sobig.F

Sobig.f جز كرمهاي ميلي بوده كه در تاريخ th19 از August سال 2003 پخش شد . اين كرم ميل هايي با مقدار حجم بالا مي فرستاد و سوابق فرستنده را جعل مي كرد . اجراي اين كرم به روز هفته وابسته بوده و در روزهاي يكشنبه و جمعه فعال مي شود .


توصيف جزئيات :
اين كرم در حالت فشرده شده وسعت پيدا كرد و بسته بندي شده بود بوسيله TELock و بدنه فشرده نشده آن در حدود 100 كيلو بايت است و با زبان برنامه نويسي++ Visual C نوشته شده است .


نحوه آلوده كردن سيستم :
كرم خود را در آدرس زير كپي مي كند :


%Windir%\Winppr32.exe


و براي فعاليت خود كليد هاي زير را در رجيستري ايجاد مي كند :


[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TrayX" = %windir%\winppr32.exe /sinc
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TrayX" = %windir%\winppr32.exe /sinc


اين كرم در تاريخ th10 از September سال 2003 به كار خود خاتمه داد و از اين تاريخ به بعد ديگر اجرا نخواهد شد.


وسعت و پراكندگي ويروس در در ايميل ها:


كرم Sobig.F معمولا با اين مشخصات وارد ميل مي شود .


From:
The 'From:' field is filled with an address found from the infected system.
If no address is found, it will use "admin@internet.com"
To:
The 'To:' field is filled with an address found from the infected system.


Subject آن نيز معمولاً يكي از موارد زير است:


Re: Thank you!
Thank you!
Your details
Re: Details
Re: Re: My details
Re: Approved
Re: Your application
Re: Wicked screensaver
Re: That movie


Body اين ايميل معمولاً يكي از دو مورد زير مي باشد:


See the attached file for details
Please see the attached file for details.


Attachment اين ايميل نيز معمولاً يكي از موارد زير است:


your_document.pif
document_all.pif
thank_you.pif
your_details.pif
details.pif
document_9446.pif
application.pif
wicked_scr.scr
movie0045.pif


همچنين , هدر ميل هميشه داراي اين رشته است :


“X-Mail Scanner: Found to be clean”


دانلود كردن تروجان توسط كرم :


اين كرم سعي مي كند تا يك تروجان را در سيستم قرباني دانلود كند . البته دانلود و اجراي اين تروجان به شروطي بستگي دارد :

بايد ساعت بين 19:00 و 22:00 زمان UTC باشد ، كرم اين تست را هر ساعت انجام مي دهد تا شرط درست شود و اين شرط در روزهاي جمعه و يكشنبه

بدون در نظر گرفتن هفته انجام پذير است . هنگامي كه شرط انجام پذير بود كرم سعي مي كند تا تروجان را از URL از پيش تعريف شده خود دانلود كند. اين URL محتوي يك تروجان بوده كه دان لود شده و بر روي سيستم قرباني اجرا مي شود .

ليستي از سرور هاي NTP كه براي هماهنگ كردن URL براي دانلود تروجان به كار رفته به شكل زير مي باشد :


200.68.60.246
62.119.40.98
150.254.183.15
132.181.12.13
193.79.237.14
131.188.3.222
131.188.3.220
193.5.216.14
193.67.79.202
133.100.11.8
193.204.114.232
138.96.64.10
chronos.cru.fr
212.242.86.186
128.233.3.101
142.3.100.2
200.19.119.69
137.92.140.80
129.132.2.21

تاريخچه اي از خانواده Sobig ها :


ليست زير تاريخچه اي از اولين پيدايش اين خانواده ، نوع آنها ، تاريخ انقضا آنها و تاريخ نوشته شدن اين كرم ها را نشان مي دهد :


Variant Found Expires Detection
__________________________________________________ __________ _
Sobig.A January 9th NO 2003-01-09_04
Sobig.B May 18th May 31st 2003-05-19_03
Sobig.C May 31st June 8th 2003-06-01_01
Sobig.D June 18th July 2nd 2003-06-18_03
Sobig.E June 25th July 14th 2003-06-26_02
Sobig.F August 19th September 10th 2003-08-19_02

همه چيز راجع به اسبهاي تروا

حملات اسبهاي تروا يكي از اساسي ترين و به قولي جدي ترين تهديدات عليه سيستم امنيتي كامپيوتر به حساب مي آيند در اين مقاله سعي ما بر اين است كه نحوه مقاومت در برابر حملات اسبهاي تروا و چگونگي غلبه بر صدمات احتمالي ناشي از هجوم آنها را آموزش دهيم. در افسانه ها آمده است كه يونانيان قديم با پنهان شدن در داخل يك اسب چوبي عظيم الجثه جهت نفوذ به شهر تروا استفاده كردند و با شبيخون به سربازان شهر در جنگ پيروز شدند. امروزه در دنياي كامپيوتر اسب تروا يك برنامه كامپيوتري مخرب و مخل امنيت است كه به شكلي ظاهرا بي خطر نظير يك محافظ صفحه نمايش بازي كامپيوتري و غيره - به سيستم شما نفوذ مي كند معروفترين اسب تروا كه تا كنون شناسايي شده است (Love Bug) نام دارد و در ماه مي سال 2000 منتشر شد. زماني كه اين نامه به ظاهر عاشقانه باز مي شد مشكلات عديده اي را براي كاربر ايجاد مي كرد. به عنوان مثال خودش را به تمامي آدرس هاي موجود در كتابچه آدرس هاي پست الكترونيكي شما يا كانال IRC ارسال مي كرد فايل هاي موجود در سيستم را پاك كرده يا تغييراتي در آنها ايجاد مي كرد فايل هاي موجود در سيستم را پاك كرده و يك اسب تروا ديگري را براي سرقت كلمات عبور شما از اينترنت Download مي كرد بسياري از اسبهاي تروا به نفوذگر اجازه مي دهد كه به كامپيوتر كاربر نفوذ كنند و از راه دور كنترل سيستم را در دست گيرند به عنوان نمونه آنها مي توانند كانال IRC را تحت كنترل خود در آورند و از كامپيوتر شما براي ايجاد اختلال در كار سرويس دهي سايت ها استفاده كنند مانند مشكلي كه براي سايت Yahoo و Amazon به وجود آوردند .

بسياري از مردم از واژه هاي اسب تروا ويروس و كرم و نفوذ به جاي يكديگر استفاده مي كنند در حالي كه معناي آنها كاملا متفاوت است اگر شما يكبار هم مورد تهاجم اسبهاي تروا قرار گرفته باشيد متوجه مي شويد كه اسبهاي تروا به خطرناكي ويروس ها هستند و مي توانند به راحتي انتقال يابند و خسارت وارد كنند.


چگونه يك سيستم به اسب تروا آلوده مي شود ؟



اسبهاي تروا برنامه هاي اجرايي هستند در نتيجه زماني كه آنها را باز مي كنيد اجرا مي شوند و عملياتي را انجام مي دهند . در سيستم عامل ويندوز برنامه هاي اجرايي داراي پسوند هاي مانند Ink , Scr , Pif ,Bat , Com , Vbs , Exe يا Js هستند نام بعضي از فايل هاي ترواي معروف عبارتند از : dmsetup.exe ,Movie.avi.pif , و LOVE – Letter –For –You .TXT.vbs زماني كه يك فايل داراي پسوند هاي مختلفي است فقط پسوند آخر به حساب مي آيد لذا بايد مطمئن شويد كه پسوند هاي خود را از حالت مخفي خارج كرده ايد تا بتوانيد آنها را ببينيد . اسبهاي تروا مي توانند به شكل هر چيز كه مورد علاقه مردم است پخش شوند مانند بازيهاي كامپيوتري رايگان تصاوير جذاب موسيقي MP3 و غيره احتمال دارد كه شما اسب تروا را از اينترنت و يا آرشيو FTP يا از طريق نرم افزار هاي ICQ يا IRC به هنگام انتقال و تبادل فايل هاي دريافت كنيد. اسب هاي تروا معمولا به صورت دستي اجرا مي شوند ممكن است اين فايل ها در نظر كاربر به عنوان فايل هاي اجرايي ( به دليل مخفي بودن پسوند فايل ها و يا صرفا بي احتياتي) تصور شوند و به اجرا در آيند اسبهاي تروا معمولا خيلي آرام و بي سرو صدا خسارت خود را به هارد ديسك يا شبكه وارد مي كنند .


چگونه مي توان از آلوده شدن سيستم به اسب تروا مصون ماند ؟



مهمترين نكته در اين مورد اطمينان از منبع محتواي فايل هايي است كه از اينترنت دريافت مي كنيد. به عبارتي نه تنها بايد به فرد يا سروري كه فايل را از آن دريافت مي كنيد اطمينان داشته باشيد بلكه از سالم بودن محتواي فايل نيز مطمئن باشيد براي اجتناب از آلودگي به اسبهاي تروا به چند نكته اشاره مي كنيم :



1 – هيچ گاه از سايت ها يا افرادي كه 100 درصد به آنها مطمئن نيستيد فايلي را كوركورانه دريافت نكنيد. به عبارتي يك ضرب المثل قديمي است كه مي گويد (هرگز از غريبه ها شيريني نپذيريد) چنانچه بازيهاي تجاري يا نرم افزار هاي ديگر را از منابع تبليغاتي دريافت مي كنيد نه تنها قانون كپي رايت را زير پا گذاشته ايد بلكه در معرض آلودگي به اسب تروا قرار خواهيد گرفت



2 – حتي زماني كه فايلي از يكي از دوستان صميمي خود دريافت مي كنيد باز هم قبل از باز كردن فايل از سلامت محتواي آن اطمينان حاصل كنيد (همان طور كه ويروس هاي Melissa و LoveBug اين امر ثابت كردند) تنها با باز كردن فايل اسب تروا (با دابل كليك كردن روي آن پيش نمايش فايل و غيره)اين فايل صدمات خود را به سيستم وارد مي آورد همواره به ياد داشته باشيد كه هيچ دليلي وجود ندارد كه يك دوست يا همكار براي شما فايل اجرايي بفرستد در هر حال اگر احتمال انجام اين كار را از طرف كسي مي دهيد ابتدا از وي در مورد صحت آن سوال كنيد.



3 – مراقب پسوند فايل هاي پنهان باشيد!

ويندوز طبق پيش فرض پسوند انتهاي فايل را پنهان مي كند مثلا فايلي با نام (Susie.jpg) ممكن است در اصل يك فايل اجرايي با نام (Susie.jpg.exe) و يك اسب تروا باشد . براي جلوگيري از اشتباه كاري كنيد كه پسوند فايل ها در ويندوز نمايش داده شوند.



4 – هرگز در برنامه از ويژگي هاي كه به صورت خودكار فايل ها را اجرا مي كنند و پيش نمايش آن را نشان مي دهند استفاده نكنيد اگر چه ويژگيهاي مزبور ظاهرا مفيد به نظر مي رسند ولي در عين حال باعث مي شوند كه هر كس بتواند هر چه را كه مي خواهد براي شما بفرستد : از اسب هاي ترواي خطرناك گرفته تا عكس هاي نا جور و فايل هاي حجمي كه پهناي باند شما اشغال كرده و هارد شما را پر مي كنند به عنوان مثال هرگز در برنامه mIRC ويژگي Auto DCC get را فعال نكنيد در عوض هميشه هر فايلي را كه به صورت دستي دريافت مي كنيد ابتدا چك كنيد. همچنين حالت پيش نمايش را در Outlook و ساير برنامه هاي پست الكترونيك غير فعال كنيد.



5 – هرگز كوركورانه فرمانهايي را كه ديگران به شما گفته اند صادر نكنيد و به ياد داشته باشيد كه اسكريپت و برنامه هاي بي دقتي در اين زمينه به اين معنا ست كه شما به يك غريبه اجازه داده ايد كه كنترل كامپيوتر تان را به دست گيرد و در نهايت اين بي دقتي موجب مي شود كه سيستم شما به اسب تروا و بسياري موارد ديگر الوده شود.



6 – هرگز به خاطر داشتن برنامه هاي ضد ويروس احتياطهاي لازم را فراموش نكنيد چرا كه اكثر برنامه هاي ضد ويروس حتي اگر كاملا به روز رسيده باشند در مقابل تمامي ويروسهاي كامپيوتري و اسبهاي تروا از مصونيت كافي بر خوردار نيستند. در واقع به برنامه هاي ضد ويروس نبايد به عنوان مهمترين حصار امينيتي سيستم تكيه كرد زيرا آنها صرفا ابزارهايي هستند كه ضريب و احتمال آلوده شدن سيستم شما را كاهش مي دهند.



7 – در نهايت هرگز از روي حس كنجكاوي يك برنامه اجرايي را Download نكنيد زيرا اگر اين برنامه يك اسب تروا باشد به محض اينكه آن را اجرا كنيد آلوده مي شويد.

برگرفته از سايت Irsecure

آشنايي با ويروس MyDoom



شيوع ويروس خطرناك MYDoom.A و MyDoom.B

شيوع ويروس MyDoom در اينترنت به سرعت گسترده شد. شركت مايكروسافت براي دومين بار طي رويه اي جديد به جاي چاره انديشي اساسي در مورد مشكلات امنيتي محصولات خود , جايزه اي 250,000$ براي شناسايي تهيه كنندگان اين ويروس اعلام كرد.

پيش بيني مي شود كه شيوع اين ويروس اختلالاتي را در كاركرد سيستم هاي آلوده و ترافيك شبكه اي و اينترنت در روزهاي آتي براي كاربران ايراني ايجاد خواهد كرد. در اين مطلب توضيحي اجمالي در مورد اين ويروس و نحوه پاكسازي آن ارائه شده است:

اين ويروس به فرمت يك فايل اجرايي Pack شده با اندازه 22.528 بايت توسط Email و سيستم اشتراك فايل Kazaa منتشر مي شود.



انتشار از طريق email:

ويروس به شكل Attachment با عنوان (Subject) و متن متغير ارسال مي شود. آدرس فرستنده نيز به صورت random و غير معتبر است.

عناوين ممكن تركيبهاي تصادفي از موارد زير مي باشد:

Error
hello
HELLO
hi
Hi
Mail Delivery System
Mail Transaction Failed
Server Report
Status


متن email نيز بصورت تصادفي توسط كد ويروس ايجاد مي شود و در اكثر موارد شبيه متن زير است:
The message contains Unicode characters and has been sent as a binary attachment.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

و يا :

Mail transaction failed. Partial message is available.

نام فايل attachment حاوي ويروس به صورت تصادفي از بين ليست زير انتخاب مي شوذ:
Data
Readme
Message
Body
Text
file
doc
document

پسوند (Extension) اين قايل نيز باز بصورت تصادفي .bat, .cmd, .pif, .exe, and .scr يا zip مي تواند باشد.


ويروس آدرسهاي ارسال را با جستجو در كامپيوتر آلوذه شده داخل فايلهايي با Extension هاي زير جستجو مي كند:

adb
asp
dbx
htm
php
sht
tbb
txt
wab


انتشار از طريق Kazaa :

ويروس با كپي كردن خود در Folder هاي Share شده اين نرم افزار با نامهاي زير منتشر مي شود:

nuke2004
office_crack
rootkitXP
strip-girl-2.0bdcom_patches
activation_crack
icq2004-final
winamp5



جزييات فعال و اجرا شدن ويروس:

به محض اجرا شدن ويروس, كذ اصلي ويروس يك كپي از خود را در دايكركتوري system با نام taskmon.exe ايجاد كرده و با اضافه كردن كليد زير به registry سيستم باعث اجرا شدن ويروس در هر بار راه اندازي سيستم مي شود:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \TaskMon = %System%\taskmon.exe"


%System% توسط كد ويروس تنظيم مي شود.

ويروس با ايجاد فايلي با نام SHIMGAPI.DLL در دايركتوري system و اضافه كردن كليد به registry ويندوز كد Dll خود را به داخل پروسس explorer.exe وارد مي كند.

اين Dll يك Backdoor خاص است كه روي پورت 3127 TCP منتظر دريافت اطلاعات binary يا payload مانده و بعد از ذخيره سازي آنها را اجرا مي كند.

همچنين يك روتين DoS Attack با هدف حمله به سايت www.sco.com (http://www.sco.com/) در نسخه ابتدايي ويروس قرار داده شده بود كه در ساعات بعد با باز توليد گونه هاي جديد اين ويروس www.microsoft.com (http://www.microsoft.com/) هم مورد حمله قرار خواهد گرفت.

همچنين در گونه B از اين ويروس اسامي فايلها و كليدهاي رجيستري تغيير يافته اند.

آشنايي با BINDER ها



در مقالات قبلي ويروس ها را به دو دسته ساده و مركب تقسيم كرده بوديم . ويروس هاي ساده كه طرز كار ساده اي دارند و به سادگي توسط آنتي ويروس ها شناسايي شده و يا حتي ممكن است به تنهايي يكي از انواع Worm ها يا Trojan ها يا Logic Bomb ها باشند .

ولي يك ويروس مركب ممكن است مجموعه هر سه يا حداقل دو نوع باشد كه بوسيله برنامه اي به نام Binder به هم متصل مي شوند .

طرز كار اين برنامه بدين طريق است كه مي تواند با تركيب چند فايل اجرايي و تبديل آنها به يك فايل به چند هدف برسد مثلاً پنهان كردن ويروسها از ديد آنتي ويروسها



نكته : البته Binder هاي معروف هم توسط آنتي ويروسها شناخته شده و جلو كار آن گرفته مي شود .

دومين كاري كه يك Binder مي كند متمركز كردن ويروس از چند فايل به يك فايل است و به محض اجراي اين فايل تمام فايل هاي اديت شده اجرا و اگر اين چند فايل داراي هماهنگي با يكديگر باشند مي توانند ويروس وحشتناكي را به وجود بياورند. البته بعضي از اين Binder ها قابليت دستكاري در رجيستري Windows را هم دارند و مي توانند يك Start Up در رجيستري براي ويروس طراحي كرده كه از آن طريق (بستگي به ساختار ويروس دارد) در حافظه باقي بمانند يا دستورات برنامه ريزي شده را اجرا كنند .

البته Binder هاي بزرگ كه نام بزرگي از لحاظ شهرت دارند امكان انتخاب ICON را در آخر براي فايل نهايي مي دهند. كه با ترفند هاي ساده ولي كاري مي شود كاربران مبتدي و متوسط و بعضي وقتها حرفه اي ها را هم گول زد. مثلا دقت نكردن به پسوند اصلي فايل منظورم پسوندي است كه فايل به كمك آن خوانده مي شود. در اكثر Binder ها اين پسوند نهايي EXE مي باشد ولي مي توان Header اي ايجاد كرد و پسوند EXE را مخفي كرد!

اكثرا هكرهاي مبتدي و متوسط از Binder ها استفاده مي كنند چون قدرت نوشتن يك ويروس با قابليتهاي مختلف مثلا تكثير يا Send password و آلوده كردن فايل هاي ديگر را ندارند و وجود اين برنامه هم مشكلي براي شركت هاي آنتي ويروس پيش مي آورد چون متاسفانه رشد اين برنامه ها هم رو به رشد مي باشد .

نكته : اكثر اين برنامه ها (Binder) ها قابليت خرد كردن و تقسيم كردن فايل مبدا را پس از آلوده كردن به چند فايل در جا هاي مختلف سيستم دارند. پس مي توان نتيجه گرفت كه اگر ويروس اصلي خنثي نشود و بعداً كاربر بخواهد سيستم خود را از وجود ويروس پاك كند با چند نوع ويروس مختلف رو به رو شود كه كار پاك سازي به مراتب سخت تر مي شود پس باز هم توصيه مي كنم هر فايلي را قبل از اجرا كردن اسكن كنيد.



شايد اين سوال براي شما پيش بيايد كه حجم لينك چند ويروس با هم بالا مي رود ولي در Binder هاي پيشرفته متاسفانه اين مشكل بر طرف شده و Binder قادر خواهد بود فايل نهايي خود را فشرده كند كه اين امر خود باعث كاهش حجم فايل ها مي شود.

برگرفته از irsecure

آشنايي با ويروس Raleka

نام : Raleka

نام مستعار : Worm.Win32.Raleka, W32/Raleka, W32/Raleka.worm, WORM_RALEKA

مبدا : اسپانيا



اين كرم يك كرم مبتني بر شبكه است . بدان معني كه فقط راه تكثير و افزايش آن از طريق شبكه امكان پذير مي باشد . اين كرم از (Exploit) RPC استفاده مي كند و از اين نقطه نظر مي توان آن را جزو خانواده MSBLast/Lavsan محسوب كرد . محتواي اين كرم امكان كنترل IRC را داشته و مي توانند از backdoor آن استفاده كند و با دستوري خاص شروع به دانلود كردن Patch از Microsft كند و شروع به رفع مشكل باگ DCOM كند( البته فقط در كامپيوتر هاي آلوده ).



توصيف جزييات :

اين كرم را با زبان برنامه نويسي C نوشته اند . حجم بدنه اين كرم در هنگامي كه از حالت فشرده UPX خارج مي شود ، در حدود 41504 بايت است . هنگامي كه كرم شروع به فعاليت مي كند ، سعي مي كند سه فايل را از ايستگاه هاي از قبل تعيين شده WEB دانلود كند .

1 – svchost32.exe

اين فايل بدنه ويروس را ترجمه مي كند

2 – ntrootkit.exe

يك Update را براي Backdoor در ويندوز هاي NT نصب مي كند .

3 – ntrootkit.reg

اين Backdoor را در ويندوز هاي Nt در رجيستري نصب مي كند . اين فايل كليدي در رجيستري براي نصب Backdoor در ويندوز XP است . در كاربراني كه از ويندوز XP استفاده مي كنند ، از ابزار reg.exe براي نصب اين Backdoor استفاده مي كند.

Raleka از طريق (Exploit) RPC/DCOM شروع به اسكن كردن رنج IP ها مي كند و تلاش مي كند تا بطور همزمان حدود 100 Ip مختلف را براي نفوذ و رخنه اسكن مي كند .

وقتي به يك سيستم آسيب پذير برسد ، كرم يك فايل به نام Down.com از طريق پوسته Exploit RPC تدارك مي بيند و آن را فراخواني مي كند.با توجه به باگي كه در كرم وجود دارد ممكن است مجدداً سيستم مورد حمله اين كرم واقع شود .

حجم فايل Down.com كم است و قابليت اجرايي دارد و توسط كد هاي ASCII دسته بندي شده و به وسيله برنامه داس و از طريق NetSend در شبكه فراخواني مي شود.

هنگامي كه فايل DOS COM اجرا شد ، شروع به رمز گشايي ويندوز كرده و اجراي ويروس را امكان پذير مي كند. اين كرم داراي ساختار دروني HTTP سرور است . كه از اين سرور براي حمل و نقل اجزا كرم و Backdoor آن استفاده مي كند . سرور HTTP به پورتهاي راندوم بزرگتر از 32768 گوش مي دهد .

اين فايلها در سرور HTTP براي كپي كردن دانلود كردن موجود است :

1 – svchost.exe

كرم اين فايل را در شاخه سيستم ويندوز كپي مي كند

2 – ntrootkit.exe

backdoor ويندوز هاي نسل NT

3 – ntrootkit.reg

فايلي كه ريجستري را با Backdoor ست مي كند

و در آخر هم بصورت آشكار به محل هاي زير سرايت مي كند :

Files:

%windir%\system\svchost.exe: the worm itself %windir%\system\svchost32.exe: the updated version of the worm

%windir%\system32\ntrootkit.exe: NT backdoor %windir%\system32\ntrootkit.reg: Registry file for NT backdoor

%windir%\system32\svchost.cmd: Batch file to start the worm

كليد هايي كه در رجيستري ايجاد مي شوند عبارتند از :

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers]

"^%SystemRoot^%\\SYSTEM32\\NTROOTKIT.exe"="WIN2000"

"C:\\WINDOWS\\SYSTEM32\\NTROOTKIT.exe"="WIN2000"



ساختمان backdoor :

Raleka داراي يك Backdoor در IRC مي باشد كه مي تواند يك سرور از پيش تعيين شده را به قرباني متصل كند . پس از الحاق مهاجم مي تواند از طريق خط فرمان كاملاً روي سيستم آلوده تسلط يافته و استفاده كنند .

آشنايي با ويروس SirCam



اين ويروس قابليت پر كردن فضاي هارد ديسك كاربران را دارد.حذف فايلها و توزيع اسناد خصوصي و همچنين مخفي ماندن از ديد برنامه هاي عادي ويروس ياب در اينترنت از ويژگي هاي ديگر آن است و با استفاده از كتابچه آدرس هاي Microsoft Outlook در اينترنت انتشار مي يابد.

مركز تحقيقات ضد ويروس شركت سيمانتك (SARC) اين ويروس را كه Sircam نام دارد از نظر ايجاد خطر در رده چهارم قرار داده است. گروه واكنش هاي اضطراري ضد ويروس شركت مك آفي ( AVERT) و مركز اطلاعات ويروس ترند مايكرو خطر اين ويروس را متوسط خواندند .Sircam در فهرست ويروس هاي خطرناك مركز جهاني رديابي ويروس ترند ، مقام سوم را به خود اختصاص داده است .

اين ويروس معمولاً به صورت ضميمه نامه الكترونيكي به نام Sircam از راه مي رسد و خطرات آن درجات متفاوتي دارد كه به صورت تصادفي به وقوع مي پيوندند . ممكن است يك كاربر حامل ويروس باشد اما هرگز آلوده نشود .

استيوتر يلينگ مدير مركز تحقيقات SARC اظهار داشت :

وقتي اين ويروس را فعال كنيد . سه اتفاق عجيب و غير عادي رخ مي دهد . اين ويروس در وهله اول يك عدد تصادفي را محاسبه مي كند كه به احتمال 1 به 33 با هر بار راه اندازي سيستم با افزودن متن به يك فايل سيستمي در داخل Recycle Bin (C: recycledsircam.sys) تمام فضاي باقيمانده روي هارد ديسك را پر مي كند .



در مرحله بعدي ويروس تاريخ سيستم را كنترل مي كند و اگر تاريخ شانزدهم اكتبر باشد سيستم عامل ويندوز از يك قالب اروپايي براي تاريخ استفاده مي كند (سال / ماه / روز) آن وقت دوباره يك عدد تصادفي توليد كرده كه به احتمال 1 به 20 دستگاه را وادار به حذف تمام فايلها در هارد ديسك مي كند و بالاخره اين ويروس يك سند تصادفي را از هارد ديسك كاربر استخراج كرده و با اضافه كردن آن به بدنه اين ويروس منتشر شده و هارد ديسك ساير كاربران را آلوده مي كند. اگر سند محرمانه باشد امنيت اطلاعات خصوصي و شخصي نيز به خطر مي افتد .



تريلينگ مي گويد كه مشخصه غير عادي ديگر اين ويروس اين است كه وقتي يك فايل را از هارد ديسك براي ارسال به ساير كاربران منتقل (Upload) مي كند به نام فايل پسوند exe ., bat., cam., link را مي افزايد اگر فايل مورد نظر پسوند link يا .bat داشته باشد ويروس اساساً خود را خنثي مي كند و ديگر نمي تواند به درستي عمل كند . ويروس Sircam خود را در Recycle Bin ويندوز مايكروسافت مخفي مي كند، چرا كه اكثر ويروس ياب ها آن را براي رديابي ويروس اسكن نمي كنند. اين ويروس يك كرم كامپيوتري نيز هست و از طريق دفترچه آدرس Microsoft Outlook كاربر و كپي كردن خود به تمام درايوهاي اشتراكي كه مي يابد منتشر مي شود. نامه الكترونيكي ارسال شده به زبان انگليسي يا به زبان اسپانيايي است و اگر چه متن پيام متفاوت است اما بيشتر به يكي از اشكال زير ظاهر مي شود:



Hi! How are you?



I send you this file in order to have your advice



I hope you can help me with this file that send



I hope you like the file that I send to you



This is the file with the information that you ask for



See you later. Thanks





آخرين ويروس شناخته شده اي كه از تاريخ خاص براي فعال شدن استفاده كرد ويروس چرنوبيل بود كه روز بيست و ششم آوريل 2000 سالگرد انفجار چرنوبيل در روسيه فعال شد. اين ويروس نيز ماهها قبل از تاريخ فعال شدن (اوت 1999) شيوع يافت و بدين ترتيب قبل از حمله به كاربران فرصت كافي داد تا سيستم خود را از وجود اين ويروس پاكسازي كنند.

آشنايي با ويروس SlAPPER

بنا به اظهارات شركت امنيتي كه انتشار كرم SLAPPER را كنترل و نظارت مي كردند، اين كرم 8 سپتامبر سال 2003 شناسايي شد و به آرامي هزاران وب سرور آسيب پذير Linux Apache را در اينترنت آلوده كرد. اين كرم تا به حال دست كم 30 هزار وب سرور Linux Apache را به علت عدم ترميم و رفع ضعفها و آسيب پذيريهاي Open SSL توسط نرم افزار هاي مربوط آلوده كرده است. وب سرور ها به محض آلوده شدن به اين كرم مجبور مي شوند كه به يك شبكه نظير به نظير (Peer - to – Peer) بپيوندند. اين شبكه مي تواند براي انتقال مستقيم انواع برنامه به سرورهاي آلوده توسط هر شخص در آن شبكه مورد استفاده قرار گيرد.

اگر چه Slapper تا كنون خطرناك به نظر نمي رسيد اما اين كرم موذيانه به نفوذگران اجازه مي دهد تا به شبكه نظير به نظير بپيوندند و از دستگاه هاي موجود در آن استفاده كنند.



((توني ماگالانز )) مهندس سيستم شركت امنيتي F-Secure مستقر در فنلاند مي گويد :

حوزه هاي mil,..net,.com همگي آلوده شده اند .Slapper يك اسب تروا را در دستگاههايي كه آلوده مي كند قرار مي دهد و گوش به زنگ درگاه( UDP (User Datagram Protocol مي ماند. در چنين شرايطي شما مي توانيد فايلها يا برنامه هاي كاربردي را مستقيماً وارد سيستم كنيد.



ماگالانز مي گويد:

كرم Slapper بر خلاف اغلب ويروس ها با جستجوي قربانيان جديد انتشار مي يابد كد منبع خود را حمل مي كند و در عين حال دستور العمل هايي براي استفاده از آن به همراه دارد. متخصصين شركت F-Secure يك سرور Linux Apache را به عنوان قرباني در نظر گرفته و آن را آلوده كرده اند تا بدين ترتيب بتوانند توانايي انتشار و فعاليت كرم را مشاهده كنند.



بزرگترين مشكل كرم Slapper در زمان انتشار اين است كه بايد خود را كامپايل كند و از آنجا كه ارقام باينري حاصل از ترجمه در هر دستگاه كمي متفاوت است كدهاي باينري مربوط به اين كرم در تمامي سيستم هاي لينوكس با يكديگر تفاوت دارند.



وب سرور هاي Linux Apache شامل Rad Hat ,. Caldera OpenLinux ,. Stackware ,. Debian كه از پروتكل Open SSL استفاده مي كنند ،بايد مطابق دستورالعملهاي گروهي Open SSL ترميم شوند.



ماگالانز مي گويد :

اين احتمال وجود دارد كه وقتي اين كرم به يك وب سرور Linux Apache آسيب پذير نفوذ مي كند مجوز هاي دسترسي به فهرست ريشه اي را بربايد . وي مي افزايد : كرم Slapper احتمالا از مكاني در شرق اروپا نشات گرفته است. يك نويسنده نا شناس براي تكذيب در نامه اي با متن انگليسي روان اعلام كرده كه اين كد با هدف تخريب نوشته نشده است .



مگالانز مي گويد:

براي حذف Slapper از دستگاه هاي آلوده لازم است 3 فايل زير را در فهرست ريشه اي جستجو كنيد:



Bugtraq و Uubugtraq.c و Uubugtraq



كار دشوارتر بررسي دقيق تمامي دستگاه هاي آلوده است تا بدين وسيله تعيين شود كه آيا فايل هاي مهم با سوء استفاده اشخاص از شبكه نظير به نظير كه Slapper به وجود آورده است تغيير كرده يا تخريب شده است.

روش از بین بردن ویروس COPY.EXE یا Perlovga - Brontok

دوستان عزیز با توجه به انتشار ویروس جدید COPY.EXE و درد سرهائی که برای کاربران بوجود آمده است تصمیم گرفتم تا این تاپیک را ایجاد کنم.

امیدوارم مفید واقع شود.


چند ویروس جدیدا خیلی پخش شدن و مشکلات زیادی رو بوجود آوردن. که در واقع تلفیقی از چند ویروس و تروجان هستن. این نوع وبروس رو دو مشخصه داره که میشه از روی اون فهمید آیا سیستم ویروسی هست یا نه.

1- موقعی که روی هر کدوم از پارتیشن های هارد (C,D,E,…) رایت کلیک کنید اولین گزینه Autoplay هست. که این گزینه در حالت عادی وجود نداره.
2- بعد از اینکه ویندوز بالا میاد بعد از چند ثانیه ریست میشه. (البته این مشخصه دوم در همه ی سیستم های آلوده وجود نداره)

فایل های آلوده اینها هستند:

temp1.exe آلوده به ویروس Virus.Win32.Perlovga.b در فولدر system32
temp2.exe آلوده به ویروس Backdoor.Win32.small.lo در فولدر system32
host.exe آلوده به تروجان Trojan-Dropper.Win32.Small.apl در همه پارتیشن ها (hidden می باشد)
copy.exe آلوده به ویروس Virus.Win32.Perlovga.a در همه پارتیشن ها (hidden می باشد)
بعلاوه فایل های وبروس Brontok


روش از بین بردن این ویروس :

برای از بین بردن این وبروس اگر که سیستم ریست میشه می تونید از طریق safemode وارد ویندوز بشید، بعد روی my computer رایت کلیک کنید و properties رو انتخاب کنید، وارد قسمت System Restore شوید و گزینه turn off رو تیک زده و ok کنید. Ctrl+alt+delete را بگیرید و از پنجره processes دو فایل temp1.exe و temp2.exe رو end task کنید.
سپس وارد قسمت Tools>folder option>view شوید و show hidden file و hide protected operatinf system رو تيك بزنيد و ok كنيد.

حالا وارد هر كدوم از درايوهایتان شده و فايل autorun.inf رو پاك كنيد.

در ضمن به پیشنهاد كه خود temp1 , temp2 رو هم پاك كنيد .