کرم در مقابل کرم

بیشتر كرمهای امروزی به فاصله كوتاهی پس از اینكه یك نقص امنیتی در سیستم های عامل كشف و اعلام می شود ، به فاصله كوتاهی و با سرعت هر چه تمامتر به پیدایش می رسند. بعنوان مثال كرم MSBLAST به فاصله كمی پس از اعلام یك نقص امنیتی در كدهای DCOM مربوط به RPC ‌در سیستم های NT , ۲۰۰۰,XP . MSBLAST تولید و وارد عمل شد. MSBLAST نیز مانند سایر كرمها فقط ابتدا یك كار را انجام می دهند ، اسكن كردنIP های شبكه و یافتن كامپیوترهای بی دفاع بر روی شبكه برای دستیابی به آنها. در روز ۱۶ آگوست MSBLAST حمله گسترده ای را از نوع حملات DOS ، علیه سایت WINDOWSUPDATE.COM آغاز كرد.
? نكته : MSBLAST یك تفاوت جزئی با كرمهای دیگر دارد و آن امكان استفاده از DNS‌ است. به همین دلیل صرف تغییر آدرس IP آدرس سایت به روز رسانی ویندوز برای منحرف كردن حمله كافی نبود. خوشبختانه آدرس بروز رسانی مایكروسافت در كد ویروس اشتباه درج شده بود كه باعث شد این حملات خطری را متوجه سرورهای مایكروسافت نكند.
آدرس سایت به روز رسانی مایكروسافت WINDOWSUPDATE.MICROSOFT.COM است اما MSBLAST به اشتباه آدرس WINDOWSUPDATE.COM را مورد حمله قرار داد.
روال كار مایكروسافت بدین شكل بود كه درخواست های ارسالی به WINDOWSUPDATE.COM را دریافت و سپس به سوی سرور اصلی خود كه همان وب سایت WINDOWSUPDATE.MICROSOFT.COM است هدایت می كرد. با حمله اشتباهی این كرم به سرور WINDOWSUPDATE.COM ، مایكروسافت تنها كاری را كه انجام داد این بود كه ارسالهای وب سایت WINDOWSUPDATE.COM را به سرور اصلی خود قطع كرد تا جلوی دستیابی به و آسیب رساندن به سرور اصلی خود را بگیرد. مایكروسافت سپس در یك اقدام تكمیلی با حذف كامل این آدرس از DNS خود امكان ایجاد هرگونه ترافیك اضافی در اینترنت توسط این سرویس را از آن سلب كرد. در نتیجه MSBLAST تقریبا هیچ كاری نتوانست با مایكروسافت بكند. البته این سوای دردسرهایی است كه برای مسئولان و مدیران شبكه در سراسر جهان درست كرد. شاید هیچ وقت نتوان فهمید كه نویسنده MSBLAST این خطا را از روی عمد در كد ویروس قرار داده و یا اینكه واقعا اشتباه كرده است. اما بعید به نظر می آید كه این یك اشتباه سهوی بوده باشد. هر كسی كه به اندازه كافی ذكاوت داشته باشد كه یك كرم بنویسد و آن را در اینترنت منتشر كند ، هیچ وقت اشتباه به این مضحكی را مرتكب نمی شود كه آدرس سرور قربانی را در آن اشتباه درج كند. استفاده از DNS در كرمها مقابله با آنها را مشكلتر خواهد ساخت. به همین دلیل بود كه جلوگیری از انتشار MSBLAST ساده نبود.در هر حال می توان با اطمینان گفت متوقف كردن ویروس بعدی بسیار مشكلتر از این یكی خواهد بود.MSBLAST از طریق پورت ۱۳۵ پروتكل TCP منتشر می شود و با وجود این موضوع ، بستن این پورت روی روترهای شبكه امكانپذیر نبود ، زیرا انجام این كار تمام برنامه هایی را كه از DCOM استفاده می كنند از كار می انداخت كه از آن جمله می توان به برنامه EXCHANGE اشاره كرد.
اتفاق جالب:
اتفاق جالبتر در هفته گذشته ، پیدا شدن كرم جدیدی به نام NACHI بود كه كارش شكار MSBLAST بود. NACHI با جستجو در شبكه كامپیوترهای آلوده به MSBLAST را پیدا میكرد و ضمن از كار انداختن آن سعی می كرد تا نقص امنیتی سیستم های آلوده را نیز برطرف كند. ایده ای كه شاید باعث تحول در نحوه برخورد با مشكل كرمهای اینترنتی شود.