شنبه, ۲۹ دی, ۱۴۰۳ / 18 January, 2025
مجله ویستا

آشنایی با ویروس MyDoom


آشنایی با ویروس MyDoom
● شیوع ویروس خطرناک MYDoom.A و MyDoom.B
شیوع ویروس MyDoom در اینترنت به سرعت گسترده شد. شرکت مایکروسافت برای دومین بار طی رویه ای جدید به جای چاره اندیشی اساسی در مورد مشکلات امنیتی محصولات خود , جایزه ای ۲۵۰,۰۰۰$ برای شناسایی تهیه کنندگان این ویروس اعلام کرد.
پیش بینی می شود که شیوع این ویروس اختلالاتی را در کارکرد سیستم های آلوده و ترافیک شبکه ای و اینترنت در روزهای آتی برای کاربران ایرانی ایجاد خواهد کرد. در این مطلب توضیحی اجمالی در مورد این ویروس و نحوه پاکسازی آن ارائه شده است:
این ویروس به فرمت یک فایل اجرایی Pack شده با اندازه ۲۲.۵۲۸ بایت توسط Email و سیستم اشتراک فایل Kazaa منتشر می شود.
● انتشار از طریق email:
ویروس به شکل Attachment با عنوان (Subject) و متن متغیر ارسال می شود. آدرس فرستنده نیز به صورت random و غیر معتبر است.
عناوین ممکن ترکیبهای تصادفی از موارد زیر می باشد:
▪ Error
▪ hello
▪ HELLO
▪ hi
▪ Hi
▪ Mail Delivery System
▪ Mail Transaction Failed
▪ Server Report
▪ Status
متن email نیز بصورت تصادفی توسط کد ویروس ایجاد می شود و در اکثر موارد شبیه متن زیر است:
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in ۷-bit ASCII encoding and has been sent as a binary attachment.
و یا :
Mail transaction failed. Partial message is available.
نام فایل attachment حاوی ویروس به صورت تصادفی از بین لیست زیر انتخاب می شوذ:
▪ Data
▪ Readme
▪ Message
▪ Body
▪ Text
▪ file
▪ doc
▪ document
پسوند (Extension) این قایل نیز باز بصورت تصادفی .bat, .cmd, .pif, .exe, and .scr یا zip می تواند باشد.
ویروس آدرسهای ارسال را با جستجو در کامپیوتر آلوذه شده داخل فایلهایی با Extension های زیر جستجو می کند:
▪ adb
▪ asp
▪ dbx
▪ htm
▪ php
▪ sht
▪ tbb
▪ txt
▪ wab
● انتشار از طریق Kazaa :
ویروس با کپی کردن خود در Folder های Share شده این نرم افزار با نامهای زیر منتشر می شود:
▪ nuke۲۰۰۴
▪ office_crack
▪ rootkitXP
▪ strip-girl-۲.۰bdcom_patches
▪ activation_crack
▪ icq۲۰۰۴-final
▪ winamp۵
● جزییات فعال و اجرا شدن ویروس:
به محض اجرا شدن ویروس, کذ اصلی ویروس یک کپی از خود را در دایکرکتوری system با نام taskmon.exe ایجاد کرده و با اضافه کردن کلید زیر به registry سیستم باعث اجرا شدن ویروس در هر بار راه اندازی سیستم می شود:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunTaskMon = %System% askmon.exe"
%System% توسط کد ویروس تنظیم می شود.
ویروس با ایجاد فایلی با نام SHIMGAPI.DLL در دایرکتوری system و اضافه کردن کلید به registry ویندوز کد Dll خود را به داخل پروسس explorer.exe وارد می کند.
این Dll یک Backdoor خاص است که روی پورت ۳۱۲۷ TCP منتظر دریافت اطلاعات binary یا payload مانده و بعد از ذخیره سازی آنها را اجرا می کند.
همچنین یک روتین DoS Attack با هدف حمله به سایت www.sco.com در نسخه ابتدایی ویروس قرار داده شده بود که در ساعات بعد با باز تولید گونه های جدید این ویروس www.microsoft.com هم مورد حمله قرار خواهد گرفت.
همچنین در گونه B از این ویروس اسامی فایلها و کلیدهای رجیستری تغییر یافته اند.
● پاکسازی ویروس:
در صورتی که قادر به حذف Manual این ویروس با توضیحات فوق نیستید می توانید این برنامه (برای نوعA آن) را download و اجرا کنید.

برگرفته از سایت hat-squad
منبع : جنوبی ها