سه شنبه, ۲۶ تیر, ۱۴۰۳ / 16 July, 2024
مجله ویستا

کرم‌های جدید و ویروس‌ها


کرم‌های جدید و ویروس‌ها
● W۳۲/Bagle.aa@MM
این كرم در تاریخ ۲۸ اوریل امسال شناسایی شد . مبدأ آن ناشناس است و در طول های مختلف توزیع می شود . كرم مذكور هم سیستم های خانگی و هم سیستم های اداری را تهدید می نماید . اما سطح تهدید این كرم متوسط می باشد .
كرم W۳۲/Bagle.aa@MM گونه ی جدیدی از كرم W۳۲/Bagle.@MM است و از طریق E_mail گسترش می یابد . این كرم مشخصات زیر را داراست :
• دارای موتور SMTP مخصوص به خود است كه می تواند به تولید پیغام های جدید بپردازد .
• استفاده از آدرس های Email موجود بر روی سیستم آلوده .
• در قسمت : From پیغامی كه ارسال می شود از آدرس های مسخره و نادرست استفاده می گردد .
• پیوست Email نوعی فایل Zip است كه توسط كلمه ی عبور حفاظت می شود . كلمه ی عبور این پیوست درون پیغام اصلی قرار دارد .
• دارای مؤلفه ی دسترسی از راه دور است كه امكان دسترسی هكر فرستنده ی این ویروس را به سیستمی كه ویوس وارد آن شده است فراهم می سازد .
• خود را به داخل پوشه ای كه عبارت shar در نام آن وجود دارد كپی می كند . چنین پوشه هایی را می توان در برنامه های به اشتراك گذاری فایل مانند Kazaa ، Bearshare ، Limewire و غیره دید .
كرم مذكور با موضوعات بسیار زیادی توزیع می شود كه از جمله ی آنها می توان به موارد زیر اشاره كرد :
• Re: Msg reply
• Re: Thank you!
• Notification
• Re: Hello
• Re: Thanks
• Re: Yahoo!
• Re: Text message
• Incoming message
• Re: Document
• Re: incoming Msg
عناوین پیوست هایی كه كرم W۳۲/Bagle.aa@MM تحت آنها توزیع می شود بسیار زیاد است .
در زیر به تعدادی از آنها اشاره می كنیم :
• Information
• Document
• Morelnfo
• Details
• Info
• You_ will_ answer_ to_ me
• Text_ document
• The_message
• Readme
• Details
فایل حاوی این كرم یكی از پسوند های زیر را دارا می باشد:
• Hta
• Vbs
• Exe
• Scr
• Com
• cpl
پس از آن كه ویروس مذكور وارد سیستم شد كلید زیر را به رجیستری ویندوز می افزاید :
HKEY_CURRENT_USER/Software/Microsoft/Current Version/Run
Drvddll.exe=C:/WINNT/SYSTEM۳۲/drvddll.exe
در كلید رجیستری فوق به جای drvddll.exe ، نام هایی كه فایل حاوی كرم W۳۲/Bagle.aa@MM اتخاد می كند قرار می گیرد .
كرم مذكور سعی می كند با اتخاذ نام های فایلی خاص و گول زننده به فریب برنامه های امنیتی داخل سیستم بپردازند .
نام های فایلی كه این كرم اتخاذ می كند بسیار زیاد است و در حوصله ی این مقاله نمی گنجد به همین دلیل ما فقط به تعدادی از آنها اشاره می كنیم :
• Anti Trojan.exe
• BootWarn.exe
• Clean.exe
• DPFSetup.exe
• EScanHNT.exe
• FRW.exe
• GuardDog.exe
• HTLOG.exe
• Lfw۲۰۰۰exe
• Kerio WRL ۴۲۱ EN WIN.exe
• NC۲۰۰۰.exe
• PCDSETUP.exe
• QCONSOLE.exe
• ANTIVIRUD.exe
• Blacklce.exe
• CleanPC.exe
• DRWEBUPW.exe
• EXAntiVirus CNET.exe
• GUARD.exe
• HackTracerSetup.exe
• lcloadnt.exe
• JAMMER.exe
• MSCONFIG.exe
• OUTPOST.exe
• FSAV.exe
• RRGAURD.exe
• SAFEWB.exe
• TlTANlN.exe
• VBWlNNTW.exe
• SysEdit.exe
• ZAPRO.exe
• WNT.exe
▪ BAT. Sebak
BAT.Sebak اسب تراوایی می باشد كه پس از ورود به سیستم ابتدا پیغامی را نمایش داده و سپس عملكردی از سیستم را غیر فعال می كند . این اسب تراوا سیستم های مبتنی بر ویندوز ، لینوكس ، مكینتاش ، یونیكس ،Novell Netware و OS/۲ را مورد حمله قرار می دهد .این اسب تراوا پس از ورود به سیستم اعمال زیر را در سیستم انجام می دهد :
۱ ـ در پوشه های %Windir و C:/Mydocu~۱ پسوند فایل ـ هایی كه دارای پسوندهای زیر هستند را به bat . تغییر می دهد :
• .txt
• log.
• .tmp
• .net
• .jpg
• .gif
• .avi
• .doc
• .xls
• .bmp
توجه : در اینجا %Windir% یك متغیر است و منظور از آن پوشه ی نصب ویندوز می باشد . معمولاً به طور پیش فرض این پوشه C:/Windows یا C:/Winnt می باشد .
۲ ـ خود را به صورت %Winir%/system۷.bat كپی می كند.
۳ ـ یك كپی از محتوای واقع در آدرس زیر را در پوشه ی %Windir% قرار می دهد :
http://securityresponse.symantec.com/avcenter/venc/data/vbs.tante.a@mm.html
۴ـ مقدار Epy=C:/Windows/system۷.bat را به كلید زیر از رجیستری می افزاید :
HKEY_Local _MACHlNE/SOFTWARE/Microsoft/Windows/CurrentVersion/Runبه این ترتیب اسب تراوای BAT.Sebak هنگام راه اندازی ویندوز شروع به اجرا شدن می نماید .
۵ ـ كادر پیغامی با متن زیر را نشان می دهد :
lm Batch Epy and You areBiTchEpy…!! BAT/EpyCreated By sevenC {۱۷ _۰۴ _۰۴} Bekasi lndonesia
۶ ـ در صورتی كه تقویم سیسم روز نوزدهم از ماه را نشان می دهد یا ساعت سیستم بر روی ساعت ۱۹ یا دقیقه ۱۹ و یا ثانیه ۱۹ قرار بگیرد ؛ فعال شده و باعث غیر فعال شدن برخی از عملكردهای سیستم مانند از كار افتادن ماوس و صفحه كلید و یا قفل كردن سیستم می شود .
شركت Symantec برای برخورد و مقابل با تهدیدات مختلف اینترنتی راه های زیر را به كاربران و مدیران شبكه پیشنهاد می كند :
سرویس های غیر ضروری موجود بر روی سیستم را خاموش كرده و حذف نمایید . به طور پیش فرض برخی از سیستم های عامل تعدادی سرویس را نصب می كنند كه چندان برای سیستم ضروری نیستند .
از جمله ی این سرویس ها می توان به سرویس دهنده ی FTP ، Telnet و یا سرویس دهنده ی وب اشاره كرد . این سرویس ها مسیری برای حمله ی كدهای مخرب به حساب می آیند .
با حذف این سرویس ها و پس از پاك كردن این كد مخرب ؛ سرویس های كمتری به نصب Patch نیاز خواهند داشت .
اگر كد مخربی یك یا چند سرویس شبكه ای را مورد حمله قرار داد آن سرویس ها را تا زمانی كه آن كد را پاك نكرده اید و Patch لازم را نصب ننموده اید ؛ غیر فعال كرده و یا راه دسترسی به آنها را برای سایر كاربران مسدود كنید .
همیشه سعی كنید Patch های جدید را دریافت كرده و سرویس هایتان را به روز نگه دارید خصوصاً در مورد كامپیوترهایی كه میزبان سرویس های عمومی هستند و یا از طریق دیوار آتش قابل دسترس می باشند مانند سرویس های پستی HTTP ، FTP ، و یا DNS .
از كلمه ی عبور برای حفاظت بیشتر از سیستم استفاده كنید . به كارگیری كلمات عبور پیچیده راه ورود كدهای مخرب را دشوار می سازد چرا كه شكستن كلمات عبور پیچیده به مدت زمان و تلاش زیادی نیاز دارد .
سرویس دهنده ی Email تان به گونه ای پیكربندی كنید كه راه را بر Email هایی كه پیوست آنها دارای پسوند های معروفی چون .vbs ، .bat ، .exe ، .pif ، و .scr هستند بسته و یا آنها را حذف كند . غالباً پیوست های Email ی مخرب دارای پسوندهای مذكور می باشند .
اگر در یك شبكه قرار دارید به محض اطلاع از آلوده شدن یك سیستم ، آن را از شبكه خارج سازید تا مانع توزیع كد مخرب بین سایر كامپیور ها شوید .
مدیران شركت های كامپیوتری باید آموزش های لازم را در اختیار كاركنان قرار دهند و به آنها بیاموزند كه فقط پیوست های Email ی آشنا و پیوست هایی كه انتظارشان را می كشند باز كنند .
قبل از باز كردن نرم افزار های Download شده از اینترنت ؛ آنها را توسط برنامه های ضد ویروس چك كرده و از آلوده نبودنشان مطمئن شوید . البته گاهی تنها مرور یك سایت آلوده می تواند مرورگر آسیب پذیر شما را نیز آلوده كرده و وارد سیستم تان شود .
علاوه بر به كارگیری توصیه های بالا لازم است اقدامات زیر را انجام دهید :
۱ـ برنامه System Restore را در ویندوزهای Me و XP غیر فعال كنید .
۲ـ ضد ویروس تان را به رور نمایید .
۳ـ تمام سیستم را اسكن كرده و تمام فایل هایی كه آلوده شده اند را حذف كنید .
۴ـ مقدرا افزوده شده به رجیستری را حذف كنید .
▪ غیر فعال كردن برنامه ی System Restore
توصیه می شود درسیستم های ویندوز XP و Me به طور موقت برنامه ی System Restore غیر فعال گردد . در این ویندوزها از ویژگی مذكور هنگام خراب شدن سیستم برای بازگردانی آن استفاده می شود . این ویژگی به طور پیش فرض فعال است .
وقتی یك ویروس ، كرم و یا اسب تراوایی وارد سیستم می شود ویژگی مذكور ممكن است پشتیان آنها را نیز به همراه سایر اقلام سیستم تهیه كند .
از طرفی ویندوز به برنامه های خارجی مانند ضد ویروس ها اجازه ی ایجاد تغییر در محتوای System Restore را نمی دهد .
به این ترتیب ویروس هایی كه توسط ویژگیSystem Restore پشتیبان آنها ذخیره می شود را نمی توان از پوشه ی System Restore پاك كرد . حتی پس از آن كه شما ویروس را از سیستم خود پاك نمودید هنوز این ویروس در پوشه ی System Restore وجود دارد و در صورتی كه سیستم خراب شود و شما بخواهید آن را به یك نقطه ی مطمئن قبلی بازگردانید ویروس نیز به همراه محتوایی كه بازگردانده می شود بر روی سیستم شما بارگذاری می گردد .
البته با استفاده از یك اسكن كننده ی ویروس می توان از وجود ویروس در System Restore مطلع شد .
▪ به روز نمودن شناسه های ویروسی .
برای دریافت شناسه های به روز شده ی ویروسی دو راه وجود دارد :
استفاده از سرویس های LiveUpdate : با استفاده از این سرویس ها می توان آخرین شناسه های یافت شده ی ویروسی را به ضد ویروس افزود . برای دسترسی به این سرویس ها باید به سایت شركت توزیع كننده ی ضد ویروس تان سر بزنید .
این سرویس ها را می توان تحت لینك هایی چون Virus Definitions و یا LiveUpdate پیدا كرد . شركت Symantec معمولاً هفته ای یك بار و آن هم روزهای چهار شنبه شناسه های جدید را بر روی سرویس دهنده ی خود قرار می دهد .
راه بعدی برای دریافت شناسه های جدید Download كردن آنها با استفاده از lntelligent Updater است . این مؤلفه بر روی وب سایت Security Response Symantec قرار دارد و از روز دوشنبه تا روز جمعه قابل دسترس می باشد . هنگام استفاده از این مؤلفه توجه به دو نكته ضروری است .
ابتدااز وجود شناسه ی مربوط به كد مخرب سیستم تان در فهرست lntelligent Updater مطمئن شوید و دیگر آن كه پس از Download كردن شناسه ی جدید آن را باید بر روی سیستم تان نصب كنید تا قابل استفاده گردد .
▪ اسكن كردن كل سیستم .
همانطور كه گفتیم یكی از اقداماتی كه باید پس از ورود كد مخرب به داخل سیستم انجام داد ، اسكن كردن تمام سیستم و یافتن فایل های آسیب دیده می باشد . اقدامی كه باید پس از یافتن فایل های آسیب دیده باید انجام دهید حذف آنها می باشد .
گاهی ضد ویروس می تواند سیستم را اسكن كرده و فایل های آسیب دیده را پیدا كند ولی قادر به پاك كردن آنها نیست . در چنین مواقعی معمولاً با این پیغام كه ویندوز در حال استفاده از آن فایل می باشد روبرو می شوید .
اگر برای شما چنین وضعیتی به وجود آمد سیستم را در حالت Safe Mode راه اندازی كرده و سپس به حذف فایل هایی كه ضد ویروس پیدا می كند بپردازید .
▪ پاك كردن مقدار افزوده شده به رجیستری .
قبل از آن كه به پاك كردن مقداری كه توسط ویروس به رجیستری افزوده می شود بپردازید باید یك پشتیبان از محتوای رجیستری تهیه كنید .
چون ایجاد تغییر در رجیستری گاهی می تواند ثبات سیستم را به هم بریزد .
برای حذف كلیدی كه اسب تراوای BAT.Sebak به رجیستری می افزاید ؛ به ترتیب زیر عمل می كنید :
۱ـ از منوی Start گزینه ی Run را انتخاب كنید .
۲ـ در فیلد Open عبارت Regedit را تایپ نموده و دكمه ی OK را كلیك كنید تا وارد برنامه ی Registry Editor شوید .
۳ـ مسیر زیر را طی نمایید :
HKEY_LOCAL_MACHlNE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
۴ـ از برنامه ی Registry Editor خارج شوید .
منبع : مرکز اطلاع رسانی خانواده شمیم