جمعه, ۱۴ اردیبهشت, ۱۴۰۳ / 3 May, 2024
مجله ویستا
نمونه هائی از حملات اینترنتی توسط نامه های الکترونیکی
●بررسی عملکرد کرم ILOVEYOU
کرم فوق ، در یک اسکریپت ویژوال بیسیک و بصورت فایلی ضمیمه در یک نامه الکترونیکی عرضه می گردد .همزمان با بازنمودن فایل ضمیمه توسط کاربران، زمینه فعال شدن کرم فوق، فراهم خواهد شد . عملکرد این کرم ، بصورت زیر است :
▪نسخه هائی از خود را در فولدر سیستم ویندوز با نام MSKernel۳۲.vbs و LOVE-LETTER-FOR-YOU.vbs تکثیر می نماید.
▪نسخه ای از خود را در فولدر ویندوز و با نام Win۳۲DLL.vbs تکثیر می نماید .
▪اقدام به تغییر مقادیر دو کلید ریجستری زیر می نماید .کلیدهای فوق، باعث فعال نمودن ( فراخوانی ) کرم ، پس از هر بار راه انداری سیستم می گردند .
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent VersionRunMSKernel۳۲
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent VersionRunServiceWin۳۲DLL
▪در ادامه، بررسی می گردد که آیا دایرکتوری سیستم شامل فایل WinFAT۳۲.exe است؟ در صورت وجود فایل فوق( نشاندهنده ویندوز ۹۵ و ۹۸ )، صفحه آغاز برنامه مرورگر اینترنت( IE ) ، به فایل WIN-BUGFIX.exe بر روی سایت www.skyinet.net تبدیل می گردد . فایل فوق از یکی از دایرکتوری های موجود در سایت فوق با نام angelcat , chu , koichi دریافت خواهد شد . پس از فعال شدن مرورگر اینترنت ( در زمان آتی ) ، صفحه آغاز ، آدرس فایل مورد نظر را از راه دور مشخص وبدین ترتیب فایل از سایت skyinet اخذ می گردد . کلید ریجستری صفحه آغاز، در آدرس زیر قرار می گیرد .
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainStart Page
ما قادر به دستیابی به www.skyinet.net ، بمنظور اخذ یک نسخه از فایل فوق نمی باشیم . با پیگیری انجام شده بر روی اینترنت مشخص شده است که برنامه فوق ، ممکن است آژانسی بمنظور جمع آوری رمزهای عبور و ارسال آنها به یک سایت مرکزی از طریق پست الکترونیکی باشد .
▪ILOVEYOU
در ادامه بررسی می نماید که آیا ماشین را آلوده کرده است؟ بدین منظور در دایرکتوری مربوط به اخذ فایل ها (Download directory) ، بدنبال فایل WIN-BUGFIX.exe می گردد . در صورتیکه فایل فوق پیدا گردد ، کدهای مخرب ، یک کلید RUN را بمنظور فراخوانی WIN-BUGFIX.exe از دایرکتوری مربوطه فعال می نمایند .نشانه گویای این کلید ریجستری، بصورت زیر است :
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunWINBUGFIX
▪ILOVEYOU در ادامه
یک فایل با نام LOVE-LETTER-FOR-YOU.HTM در دایرکتوری سیستم ایجاد می نماید .فایل Htm ، شامل منطق VBScript بوده که به نسخه مربوطه vbs ارتباط خواهد داشت .
▪کدهای مخرب در ادامه
از طریق نامه الکترونیکی برای افرادیکه در لیست دفترچه آدرس مربوط به کاربر می باشند،اشاعه و توزیع می شوند . برای هر شخص موجود در دفترچه آدرس، یک پیام الکترونیکی ایجاد و یک نسخه از فایل LOVE-LETTER-FOR-YOU.vbs قبل از ارسال به آن ضمیمه می گردد. پس ازارسال پیام برای تمام افراد موجود در لیست دفترچه آدرس، ILOVEYOU برروی تمام درایوهای موجود در کامپیوتر ، عملیات خود را تکرار می نماید . درصورتیکه درایو یک درایو شناخته شده ( نظیر هارد و یا CDROM ) باشد ، در تمام زیرفهرست های موجود در درایو مربوطه ، عملیات جستجو برای یافتن فایل های با انشعاب vbs , vbe , sct , hta jpg , jpeg . انجام خواهد شد . تمامی فایل ها ی با انشعابات فوق، توسط کدهای مخرب بازنویسی و یک نسخه از کدهای مخرب در آنها قرار خواهد گرفت .
▪در صورتیکه فایلی از نوع mp۲ و یا mp۳ پیدا گردد، یک نسخه از کدهای مخرب در فایلی با انشعاب vbs ایجاد و در دایرکتوری مربوطه مستقر می گردد . نام فایل به نام دایرکتوری بستگی داشته و دارای انشعاب vbs است .
▪در صورتیکه ILOVEYOU فایلی با نام micr۳۲.exe , mlink.exe mric.ini و یا mirc.hlp را پیدا نماید، فرض را بر این خواهد گذاشت که فهرست مربوطه ، یک دایرکتوری شروع IRC)Internet Relay Chat) است وفایلی با نام Script.ini را ایجاد و در محل مربوطه قرار خواهد داد . اسکریپت فوق، زمانیکه برنامه سرویس گیرنده IRC اجراء گردد، شروع به فعالیت نموده و اقدام به ارسال کدهای مخرب برای تمام کامپیوترهائی که با میزبان آلوده یک ارتباط IRC ایجاد نموده اند ، خواهد کرد .
●بررسی عملکرد ویروس Melissa
Melissa یک ویروس در ارتباط با فایل های Word۹۷ و Word۲۰۰۰ بوده که امکان توزیع آن توسط برنامه Microsoft Outlook فراهم می گردد . ویروس فوق، نسخه هائی از خود را با سرعت بسیار زیاد برای کاربران توزیع می نماید . نحوه انتشار و گسترش ویروس فوق ، مشابه بروز یک حریق بزرگ در سیستم های پست الکترونیکی در یک سازمان و اینترنت بوده که آسیب های فراوانی را بدنبال خواهد داشت . این ویروس با نام Mellissa ویا W۹۷M/Melissa (نام کلاسی که شامل ماکرو ویروس است) نامیده می شود. ویروس فوق، با استفاده از VBA)Visual Basic for Application) سندهای ایجاد شده توسط Microsoft word را آلوده می نماید.( VBA یک زبان مبتنی بر اسکریپت بوده که امکان استفاده از آن در مجموعه برنامه های آفیس وجود دارد). ویروس فوق سه عملیات اساسی را انجام می دهد :
▪Word را آلوده و در ادامه تمام سندهای فعال شده word را نیز آلوده و.بدین ترتیب امکان توزیع و گسترش آن فراهم می گردد .
▪باعث بروز برخی تغییرات در تنظیمات سیستم بمنظور تسهیل در ماموریت خود ( آلودگی اطلاعات ) می گردد .
▪با استفاده از برنامه Microsoft Outlook و در ظاهر یک پیام دوستانه ، نمونه هائی از خود را به مقصد آدرس های متعدد، ارسال می نماید.
زمانیکه یک فایل Word آلوده به ویروس Melissa فعال می گردد،Melissa به تمپلیت سند NORMAL.DOT نیز سرایت می گردد. محل فوق،مکانی است که Word تنظیمات خاص و پیش فرض در ارتباط با ماکروها را ذخیره می نماید . Melissa ، با تکثیر خود درون NORMAL.DOT برنامه نصب شده Word را آلوده و بدین ترتیب هر سند و یا تمپلیتی که ایجاد می گردد، ویروس به آن اضافه خواهد شد. بنابراین در مواردیکه یک سند فعال و یا غیرفعال می گردد ، زمینه اجرای ویروس فراهم خواهد شد . در صورتیکه کلید ریجستری زیردر کامپیوتری وجود داشته باشد، نشاندهنده آلودگی سیستم به ویروس Melissa است . مقدار کلید ریجستری فوق " by Kwyjibo..." است .
HKEY_CURRENT_USERSoftwareMicrosoftOfficeMelissa
●بررسی عملکرد ویروس BubbleBoy
BubbleBoy یک کرم مبتنی بر اسکریپت در یک نامه الکترونیکی بوده که از نقاط آسیب پذیر IE ۵.۰ استفاده و باعث آسیب سیستم های مبتنی بر ویندوز ۹۸ و ۲۰۰۰ می گردد . کرم فوق بصورت Html در یک پیام الکترونیکی قرار می گیرد. در زمان مشاهده نامه های الکترونیکی با استفاده از برنامه Outlook Expree بصورت حتی پیش نمایش ، زمینه فعال شدن کرم فوق فراهم خواهد شد . در صورتیکه از برنامه Microsoft Outlook استفاده می گردد، پس از فعال شدن( باز شدن ) نامه الکترونیکی، زمینه اجرای آن فراهم خواهد شد .کرم فوق با استفاده از VBScript نوشته شده و پس از فراهم شدن شرایط لازم برای اجراء ، فایلی با نام UPDATW.HTA را در دایرکتوری Startup ویندوز ایجاد می نماید . فایل فوق تغییرات زیر رادر ریجستری سیستم ، انجام خواهد داد :
▪تغییر Registered owner به BubbleBoy
▪تغییر Registered organization به Vandelay Industries
کرم فوق درادامه اقدام به تکثیر خود از طریق یک نامه الکترونیکی به تمام افراد موجود در لیست دفترچه آدرس برنامه Outlook Express می نماید . علت انتشار و اجرای کرم فوق بدلیل وجود نقص امنیتی در تکنولوژی ActiveX ماکروسافت است . اشکال فوق به عناصر scriplet , typelib و Eyedog در ActiveX ، مربوط می گردد . عناصر فوق بعنوان المان های امین و تائید شده در نظر گرفته شده و این امکان به آنها داده خواهد شد که کنترل عملیات را بر اساس حقوق کاربران بر روی ماشین مربوطه انجام دهند . ماکروسافت بمنظور مقابله با مشکل فوق اقدام به عرضه یک Patch امنیتی برای برنامه IE نموده است .
●خلاصه
همانگونه که حدس زده اید،وجود نواقص امنیتی در محصولات نرم افزاری یکی از مهمترین دلایل توزیع و گسترش ویروس در شبکه های کامپیوتری است . برنامه های Outlook Express و Microsoft Outlook نمونه هائی در این زمینه بوده که عموما" از آنها برای دریافت و ارسال نامه های الکترونیکی استفاده می گردد . دستیابی به دفترچه آدرس از طریق کدهای برنامه نویسی و هدایت سیستم بسمت ارسال نامه های الکترونیکی آلوده به مقصد های قانونی ( با توجه به وجود آدرس های معتبر در هر یک از دفترچه های آدرس ) از علل مهم در توزیع و گسترش این نوع از ویروس های کامپیوتری محسوب می گردد . تعلل یک کاربر در شبکه مبنی بر عدم رعایت موارد ایمنی خصوصا" در رابطه با فعال نمودن و مشاهده نامه های الکترونیکی آلوده ، نه تنها باعث صدمه اطلاعاتی برای کاربر و یا سازمان مربوطه وی می گردد ، بلکه کاربر فوق، خود بعنوان ابزاری ( غیر مستقیم ) برای توزیع و گسترش ویروس در شبکه تبدیل شده است . امنیت در شبکه های کامپیوتری فرآیندی مستمر است که می بایست توسط تمام کاربران صرفنظر از موقعیت عملیاتی و شغلی در یک سازمان رعایت گردد. ما در رابطه با سازمان خود چه تدابیری را اندیشیده و کاربران شبکه تا چه میزان نسبت به عملکرد خود توجیه و تاثیررفتار غیر امنیتی خود در تمام شبکه را می دانند ؟ در صورتیکه یکی از مسافران یک پرواز هواپیمائی مسائل ایمنی را در رابطه با پرواز رعایت ننماید و از این بابت به سایر مسافران موجود در پرواز صدمه ( جانی ،روحی ، مالی و ... ) وارد گردد ، مقصر کیست ؟ در صورتیکه دامنه صدمات احتمالی ،سازمان ارائه دهنده خدمات پرواز را نیز شامل گردد مقصر کیست ؟ چه کاری می توانستیم انجام دهیم که احتمال بروز چنین مسائلی را کاهش و حتی حذف نمائیم ؟ وجود نقص امنیتی در منابع سخت افزاری و نرم افزاری پرواز نیز در جای خود می تواند شرایط مساعدی را برای صدمات احتمالی فراهم نماید .
بهرحال عملکرد نادرست کاربران موجود در یک شبکه کامپیوتری ، تاثیر مستقیمی بر عملکرد تمام سیستم داشته و لازم است قبل از بروز حوادث ناگوار اطلاعاتی ، تدابیر لازم اتخاذ گردد ! . امنیت در یک شبکه کامپیوتری مشابه ایجاد یک تابلوی نقاشی است که نقاشان متعددی برای خلق آن با یکدیگر تشریک مساعی می نمایند. در صورتیکه یکی از نقاشان در این زمینه تعلل ( سهوا" و یا عمدا" ) نماید، قطعا" اثر هنری خلق شده ( در صورتیکه خلق شود ! ) آنچیزی نخواهد بود که می بایست باشد
![جولی [نمایشنامه]](/mag/i/4/2dq3h.jpg)
نمایندگی زیمنس ایران فروش PLC S71200/300/400/1500 | درایو …
دریافت خدمات پرستاری در منزل
pameranian.com
پیچ و مهره پارس سهند
تعمیر جک پارکینگ
خرید بلیط هواپیما
بنیامین نتانیاهو رهبر انقلاب انفجار مجلس شورای اسلامی نیکا شاکرمی دولت سیزدهم روز معلم معلمان دولت بابک زنجانی مجلس شهید مطهری
ایران هواشناسی بارش باران آتش سوزی هلال احمر قوه قضاییه تهران پلیس شهرداری تهران سیل آموزش و پرورش فضای مجازی
سهام عدالت قیمت طلا قیمت خودرو قیمت دلار بازار خودرو حقوق بازنشستگان خودرو دلار سایپا بانک مرکزی ایران خودرو کارگران
سریال نمایشگاه کتاب شهاب حسینی مسعود اسکویی تلویزیون تئاتر سینمای ایران سینما دفاع مقدس
رژیم صهیونیستی اسرائیل غزه فلسطین آمریکا جنگ غزه حماس چین ترکیه نوار غزه انگلیس اوکراین
فوتبال استقلال پرسپولیس علی خطیر سپاهان باشگاه استقلال تراکتور لیگ برتر لیگ قهرمانان اروپا لیگ برتر ایران رئال مادرید بایرن مونیخ
هوش مصنوعی گوگل کولر اپل همراه اول تلفن همراه تبلیغات اینستاگرام ناسا
فشار خون کبد چرب دیابت بیمه