دوشنبه, ۸ بهمن, ۱۴۰۳ / 27 January, 2025

مجله ویستا

آشنایی با ویروس MyDoom

شیوع ویروس خطرناک MYDoom.A و MyDoom.B

شیوع ویروس MyDoom در اینترنت به سرعت گسترده شد. شرکت مایکروسافت برای دومین بار طی رویه ای جدید به جای چاره اندیشی اساسی در مورد مشکلات امنیتی محصولات خود , جایزه ای ۲۵۰,۰۰۰$ برای شناسایی تهیه کنندگان این ویروس اعلام کرد.

پیش بینی می شود که شیوع این ویروس اختلالاتی را در کارکرد سیستم های آلوده و ترافیک شبکه ای و اینترنت در روزهای آتی برای کاربران ایرانی ایجاد خواهد کرد. در این مطلب توضیحی اجمالی در مورد این ویروس و نحوه پاکسازی آن ارائه شده است:

این ویروس به فرمت یک فایل اجرایی Pack شده با اندازه ۲۲.۵۲۸ بایت توسط Email و سیستم اشتراک فایل Kazaa منتشر می شود.

انتشار از طریق email:

ویروس به شکل Attachment با عنوان (Subject) و متن متغیر ارسال می شود. آدرس فرستنده نیز به صورت random و غیر معتبر است.

عناوین ممکن ترکیبهای تصادفی از موارد زیر می باشد:

Error

hello

HELLO

hi

Hi

Mail Delivery System

Mail Transaction Failed

Server Report

Status

متن email نیز بصورت تصادفی توسط کد ویروس ایجاد می شود و در اکثر موارد شبیه متن زیر است:

The message contains Unicode characters and has been sent as a binary attachment.

The message cannot be represented in ۷-bit ASCII encoding and has been sent as a binary attachment.

و یا :

Mail transaction failed. Partial message is available.

نام فایل attachment حاوی ویروس به صورت تصادفی از بین لیست زیر انتخاب می شوذ:

Data

Readme

Message

Body

Text

file

doc

document

پسوند (Extension) این قایل نیز باز بصورت تصادفی .bat, .cmd, .pif, .exe, and .scr یا zip می تواند باشد.

ویروس آدرسهای ارسال را با جستجو در کامپیوتر آلوذه شده داخل فایلهایی با Extension های زیر جستجو می کند:

adb

asp

dbx

htm

php

sht

tbb

txt

wab

انتشار از طریق Kazaa :

ویروس با کپی کردن خود در Folder های Share شده این نرم افزار با نامهای زیر منتشر می شود:

nuke۲۰۰۴

office_crack

rootkitXP

strip-girl-۲.۰bdcom_patches

activation_crack

icq۲۰۰۴-final

winamp۵

جزییات فعال و اجرا شدن ویروس:

به محض اجرا شدن ویروس, کذ اصلی ویروس یک کپی از خود را در دایکرکتوری system با نام taskmon.exe ایجاد کرده و با اضافه کردن کلید زیر به registry سیستم باعث اجرا شدن ویروس در هر بار راه اندازی سیستم می شود:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\TaskMon = %System%\taskmon.exe"

%System% توسط کد ویروس تنظیم می شود.

ویروس با ایجاد فایلی با نام SHIMGAPI.DLL در دایرکتوری system و اضافه کردن کلید به registry ویندوز کد Dll خود را به داخل پروسس explorer.exe وارد می کند.

این Dll یک Backdoor خاص است که روی پورت ۳۱۲۷ TCP منتظر دریافت اطلاعات binary یا payload مانده و بعد از ذخیره سازی آنها را اجرا می کند.

همچنین یک روتین DoS Attack با هدف حمله به سایت www.sco.com در نسخه ابتدایی ویروس قرار داده شده بود که در ساعات بعد با باز تولید گونه های جدید این ویروس www.microsoft.com هم مورد حمله قرار خواهد گرفت.

همچنین در گونه B از این ویروس اسامی فایلها و کلیدهای رجیستری تغییر یافته اند.