كرم های جدید و ویروس ها

كرم W۳۲ Bagle aa MM گونه ی جدیدی از كرم W۳۲ Bagle MM است و از طریق E mail گسترش می یابد

● W۳۲/Bagle.aa@MM

این كرم در تاریخ ۲۸ اوریل امسال شناسایی شد . مبدأ آن ناشناس است و در طول های مختلف توزیع می شود . كرم مذكور هم سیستم های خانگی و هم سیستم های اداری را تهدید می نماید . اما سطح تهدید این كرم متوسط می باشد .

كرم W۳۲/Bagle.aa@MM گونه ی جدیدی از كرم W۳۲/Bagle.@MM است و از طریق E_mail گسترش می یابد . این كرم مشخصات زیر را داراست :

• دارای موتور SMTP مخصوص به خود است كه می تواند به تولید پیغام های جدید بپردازد .

• استفاده از آدرس های Email موجود بر روی سیستم آلوده .

• در قسمت : From پیغامی كه ارسال می شود از آدرس های مسخره و نادرست استفاده می گردد .

• پیوست Email نوعی فایل Zip است كه توسط كلمه ی عبور حفاظت می شود . كلمه ی عبور این پیوست درون پیغام اصلی قرار دارد .

• دارای مؤلفه ی دسترسی از راه دور است كه امكان دسترسی هكر فرستنده ی این ویروس را به سیستمی كه ویوس وارد آن شده است فراهم می سازد .

• خود را به داخل پوشه ای كه عبارت shar در نام آن وجود دارد كپی می كند . چنین پوشه هایی را می توان در برنامه های به اشتراك گذاری فایل مانند Kazaa ، Bearshare ، Limewire و غیره دید .

كرم مذكور با موضوعات بسیار زیادی توزیع می شود كه از جمله ی آنها می توان به موارد زیر اشاره كرد :

• Re: Msg reply

• Re: Thank you!

• Notification

• Re: Hello

• Re: Thanks

• Re: Yahoo!

• Re: Text message

• Incoming message

• Re: Document

• Re: incoming Msg

عناوین پیوست هایی كه كرم W۳۲/Bagle.aa@MM تحت آنها توزیع می شود بسیار زیاد است .

در زیر به تعدادی از آنها اشاره می كنیم :

• Information

• Document

• Morelnfo

• Details

• Info

• You_ will_ answer_ to_ me

• Text_ document

• The_message

• Readme

• Details

فایل حاوی این كرم یكی از پسوند های زیر را دارا می باشد:

• Hta

• Vbs

• Exe

• Scr

• Com

• cpl

پس از آن كه ویروس مذكور وارد سیستم شد كلید زیر را به رجیستری ویندوز می افزاید :

HKEY_CURRENT_USER/Software/Microsoft/Current Version/Run

Drvddll.exe=C:/WINNT/SYSTEM۳۲/drvddll.exe

در كلید رجیستری فوق به جای drvddll.exe ، نام هایی كه فایل حاوی كرم W۳۲/Bagle.aa@MM اتخاد می كند قرار می گیرد .

كرم مذكور سعی می كند با اتخاذ نام های فایلی خاص و گول زننده به فریب برنامه های امنیتی داخل سیستم بپردازند .

نام های فایلی كه این كرم اتخاذ می كند بسیار زیاد است و در حوصله ی این مقاله نمی گنجد به همین دلیل ما فقط به تعدادی از آنها اشاره می كنیم :

• Anti Trojan.exe

• BootWarn.exe

• Clean.exe

• DPFSetup.exe

• EScanHNT.exe

• FRW.exe

• GuardDog.exe

• HTLOG.exe

• Lfw۲۰۰۰exe

• Kerio WRL ۴۲۱ EN WIN.exe

• NC۲۰۰۰.exe

• PCDSETUP.exe

• QCONSOLE.exe

• ANTIVIRUD.exe

• Blacklce.exe

• CleanPC.exe

• DRWEBUPW.exe

• EXAntiVirus CNET.exe

• GUARD.exe

• HackTracerSetup.exe

• lcloadnt.exe

• JAMMER.exe

• MSCONFIG.exe

• OUTPOST.exe

• FSAV.exe

• RRGAURD.exe

• SAFEWB.exe

• TlTANlN.exe

• VBWlNNTW.exe

• SysEdit.exe

• ZAPRO.exe

• WNT.exe

▪ BAT. Sebak

BAT.Sebak اسب تراوایی می باشد كه پس از ورود به سیستم ابتدا پیغامی را نمایش داده و سپس عملكردی از سیستم را غیر فعال می كند . این اسب تراوا سیستم های مبتنی بر ویندوز ، لینوكس ، مكینتاش ، یونیكس ،Novell Netware و OS/۲ را مورد حمله قرار می دهد .این اسب تراوا پس از ورود به سیستم اعمال زیر را در سیستم انجام می دهد :

۱ ـ در پوشه های %Windir و C:/Mydocu~۱ پسوند فایل ـ هایی كه دارای پسوندهای زیر هستند را به bat . تغییر می دهد :

• .txt

• log.

• .tmp

• .net

• .jpg

• .gif

• .avi

• .doc

• .xls

• .bmp

توجه : در اینجا %Windir% یك متغیر است و منظور از آن پوشه ی نصب ویندوز می باشد . معمولاً به طور پیش فرض این پوشه C:/Windows یا C:/Winnt می باشد .

۲ ـ خود را به صورت %Winir%/system۷.bat كپی می كند.

۳ ـ یك كپی از محتوای واقع در آدرس زیر را در پوشه ی %Windir% قرار می دهد :

http://securityresponse.symantec.com/avcenter/venc/data/vbs.tante.a@mm.html

۴ـ مقدار Epy=C:/Windows/system۷.bat را به كلید زیر از رجیستری می افزاید :

HKEY_Local _MACHlNE/SOFTWARE/Microsoft/Windows/CurrentVersion/Runبه این ترتیب اسب تراوای BAT.Sebak هنگام راه اندازی ویندوز شروع به اجرا شدن می نماید .

۵ ـ كادر پیغامی با متن زیر را نشان می دهد :

lm Batch Epy and You areBiTchEpy…!! BAT/EpyCreated By sevenC {۱۷ _۰۴ _۰۴} Bekasi lndonesia

۶ ـ در صورتی كه تقویم سیسم روز نوزدهم از ماه را نشان می دهد یا ساعت سیستم بر روی ساعت ۱۹ یا دقیقه ۱۹ و یا ثانیه ۱۹ قرار بگیرد ؛ فعال شده و باعث غیر فعال شدن برخی از عملكردهای سیستم مانند از كار افتادن ماوس و صفحه كلید و یا قفل كردن سیستم می شود .

شركت Symantec برای برخورد و مقابل با تهدیدات مختلف اینترنتی راه های زیر را به كاربران و مدیران شبكه پیشنهاد می كند :

سرویس های غیر ضروری موجود بر روی سیستم را خاموش كرده و حذف نمایید . به طور پیش فرض برخی از سیستم های عامل تعدادی سرویس را نصب می كنند كه چندان برای سیستم ضروری نیستند .

از جمله ی این سرویس ها می توان به سرویس دهنده ی FTP ، Telnet و یا سرویس دهنده ی وب اشاره كرد . این سرویس ها مسیری برای حمله ی كدهای مخرب به حساب می آیند .

با حذف این سرویس ها و پس از پاك كردن این كد مخرب ؛ سرویس های كمتری به نصب Patch نیاز خواهند داشت .

اگر كد مخربی یك یا چند سرویس شبكه ای را مورد حمله قرار داد آن سرویس ها را تا زمانی كه آن كد را پاك نكرده اید و Patch لازم را نصب ننموده اید ؛ غیر فعال كرده و یا راه دسترسی به آنها را برای سایر كاربران مسدود كنید .

همیشه سعی كنید Patch های جدید را دریافت كرده و سرویس هایتان را به روز نگه دارید خصوصاً در مورد كامپیوترهایی كه میزبان سرویس های عمومی هستند و یا از طریق دیوار آتش قابل دسترس می باشند مانند سرویس های پستی HTTP ، FTP ، و یا DNS .

از كلمه ی عبور برای حفاظت بیشتر از سیستم استفاده كنید . به كارگیری كلمات عبور پیچیده راه ورود كدهای مخرب را دشوار می سازد چرا كه شكستن كلمات عبور پیچیده به مدت زمان و تلاش زیادی نیاز دارد .

سرویس دهنده ی Email تان به گونه ای پیكربندی كنید كه راه را بر Email هایی كه پیوست آنها دارای پسوند های معروفی چون .vbs ، .bat ، .exe ، .pif ، و .scr هستند بسته و یا آنها را حذف كند . غالباً پیوست های Email ی مخرب دارای پسوندهای مذكور می باشند .

اگر در یك شبكه قرار دارید به محض اطلاع از آلوده شدن یك سیستم ، آن را از شبكه خارج سازید تا مانع توزیع كد مخرب بین سایر كامپیور ها شوید .

مدیران شركت های كامپیوتری باید آموزش های لازم را در اختیار كاركنان قرار دهند و به آنها بیاموزند كه فقط پیوست های Email ی آشنا و پیوست هایی كه انتظارشان را می كشند باز كنند .

قبل از باز كردن نرم افزار های Download شده از اینترنت ؛ آنها را توسط برنامه های ضد ویروس چك كرده و از آلوده نبودنشان مطمئن شوید . البته گاهی تنها مرور یك سایت آلوده می تواند مرورگر آسیب پذیر شما را نیز آلوده كرده و وارد سیستم تان شود .

علاوه بر به كارگیری توصیه های بالا لازم است اقدامات زیر را انجام دهید :

۱ـ برنامه System Restore را در ویندوزهای Me و XP غیر فعال كنید .

۲ـ ضد ویروس تان را به رور نمایید .

۳ـ تمام سیستم را اسكن كرده و تمام فایل هایی كه آلوده شده اند را حذف كنید .

۴ـ مقدرا افزوده شده به رجیستری را حذف كنید .

▪ غیر فعال كردن برنامه ی System Restore

توصیه می شود درسیستم های ویندوز XP و Me به طور موقت برنامه ی System Restore غیر فعال گردد . در این ویندوزها از ویژگی مذكور هنگام خراب شدن سیستم برای بازگردانی آن استفاده می شود . این ویژگی به طور پیش فرض فعال است .

وقتی یك ویروس ، كرم و یا اسب تراوایی وارد سیستم می شود ویژگی مذكور ممكن است پشتیان آنها را نیز به همراه سایر اقلام سیستم تهیه كند .

از طرفی ویندوز به برنامه های خارجی مانند ضد ویروس ها اجازه ی ایجاد تغییر در محتوای System Restore را نمی دهد .

به این ترتیب ویروس هایی كه توسط ویژگیSystem Restore پشتیبان آنها ذخیره می شود را نمی توان از پوشه ی System Restore پاك كرد . حتی پس از آن كه شما ویروس را از سیستم خود پاك نمودید هنوز این ویروس در پوشه ی System Restore وجود دارد و در صورتی كه سیستم خراب شود و شما بخواهید آن را به یك نقطه ی مطمئن قبلی بازگردانید ویروس نیز به همراه محتوایی كه بازگردانده می شود بر روی سیستم شما بارگذاری می گردد .

البته با استفاده از یك اسكن كننده ی ویروس می توان از وجود ویروس در System Restore مطلع شد .

▪ به روز نمودن شناسه های ویروسی .

برای دریافت شناسه های به روز شده ی ویروسی دو راه وجود دارد :

استفاده از سرویس های LiveUpdate : با استفاده از این سرویس ها می توان آخرین شناسه های یافت شده ی ویروسی را به ضد ویروس افزود . برای دسترسی به این سرویس ها باید به سایت شركت توزیع كننده ی ضد ویروس تان سر بزنید .

این سرویس ها را می توان تحت لینك هایی چون Virus Definitions و یا LiveUpdate پیدا كرد . شركت Symantec معمولاً هفته ای یك بار و آن هم روزهای چهار شنبه شناسه های جدید را بر روی سرویس دهنده ی خود قرار می دهد .

راه بعدی برای دریافت شناسه های جدید Download كردن آنها با استفاده از lntelligent Updater است . این مؤلفه بر روی وب سایت Security Response Symantec قرار دارد و از روز دوشنبه تا روز جمعه قابل دسترس می باشد . هنگام استفاده از این مؤلفه توجه به دو نكته ضروری است .

ابتدااز وجود شناسه ی مربوط به كد مخرب سیستم تان در فهرست lntelligent Updater مطمئن شوید و دیگر آن كه پس از Download كردن شناسه ی جدید آن را باید بر روی سیستم تان نصب كنید تا قابل استفاده گردد .

▪ اسكن كردن كل سیستم .

همانطور كه گفتیم یكی از اقداماتی كه باید پس از ورود كد مخرب به داخل سیستم انجام داد ، اسكن كردن تمام سیستم و یافتن فایل های آسیب دیده می باشد . اقدامی كه باید پس از یافتن فایل های آسیب دیده باید انجام دهید حذف آنها می باشد .

گاهی ضد ویروس می تواند سیستم را اسكن كرده و فایل های آسیب دیده را پیدا كند ولی قادر به پاك كردن آنها نیست . در چنین مواقعی معمولاً با این پیغام كه ویندوز در حال استفاده از آن فایل می باشد روبرو می شوید .

اگر برای شما چنین وضعیتی به وجود آمد سیستم را در حالت Safe Mode راه اندازی كرده و سپس به حذف فایل هایی كه ضد ویروس پیدا می كند بپردازید .

▪ پاك كردن مقدار افزوده شده به رجیستری .

قبل از آن كه به پاك كردن مقداری كه توسط ویروس به رجیستری افزوده می شود بپردازید باید یك پشتیبان از محتوای رجیستری تهیه كنید .

چون ایجاد تغییر در رجیستری گاهی می تواند ثبات سیستم را به هم بریزد .

برای حذف كلیدی كه اسب تراوای BAT.Sebak به رجیستری می افزاید ؛ به ترتیب زیر عمل می كنید :

۱ـ از منوی Start گزینه ی Run را انتخاب كنید .

۲ـ در فیلد Open عبارت Regedit را تایپ نموده و دكمه ی OK را كلیك كنید تا وارد برنامه ی Registry Editor شوید .

۳ـ مسیر زیر را طی نمایید :

HKEY_LOCAL_MACHlNE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run

۴ـ از برنامه ی Registry Editor خارج شوید .