ويروس شناسي

پخش ویروس جدید اینترنتی

W32.Gibe.B@mm یا W32.Swen.A@mm

 

خبر پخش ویروس جدیدی كه تحت عنوان و نام patch امنیتی شركت میكروسافت اقدام به انتشار خود كرده است در منطقه اروپا شروع بهآلوده كردن سیستم ها كرده است . بنا بر اعلام شركت های آنتی ویروس ، این ویروس كه در آزادی كامل به سر می برد می تواند اطلاعات حساب های كاربری و جزئیات سرور های ایمیل را ازسیستم های آلوده جمع آوری كند.
ویروس W32.Swen.A@mm و یا W32.Gibe.B@mm در بد ترین شریط عمر مایكروسافت بروز كرد. در حالیكه بسته های نرم افزاری رفع ایراد مربوط به مایكروسافت به آرامی ماجرای خطر ویروس های SoBig و MSBlaster را كه سبب برپایی سرو صداهای زیادی علیه میكروسافت شده بود ،از یاد ها برده بود ، انتشار این ویروس جدید مشكلات دیگری را به بار آورده است .
ویروس جدید كه سرچشمه انتشار آن را اروپا تعیین كرده اند ، صندوق های پست الكترونیكی را درآمریكا هدف قرار داده است و با یك فایل EXE.همراه است كه موضوع ایمیل در آن بصورتMicrosoft Internet Update Pack یا "Microsoft Critical Patch"ویا "Newest Security Update" می باشد .
بر مبنای گزارشات بخش امنیتی شركت Symantec این كرم از موتور SMTP برای انتشار خود استفاده می كند و سعی در از كار انداختن آنتی ویروس ها و برنامه های فایروال موجود در سیستم های قربانی خود می كند . همچنین این كرم قادر به بهره برداری از شكاف امنیتی شناخته شده Internet Explorer است و قادر است بر مبنای عضو به عضو در كاربرانی كه از برنامه هایی همچون IRC و یا Kazaa استفاده می كند نیز منتقل شود .
این كرم به سرعت در اروپا در حال انتشار بوده و بسیار سریع در مناطق دیگر نیز منتشر خواهد شد .
این ویروس از طریق برنامه++ C نوشته شده و قادر است نام ، رمز عبور و جزئیات میل سرور قربانی خود را به سرقت ببرد.
برای جلوگیری از انتشار این ویروس بهتر است جلوی ورود این فایل EXE در مدخل Gateway گرفته شود . همچنین به كاربران توصیه می شود تا از برنامه هایی همچون( instant messaging (IM و یا نرم افزارهایی همچون P2P استفاده نكنند.
برای دسترسی به اطلاعات كامل تر می توانید از  آدرس http://www.microsoft.com/technet/security/bulletin/MS01-020.asp استفاده كنید.

این ویروس طی مراحل زیر در سیستم قربانی خود نصب می شود :

1- ابتدا سیستم را بررسی می كند كه یا نسخه ای از قبل بر روی آن سیستم نصب شده یا خیر  و در صورتی كه از قبل بر روی آن سیستم موجود باشد پیام زیر نمایان می شود :

 

2- اگر نام فایل اجرا شده با یكی از حروفp , u, q و یاiباشد كادر محاوره ی زیر نمایان می شود :

صرفنظر از انتخاب هر گزینه این كرم خود را در سیستم تان نصب می كند ، البته در صورتی كه گزینهno را انتخاب كنید این ویروس در پشت پرده شروع به نصب خود می كند  و شما متوجه این امر نمی شوید. و در صورت انتخاب گزینهyesكادر زیر نمایان می شود :

3- سپس سعی می كند تا فرایند ها و اعمال زیر را از كار بیاندازد :

_avp

Azonealarm

avwupd32

avwin95

avsched32

avp

avnt

avkserv

avgw

avgctrl

avgcc32

ave32

avconsol

autodown

apvxdwin

aplica32

anti-trojan

ackwin32

bootwarn

blackice

blackd

claw95

cfinet

cfind

cfiaudit

cfiadmin

ccshtdwn

ccapp

dv95

espwatch

esafe

efinet32

ecengine

f-stopw

frw

fp-win

f-prot95

fprot95

f-prot

fprot

findviru

f-agnt95

gibe

iomon98

iface

icsupp

icssuppnt

icmoon

icmon

icloadnt

icload95

ibmavsp

ibmasn

iamserv

iamapp

jedi

kpfw32

luall

lookout

lockdown2000

msconfig

mpftray

moolive

nvc95

nupgrade

nupdate

normist

nmain

nisum

navw

navsched

navnt

navlu32

navapw32

nai_vs_stat

outpost

pview

pop3trap

persfw

pcfwallicon

pccwin98

pccmain

pcciomon

pavw

pavsched

pavcl

padmin

rescue

regedit

rav

sweep

sphinx

serv95

safeweb

tds2

tca

vsstat

vshwin32

vsecomr

vscan

vettray

vet98

vet95

vet32

vcontrol

vcleaner

wfindv32

webtrap

zapro

4- با تولید یك نام راندوم خود را در پوشه %Windir% كپی می كند.

5- در فایل های .html, .asp, .eml, .dbx, .wab, .mbx موجود در سیستم بدنبال آدرس های ایمیل می گردد.

6- در محلی كه آدرس های ایمیل یافت شده را نگهداری می كند  فایلی با نام Windir%/Germs0.dbv%می سازد .

7- در محلی كه اخبار و میل سرور های راه دور یافت شده را نگه داری می كند فایلی با نام Windir%/Swen1.dat% ایجاد می كند .

8- یك فایل با نام ComputerName%.bat% ایجاد می كند كه در واقع كرم را اجرا كرده و یك نام راندوم برای نگه داری در سیستم محلی برای آن انتخاب می كند. ( ComputerName به نام كامپیوتر قربانی خود اشاره دارد )

در كلید

  HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/explorer/*

رجیستری  مقادیر زیر را اضافه می كند :

"CacheBox Outfit"="yes"

"ZipName"="<random>"

"Email Address"="<The current users email address that the worm retrieves from the registry>"

"Server"="<The IP address of the SMTP server that the worm retrieves from the registry>"

"Mirc Install Folder"="<location of mirc client on system>"

"Installed"="...by Begbie"

"Install Item"="<random>"

"Unfile"="<random>"

10- یك مقدار نام راندوم  را به كلید

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run

رجیستری اضافه می كند تا در هر بار اجرای سیستم این فایل اجرا شود .

11- كلید های رجیستری زیر را تغییر می دهد :

HKEY_LOCAL_MACHINE/Software/CLASSES/exefile/shell/open/command

HKEY_LOCAL_MACHINE/Software/CLASSES/regfile/shell/open/command

HKEY_LOCAL_MACHINE/Software/CLASSES/scrfile/shell/open/command

HKEY_LOCAL_MACHINE/Software/CLASSES/comfile/shell/open/command

HKEY_LOCAL_MACHINE/Software/CLASSES/batfile/shell/open/command

HKEY_LOCAL_MACHINE/Software/CLASSES/piffile/shell/open/command

12- مقدار "DisableRegistryTools" = "1" را در كلید رجیستری زیر تغییر می دهد :

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System

كه مانع اجرای رجیستری توسط كاربر می شود .

13- بطور دوره ای كاربر را با ایراد MAPI32 Exception مواجه می كند .

كه در واقع كاربران را ترغیب به وارد كردن اطلاعات مربوط به خود از جملهموارد زیر می كند :

Email address

Username

Password

POP3 server

SMTP server

14- از طریق رمز عبور و نام كاربری كسب شده وارد ایمیل قربانی شده و در صورتی كه میلی از سوی ویروس برای مهاجم ارسال شده باشد آن را پاك می كند .

15- كاربر را با پیام های ایراد زیر مواجه می كند :

16- یك درخواست HTTP Get را به یك سرورHTTP از پیش تعیین شده ارسال می كند  تا اطلاعات مربوط به وضعیت انتشار و شمارنده كرم را از زمان انتشار تعیین كند . همانند:

البته این كرم به شیوه های مختلفی منتشر می شود كه شیوه فوق تنها روش انتشار آن از طریق ایمیل بوده است .