مطالب مرتبط با ويروس شناسي در اين تايپك

 آشنایی با ویروس

Js/Fela

Js/Fela  كرمی است كه به  آهستگی در ایمیل ها پخش می شود . و  به كار افتادن آن از طریق ایمیل هایی با غالبHTML صورت می گیرد.

همین طور برای مخفی كردن خود و برای آنالیز عمقی بیشتر دارای چند لایه است . این كرم ابتدا از آسیا و اروپا رشد پیدا كرد و پخش شد و وجود آن  اولین بار در این مناطق گزارش شد .

جزییات :

Fela در هنگامی كه میل آلوده باز می شود فعال می گردد . در این نقطه كرم خود را به سایت Spain متصل كرده و بصورت مخفی كدی را كه درJavaScript موجود در سایت وجود دارد  دانلود می كند  . این كدJS  اسكریپت دیگری درVBS را اجرا می كند  . این كد بدنه كرم است كه از طریق VBS تغییراتی درInternet Explorer می دهد. مثلاًURL های كه در آدرس بارInternet Explorer تایپ می شوند بدون پروتكل مخصوص پیشوندی(HTTP://) حساب می كند و این یكی از دستورات این كرم است كه به سبب آن سیستم دوباره آلوده خواهد شد .

كرم تلاش می كند تا دكمه هایی با نام هایSearch , AntiVirus , Pills , Security را به اینترنت اكسپلورر كه اضافه كند. اگر هر كدام از این دكمه ها را فشار دهید دوباره به كرم آلوده می شوید .

 كرم دو فایل را در شاخه ویندوز كپی می كند(C**** وC****.HTM ) و به جای *  تاریخ جاری را قرار می دهد. اولین فایل برای لود از رجیستری ساخته شده است و دومین فایل شامل امضا واقعی است كه  توسط خود كرم استفاده می شود .

نام : Dumara

نام مستعار : W32.Dumaru@mm

 این كرم در تاریخ  نوزدهم ماه August سال 2003 شناسایی شد.

جزییات فنی :

این كرم با یك نسخه از   UPX فشرده شده و حجم آن د رحالت غیر فشرده 20480 بایت می باشد . وقتی برای اولین بار كرم اجرا می شود ، خود را در محل هایی از سیستم ، از جمله درون شاخه سیستم و با نام LOAD32.exe ذخیره كند و  شاخه زیر را در رجیستری اضافه می كند :

'HKLM/Software/Microsoft/Windows/CurrentVersion/Run/load32'

كپی دیگر از كرم در شاخه ویندوز قرار می گیرد و به نام Dllreg.exe است و در فایل Win.ini نیز تغییری همانند عبارت زیر را می دهد :

[windows] Run=dllreg.exe

كپی سوم در شاخه سیستم و با نام Vxdmgr32.exe ذخیره می شود كه در فایل System.ini   تغییر زیر را اعمال می كند:

[Boot] Shell=explorer vxdmgr32.exe

گسترش از طریق ایمیل :

Dumara یك SMTP پیش فرض برای خود دارد كه برای ارسال ایمیل هایی با ضمیمه های آلوده به كرم از آن استفاده می كند .  كرم در سیستم قربانی و در فایلهایی كه پسوند آنها در زیر نشان داده شده است ، به دنبال آدرس های ایمیل گشته و خود را به آن آدرس ها ارسال می كند :

.htm .wab .html .dbx .tbb .abd

Dumara   از سرویس SMTP استفاده می كند .  متن پیغام میل آلوده در آن شكل زیر است :

From: "Microsoft" <security@microsoft.com> Subject: Use this patch immediately ! Dear friend , use this Internet Explorer patch now! There are dangerous virus in the Internet now! More than 500.000 already infected! Attachment: patch.exe

كرم آدرس ایمیل های را كه گرد آوری كرده است در فایلی به نام Winload.log و در شاخه ویندوز ذخیره می كند .

آشنایی با ویروس Sasser و راه مقابله با آن

كرم اینترنتی Sasser از بعداز ظهر پنج شنبه 10 اردیبهشت رایانه هایی را كه با سیستم عاملهای مایكروسافت كار می كنند هدف حملات خود قرار داده است. این كرم با خصوصیات شبیه Blaster از طریق ایمیل منتشر نشده و هیچ نیازی به دخالت و اقدام كاربر جهت گسترش خود ندارد بلكه با پیدا كردن منافذ امنیتی ویندوز و ارسال فرمان به كامپیوتر قربانی آن را وادار به داونلود و اجرای فایل آلوده به ویروس می نماید. بدون آنكه كاربر كوچكترین آگاهی از این عمل داشته باشد.
شیوع كرم یاد شده در حالی انجام می گردد كه متخصصین مایكروسافت در روزهای گذشته هشدارهای جدی درباره ظهور ویروس های جدید داده اند. نقطه ضعفی كه Sasser از آن برای نفوذ به سیستم قربانی استفاده می نماید تحت اصلاحیه MS-04-011 اعلام و فایل های مورد نیاز جهت اصلاح این نقص در انواع ویندوز ها از سوی مایكروسافت عرضه شده است.
گونه هایی از كرم مزبور كه تاكنون شناخته شده اند سیستم هایی را كه با ویندوز 2000 و XP و Server 2003 كار می كنند مورد حمله قرار داده و با ویندوزهای 98 و Me و NT كاری ندارند.
لازم به ذكر است تا به حال دو نوع A و B از آن منتشر گردیده است.
ویروس یاد شده پس از شروع فعالیت فایل AVSERVE.EXE را در نوع A و فایل AVSERVE2.EXE را در نوع B خود در شاخه ویندوز و یك تعداد فایل در شاخه Windows/system و یا Windows/system32 كپی می نمایدكه نام این فایلها به صورت xxxxx_up.exe است كه xxxxx یك عدد 5 رقمی تصادفی می باشد.
همچنین این ویروس تغییراتی نیز در رجیستری قربانی اجرا می نماید و فایل LSASS.EXE (كه از اجزای اصلی ویندوز است) را crash نموده باعث نمایش پیغام خطایی درباره L‌SA Shell می شود. بعضا سیستم به خودی خود shut down یا restart می شود. كاربران از این اخطار به عنوان اخطار Don't Send یاد می كنند.
پنجره ای كه توسط این اخطار ظاهر می گردد به صورت زیر می باشد.

Remover ارائه شده توسط Symantec :

Norton جهت چك كردن سیستمها و پاكسازی آنها برنامه زیر را معرفی نموده است. آن را داونلود و سیستم خود را با اجرای آن چك نمایید. توجه نمایید این عمل به تنهایی كافی نبوده و شما حتماً به اصلاحیه های مایكروسافت نیاز دارید.

http://securityresponse.symantec.com/avcenter/FxSasser.exe

روش پاكسازی به صورت دستی :

1- اینترنت را قطع نموده با كلیك راست بر روی My Computer و انتخاب properties در بالای صفحه System Restore را انتخاب و گزینه Turn Off System Restore را تیك زده سپس OK نمایید.

2- كامپیوتر را Reboot نموده آن را در حالت Safe Mode راه اندازی نمایید.پس از آن كلید های Ctrl+Alt+Delete را بگیرید در پنجره باز شده گزینه Task Manager را انتخاب و در بالای صفحه وارد بخش Properties شوید. سرویس های AVSERVE.EXE و AVSERVE2.EXE و xxxxx_up.exe را انتخاب و در مورد هر كدام جداگانه كلید End Process را بزنید.

3-فایل های زیر را توسط كلیدهای Shift+Del برای همیشه از سیستم خود پاك نمایید:

c:/windows/avserve.exe
c:/windows/avserve2.exe
c:/windows/system/xxxxx_up.exe
c:/windows/system32/xxxxx_up.exe

4- گزینه Run را با كلیك كردن بر روی Start ویندوز انتخاب و دستور RegEdit را تایپ كرده و OK كنید.در شاخهHKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
كلید های "avserve.exe"="%Windir%/avserve.exe" و "avserve2.exe"="%Windir%/avserve2.exe"
را Delete نمایید.
5- اكنون به اینترنت وصل شده Patch های مربوطه را داونلود و آن را Setup نمایید:

اصلاحیه های مایكروسافت :

بسته به نوع ویندوزتان چه به SASSER آلوده شده باشید و چه از حمله آن در امان مانده باشید باید هر چه سریعتر اقدام به داونلود Patch های زیر نموده و آنها را بر روی كامپوتر خود اجرا نمایید.

Windows XP :http://download.microsoft.com/download/6/1/5/615a50e9-a508-4d67-b53c-3a43455761bf/WindowsXP-KB835732-x86-ENU.EXE

Windows 2000 :http://download.microsoft.com/download/f/a/a/faa796aa-399d-437a-9284-c3536e9f2e6e/Windows2000-KB835732-x86-ENU.EXE

همچنین مایكروسافت برای كلیه نسخه های ویندوز اقدام به ارائه یك اصلاحیه تحت عنوان Sasser Removal Tools نمود كه نحوه عمل آن اصلا شبیه یك Remover نیست. ولی به هر حال داونلود و اجرای آن نیز واجب است.

http://download.microsoft.com/download/1/e/b/1eba8a6e-a22a-431f-9df4-a0cd2873e3c5/Windows-KB841720-ENU.exe

برگرفته از سایت www.setarehsorkh.com

آشنایی با ویروس NetSke.B

مشاهدات اولیه

به دلیل گزارشات متعدد از آلودگی به ویروس جدید NetSky.b ، درجه خطر این ویروس از ابتدا «متوسط» تعیین شده است.

ویروس NetSky.b از طریق ارسال پیام‌های الكترونیكی آلوده و ایجاد فایل‌های آلوده بر روی دیسك‌های سخت C: تا Z: انتشار می‌یابد.

ویروس NetSky.b همچنین سعی می‌كند تا در صورت آلوده بودن كامپیوتر به ویروس MyDoom (هر دو گونه)، آن را حذف و كامپیوتر را پاكسازی نماید.

طریق انتشار ویروس

انتشار از طریق پیام‌های الكترونیكی

پیام‌های الكترونیكی آلوده به ویروس NetSky.b دارای موضوع‌ها ( subject ) و محتوای متغیر و مختلف هستند.

فایل پیوست ( attachment ) آلوده نیز دارای نام‌های مختلف است. فایل‌ پیوست اغلب دارای دو پسوند بوده ولی در موارد محدودی نیز به صورت فایل ZIP مشاهده شده است.

ویروس اقدام به جمع‌آوری نشانی‌های الكترونیكی از داخل فایل‌های موجود بر روی كامپیوتر آلوده نموده و سپس پیام‌های آلوده مشابهی به این نشانی‌ها ارسال می‌كند.

انتشار از طریق شبكه‌ها

ویروس فایل‌های آلوده متعددی با نام‌های مختلف در شاخه‌هایی كه نام آنها حاوی كلمه share و یا sharing باشند، بر روی تمام دیسك‌های قابل دسترسی (از C: تا Z: ) ایجاد می‌كند. اغلب این فایل‌ها دارای دو پسوند هستند. همچنین ویروس NetSky.b فایل‌های متعددی با نام‌های متغیر و پسوند ZIP در شاخه‌های مختلف بر روی این دیسك‌ها ایجاد می‌كند.

عملكرد ویروس

با اجرای فایل آلوده به ویروس و فعال شدن آن، پیام‌ دروغینی حاوی عبارت The File could not be openedl به نمایش درمی‌آید.

همچنین فایلی با نام services.exe در شاخه Windows ایجاد می‌گردد و Registry نیز به نحوی تغییر داده می‌شود تا در هر بار راه‌اندازی كامپیوتر، ویروس مجددا فعال گردد.

پاكسازی ویروس MyDoom

ویروس NetSky.b با حدف فرامین زیر از Registry سعی در غیرفعال ساختن ویروس MyDoom می‌نماید.

* HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Taskmon

* HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Explorer

* HKY_CLASSES_ROOT/CLSID/{E6FB5E20_DE35_11CF_9C87_00AA005127ED}/inprocServer32

شناسایی و پاكسازی

مشتركین نرم‌افزارهای ضدویروس Mcafee برای شناسایی و پاكسازی ویروس NetSky.b باید از فایل‌های به‌روزرسانی جدید DAT 4325 استفاده كنند و در صورت نیاز به شناسایی فوری این ویروس، می‌توان از فایل EXTRA.DAT و یا superEXTRA.EXE نیز استفاده كرد.

فایل‌های فوق بر روی سایت شبكه‌گستر به‌نامWWW.Z_VIRUS.COM در صفحه اصلی قابل دسترسی هستند.

اجرای فایل superEXTRA.EXE باعث نصب خودكار فایل EXTRA.DAT در محل مناسب بر روی كامپیوتر می‌شود.

برای استفاده از فایل EXTRA.DAT باید این فایل را در همان شاخه‌ای ( Folder ) قرار داد كه دیگر فایل‌های DAT . (مانند SCAN.DAT ) وجود دارند برای پیدا كردن این شاخه‌، می‌توانید از دستور Find استفاده كرده و به دنبال فایل SCAN.DAT جست‌وجو كنید. سپس با مشخص شدن شاخه مورد نظر، فایل EXTRA.DAT را در آن شاخه كپی نمایید.

به نقل از Z_VIRUS.COM

ویروس هاى كامپیوترى خدمت یا خیانت

این نخستین بار است كه یك شركت كامپیوترى در حد و اندازه مایكروسافت براى به دام انداختن یك ویروس نویس وارد عمل مى شود. به نظر مى رسد آن چه كه شركت مایكروسافت را وادار به حضور در عرصه هاى امنیت كامپیوترى در مقابله با خرابكاران كامپیوترى مى كند ضربه هاى متعددى است كه خصوصاً طى چند ماه اخیر بر سیستم عامل هاى این شركت وارد آمده است. شاید به همین علت است كه آنها از چند روز قبل با تعیین ?? میلیون دلار جایزه عملاً به تیم هاى تحقیقاتى CIAو FBI پیوستند و نتایج فعالیت آنها به دستگیرى نویسنده ویروس ساسر انجامید.نوجوان ?? ساله آلمانى پیش از آن كه ماموران پلیس بخش هانوفر را جلو در منزل خود ببیند هیچ گاه تصور نمى كرد كرم رایانه اى كه او نگارش آن را انجام داده و در طى مدت كوتاهى میلیون ها كامپیوتر در سرتاسر جهان را آلوده ساخته است بتواند به این سادگى صاحب خود را گرفتار پلیس كند.

هر چند این كرم كوچك رایانه اى در ابتداى شناسایى خود از طرف شركت هاى ضدویروس كم خطر اعلام شد اما كمى بعد با گسترش شتاب گونه، ناگهان در سرتاسر جهان پخش گردید و در نقاطى نیز برخى فعالیت هاى حیاتى را متوقف ساخت. هر چند مقامات شركت مایكروسافت از این ابتكار خود در قرار دادن جایزه كه منجر به دستگیرى این پسرك آلمانى شد راضى به نظر مى رسند اما خود آنها نیز مى دانند ویروس نویسان همواره چند پله جلوتر از شركت هاى كامپیوترى بوده اند.بنابر گزارش خبرگزارى ها آن چه كه منجر به دستگیرى این پسر آلمانى شد اطلاعاتى بود كه توسط فرد دیگر كه همشهرى فرد ویروس نویس بود به مایكروسافت و مقامات پلیس ارائه شده بود.شیوه اى كه مایكروسافت در برخورد با این كرم در پیش گرفت به گونه اى مقابل قرار دادن متخصصان امنیتى و یا حتى ویروس نویسان با هم است. به این ترتیب وظیفه یافتن یك خرابكار صرفاً به دانش چند متخصص امنیت شبكه در یك كشور خاص محدود نمى شود، كسب ? میلیون دلار آن قدر وسوسه انگیز است كه یك فرد آلمانى نویسنده ویروس ساسر را به آمریكایى ها معرفى كند.
 

• این كوچك موذى

از عمر ویروس ساسر چند هفته نمى گذرد. این ویروس از تكنیكى بهره مى برد كه سال قبل ویروس مشهور بلستر آن را به كار گرفت تا میلیون ها كامپیوتر را در سرتاسر جهان بارها Reboot كند ویژگى اصلى هر دو كرم، آلوده كردن سیستم هاى كامپیوترى بدون استفاده از اى میل و یا فایل هاى الصاقى دیگر است.كرم از طریق نقاط ضعفى كه سیستم عامل ویندوز دارد و از طریق tcp/ip به سیستم هاى كامپیوترى نفوذ مى كند و پس از آلوده شدن دستگاه اعلام یك پیغام خطا یا Reboot ظاهر مى شود و دستگاه به اصطلاح دوباره راه اندازى مى شود.

طى روزهاى بحرانى آلودگى این ویروس بیمارستان ها، بانك ها، شركت هاى هواپیمایى، سازمان هاى دولتى و كاربران خانگى با مشكلات عمده اى روبه رو شدند حتى در روز دستگیرى نویسنده آن اعلام شد كه به رغم نسخه هاى اصلاحى نصب شده روى رایانه ها و بازگشت شرایط به حالت عادى امكان بازگشت مجدد این ویروس وجود دارد. نگاهى به چرخه ویروس هاى كامپیوترى طى چند سال اخیر نشان مى دهد همگام با پیشرفت راه هاى امنیتى مبارزه با حملات اینترنتى و ویروس ها این نرم افزارهاى كوچك موذى نیز خود را با محیط تطبیق داده و به اصطلاح هوشمند تر و مخرب تر شده اند. اگر تا چند سال قبل عمده تاثیر ویروس ها پاك شدن اطلاعات چند كاربر و یا حداكثر یك صدمه سخت افزارى نه چندان شدید بود ویروس هاى هوشمند امروزین گاه شریان هاى حیاتى یك جامعه را هدف قرار مى دهند این موضوع خصوصاً براى جوامعى كه بیشترین توسعه كامپیوترى را داشته اند و بسیارى از امور خود را روى شبكه و یا اینترنت منتقل كرده اند تاثیر بیشترى داشته است.در ایران بلافاصله پس از هجوم این ویروس به اینترنت نشانه هاى آلودگى آن مشاهده شد حتى یكى از نمایندگان شركت هاى تولیدكننده آنتى ویروس ادعا كرد ویروس ساسر بیشترین قربانى را در ایران داشته است.

هر چند این ادعا كمى اغراق آمیز به نظر مى رسید اما گزارش ها حاكى از تاثیر این ویروس روى چندین شركت بزرگ و كوچك و مراكز ادارى چون روزنامه ها و... بوده است.به رغم این به نظر مى رسد عقب ماندگى كامپیوترى كشور و عدم اتصال شریان هاى حیاتى و دستگاه هاى مختلف به اینترنت باعث كم اثر بودن این ویروس در كشور شده است البته این موضوع در مقابل بسیارى از منافعى كه گسترش تكنولوژى آى تى در كشور ایجاد مى كند بسیار كوچك و كم اهمیت مى نماید.برخى كارشناسان معتقدند كرم هاى امروزین پس از ظهور براى نخستین بار پس از مدتى دوباره با شكل تغییر یافته مشاهده خواهند شد. نمونه كرم هایى چون نت اسكاى كه طى یكى دو ماه گذشته چندین نسخه از آن در اینترنت شناسایى شده نشان مى دهد ویروس هاى امروزین به سادگى از بین نمى روند و عمر طولانى ترى دارند.به گفته برخى از كارشناسان بعضى از ویروس ها مثل SQLslammerو Code Red هنوز روى اینترنت مشغول فعالیت هستند. حتى برخى پیش بینى مى كنند ویروس هاى آینده با تركیب كردن قابلیت هاى امروزین به اندازه اى خطرناك خواهند بود كه بسیارى از افراد دسترسى خود به اینترنت را قطع كنند.
 

 • زنده براى همیشه

تصورى كه از ویروس هاى كامپیوترى براى نخستین بار در ذهن یك كاربر كامپیوتر مجسم مى شود چیزى شبیه به ویروس هاى بیمارى زا است اما اگر گفته شود ویروس هاى كامپیوترى به نسبت همتایان انسانى خود مفیدتر و سازنده تر هستند حرف بى راهى نیست چرا كه این نرم افزارهاى كوچك با شناسایى نقاط ضعف سیستم ها طى سال هاى گذشته كمك شایانى به رشد امنیت سایت ها، شبكه هاى كامپیوترى و نرم افزارها كرده اند.ویروس ها معمولاً از قطعه نرم افزار كوچكى تشكیل شده اند كه بر دوش یك برنامه حقیقى حمل مى شود مثلاً یك ویروس مى تواند در كنار ویرایشگر الصاق شود و هر بار كه این برنامه اجرا مى شود ویروس یك كپى از خود ایجاد كرده و یا طبق برنامه نوشته شده براى آن دستورات تخریبى خاص را در سیستم اجرا كند. به نوشته سایت Srco ویروس هاى كامپیوترى بدین دلیل ویروس نامیده شده اند چون داراى برخى وجوه مشترك با ویروس هاى زیست شناسى هستند. یك ویروس كامپیوترى از كامپیوترى به كامپیوتر دیگر عبور كرده دقیقاً مشابه ویروس هاى زیست شناسى كه از شخصى به شخص دیگر منتقل مى شود. ویروس زیست شناسى یك موجود زنده نیست، ویروس بخشى از DNA بوده و داخل یك روكش حفاظتى قرار مى گیرد.

ویروس بر خلاف سلول قادر به انجام عملیات و یا تكثیر مجدد خود نیست، یك ویروس زیست شناسى مى بایست DNA خود را به یك سلول تزریق نماید DNA ویروسى در ادامه با استفاده از دستگاه موجود سلول قادر به تكثیر خود مى گردد. در برخى حالات سلول با ویروس جدید آلوده تا زمانى كه سلول فعال و باعث رها سازى ویروس گردد در حالات دیگر ذرات ویروس جدید باعث عدم رشد سلول در هر لحظه شده و سلول همچنان زنده باقى خواهد ماند. به هر حال یك ویروس كامپیوترى مى بایست بر دوش سایر برنامه ها و یا مستندات قرار گرفته تا در زمان لازم شرایط اجراى آن فراهم گردد. پس از اجراى یك ویروس زمینه آلوده كردن سایر برنامه ها و یا مستندات نیز فراهم مى شود اما كرم ها تفاوت آشكارى با ویروس ها دارند چرا كه كرم، یك برنامه كامپیوترى است كه قابلیت تكثیر خود از ماشینى به ماشین دیگر را دارا است. شبكه هاى كامپیوترى بستر مناسب براى حركت كرم ها و آلوده كردن سایر ماشین هاى موجود در شبكه را فراهم مى آورند. با استفاده از شبكه هاى كامپیوترى كرم ها قادر به تكثیر باور نكردنى خود در اسرع زمان هستند مثلاً كرم Code Red كه در سال ???? مطرح گردید قادر به تكثیر خود به میزان ?????? مرتبه در مدت زمان نه ساعت است.

همچنین كرم CodeRed نیز در زمان تكثیر به میزان قابل ملاحظه اى سرعت ترافیك اطلاعاتى بر روى اینترنت را كند مى كرد، هر نسخه از كرم فوق پیمایش اینترنت به منظور یافتن سرویس دهندگان ویندوز آنتى یا ???? را آغاز مى كرد و هر زمان كه یك سرویس دهنده ناامن (سرویس دهنده اى كه بر روى آن آخرین نرم افزارهاى امنیتى مایكروسافت نصب نشده بود) پیدا مى شد كرم نسخه اى از خود را بر روى سرویس دهنده تكثیر مى كرد و نسخه جدید نیز در ادامه عملیات پیمایش براى یافتن سایر سرویس دهندگان كار خود را آغاز مى كرد. با توجه به تعداد سرویس دهندگان نا امن، یك كرم قادر به ایجاد صدها و هزاران نسخه از خود است.

ایجادكنندگان ویروس هاى كامپیوترى افرادى آگاه و باتجربه بوده و همواره از آخرین حقه هاى موجود استفاده مى كنند. یكى از این حقه هاى مهم در خصوص قابلیت استقرار در حافظه و استمرار وضعیت اجراى خود در حاشیه است (البته تا زمانى كه سیستم روشن باشد) بدین ترتیب امكان تكثیر این نوع ویروس ها با شرایط مطلوب ترى فراهم مى شود. یكى دیگر از حقه هاى موجود قابلیت آلوده كردن بوت سكتور فلاپى دیسك ها و هارددیسك ها است، بوت سكتور شامل یك برنامه كوچك به منظور استقرار بخش اولیه یك سیستم عامل در حافظه است. با استقرار ویروس هاى كامپیوترى در بوت سكتور اجرا شدن آن تضمین خواهد شد بدین ترتیب یك ویروس بلافاصله در حافظه مستقر و تا زمانى كه سیستم روشن باشد به حضور مخرب خود در حافظه ادامه خواهند داد. ویروس هاى بوت سكتور قادر به آلوده كردن سایر بوت سكتورهاى فلاپى دیسك هاى سالمى كه در درایو ماشین قرار خواهند گرفت نیز مى باشد در مكان هایى كه كامپیوتر به صورت مشترك بین افراد استفاده مى گردد بهترین شرایط براى تكثیر ویروس هاى كامپیوترى به وجود خواهد آمد.
 

• رابین هود عالم اینترنت

همه ساله ویروس هاى كامپیوترى میلیون ها دلار خسارت به شبكه هاى كامپیوترى وارد مى سازند و همه ساله میلیون ها دلار نصیب شركت هاى سازنده آنتى ویروس و نرم افزارهاى امنیتى مى شود به نظر مى رسد این جنگ وگریز بین ویروس هاى كامپیوترى و شبكه ها به این زودى ها قابل رفع نباشد حتى برخى از افراد بدبین معتقدند بیشتر ویروس ها توسط شركت هاى آنتى ویروس تولید مى شوند چرا كه تنها كاربران از ترس ویروس است كه به سراغ نرم افزارهاى این شركت ها مى روند.واقعیت این است كه ویروس هاى كامپیوترى براى نفوذ به سیستم هاى افراد راه هاى متفاوتى را آزمایش كرده اند. ویروس سوبیگ كه یك ماه قبل در اینترنت مشاهده شد فشار شدیدى را به شبكه اینترنت و سیستم هاى شركت هاى تجارى وارد آورد و بسیارى از آنها را دچار كندى كرد.

این ویروس براى آن كه توسط كاربران شناسایى نشود مرتباً موضوع پیغام هاى آلوده خود را تغییر مى داد به این ترتیب كاربران كم تجربه از ریسك بیشترى براى گشودن نامه هاى آلوده به این ویروس برخوردار مى شدند. ویروسى مانند نت اسكاى تغییر عنوان نامه را به اوج رساند به نحوى كه با تغییر نام و آدرس فرستنده اى میل كاربران را دچار این شك مى ساخت كه این نامه از طرف یك دوست برایشان ارسال شده است. ویروس Mydoom كه از ژانویه سال ???? فعالیت خود را آغاز كرد تنها طى ?? ساعت ??? میلیون اى میل آلوده ایجاد كرد. این ویروس كه از ضعف هاى سیستم عامل مایكروسافت بهره مى برد از طریق یك فایل ضمیمه در نامه الكترونیكى منتشر مى شد و به آدرس هایى كه از طریق ضعف مزبور بر روى یك سیستم یافته بود اى میل آلوده ارسال مى كرد. میزان آلودگى این ویروس به حدى بود كه گفته مى شد یكى از هر ?? اى میل ارسالى را در بر مى گرفت و در بیش از ??? كشور جهان مشاهده مى شد.یك سال قبل ویروسى كه شباهت آشكارى به ویروس ساسر داشت و باعث Reboot كردن كامپیوتر ها مى شد تمام دنیاى كامپیوتر را بهم ریخت.

این ویروس كه ام اس بلاست نام داشت به سرعت مشهور شد چرا كه با دستور ساده خود مبنى بر راه اندازى مجدد ویندوز عملاً جلوى استفاده از دستگاه را مى گرفت. این ویروس به گونه هوشمندانه نوشته شده بود كه بعد از آلوده كردن یك دستگاه به دنبال دستگاه متصل به آن مى گشت تا آنها را نیز آلوده سازد.گفته مى شد این ویروس در اوج فعالیت خود تنها ظرف ?? ثانیه رایانه هاى سالم را پیدا مى كرد و تخمین زده مى شد بیش از ??? هزار رایانه توسط انواع مختلف این ویروس آلوده شده است اما شاید یكى از قدیمى ترین ویروس هاى نسل فعلى كه فعالیت آن تاثیر بسزایى روى نوع نگرش به ویروس ها داشت ویروس مشهور Love Letter بود كه در میان مردم به Love You I شهرت پیدا كرده بود و...اما باید در نظر داشت ویروس ها همچنان كه برخى اعمال تخریبى نیز به همراه داشته اند به گونه اى گاه مصارف مفیدى نیز براى آنها تصور مى شود.

به عنوان نمونه ویروس ولچى یا ناچى كه از شیوه تخریبى ام اس بلاست بهره مى برد نمونه اى از یك ویروس نیكوكار بود. این ویروس بعد از ورود به سیستم تلاش مى كرد بسته تازه نرم افزارهاى مایكروسافت را روى سیستم نصب كند و اگر كرم بلاستر را روى سیستم مى یافت آن را حذف مى كرد، مشاور ارشد یك شركت ضدویروس نویسنده این ویروس نیكوكار را رابین هود عالم اینترنت نامید كه مى خواهد ویروس پلید ام اس بلاست را نابود كند.

به نظر مى رسد ویروس هاى كامپیوترى ماهیت دو گانه اى دارند، آنها از یك سوى تخریب مى كنند و خسارت به بار مى آورند و از سوى دیگر نتایج كار آنها جلو تخریب هاى بیشتر و خسارت سنگین تر را مى گیرد. با چنین رویكردى آیا مى توان آنها را به طور مطلق مفید یا مضر خواند؟

آشنایی با ویروس Code Red

  طبق گزارش مسوولان مركز هماهنگی   CERT كرم شروری به نام كد قرمز (Code Red) از نقطه ضعف سر ریز شدن بافر در برخی از پیكربندیهای سیستم عامل ویندوز NT و ویندوز 2000 شركت مایكروسافت استفاده كرده و به سرعت در اینترنت انتشار می یابد.

 این سازمان اعلام كرده كه تا كنون در حدود 225000 كامپیوتر به این كرم آلوده شده اند. طبق اظهارات مسوولان این سازمان در پیتسبورگ كد قرمز از نقطه ضعف سر ریز شدن بافر IIs Indexing service DLL استفاده می كند گفته می شود كه این نقطه ضعف در بیشتر نسخه های  IIS4,IIS5 وجود دارد . بر اساس اعلامیه ای كه روز 19 ژوئن درباره این مشكل صادر شد سر ریز شدن بافر سبب می شود كه كرم مهاجم كنترل تمامی بخشهای سیستمی را كه مورد هدف قرار گرفته است به دست گیرد. اگر زبان پیش فرض میزبان آلوده شده انگلیسی باشد كد قرمز تمام صفحات وبی را كه میزبان ارایه می كند دفرمه كرده و به جای آنها پیام HELLO W!Welcome to http://www.worm.com!hackedbyChiness! را به نمایش در می آورد.

 مسوولان CC/CERT اظهار داشتند كه این كرم علاوه بر دفرمه كردن تمام صفحات وب كارآیی كلی سیستم را به میزان فاحشی كاهش داده و در تلاش برای انتشار خود میزبانهای دیگر را اسكن می كند. اگر زبان پیش فرض میزبان انگلیسی نباشد كرم به اسكن ادامه می دهد اما صفحات وب را دفرمه نمی كند .
طبق اظهارات مقامات مركز CC/CERT كد قرمز همچنین می تواند حملات خود را به صورت "خودداری سرور از ارایه خدمات" انجام داده و سیستمها  و شبكه هایی را كه به مخاطره نیفتاده اند برای یافتن نقطه ضعف سرریز شدن بافر IIs Indexing service DLL   اسكن می كند .حمله "خودداری سرور از ارایه خدمات" به این دلیل می تواند به وقوع پیوند كه كد قرمز از همان هسته مولد اعداد تصادفی كه برای تولید لیست آدرسهای IP كه مورد اسكن قرار می گیرند استفاده می كند. مقامات CERT اظهار داشتند كه در نتیجه تمام میزبانهای آلوده شده همان آدرسهای IP را اسكن می كنند . مركز ملی حمایت از ساختار زیربنایی ملی (NIPC) كه یكی از سازمانهای وابسته به اف. بی.آی است اعلام كرد كه وب سایت كاخ سفید نیز مورد حمله "خودداری سرور از ارایه خدمات" این كرم قرار گرفته است.
 طبق اظهارات مقامات NIPC كد قرمز با ارسال 100 اتصال همزمان به سرور كاخ سفید به این سایت حمله كرد. پل داكلین رییس پشتیبانی جهانی شركت سوفوس پی تی كه تولید كننده نرم افزار ضد ویروس است اظهار داشت: به نظر می رسد كه این كرم به نحوی برنامه ریزی شده است كه به كامپیوتر با آدرس 198.137.240.91 حمله كند. این تنها یكی از كامپیوترهایی است كه خدمات " www.whitehouse.gov "  را  ارایه می دهد . بعد از حمله كرم كد قرمز ارتباط این كامپیوتر با وب سایت www.whitehouse.gov قطع شد تا سایت بتواند به درستی به كار خود ادامه دهد.

تامین كنندگان خدمات اینترنتی نیز برای متوقف كردن تلاش این كرم در قطع خدمات به مشتریان داوطلب شدند . داكلین به تكنیكی اشاره كرد كه در آن تامین كنندگان خدمات اینترنتی بسته هایی را كه آدرس IP خاصی دارند دور ریخته یا نادیده می گیرد او در این رابطه اظهار داشت : همچنین بسیاری از تامین كنندگان خدمات اینترنتی این آدرس را بی اثر كردند این روش دفاعی در این مورد موثر بود چون كد قرمز قادر است تعداد زیادی بسته های اینترنتی غیر ضروری را تولید كند.

 مركز NIPC آسیب پذیری در خدمات Indexing Service DLL را یك خطر بزرگ خوانده و افزود كه كارشناسان این مركز تصور می كنند ویروس های دیگری نیز در آینده از این نقطه ضعف امنیتی استفاده خواهند كرد. آقای داكلین اظهار داشت برای مقابله با حملات این كرم و جلوگیری از انتشار بیشتر آن كاربران باید از نرم افزار ترمیمی (PATCH) شركت مایكروسافت كه برای حل این مشكل امنیتی به وجود آمده است استفاده كنند. او افزود كه این نرم افزار ترمیمی باید بتواند به طور گسترده مورد استفاده قرار گیرد تا از انتشار كرم جلوگیری كند .

 داكلین اظهار داشت: اگر فقط درصد كمی از كاربران از این نرم افزار ترمیمی استفاده كنند كد قرمز به انتشار و افزایش ترافیك اینترنت ادامه خواهد داد . خوشبختانه تلاش كد قرمز برای آغاز حمله "خودداری سرور از ارایه خدمات" در وب سایت كاخ سفید به كاربران فرصت كافی داد تا سیستم های خود را به نرم افزار ترمیمی مجهز كنند. آقای داكلین در خاتمه افزود : چون این كرم فقط در حافظه به حیات خود ادامه می دهد روی هارد دیسك شما یك كپی دائمی از خود نمی سازد پس از نصب برنامه ترمیمی راه اندازی مجدد كامپیوتر نه تنها شما را از شر كرم خلاص می كند بلكه عدم آلودگی مجدد كامپیوتر شما به این كرم را تضمین می كند بنابراین این عمل برای سایت شما  جامعه اینترنت و همچنین در كل برای همه مردم دنیا خوب است .

اما گونه جدید و خطرناكتر كرم Code Red كه به تازگی منتشر شده است كه می تواند برای تمام سرورهای آسیب پذیر مایكروسافت تهدید جدی باشد . این كرم یك اسب تروا را به سرور اضافه می كند كه در صورت فعال شدن آن هر كاربر با یك مرورگر وب امكان نفوذ به سرور آلوده را پیدا می كند آخرین نسخه این كرم نیز همانند نسخه های قبلی خود با تكثیر بیش از حد خود در بافر سرورهای وب آسیب پذیر مایكروسافت باعث سر ریز شدن آنها می شود . گونه جدید كه توسط تحلیلگران امنیتی Code Red II نام گرفت است به اسب تروا پنهان شده در پوسته Explorer.exe امكان می دهد كه روی آن دسته از سرورهای وب IIS كه توسط بسته های ترمیمی Microsoft service pack II حفاظت نشده اند بار گذاری شود . به گفته راس كوپر دبیر یك گروه خبری امنیت Online به نام Ntbugtrak Retreat و كارشناس امنیتی گونه اخیر Code Red نسبت به نسخه های قبلی آن بسیار خطرناكتر است .به گفته كوپر این كرم با برنامه ای كاملا متفاوتی نوشته شده است گروه كارشناسان امنیتی كه برای اولین بار Code Red II را تشخیص دادند معتقدند كه این كرم توسط گروه 29A (نام مستعار گروهی از نفوذ گران) نوشته شده است بنا به گفته نویسنده این ویروس Code Red II می تواند یك دایركتوری مجازی وب را بر روی Microsoft web server نصب كند و با این كار تمام فایل های این سرور را در دسترس هر كسی بگذارد كه یك مرورگر وب در اختیار دارد . كوپر می گوید تشخیص این مساله كه كدام یك از سیستم های سخت افزاری در معرض خطر حمله این كرم هستند كار بسیار ساده ای است.

آخرین نسخه این كرم بر خلاف نسخه های قبلی آن – كه برای آسیب رساندن می توانستند ماهها غیر فعال بمانند و سیكل فعالیت آنها نیز بسیار طولانی بود چرخه ای 24 ساعته دارد. او معتقد است كه 3 گروه از كاربران وجود دارند كه نرم افزار اصلاحی مناسب را بر روی سرورهای مایكروسافت خود نصب نكرده اند . گروه اول كاربران خانگی یا بنگاههای كوچك هستند كه عموماً از سرویس های اینترنتی با سرعت بالا مانند home@ یا Road Runner استفاده می كنند. گروه دوم شركتهایی هستند كه فراموش كرده اند كه سرورهای وب قدیمی تر بر روی اینترنت آنها وجود دارد و از آنجایی كه آنها هیچ دیوار آتشی ندارند این سرورهای وب قدیمی در دسترس كاربران قرار می گیرند و به وسیله جستجو خودكار Code Red آلوده می شوند. نهایتاً Code Red می تواند كاربران كشورهایی را كه اخبار مربوط به جهان غرب را نمی خواهند گرفتار كند .

آشنایی با عملكرد ویروسهای مقیم در حافظه

ویروسهای مقیم در حافظه همان طور كه از اسم آنها بر می آید با قرار گرفتن در حافظه سیستم شروع به تكثیر و آلوده سازی می كنند. به این ویروسها ویروسهای با عملكرد غیر مستقیم نیز می گویند .

چرا كه مستقیما دنبال فایلی برای آلوده سازی نمی گردند بلكه پس از مقیم شدن در حافظه فایلهایی را كه متعاقبا در دسترس قرار گیرند آلوده می كنند همچنین بعضی از ویروسهای مقیم در حافظه با عنوان آلوده كننده های سریع نیز شناخته می شوند كه علت این مطلب در همین مقاله ذكر خواهد شد.

 مقایسه عملكرد ویروسهای مقیم و غیر مقیم :

ویروسهای مقیم در حافظه در مقایسه با ویروسهای غیر مقیم دارای سرعت تكثیر بیشتری هستند ولی در مدت زمانی طولانی ممكن است تعداد كمتری از فایلها را آلوده كنند. به این ترتیب كه ویروسهای غیر مقیم تنها در صورتی كه اجرا شوند شروع به آلوده سازی سیستم می كنند و تا وقتی كه فایل آلوده به این گونه ویروسها اجرا نشود شروع به تكثیر نمی كنند ، بنا براین دارای سرعت تكثیر پایینی هستند . اما از آنجا كه بعد از اجرا شدن بر اساس جستجوی فایل عمل آلوده سازی را انجام می دهند در مدت زمان طولانی ممكن است كل فایلهای كامپیوتر را آلوده كنند.

در عوض ویروسهای مقیم در حافظه پس از مقیم شدن به محض اینكه فایلی در دسترس قرار گیرد آن را آلوده می كنند ، بنا بر این دارای سرعت تكثیر بالایی هستند اما از آنجا كه تنها بعضی از فایلهای اجرایی آن هم بیشتر به هنگام اجرا شدن در دسترس ویروس قرار می گیرند ، لذا از این نظر در طولانی مدت ممكن است تعداد كمتری فایل را آلوده كنند.

 مزایای ویروسهای مقیم در حافظه بر ویروسهای غیر مقیم :

ویروسهای مقیم در حافظه چون عملیات جستجوی فایل ندارند و به محض اجرا در حافظه مقیم می شوند معمولا احتمال اینكه به واسطه اجرا توسط كاربر كشف شوند بسیار كم است . در مورد ویروسهای غیر مقیم به علت عملیات جستجو كه انجام می گیرد گاه فایل اصلی با كمی تاخیر اجرا می شود یا در مورد بعضی از آنها به خاطر اینكه سطح وسیعی از دیسك س خت را جستجو و آلوده می كنند ، كاربر متوجه كار كردن بی دلیل دیسك سخت می شود در حالی كه از قبل این گونه نبوده است و همین مطلب احتمال كشف ویروس توسط را زیاد می كند . اما در مورد ویروسهای مقیم در حافظه چون عملیات جستجو وجود ندارد این احتمال بسیار كمتر است .

همچنین بعضی از ویروسهای مقیم در حافظه هنگامی كه خودشان در حافظه مقیم باشند با در اختیار گرفتن توابع  خاصی از وقفه های DOS مقادیر اولیه اندازه تاریخ و زمان فایل های آلوده به همان ویروس را نشان می دهند و به این ترتیب نمی گذارند كه كاربر به واسطه تغییر اندازه فایل یا احتمالا تغییر تاریخ و زمان فایل متوجه آلوده بودن آن شود لذا باز هم احتمال كشف شدن ویروس توسط كاربر كاهش می یابد.

 نكته :

بعضی از ویروسهای مقیم در حافظه قبل از اینكه در حافظه قرار بگیرند مانند ویروسهای فایلی با عملكرد مستقیم به جستجوی فایل می پردازد و تعدادی از فایلها (معمولا فایلهای سیستمی) را آلوده می كنند و سپس در حافظه مقیم می شوند.

 ساختار كلی ویروسهای مقیم در حافظه :

ویروسهای مقیم در حافظه دارای دو بخش هستند یك بخش غیر مقیم كه قبل از اینكه ویروس در حافظه مقیم شود اجرا می شود و بخش دیگر پس از مقیم شدن ویروس در حافظه. بخش اول هنگامی اجرا می شود كه فایلی آلوده به ویروس توسط كاربر اجرا شود و وظیفه تخصیص حافظه و قرار دادن ویروس در حافظه و انتقال بردار وقفه    مورد نظر را به ویروس بر عهده دارد . اما بخش دوم زمانی اجرا می شود كه برنامه ای با فراخوانی وقفه ای كه در اختیار ویروس است بخواهد كار خاصی را انجام دهد . در این حالت ویروس كه سر راه دسترسی به وقفه مزبور نشسته است فعال می شود و عملیات تكثیر تخریب یا مخفی كاری (برای جلوگیری از كشف ویروس توسط كاربر) را انجام می دهد . در اینجا به توضیح مراحل بخش اول ( غیر مقیم ) می پردازیم :

1- تست مقیم بودن ویروس در حافظه:

در این قسمت ویروس معمولا با استفاده از یكی از توابع استفاده نشده از وقفه ای كه توسط ویروس در اختیار گرفته شده است و فرستادن پارامترهای خاص و فراخوانی وقفه مزبور مقیم بودن خود را در حافظه چك می كند . در صورتی كه ویروس در حافظه مقیم نباشد پارامترهای برگشتی از طرف سیستم عامل خواهد بود و چون ویروس این پارامتر ها را انتظار ندارد متوجه می شود كه در حال حاضر ویروس در حافظه مقیم نیست اما در صورتی كه خود ویروس از قبل در حافظه مقیم شده باشد به واسطه ارسال پارامترهایی خاص به برنامه فراخوان ویروس متوجه می شود كه از قبل در حافظه مقیم شده است لذا بدون اینكه مجددا در حافظه مقیم شود كنترل را به برنامه اصلی می دهد تا اجرا شود.

  2- تخصیص حافظه :

ویروسها به دو روش كلی در حافظه مقیم می شوند :

1 – با استفاده از وقفه 27h یا تابع 31h از وقفه 21h

2 – با استفاده از دستكاری زنجیره MCB(Memory Control Black) در حافظه .

در روش اول پس از اینكه قسمت غیر مقیم اجرا شد ویروس با استفاده از فراخوانی وقفه 27h و یا تابع 31h از وقفه 21h اجرای خود را خاتمه می دهد و به صورت مقیم در حافظه قرار می گیرد ویروسهایی كه از این روش استفاده می كنند بخش تخصیص حافظه را خودشان انجام نمی دهند و این بخش را سیستم عامل با توجه به پارامترهای ورودی انجام می دهد . پس بخش تخصیص حافظه فقط مربوط به ویروسهایی است كه از روش دوم برای مقیم شدن استفاده می كنند.

در روش دوم ویروسها ابتدا یك قسمت خالی از حافظه را برای اینكه كدشان را در آن قرار دهند پیدا می كنند (پیدا كردن فضای خالی در حافظه نیز دارای روشهای متنوعی است) سپس به صورت دستی در ابتدای بلاك تخصیص یافته DTA را تشكیل می دهند و بعد با دستكاری زنجیره MCB خود را در وسط یا انتهای این زنجیره  قرار می دهند این عملیات باعث می شود كه این قسمت از حافظه به ویروس اختصاص داده شده و توسط برنامه های دیگر اشغال نشود.

  3- كپی ویروس در حافظه :

این بخش مخصوص آن دسته از ویروس های مقیم در حافظه است كه از روش دستكاری زنجیره MCB برای تخصیص حافظه استفاده می كنند . در این قسمت ویروس از ابتدا تا انتهای خود را در بلاك اختصاص داده شده در حافظه كپی می كند.

  4- تغییر بردار وقفه مورد نظر و اشاره آن به ویروس :

در این قسمت ویروس با دستكاری آدرس وقفه مورد نظر در جدول بردار وقفه ها كه از آدرس 0000:0000 شروع می شود آخرین مرحله مقیم شدن را انجام می دهد . معمولا ویروسها وقفه های 21h و 9h , 13h را در اختیار می گیرند . ویروسها با در اختیار گرفتن وقفه 21h برای عملیات تكثیر و مخفی كاری وقفه 9h برای عملیات تخریبی دیسك ها یا جلوگیری از دسترسی كاربر به اطلاعات دیسك ها استفاده می كنند در این بخش ویروس آدرس وقفه های مورد نظر خود را از جدول بردار وقفه ها برداشته و درون قسمتی از ویروس كپی شده در حافظه ذخیره می كند و به جای آن آدرس بخش مقیم خود را قرار می دهد در نتیجه هر بار كه برنامه ای این وقفه ها را فراخوانی كند ابتدا بخش مقیم ویروس اجرا شده و پس ار آن وقفه اصلی (كه آدرس آن درون بخش مقیم ویروس توسط بخش غیر مقیم ذخیره شده است)اجرا می شود.

  5- خاتمه اجرای بخش غیر مقیم ویروس و اجرای برنامه اصلی فایل آلوده :

در این مر حله دیگر ویروس در حافظه مقیم شده است لذا ویروس كنترل را به برنامه اصلی می دهد تا برنامه اصلی اجرا شود و كاربر متوجه اجرای ویروس نشود.

انتشار اولین ویروس بر روی موبایل

سیمانتك دیروز یك ویروس جدید را معرفی نمود:EPOC.Cabir ویروسی كه اینبار نه برای رایانه بلكه برای موبایل نوشته شده است .
با اینوصف از این به بعد جدا مراقب موبایلهای خود باشید.
EPOC.Cabir كرم جدیدی است كه بر روی موبایلهای نوكیا سری 60 انتشار می یابد.
نحوه انتشار این كرم بدینگونه است كه پس از آلوده كردن یك موبایل به دنبال دستگاه هایی كه به تكنولوژی بلو توث (Bluetooth) مجهز هستند می گردد و اولین وسیله یافت شده را آلوده می كند.این كرم به نوع دستگاه توجهی ندارد ، مثلاً اگر یك چاپگر كه به تكنولوژی بلو توث مجهز است در معرض دید این موبایل باشد مورد حمله قرار خواهد گرفت !

پس از اجرای كرم EPOC.Cabir :

ابتدا یك پیغام نمایش می دهد ، سپس خود را درون یك دایركتوری بر روی موبایل كپی می كند.(این دایركتوری به صورت پیش فرض قابل رؤیت نیست)

هر گاه موبایل روشن شود این كرم شروع به كار می كند. حتی اگر محتویات دایركتوری APPS پاك شود باز هم این كرم فعال خواهد بود.
پس از شروع به كار این كرم ، به صورت مداوم به جستجوی دستگاه هایی كه قابلیت بلو توث دارند می پردازد و اولین دستگاه یافت شده را مورد حمله قرار می دهد.در نتیجه به خاطر جستجوی مداوم شارژ باطری خیلی زود تمام خواهد شد.
جزئیات بیشتر :
پس از اجرای این كرم اعمال زیر را انجام می دهد :
1- پیغامی مانند انچه در شكل زیر نشان داده شده است نمایش خواهد داد:

2- فایلهای زیر را بر روی موبایل ایجاد خواهد كرد :

/SYSTEM/APPS/CARIBE/CARIBE.APP

/SYSTEM/APPS/CARIBE/CARIBE.RSC

/SYSTEM/APPS/CARIBE/FLO.MDL

/SYSTEM/SYMBIANSECUREDATA/CARIBESECURITYMANAGER/CARIBE.APP

/SYSTEM/SYMBIANSECUREDATA/CARIBESECURITYMANAGER/CARIBE.RSC

/SYSTEM/SYMBIANSECUREDATA/CARIBESECURITYMANAGER/CARIBE.SIS

/SYSTEM/RECOGS/FLO.MDL

/SYSTEM/INSTALLS/CARIBE.SIS
3- تلاش برای انتشار خود به دستگاه های دارای قابلیت بلو توث ، بدون توجه به نوع دستگاه
4- هر بار پس از اینكه موبایل خاموش و روشن می شود آغاز به كار می كند.

برای حذف كردن این كرم :
1- یك برنامه مدیریت فایل بر روی موبایل نصب كنید.
2-گزینه دیدن فایلهای درون دایركتوری سیستم را فعال كنید.
3- در درایو های A تا Z به دنبال دایركتوری /SYSTEM/APPS/CARIBE بگردید.
4-از دایركتوری CARIB فایلهای CARIBE.APP, CARIBE.RSC و FLO.MDL را پاك كنید.

5- به این دایركتوری بروید : C:/SYSTEM/SYMBIANSECUREDATA/CARIBESECURITYMANAGER

6- فایلهای CARIBE.APP, CARIBE.RSC و CARIBE.SIS را پاك كنید.
7- به دایركتوری C:/SYSTEM/RECOGS بروید.
8- فایل FLO.MDL را پاك كنید.
9- به دایركتوری C:/SYSTEM/INSTALLS بروید.
10- فایل CARIBE.SIS را پاك كنید.

یك كرم اینترنتی جدید Bagle.x!proxy

كرم اینترنتی جدیدی بنامBagle.x!proxyكه نسخه جدیدی ازW32/Bagle می باشد در حال گسترش در اینترنت است كه خود را با فرستادنE-mail و همچنین استفاده از منابع اشتراكی در شبكهمنتشر می كند. این كرم از نوعویروس-تروجان بوده كه پس از نصب بعنوانMail-proxyعمل می كند.

هنگام اجرای این كرم اینترنتی اعمال زیر روی سیستم قربانی صورت می گیرد :

1-Windows.exeخود را با نام در شاخه%system%كپی می نماید.

2-این شاخه از رجیستری سیستم جهت اجرای اتوماتیك تروجان هنگام روشن شدن سیستم دستكاری می شود:

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run "window.exe" = %SysDir%/WINDOW.EXE

پس از نصب ، یك بستهhttp به یكی از سایتهای

·http://bohema.amillo.net

·http://abc517.net

·http://www.abc986.net

فرستاده خواهد شد كه هكر را از نصب خویش مطلع می نماید.

* توجه : لازم است آدرس های بالا را در بخشRestricted Sitesمرورگر اینترنت خود وارد نمائید.

3-یك پورت پروكسی روی سیستم قربانی (معمولاً پورت 14247 ) بازو به عنوانهدایت كنندهایمیلMail Relayاز آن استفاده می كند.

راه حل :

برنامه ضد ویروس خود را سریعاً به روز نمائید . همچنین شركتTrend Micro برنامه ای جهت پاكسازی سیستم های آلوده منتشر كرده است كه می توانید آنرا از آدرس زیر دریافت نمائید .

اسب تروا رایانه ها را تهدید می كند!

هرچند وقت یكبار در اخبار ساعات اولیه صبحگاهی می شنویم كه ویروسی جدید رایانه ها را تهدید می كند.
این اخبار تا آخرین دقایق شب بارها و بارها تكرار می شود. شاید آخرین ویروسی كه به این ترتیب نقل محافل خبری شده است ، ویروس بحث برانگیز جی.اس.اسكاب. تروجان (Js.Scob.Trojan) باشد. این تهدید جدید در بولتن امنیتی مایكروسافت MS04-011 كاملا مورد بحث قرار گرفته است.

برخلاف كرمهای ساسر و كرگو كه مستقیما رایانه های كاربران نهایی را مورد هدف قرار می دادند ، این ویروس ، وب سرور را مورد حمله قرار می دهد. گزارش ها حاكی از آن است كه آسیب رسان مورد نظر از آسیب پذیری بیش از حد بافر PCTSSL كه روی سرور هدف وجود دارد استفاده می كند تا پیامی را نصب نماید كه این پیام باعث ایجاد كد آسیب رسان در صفحات وب سرور شود. كد سمت كاربر چیزی را داونلود می كند كه منابع خبری معتقدند Padodor/Berbew Trojan نام دارد. اسامی و رمز عبور مرتبط با اطلاعات مالی را گزارش می دهد و رایانه را به یك سیستم كنترل از راه دور باز كرده و مرتبط می كند. در حال حاضر این خطر برای اكثر كاربران جدی نیست. تروجان خود به خود گسترش پیدا نمی كند، بنابراین یك ویروس حقیقی نیست. طبق نظر مایكروسافت ، وب سایت منبع ، شات داون شده است.

اخبار منتشره و تجزیه و تحلیل مراكز تولید ضدویروس ، وب سایت های خاصی را كه به این ویروس مبتلا شده باشند ، گزارش نكرده اند اما اینچنین عنوان شده كه احتمالا صدها مركز خرید و فروش ، مراكز مقایسه قیمت در بازار یا مراكز دولتی مبتلا شده باشند. البته مایكروسافت معتقد است تهدید ناشی از این ویروس كاملا محدود و مهار شده است ، اما SANS گزارش كرده است ممكن است مسیرهای مخفی در سرورها نصب شده باشد و كار به جایی برسد كه كل سایتهای مورد نظر دوباره مورد بازسازی قرار بگیرند. حال چه این تهدید ویژه محدود شده باشد یا هنوز وجود داشته باشد و همچنان بر رایانه ها بتازد ، كد مورد نظر روی وب وجود دارد و احتمال دارد رایانه های زیادی را آلوده كند اما با این ویروس جدید چه باید كرد؟ شاید بهترین و اولین اقدام ، شناسایی آن باشد.

متهم را بهتر بشناسیم!

نام :

جی.اس.اسكاب.تروجان (Js.Scob.Trojan) محل اثر: مستقیما روی وب سرور ویندوز IIS.5.o غیرمستقیم بر كاربران اینترنت اكسپلورر (كاوشگر اینترنت).

نحوه عملكرد

: تروجان روی وب سرورهای ویندوز كه برنامه IIS.5.o را اجرا می كنند ، نوشته ای را به نمایش می گذارد كه به آن نوشته تبلیغاتی می گویند و باعث می شود سرور مورد نظر زیرنویسی را به طور اجباری در برنامه خود پیاده كند كه حاوی كد آسیب رسان Java Script است.

از طرف دیگر در رایانه كاربر، كد مورد نظر باعث آسیب رسانی دوطرفه می شود و فایلی را دانلود و اجرا می كند كه از وب سایت گرفته شده است.

سیستم ایمنی F فایلی را گزارش می كند كه ممكن است همان گزارشگر آسیب رسان كلیدی باشد كه به طور مخفی در Trojan فعالیت می كند و پادودور (Padodor) نام دارد.

راه پیشگیری :

اگر سرور مدنظر باشد ، باید MS04-011 همراه با ضدویروس موجود در آن دوباره تجدید شده و به كار برده و كد زیرنویس در IIS بررسی شود. اگر كاربر مدنظر باشد ، باید ضدویروس همیشه تجدید شده و به روز باشد. Internet Security Zone باید بالا نگهداشته شود تا پیام نوشتاری دادن غیرممكن شود.

برطرف كردن آلودگی

تمام ضدویروس هایی را كه ما بررسی كرده ایم ، توان شناسایی اسكاب تروجان و تروجان های وابسته را دارند. اگر اسكنر ضدویروس ندارید یا مایلید از روشی غیر از خرید ضد ویروس استفاده كنید ، می توانید از اسكنرهای قابل پیاده شدن و رایگان كه به صورت آنلاین وجود دارند استفاده نمایید. مثل House call كه در نشانی http://housecall.trendmicro.com، sStinger ، McAfee كه در نشانیhttp://vil.nai.com/vil/stingerوجود دارد یا اسكن فعال نرم افزار Panda استفاده كنید كه می توانید آن را در نشانی www.pandasoftware.com/products/activescan ببینید.

و اما فایل حقیقی

نام :

Js.scob.trojan،scob،download Ject

نوع تهدید :

اسب تروجان

تاریخ كشف :

24 ژوئن 2004

كشور منبع :

شوروی سابق سیستم هایی كه تحت تاثیر قرار می گیرند: سرور ویندوز 2000 (كاوشگر IIS) ، كاربرانی كه با ویندوز 2000 XP، Me ، 9X كار می كنند.

جستجوگر هدف :

كاوشگر اینترنت.

جستجوگرهایی كه تحت تاثیر قرار نمی گیرند:

اوپرا ، MacIE ، موزیلا ، نت اسكیپ.

سیستم هایی كه در امان هستند :

داس ، ویندوز 30X ، لینوكس ، ماك ، Os/2 و یونیكس.

جزییات اسكاب

جی اس.اسكاب تروجان باعث ایجاد نویز بسیار زیادی در سیستم ارتباطی می شود اما به نظر نمی رسد چندان طول بكشد. این ویروس در رایانه كاربر دانلود می شود. برای آلوده شدن سیستم ها ، هكر از MS04-011 استفاده می كند، نوشته ای را با نام ads.vbsدر پوشه سرور وارد می كند و 3 فایل را به صورت %inetsrv/folder// %system درمی آورد. این سه فایل با نام iisxxx.dll مشهور است.

نوشته مورد نظر به سرور IISمی آموزد تا یك زیرنویس حاوی سه فایل مورد نظر را اضافه كند. دستور زیرنویس به صورت یك انتخاب در IISمشخص شده است.

در سیستم كاربر ، كد Java Script یك پنجره مجزای مخفی را باز می كند و سعی می كند نوشته را از وب سایت دوردست اجرا كند. سایت مورد نظر براساس نوشته ای كه مدنظر بوده است قابل اجرا نیست.

مشكلات پنهان

اگر تروجان موفق عمل كند ، قادر خواهد بود پادودور تروجان را دانلود كند. پادودور به دنبال اطلاعات رمز عبور مالی مخصوص از Paypal ، eBay ، Juno ، Earthlink و Yahoo می گردد. این وضع پنهانی و مخفی كه به آن Berbew مخفی نیز می گویند ، اطلاعات را جمع آوری می كند و سپس آن را به URL حمله كننده می فرستد. خانواده Padodor/berbew می تواند آموزش های دوردست را دریافت كند تا PC را شات داون كند یا برنامه هایی را دانلود و اجرا كند. مشكلی كه در گزارش های مربوط به اقدامات ضدویروس ها به چشم می خورد ، آن است كه به نظر نمی رسداسكاب هیچیك از انواع Backdoor.padodor/berbew را مورد استفاده قرار دهد. كاسپرسكی گزارش كرده است كد مورد نظر ممكن است پادودور W،X،Y یا Z باشد در حالی كه امنیت F ادعا دارد پادودور W است كه البته ما با سیستم امنیت F موافق هستیم.

توجه داشته باشید تروجان مثل ویروس ها گسترش پیدا نمی كند. كاربران تنها از طریق مشاهده سایتهای آلوده به این ویروس مبتلا می شوند. با استفاده از یك ضدویروس جدید یا ابزار قابل دانلود موجود می توان اسكاب را برداشت.

برداشتن Backdoor.padodor.w به صورت دستی

رتبه بندی جدید ویروس‌ها توسط McAfee

در روزگاری كه فرستندگان ایمیل‌های انبوه برای شركت‌ها مشكل آفرین شده و نرم‌افزارهای جاسوسی آفت بزرگ مشتریان است، جدی‌ترین خطر تهدید كننده در نیمه‌ی اول سال حمله‌یDownload,Ject/Scob بوده كه از آسیب‌پذیری‌های موجود درIE مایكروسافت، سو استفاده كرده است.

پژوهش‌گران ویروس و تیمی از مسولان در شركتMcAfee ، با نام مستعارAVERT ، ده مورد از حمله‌های مشكل آفرین در شش ماهه‌ی نخست سال 2004را برشمرده وDownload.Ject/Scobرا در مقام نخست قرار داده‌اند. گفتنی‌ست كه اشغال كننده‌ی جایگاه نخست مشكل‌آفرینی در سال اخیر، این اسب تروا بوده كه در اواخر ماه ژوئن، منتشر شده است.

برین من، مدیر گروهAVERT گفته است كه اگر چه در هنگام انتشار Download.Ject/Scob، این دردسر اینترنتی به نظر كم اهمیت بود، اما ناگهان در شبكه‌ها منتشر شد. در مورد انتشار تراوایDownload.Ject/Scob، مشكلات امنیتی و آسیب‌پذیری‌های موجود در مرورگرIEمایكروسافت كاربران، اجازه‌ی وروداین اسب تروارا صادر كرده و به این ترتیب، اطلاعات سری آنان به سرقت رفته است و كاربران كوچك‌ترین خبری از این موضوع نداشته‌اند.

دردسر ساز شماره‌ی دو، اسبتراوای دیگری با نامVBS/Psyme بوده كه با كمك یكی از كاستی‌هایIE منتشر گردیده است.

برای پیدا كردن ده مشكل موجود در نخستین نیمه‌ی سالاخیر، شركتMcAfee، ویروس‌هایی كه مشتریان این شركت با آن روبه‌رو شده‌اند را، ردیابی كرده است.

سومین جایگاه در این طبقه بندی به كرمNetsky اختصاص یافته كه به دلیل رقابت با كرمBagle مشهور شده است. نویسندگان این دو كرم در سال اخیر نبردی را با یك‌دیگر آغاز كردند و ره آورد آن كه نسخه‌های بیشمار این كرم‌ها بود، نصیب كاربران شد.

در ادامه‌ی رتبه بندی این مشكلات اینترنتی، باید گفته شود كه جایگاه چهارم این جدول از آن چهار كرمNetsky.d, Netsky.P, Netsky.q و در نهایت نسخه‌ی اصلیMyDoom بوده است.

چهار مشكل دیگر نگاشته شده در این جدول، با خطرهای گوناگون نرم‌افزارهای جاسوسی,نرم‌افزارهای تبلیغاتی،اشغال شده و حاكی از آن است كه این گروه از خطرهای امنیتی با اهمیت هستند و چیزی فراتر از یك تهدید ساده برای كاربران تلقی می‌شوند.

برین من هم‌چنین گفته است كه نرم‌افزارهای جاسوسی، اصلی‌ترین مشكل سرسخت كسب و كارها است. بیشترین نگرانی ممكن در این زمینه، از دست دادن اطلاعات حیاتی و بحرانی‌ست و این افراد همواره نگران آن‌چه كه نرم‌افزارهای جاسوسی به سیستم آنان وارد كرده و نتیجه‌ی آن بوده‌اند.

در كل، شركتMcAfee در جریان انجام این بررسی، شواهدی حاكی از افزایش تهدیدهای امنیت به دست آورده است. آمار به دست آمده در این پژوهش، نشان دهنده‌ی افزایش 20 درصدی مشكلات اینترنتی در مقایسه با مدت مشابه در سال گذشته بوده است.

برین من، در باره‌ی روند رو به رشد مشكل‌آفرینان اینترنتی گفته است كه آمار به دست آمده در این زمینه باوركردنی نیست.

Spam, Worm, Trojan چه فرقی با هم دارند؟

Spam

Spam ایمیلی است كه بطور اتوماتیك برای اشخاص مختلف فرستاده می شود و اغلب اوقات یك محصول ، سرویس و یا وب سایتی را تبلیغ می كند . Spam ها مانند نامه های تبلیغاتی هستند كه توسط پست به شركت ها یا منازل فرستاه می شوند .
بعضی از Spam ها شامل مطالب فریبننده می باشند مانند این جمله : " شما برنده خوش شانس ما هستید ، برای اراسل جایزه كافیست اطلاعات زیر را برای مار ارسال كنید " . بعضی دیگر شامل تصاویر و عكسهای غیر اخلاقی می باشند .

Worm

Worm ها نوعی ویروس هستند كه اكثراً قابلیت تخریب به شكلی كه فایلی را از بین ببرند ندارند . نحوه كار Worm اغلب به این شكل است كه در حافظه اصلی كامپیوتر (Ram) مستقر می شوند و شروع به تكثیر خودشان می كنند كه این عمل موجب كند شدن سیستم و كم شدن تدریجی فضای Ram می گردد . كرم ها این قابلیت را نیز دارند كه برای آلوده كردن كامپیوترهای دیگر از ایمیل یا برنامه های چت استفاده می كنند .

Trojan

اسبهای تروا یا همانTrojan ، ویروس نیستند ، چرا ؟ به دلیل آنكه بر اساس تعریف ویروس قابلیت تكثیر ندارند . اما این قدرت را دارند كه فایلهای سیستم را پاك كنند ، در نحوه كار نرم افزار اخلال بوجود آورند و یا سیستم را از كار بیاندازند . یك اسب تروا در حقیقت یك برنامه مخرب است كه خود را به شكل یك برنامه بی خطر و معمولی نمایش میدهد .

برگرفته از گلوریا

كرم اینترنتی SDBOT.UH

شواهد حاكی از ظهور كرم اینترنتی جدیدی بنام  SDBOT.UH  می باشد كه در تاریخ  هشتم سپتامبر كشف گردیده است و در حال گسترش در اینترنت می باشد.

این كرم اینترنتی بر اساس چهار نقطه ضعف عمده كه در سیستمهای مبتنی بر ویندوز وجود دارند خود را اشاعه می دهد و با توجه به اینكه بعد از نصب بعنوان یك Sniffer  به ترافیك داده های دستگاه قربانی گوش داده و كلمات عبور و مشخصات بانكی قربانی را به هكر گزارش می دهد بسیار حائز اهمیت  و خطرناك است.
 

جزئیات :

این كرم با استفاده از نقاط ضعف :

• Remote Procedure Call (RPC) Distributed Component Object Model (DCOM) vulnerability
• Buffer Overflow in SQL Server 2000 vulnerability
• IIS5/WEBDAV buffer overrun vulnerability
• LSASS vulnerability

به سیستم قربانی وارد می شود و سپس  با نام Win32x.exe  خود را در شاخه ویندوز كپی می نماید. همچنین مسیرهای

HKEY_LOCAL_MACHINE/Software/Microsoft/
Windows/CurrentVersion/Run
Microsoft Time Manager = "dveldr.exe"
HKEY_LOCAL_MACHINE/Software/Microsoft/
Windows/CurrentVersion/RunServices
Microsoft Time Manager = "dveldr.exe"
و
HKEY_LOCAL_MACHINE/Software/Microsoft/Ole
Microsoft Time Manager = "dveldr.exe"

را به  رجیستری سیستم هدف اضافه می كند كه امكان اجرای دوباره را بعد از restart شدن كامپیوتر قربانی به این كرم می دهد. این كرم قابلیت های گوناگونی از جمله Sniffing ، Keylogging  و همچنین ایجاد Backdoor را دارا می باشد و نیز از سیستم قربانی بعنوان یك TFTP Server برای انتقال خود به سایر كامپیوتر ها استفاده می كند . شاید مهلك ترین قابلیت این كرم همان Sniffing باشد  كه سعی در دریافت  كلمات عبور و مشخصات كارت های اعتباری قربانی و گزارش آن  به هكر است. ضمن اینكه اصولاً شناسائی  Sniffer ها كار مشكلی می باشد.

راه حل‌:

1- برنامه ضد ویروس خود را بروز نمائید و سریعاً سیستم خود را چك كنید .
2- Task Manager را اجرا و در صورت مشاهده task ای با نامهای Win32x.exe یا dveldr.exe
آنها را End Task كرده و سپس با اجرای Regedit ،  در صورت وجود مسیرهائی كه قبلاً اشاره شد آنها را  پاك نمائید .

برگرفته از سایت آشیانه