راسخون

ويروس شناسي

mohamadaminsh کاربر طلایی1
|
تعداد پست ها : 25772
|
تاریخ عضویت : دی 1389 

آشنایی با

BINDER

 

در مقالات قبلی ویروس ها را به دو دسته ساده و مركب تقسیم كرده بودیم . ویروس های ساده كه طرز كار ساده ای دارند و به سادگی توسط آنتی ویروس ها شناسایی شده و یا حتی ممكن است به تنهایی یكی از انواع Worm ها یاTrojan ها یا Logic Bomb ها باشند .

ولی یك ویروس مركب ممكن است مجموعه هر سه یا حداقل دو نوع باشد كه بوسیله برنامه ای به نام Binder به هم متصل می شوند .

طرز كار این برنامه بدین طریق است كه میتواند با تركیب چند فایل اجرایی و تبدیل آنها به یك فایل به چند هدف برسد مثلاً پنهان كردن ویروسها از دید آنتی ویروسها

 

: البته Binder های معروف هم توسط آنتی ویروسها شناخته شده و جلو كار آن گرفته می شود .

دومین كاری كه یك Binder می كند متمركز كردن ویروس از چند فایل به یك فایل استو به محض اجرای این فایل تمام فایل های ادیت شده اجرا و اگر این چند فایل دارای هماهنگی با یكدیگر باشند می توانند ویروس وحشتناكی را به وجود بیاورند. البته بعضی از اینBinder  ها قابلیت دستكاری در رجیستریWindows  را هم دارند و می توانند یكStart Up در رجیستری برای ویروس طراحی كرده كه از آن طریق (بستگی به ساختار ویروس دارد) در حافظه باقی بمانند یا دستورات برنامه ریزی شده را اجرا كنند .

البته Binder های بزرگ كه نام بزرگی از لحاظ شهرت دارند امكان انتخابICON را در آخر برای فایل نهایی می دهند. كه با ترفند های ساده ولی كاری می شود كاربران مبتدی و متوسط و بعضی وقتها حرفه ای ها را هم گول زد. مثلا دقت نكردن به پسوند اصلی فایل منظورم پسوندی است كه فایل به كمك آن خوانده می شود. در اكثر Binder ها این پسوند نهایی EXE می باشد ولی می توان Header ایایجاد كرد و پسوند EXE را مخفی كرد!

اكثرا هكرهای مبتدی و متوسط ازBinder ها استفاده می كنند چون قدرت نوشتن یك ویروس با قابلیتهای مختلف مثلا تكثیر یا Send password و آلوده كردن فایل های دیگر را ندارندو وجود این برنامه هم مشكلی برای شركت های آنتی ویروس پیش می آورد چون متاسفانه رشد این برنامه ها هم رو به رشد می باشد .

: اكثر این برنامه ها(Binder) ها قابلیت خرد كردن و تقسیم كردن فایل مبدا را پس از آلوده كردن به چند فایل در جا های مختلف سیستم دارند. پس می توان نتیجه گرفت كه اگر ویروس اصلی خنثی نشود و بعداً كاربر بخواهد سیستم خود را از وجود ویروس پاك كند با چند نوع ویروس مختلف رو به رو شود كه كار پاك سازی به مراتب سخت تر می شود پس باز هم توصیه می كنم هر فایلی را قبل از اجرا كردن اسكن كنید.

 

شاید این سوال برای شما پیش بیاید كه حجم لینك چند ویروس با هم بالا می رود ولی در Binder های پیشرفته متاسفانه این مشكل بر طرف شده و Binder قادر خواهد بود فایل نهایی خود را فشرده كند كه این امر خود باعث كاهش حجم فایل ها می شود.

برگرفته از irsecure

 

mohamadaminsh کاربر طلایی1
|
تعداد پست ها : 25772
|
تاریخ عضویت : دی 1389 

 آشنایی با ویروس

Ralekaنام :Raleka

نام مستعار : Worm.Win32.Raleka, W32/Raleka, W32/Raleka.worm, WORM_RALEKA

مبدا : اسپانیا

این كرم یك كرم مبتنی بر شبكه است . بدان معنی كه فقط راه تكثیر و افزایش آن از طریق شبكه امكان پذیر می باشد . این كرم  از(Exploit) RPC استفاده می كند و از این نقطه  نظر می توان آن را جزو خانواده MSBLast/Lavsan محسوب كرد . محتوای این كرم  امكان كنترلIRC را داشته و می توانند ازbackdoor آن استفاده كند و با دستوریخاصشروع به دانلود كردنPatch از Microsft كند و شروع به رفع مشكل  باگDCOM كند(  البته فقط در كامپیوتر های آلوده ).

توصیف جزییات :

این كرم را با زبان برنامه نویسیC نوشته اند . حجم بدنه این كرم در هنگامی كه از حالت فشرده UPX خارج می شود ، در حدود 41504 بایت است  . هنگامی كه كرم شروع به فعالیت می كند ، سعی می كند سه فایل را از ایستگاه های از قبل تعیین شدهWEB دانلود كند .

1 – svchost32.exe

این فایل بدنه ویروس را ترجمه می كند

2 – ntrootkit.exe

یكUpdate را برایBackdoor در ویندوز هایNT نصب می كند .

3 – ntrootkit.reg

اینBackdoor را در ویندوز هایNt در رجیستری نصب می كند . این فایل كلیدی در رجیستری برای نصبBackdoor در ویندوزXP است . در كاربرانی كه از ویندوزXP استفاده می كنند ، از ابزار reg.exe برای نصب اینBackdoor استفاده می كند.

Raleka از طریق(Exploit) RPC/DCOMشروع به اسكن كردن رنجIP ها می كند و تلاش می كند تا  بطور همزمان حدود 100Ip مختلف را برای نفوذ و رخنه اسكن می كند .

وقتی به یك سیستم آسیب پذیر  برسد ،  كرم یك فایل به نامDown.com از طریق پوستهExploitRPC تدارك می بیند  و آن را فراخوانی می كند.با توجه به باگی كه در كرم وجود دارد ممكن است مجدداً سیستم مورد حمله این كرم واقع شود .

حجم فایل Down.com كم است و قابلیت اجرایی دارد و توسط  كد هایASCII دسته بندی شده و به وسیله برنامه  داس و از طریقNetSend در شبكهفراخوانی می شود.

هنگامی كه فایل DOS COM اجرا شد ، شروع به رمز گشایی ویندوز كرده و اجرای ویروس را امكان پذیر می كند. این كرم دارای ساختار درونیHTTP سرور است . كه از  این سرور برای حمل و نقل اجزا كرم وBackdoor آن استفاده می كند . سرورHTTP  به پورتهای راندوم بزرگتر از 32768 گوش می دهد .

این فایلها در سرورHTTP برای كپی كردن دانلود كردن موجود است :

1 – svchost.exe

كرم این فایل  را در شاخه سیستم ویندوز كپی می كند

2 – ntrootkit.exe

backdoor  ویندوز های نسلNT

3 – ntrootkit.reg

فایلی كه ریجستری را باBackdoor ست می كند

و در آخر هم بصورت آشكار  به محل های زیر سرایت می كند :

Files:

%windir%/system/svchost.exe: the worm itself %windir%/system/svchost32.exe: the updated version of the worm

%windir%/system32/ntrootkit.exe: NT backdoor %windir%/system32/ntrootkit.reg: Registry file for NT backdoor

%windir%/system32/svchost.cmd: Batch file to start the worm

كلید هایی كه در رجیستری ایجاد می شوند عبارتند از :

HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/AppCompatFlags/Layers]

"^%SystemRoot^%//SYSTEM32//NTROOTKIT.exe"="WIN2000"

"C://WINDOWS//SYSTEM32//NTROOTKIT.exe"="WIN2000"

ساختمان backdoor

Raleka دارای یكBackdoor درIRC می باشد كه می تواند یك سرور از پیش تعیین شده را به قربانی متصل كند . پس از الحاق مهاجم می تواند از طریق خط فرمان  كاملاً روی سیستم آلوده تسلط یافته و استفاده كنند .
mohamadaminsh کاربر طلایی1
|
تعداد پست ها : 25772
|
تاریخ عضویت : دی 1389 

آشنایی با ویروس

SirCam

 

اینویروس قابلیت پر كردن فضای هارد دیسك كاربران را دارد.حذف فایلها و توزیع اسناد خصوصی  و همچنین مخفی ماندن از دید برنامه های عادی ویروس یاب در اینترنت از ویژگی های دیگر آن است و با استفاده از كتابچه آدرس هایMicrosoft Outlook در اینترنت انتشار می یابد.

 مركز تحقیقات ضد ویروس شركت سیمانتك (SARC) این ویروس را كهSircam نام دارد از نظر ایجاد خطر در رده چهارم قرار داده است. گروه واكنش های اضطراری ضد ویروس شركت مك آفی( AVERT) و مركز اطلاعات ویروس ترند مایكرو خطر این ویروس را متوسط خواندند .Sircam در فهرست  ویروس های خطرناك مركز جهانی ردیابی ویروس ترند ، مقام سوم را به خود اختصاص داده است .

 این ویروس معمولاً به صورت ضمیمه نامه الكترونیكی به نامSircam از راه می رسد و خطرات آن درجات متفاوتی دارد كه به صورت تصادفی به وقوع می پیوندند . ممكن است یك كاربر حامل ویروس باشد اما هرگز آلوده نشود .

استیوتر یلینگ مدیر مركز تحقیقاتSARC اظهار داشت :

 وقتی این ویروس را فعال كنید . سه اتفاق عجیب و غیر عادی رخ می دهد . این ویروس در وهله اول یك عدد تصادفی را محاسبه می كند كه به احتمال 1 به 33 با هر بار راه اندازی سیستم با افزودن متن به یك فایل سیستمی در داخلRecycle Bin (C: recycledsircam.sys) تمام فضای باقیمانده روی هارد دیسك را پر می كند .

در مرحله بعدی  ویروس تاریخ سیستم را كنترل می كند و اگر تاریخ شانزدهم اكتبر باشد سیستم عامل ویندوز از یك قالب اروپایی برای تاریخ استفاده می كند (سال / ماه / روز) آن وقت دوباره یك عدد تصادفی تولید كرده  كه به احتمال 1 به 20 دستگاه را وادار به حذف تمام فایلها در هارد دیسك می كند و بالاخره این ویروس یك سند تصادفی را از هارد دیسك كاربر استخراج كرده و با اضافه كردن آن به بدنه این ویروس منتشر شده و هارد دیسك سایر كاربران را آلوده می كند. اگر سند محرمانه باشد امنیت اطلاعات خصوصی و شخصی نیز به خطر می افتد .

تریلینگ می گوید كه مشخصه غیر عادی دیگر این ویروس این است كه وقتی یك فایل را از هارد دیسك برای ارسال به سایر كاربران منتقل(Upload) می كند به نام فایل  پسوندexe ., bat., cam., link را می افزاید اگر فایل مورد نظر پسوندlink یا .bat داشته باشد ویروس اساساً خود را خنثی می كند و دیگر نمی تواند به درستی عمل كند . ویروسSircam خود را درRecycle Bin ویندوز مایكروسافت مخفی می كند، چرا كه اكثر ویروس یاب ها  آن را برای ردیابی ویروس اسكن نمی كنند. این ویروس یك كرم كامپیوتری نیز هست و از طریق دفترچه آدرس Microsoft Outlook كاربر و كپی كردن خود به تمام درایوهای اشتراكی كه می یابد منتشر می شود. نامه الكترونیكی ارسال شده به زبان انگلیسی یا به زبان اسپانیایی است و اگر چه متن پیام متفاوت است اما بیشتر به یكی از اشكال زیر ظاهر می شود:

Hi! How are you?

I send you this file in order to have your advice

I hope you can help me with this file that send

I hope  you like the file that I send  to you

This is the file with the information that you ask for

See you later. Thanks

آخرین ویروس شناخته شده ای كه از تاریخ خاص برای فعال شدن استفاده كرد ویروس چرنوبیل بود كه روز بیست و ششم آوریل 2000 سالگرد انفجار چرنوبیل در روسیه فعال شد. این ویروس نیز ماهها قبل از تاریخ فعال شدن (اوت 1999) شیوع یافت و بدین ترتیب قبل از حمله به كاربران فرصت كافی داد تا سیستم خود را از وجود این ویروس پاكسازی كنند.

mohamadaminsh کاربر طلایی1
|
تعداد پست ها : 25772
|
تاریخ عضویت : دی 1389 

 آشنایی با ویروس

SlAPPER

 بنا به اظهارات شركت امنیتی كه انتشار كرمSLAPPER را كنترل و نظارت می كردند، این كرم 8 سپتامبر سال 2003 شناسایی شد و به آرامی هزاران وب سرور آسیب پذیرLinux Apache  را در اینترنت آلوده كرد. این كرم تا به حال دست كم 30 هزار وب سرورLinux Apache را به علت عدم ترمیم و رفع ضعفها و آسیب پذیریهایOpen SSL توسط نرم افزار های مربوط آلوده كرده است. وب سرور ها به محض آلوده شدن به این كرم مجبور می شوند كه به یك شبكه نظیر به نظیر(Peer - to – Peer) بپیوندند. این شبكه می تواند برای انتقال مستقیم انواع  برنامه به سرورهای آلوده توسط هر شخص در آن شبكه مورد استفاده قرار گیرد.

اگر چهSlapper تا كنون خطرناك به نظر نمی رسید اما این كرم موذیانه به نفوذگران اجازه می دهد تا به شبكه نظیر به نظیر بپیوندند و از دستگاه های موجود در آن استفاده كنند.

((تونی ماگالانز )) مهندس سیستم شركت امنیتیF-Secure مستقر در فنلاند می گوید :

      حوزه های mil,..net,.com همگی آلوده شده اند .Slapper یك اسب تروا را در دستگاههایی كه آلوده می كند قرار می دهد و گوش به زنگ درگاه( UDP(User Datagram Protocol می ماند. در چنین شرایطی شما می توانید فایلها  یا برنامه های كاربردی را مستقیماً وارد سیستم كنید.

  ماگالانز می گوید:

    كرمSlapper بر خلاف اغلب ویروس ها با جستجوی قربانیان جدید انتشار می یابد كد منبع خود را حمل می كند و در عین حال دستور العمل هایی برای استفاده از آن به همراه دارد. متخصصین شركتF-Secure یك سرورLinux Apache را به عنوان قربانی در نظر گرفته و آن را آلوده كرده اند تا بدین ترتیب بتوانند توانایی انتشار و فعالیت كرم را مشاهده كنند.

 

بزرگترین مشكل كرمSlapper در زمان انتشار این است كه باید خود را كامپایل كند و از آنجا كه ارقام باینری حاصل از ترجمه در هر دستگاه كمی متفاوت است كدهای باینری مربوط به این كرم در تمامی سیستم های لینوكس با یكدیگر تفاوت دارند.

 

وب سرور هایLinux Apache شامل Rad Hat ,. Caldera OpenLinux  ,. Stackware ,. Debian كه از پروتكل Open SSL استفاده می كنند ،باید مطابق دستورالعملهای گروهیOpen SSL ترمیم شوند.

ماگالانز می گوید :

     این احتمال وجود دارد كه وقتی این كرم به یك وب سرورLinux Apache آسیب پذیر نفوذ می كند مجوز های دسترسی به فهرست ریشه ای را برباید . وی می افزاید : كرمSlapper احتمالا از مكانی در شرق اروپا نشات گرفته است. یك نویسنده نا شناس برای تكذیب در نامه ای با متن انگلیسی روان اعلام كرده كه این كد با هدف تخریب نوشته نشده است .

مگالانز می گوید:

برای حذفSlapper از دستگاه های آلوده لازم است 3 فایل زیر را در فهرست ریشه ای جستجو كنید:

Bugtraqو Uubugtraq.cو Uubugtraq

     كار دشوارتر بررسی دقیق تمامی دستگاه های آلوده است تا بدین وسیله تعیین شود كه آیا فایل های مهم با سوء استفاده اشخاص از شبكه نظیر به نظیر كهSlapper به وجود آورده است تغییر كرده یا تخریب شده است.

mohamadaminsh کاربر طلایی1
|
تعداد پست ها : 25772
|
تاریخ عضویت : دی 1389 

 

شیوع ویروس خطرناك MYDoom.A و MyDoom.B

شیوع ویروس MyDoom در اینترنت به سرعت گسترده شد. شركت مایكروسافت برای دومین بار طی رویه ای جدید به جای چاره اندیشی اساسی در مورد مشكلات امنیتی محصولات خود , جایزه ای 250,000$ برای شناسایی تهیه كنندگان این ویروس اعلام كرد.

پیش بینی می شود كه شیوع این ویروس اختلالاتی را در كاركرد سیستم های آلوده و ترافیك شبكه ای و اینترنت در روزهای آتی برای كاربران ایرانی ایجاد خواهد كرد. در این مطلب توضیحی اجمالی در مورد این ویروس و نحوه پاكسازی آن ارائه شده است:

این ویروس به فرمت یك فایل اجرایی Pack شده با اندازه 22.528 بایت توسط Email و سیستم اشتراك فایل Kazaa منتشر می شود.

ویروس به شكل Attachment با عنوان (Subject) و متن متغیر ارسال می شود. آدرس فرستنده نیز به صورت random و غیر معتبر است.

عناوین ممكن تركیبهای تصادفی از موارد زیر می باشد:

Error
hello
HELLO
hi
Hi
Mail Delivery System
Mail Transaction Failed
Server Report
Status


متن email نیز بصورت تصادفی توسط كد ویروس ایجاد می شود و در اكثر موارد شبیه متن زیر است:
The message contains Unicode characters and has been sent as a binary attachment.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

و یا :

Mail transaction failed. Partial message is available.

نام فایل attachment حاوی ویروس به صورت تصادفی از بین لیست زیر انتخاب می شوذ:
Data
Readme
Message
Body
Text
file
doc
document

پسوند (Extension) این قایل نیز باز بصورت تصادفی .bat, .cmd, .pif, .exe, and .scr یا zip می تواند باشد.


ویروس آدرسهای ارسال را با جستجو در كامپیوتر آلوذه شده داخل فایلهایی با Extension های زیر جستجو می كند:

adb
asp
dbx
htm
php
sht
tbb
txt
wab


ویروس با كپی كردن خود در Folder های Share شده این نرم افزار با نامهای زیر منتشر می شود:

nuke2004
office_crack
rootkitXP
strip-girl-2.0bdcom_patches
activation_crack
icq2004-final
winamp5

به محض اجرا شدن ویروس, كذ اصلی ویروس یك كپی از خود را در دایكركتوری system با نام taskmon.exe ایجاد كرده و با اضافه كردن كلید زیر به registry سیستم باعث اجرا شدن ویروس در هر بار راه اندازی سیستم می شود:

HKLM/Software/Microsoft/Windows/CurrentVersion/Run/TaskMon = %System%/taskmon.exe"


%System% توسط كد ویروس تنظیم می شود.

ویروس با ایجاد فایلی با نام SHIMGAPI.DLL در دایركتوری systemو اضافه كردن كلید به registry ویندوز كد Dll خود را به داخل پروسس explorer.exe وارد می كند.

این Dll یك Backdoor خاص است كه روی پورت 3127 TCP منتظر دریافت اطلاعات binary یا payload مانده و بعد از ذخیره سازی آنها را اجرا می كند.

همچنین یك روتین DoS Attack با هدف حمله به سایت www.sco.com در نسخه ابتدایی ویروس قرار داده شده بود كه در ساعات بعد با باز تولید گونه های جدید این ویروس www.microsoft.com هم مورد حمله قرار خواهد گرفت.

همچنین در گونه B از این ویروس اسامی فایلها و كلیدهای رجیستری تغییر یافته اند.


در صورتی كه قادر به حذف Manual این ویروس با توضیحات فوق نیستید می توانید (برای نوعA  آن)  را download و اجرا كنید.

mohamadaminsh کاربر طلایی1
|
تعداد پست ها : 25772
|
تاریخ عضویت : دی 1389 

آشنایی با ویروس CHET

نام :

Chet
نام مستعار :W32/Chet@MM, Anniv911, 11september, September11
 این كرم از نوع كرم های ایمیلی بوده كه در تاریخ دهم ماه September سال 2002 فعال شد و دارای یك BUG جدی نیز می باشد .
به همین دلیل این كرم موفقیت چندانی در گسترش و انتشار پیدا نكرد . با توجه به سر نخ های موجود منشاء آن از روسیه شناخته شده است.
این كرم سعی می كند خود را از راه ضمیمه های نامه به نام 11 September.exe منتشر كند. پس از اجرای فایل كرم فایل را به آدرس های دیگری كه از Address Book در ویندوز می گیرد ضمیمه می كند و به آنها ارسال می كند:

From: main@world.comTo: all-people-in-the-address-bookSubject:  All people!!Attachment: 11september.exeDear ladies and gentlemen!The given letter does not contain viruses, and is not Spam.We ask you to be in  earnest to this letter. As you know America andEngland have begun bombardment of  Iraq, cause of its threat for all the world.It isn't the truth. The real reason is  in money laundering and also to cover up tracesafter acts of terrorism  September, 11, 2001. Are real proofs of connection betweenBush and Al-Qaeda  necessary for you? Please! There is a friendly dialogue betweenBin Laden and the secretary of a state security of USA in the given photos.In the following photo you'll see, how FBI discusses how to strike over New York to losepeople as much as possible. And the document representing the super confidentialagreement between CIA and Al-Qaeda is submitted to your attention. All thiscircus was specially played to powder brains!! You'll find out the truth.Naked truth, instead of TV showed.For your convenience, and to make letter less, all documentary materials(photos and MS Word documents) are located in one EXE file.  Open it, and all materials will beinstalled on your computer. You will receive the  freshest and classifieddocuments automatically from our site.It isn't a virus! You can trust us absolutely. We hope, that it will open youreyes on many things occurring in this world.

 

انتشار این كرم در وضعیت عادی امكان پذیر نیست . وقتی كرم نامه آلوده را می فرستد اطلاعاتی در مورد كامپیوتر آلوده را نیز جمع می كند و سپس این اطلاعات را به آدرس میلی در روسیه می فرستد .

وقتی كرم برای اولین بار اجرا می شود یك كپی از خود بر روی كامپیوتر می گیرد و در شاخه سیستم ویندوز به نام فایل Synchost.exe ذخیره می كند. و كلیدی را به رجیستری به شرح زیر اضافه می كند :

'HKLU/Software/Microsoft/Windows/CurrentVersion/Run/ICQ1'



اگر كامپیوتر های آلوده دارای مودم باشند كرم سعی می كند یك شماره از پیش تعیین شده را بگیرد. این شماره محتمل یك شماره محلی در یك كشور خارجی است و مالك این شماره معلوم نیست .

mohamadaminsh کاربر طلایی1
|
تعداد پست ها : 25772
|
تاریخ عضویت : دی 1389 

    راه های  بسیار زیادی برای انتقال ویروسها موجود می باشد كه یكی از آنها روش زیر می باشد :

1)     یك دیسك فلاپی كه دارای بوت سكتور ویروسی می باشد را درون كامپیوتر قرار داده و كامپیوتر را خاموش می كنید

2)     هنگامی كه كامپیوتر را دوباره روشن می كنید دیسك هنوز در درایو A: موجود می باشد پس بوت سكتور ویروس آن فعال  می گردد

3)     ویروس یك كپی از خود را درون بوت سكتور هارد كامپیوتر ذخیره كرده بدین ترتیب دیگر هیچ نیازی به وجود دیسك نخواهد بود!!

4)     هر بار كه دیسكتی را درون درایو A: قرار می دهید ویروس در بوت سكتور دیسكت كپی می گردد.

5)     سرانجام این دیسكت را به دوست یا همكار خود غرض می دهید.

6)     این چرخه از كامپوتری به كامپیوتر دیگر ادامه پیدا كرده و ...

 البته نیاز به  یادآوری نیست كه مطالب فوق تنها جهت كسب اطلاع و آشنایی شما با پخش ویروس ها است. از این رو از بكار بردن آن بطور عملی جداً خود داری كنید. زیرا ممكن است علاوه بر آسیب رسیدن به سیستم خودتان دیگران را نیز با مشكل مواجه كنید.

: مواظب Autorun سی دی ها باشید چون آنها هم مثل بوت سكتور فلاپی عمل می كنند و تنها با گذاشتن Cd در CD ROM ممكن است آلوده بشوید برای حل این مشكل هنگامی كه Cd  را در درایو قرار دادید برای اجرا نشدن Autorun باید كلید Shift را پایین نگه دارید تا اجرا نشود بعد Cd  را با یك آنتی ویروس اسكن كنید.

ویروس كامپیوتری معمولاً برنامه ای كوتاه می باشند كه خود را ضمیمه یك برنامه دیگر مثلاً پردازشگر Word می كند . رفتار این ویروسهای كامپیوتری كاملاً شبیه به ویروس آنفولانزا است،  كه پس از وارد شدن به بدن شروع به تكثیر كرده و در صورت نبودن مراقبت لازم سیستم دفاعی بدن را از كار می اندازد .

حجم یك ویروس كامپیوتری می تواند تنها 90 بایت بوده كه حتی از طول این پاراگراف كه با احتساب فضای خالی تنها 191 بایت می باشد كوتاه تر است با این حال میانگین اندازه این ویروسها برابر 2000 كاراكتر می باشد.

هنگامی كه یك ویروس خود را به برنامه دیگری اضافه می كند در حقیقت سبب می شود تا آن برنامه افزایش حجم پیدا كند از آنجا كه این برنامه ها خود به خود حجیم نمی شوند پس می توان یكی از راههای از بین بردن این ویروسها یا پی بردن به وجود آنها را در كامپیوتر از طریق همین برنامه های حجیم شده تشخیص داد.

تمام این ویروسها دارای سه مشخصه اساسی زیر می باشند :

1-      روشی برای تكثیر و پخش خود در دیگر كامپیوترها.

2-      انجام دادن عملیاتی خاص در كامپیوتر (مثلا در تاریخی مشخص).

3-      از كار افتادن برنامه پس از انجام عملیاتی خاص از قبیل نمایش یك پیغام كاملا بی ضرر مانند         "Free Frodo" تا از بین بردن تمام محتویات هارد.

ویروسها بر حسب نحوه ورود به كامپیوتر به دو گروه مقدماتی تقسیم می شوند. گروه اول برنامه هایی هستند كه دارای پسوندهای .EXE ,.SYS ,و یا COM بوده و می توانند از طریق E-Mail وارد Notepad موجود در Windows گردند. گروه دوم از طریق دیگر برنامه های فرعی وارد كامپیوتر شده و یكی از اهداف آنها آسیب رساندن به بوت سكتورها (Boot Sector) است. هر دیسك از چند هارد درایو و یك بوت سكتور كه برنامه های اجرایی كامپیوتر را در بر می گیرد تشكیل شده است و ویروسها به راحتی می توانند در این مكانها ذخیره شوند.

ویروسی كه در یك برنامه پنهان شده است با هر بار اجرای برنامه راه اندازی می شود بطور مثال اگر ویروس همراه برنامه Word شما باشد با هر بار استفاده ،ویروس موجود در آن راه اندازی می شود. در صورتیكه ویروس هایی كه درون بوت سكتورها ذخیره شده باشند با هر بار روشن شدن كامپیوتر فعال می شوند فرض كنید یك دیسك را قبل از روشن كردن كامپیوتر درون درایو A: قرار داده اید با روشن كردن دستگاه بوت سكتور موجود در دیسك فعال شده و از طریق كامپیوتر خوانده می شود (همراه با ویروس موجود در آن).همچنین در صورتیكه هیچ دیسكتی درون درایو A: نباشد بوت سكتور موجود در درایو C: (همراه با ویروس موجود در آن)فعال می گردد.

یك ویروس ممكن است پس از فعال سازی درون حافظه RAM نفوذ كرده و به دیگر برنامه ها سرایت كند به طور مثال تعداد دفعات راه اندازی خود را محاسبه كرده و در صورتیكه این تعداد به رقم 100 رسید تمام اطلاعات كامپیوتر را پاك كند یا ممكن است حافظه RAM را از طریق تكثیر خود پر كرده و سرعت عملیاتی كامپیوتر را تا حد بالایی پایین بیاورد(این گروه از ویروسها كرم نامیده می شوند).

 

   بعد از Melissa در چهارم ماه می سال 2000 ویروس Love Bug توانست از طریق شركت خدماتی Sky Internet وارد شبكه شده و عنوان سریعترین انتشار را از آن خود بكند( البته این دو ویروس جز زیر مجموعه كرم ها Wormمی باشند)

   Love Bug از آن جهت موفق شد كه دارای زیركی خاص Social Engineering بود. این ویروس همانند Melissa خود را از طریق كامپیوتر یك دوست ارسال كرده با این تفاوت كه در قسمت Subject آن عبارت اغوا كننده ILOVEYOU تایپ شده و چشم پوشی از آن تا حدی غیر ممكن می نمود البته درون    E-Mail  نیز تا حدودی گمراه كننده بود و به راحتی سبب فریفتن كاربر می گشت :

“ Kindly check the attached LOVELETTER coming from me”

LOVE – LETTER – FOR – YOU.TXT.vbs

   این پیام دارای دو نكته بسیار گمراه كننده می باشد :.اول: استفاده از كلمه فریبنده LOVE و دیگری استفاده از پسوند .TXT با حرف درشت بود زیرا همانطور كه همه می دانید پسوند .TXT كاملا بی ضرر بوده و تنها با Notepadباز می گردد

   پسوند حقیقی این فایل .vbs بوده و تنها افراد ماهر می دانند كه این پسوند مربوط به Visual Basic Script می باشد و نشانگر برنامه بودن فایل بوده نه سند بودن آن .برنامه Love Bug متشكل از 311 خط می باشد كه علاوه بر سرعت فراوان در انتشار از قدرت تخریب بسیار بالایی نیز برخوردار بوده و طبق یك برایند توانست در حدود 300 میلیون كامپیوتر را مورد تجاوز خود قرار داده و خسارتی معادل 3 تا 10 میلیارد دلار را بالغ گردد . Love Bug بر خلاف Melissa هیچ گونه آسیبی به فایلهای .DOC نرسانده بلكه فعالیت خود را متوجه فایلهای با پسوند .MP3 ,.JPG,.CSS,.WSH,.VBS,.SCR,.HTA,.MP2 نمود.

نحوه كار Love Bug بدین ترتیب بود كه پس از تغییرات اندكی در Registery آن را جستجو كرده و در صورت یافتن هرگونه رمز عبوری فعال آن را به آدرسی در فیلیپین ارسال (دیگر وجود ندارد) كرده و سپس چندین كپی از خود را به تمام آدرسهای موجود در Outlook Express می فرستاد پس از آن ابتدا Home Page اینترنت كاربر را  Resetكرده و پس از آن تمام فایلهای با پسوند ذكر شده را پاك و در عوض یك كپی از خود را در جای آنها قرار می داد.

   تا چند سال پیش خواندن E-Mail یا یك فایل .DOC برنامه Word كاملاً بی خطر بوده و نیز مطمئن بودید كه هیچ آسیبی متوجه شما نخواهد بود.در حالیكه اكنون فایلهای اطلاعاتی نظیر Excel , Word  و ... نیز توانایی حمل و انتقال برنامه را داشته و عملیات معینی را برای كامپیوتر تعریف می كنند . ویروسها نیز چیزی غیر از برنامه ها ولی با اهداف غیر اخلاقی نمی باشند. در حال حاضر برای اجرای برنامه ها نیازی به پسوند .EXE ندارید. تنها فعل خواندن یك فایل .DOC نیز می تواند ویروسی را وارد كامپیوتر كرده و فعال كند. یكی از انواع برنامه هایی كه درون فایل .Doc قرار می گیرد Macro ها می باشند تمام برنامه های اصلی مایكروسافت از جمله Word , Excel , Access  با زبان VBA كه همان زبان Macro ها می باشد نوشته می شوند .

همانطور كه می دانید یكی از راههای جلوگیری از ورود ویروسهایی مانند Melissa به كامپیوتر باز نكردن فایلهای ضمیمه E-Mail هایی می باشد كه انتظار آنها را نداریم اما آیا باز كردن  E-MAIL هایی كه هیچ فایل ضمیمه ندارند نیز خطرناك می باشد؟

متاسفانه بله . در حقیقت مشكل همان اسكریپت ها می باشند. اسكریپتها برنامه های كوچكی مانند Macro ها هستند كه توانایی بسیار اندكی دارند . به عنوان مثال بر خلاف Macro و دیگر زبانهای كامپیوتری زبان اسكریپت قدرت پاك كردن فایلها را ندارد .دو زبان JavaScript و VBScript دو زبان بسیار معروف می باشند كه در هیچ كدام از آن دو  فرمانهایی كه بتواند به كامپیوتر خسارت بزند وجود ندارد با اینكه این زبانها خود به تنهایی نمی توانند هدف خاصی را درون خود قرار دهند پس نصیحت من به شما این می باشد كه هرگز از دست افراد غریبه سیبی را دریافت نكنید!!!

 

یك تكنیك جالب استفاده شده در آنتی ویروس ها فرستادن یك برنامه درون كامپیوتر و جلب كردن توجه ویروسها می باشد این برنامه شرایط نفوذ ویروسها را در خود فراهم كرده و با بررسی مداوم برنامه از لحاظ افزایش حجم و ... به نفوذ برنامه ویروس پی می برد.

همانطور كه می دانید بعضی از فایلها دارای پسوند .EXE می باشند .EXE مربوط به فایلهای اجرایی مانند Winword.EXE می باشد كه تنها كاربردشان اجرا كردن برنامه ها می باشد یكی از راههای شناسایی ویروسها جستجو كردن فعالیتهای غیر عادی درون كامپیوتر می باشد یكی از این فعالیتها باز كردن و خواندن بوت سكتور و كپی كردن چیزهای جدید بر روی آها و فایلهای .EXE می باشد كه همگی جز فعالیتهایی غیر عادی تلقی می شوند.

 

عمومی ترین آنتی ویروس بررسی كننده فایل، بطور پیوسته ای تمام قسمتهای یك فایل كه توسط ویروس ها تغییر داده می شوند را امتحان كرده و هر گونه تغییری در سایز و اسم و تاریخ و Checksum هر فایل را شناسایی می نماید. یك ویروس به راحتی می تواند سایز , اسم و همچنین تاریخ یك فایل را ثابت نگاه دارد اما ثابت نگه داشتن Checksum یك فایل پس از انجام هرگونه تغییر جزئی  یا كلی بر روی برنامه بسیار مشكل می باشد.

Checksum چیست ؟ به خاطر بیاورید كه هر بایت یك برنامه عددی بین 0 و 255 می باشد بعضی از این كدها برای نشان دادن متن، بعضی برای ذخیره اطلاعات گروهی برای انجام عملیات محاسبه (جمع , ضرب ,هجی كردن لغات) و ... می باشند. با این حال همه آنها از اعدادی بین 0 و 255 تشكیل شده اند.

فرض كنید كه یك فایل ذخیره ای دارای 10 دستورالعمل 27 ,157 , 2 ,88 ,  240 ,240 , 8 , 99 , 201 , 84 می باشد. برای بدست آوردن Checksum مربوط به این فایل ارزش این كدها را با یكدیگر جمع كنید : Checksum بدست آمده این فایل مقدار 84+99+8+240+240+88+2+157+27 یا 1146 می باشد .

ویروس به راحتی می تواند بعضی از این كدها را تغییر دهد ولی امكان تغییر Checksum فایل در هنگام هرگونه جایگزینی بسیار زیاد می باشد پس به راحتی می توان به كمك Checksum هرگونه تغییری در فایل را ردیابی كرد. ولی مشكلاتی نیز وجود دارد، به خاطر بیاورید كهWord2000 دارای 8799232 بایت می باشد هر چقدر كامپیوتر ها نیز سریع باشند محاسبه مجموع این بایتها در برنامه های حجیم امروزی وقت زیادی می گیرد .

برگرفته از سایت

mohamadaminsh کاربر طلایی1
|
تعداد پست ها : 25772
|
تاریخ عضویت : دی 1389 

آشنایی با ویروس CHET

نام :

Chet
نام مستعار :W32/Chet@MM, Anniv911, 11september, September11
 این كرم از نوع كرم های ایمیلی بوده كه در تاریخ دهم ماه September سال 2002 فعال شد و دارای یك BUG جدی نیز می باشد .
به همین دلیل این کرم موفقیت چندانی در گسترش و انتشار پیدا نکرد . با توجه به سر نخ های موجود منشاء آن از روسیه شناخته شده است.
این كرم سعی می كند خود را از راه ضمیمه های نامه به نام 11 September.exe منتشر کند. پس از اجرای فایل کرم فایل را به آدرس های دیگری كه از Address Book در ویندوز می گیرد ضمیمه می كند و به آنها ارسال می کند:

From: main@world.comTo: all-people-in-the-address-bookSubject:  All people!!Attachment: 11september.exeDear ladies and gentlemen!The given letter does not contain viruses, and is not Spam.We ask you to be in  earnest to this letter. As you know America andEngland have begun bombardment of  Iraq, cause of its threat for all the world.It isn't the truth. The real reason is  in money laundering and also to cover up tracesafter acts of terrorism  September, 11, 2001. Are real proofs of connection betweenBush and Al-Qaeda  necessary for you? Please! There is a friendly dialogue betweenBin Laden and the secretary of a state security of USA in the given photos.In the following photo you'll see, how FBI discusses how to strike over New York to losepeople as much as possible. And the document representing the super confidentialagreement between CIA and Al-Qaeda is submitted to your attention. All thiscircus was specially played to powder brains!! You'll find out the truth.Naked truth, instead of TV showed.For your convenience, and to make letter less, all documentary materials(photos and MS Word documents) are located in one EXE file.  Open it, and all materials will beinstalled on your computer. You will receive the  freshest and classifieddocuments automatically from our site.It isn't a virus! You can trust us absolutely. We hope, that it will open youreyes on many things occurring in this world.

 

انتشار این کرم در وضعیت عادی امکان پذیر نیست . وقتی كرم نامه آلوده را می فرستد اطلاعاتی در مورد كامپیوتر آلوده را نیز جمع می كند و سپس این اطلاعات را به آدرس میلی در روسیه می فرستد .

وقتی كرم برای اولین بار اجرا می شود یک کپی از خود بر روی كامپیوتر می گیرد و در شاخه سیستم ویندوز به نام فایل Synchost.exe ذخیره می کند. و كلیدی را به رجیستری به شرح زیر اضافه می كند :

'HKLU/Software/Microsoft/Windows/CurrentVersion/Run/ICQ1'



اگر كامپیوتر های آلوده دارای مودم باشند كرم سعی می كند یك شماره از پیش تعیین شده را بگیرد. این شماره محتمل یك شماره محلی در یك كشور خارجی است و مالك این شماره معلوم نیست .

mohamadaminsh کاربر طلایی1
|
تعداد پست ها : 25772
|
تاریخ عضویت : دی 1389 

ویروس

چیست؟

(قسمت 1)

 

 

ویروس ها هر روز در اینترنت بیشتر و بیشتر می شوند. ولی تعداد شركت های آنتی ویروس ثابت است .پس ما باید برای حفاظت از سیستم خود دست به كار شویم .

در این سلسله مقالات سعی داریم كه نحوه مقابله با ویروس ها و همین تور بیوگرافی ویروس ها و نحوه مقابله با هر ویروس را آموزش بدهیم.

   از نظر مردم عادی به هر برنامه ای كه در سیستم عامل اختلالات ایجاد كند ویروس است ولی باید بدانید كه خود ویروس ها بنا به كارها و امكاناتی كه دارند تقسیم بندی می شوند.  ویروس ها مثل سایر برنامه ها هستند . كسانی كه ویروس را مینویسند هم از همین برنامه های عادی برنامه نویسی استفاده می كنند .این برنامه ها دقیقا مثل چاقو می ماند كه هم می شود استفاده درست كرد هم نادرست.

 

   در یك هفته پاییزی در سال 1988 بعد از چندین دهه ترس از بمباران آمریكا توسط  روسیه تمام نگرانی ها با از بین رفتن حكومت كمونیستی از بین رفت.

   در این زمان با كم شدن نگرانی مردم نسبت به روسیه ترسی دیگر جایگزین آن گردید در دوم نوامبر 1988 یك ویروس كامپیوتری در آمریكا سبب از كار افتادن كامپیوترها در مراكز حساس از جمله Lawrence Livermore Labs , MITو ... گردید .

   این حمله ناگهانی به مراكز علمی و ارتشی شروعی برای یك ترس عمومی جدید گردید در سالهای 1940 تا 1988 پناهگاه های زیادی به منظور استفاده مردم در هنگام جنگ اتمی ساخته شد ولی در پایان دهه 80 میلادی این پناهگاهها به انبارهایی برای استفاده در مواقع اضطراری Y2K تبدیل شدند بلكه زمانی مورد استفاده قرار بگیرند!!

تا دهد 80 میلادی كامپیوتر ها تنها در اختیار دولت، مراكز حساس علمی و ... بود ولی از سال 1980 تا 1985 میلادی با كوچكتر شدن كامپیوترها و تهیه آسان آن توسط عموم مردم استفاده آن  گسترش پیدا كرد.

   شبكه ها – كامپیوترهای  متصل به یكدیگر  - نیز گام بلندی در اول دهه 80 بود در این سالها استفاده از مودمها به منظور بر قراری ارتباط BBS با دیگر كامپیوتر ها رواج فراوانی یافت و ...

   ویروسها نیز در شبكه های كامپیوتری به روشهای گوناگون از جملهE-Mail ,Trojan Horse هك كردن و ... از كامپیوتری به كامپیوتر دیگر انتقال می یابند.

 

 

گروه اندكی بر این باور هستند كه اولین و ابتدایی ترین خصوصیت ویروسهای كامپیوتری هجوم به یك برنامه مانند ایجاد نوعی پارازیت است (بدین ترتیب نمی توان Melissa را در گروه ویروسها قرار داد).

1-ویروس های مركب (ویروس های چند وجهی)

2-ویروس های ساده

ویروس های ساده آن دسته از ویروس ها هستند كه ساده و به صورت تك فایلی بوده و فقط یك كار انجام می دهند.  اما ویروس های از تركیب چند ویروس در هم می باشند و قادر خواهند بود چندین فعالیت را همزمان انجام بدهند كه این امر سبب پیچیدگی كار ویروس خواهد شد


در ابتداباید یاد بگیرید كه هر ویروسی فقط ویروس نگویید بلكه بتوانید آن را شناخته و در یكی از دسته های زیر جا داده و بنا به خصوصیات آن را بنامید.

1- Trojan Horse

2- Worm

3-  Bomb

همان طور كه در بالا مشاهده می كنید كل ویروس ها را می شود در 3 دسته تقسیم كرد كه ما به اختصار درباره هر كدام توضیح می دهیم . به علت حساس بودن دسته كرم ها یا همان Worm ما از این دسته توضیحاتمان را شروع می كنیم .

 

    اولین و مشهورترین ویروس یكWorm می باشد كه به طور تصادفی در 2 نوامبر 1988 وارد شبكه گردید. طبق ادعای طراح آن هدف از این كار تنها اثبات كردن ضعف سیستم امنیتی كامپیوترها بوده است. اینترنت در سال 1988 دوران كودكی خود را طی می كرد و تنها در اختیار محدودی از دانشگاه موسسات تحقیقاتی دولتی مانندNASA و آزمایشگاههای بین المللی مانندLos Alamos بود .با وجود اینترنت بسیار محدود آن زمان خبر از كار افتادن این مغزهای كامپیوتری درMIT وBerkeley و... تمام مردم را شوكه كرد. تنها در مدت چند ساعت بیش از 3000 كامپیوتر در مهمترین مراكز آمریكا از كار افتاده و خسارت وارد بر آنها در حدود 100 میلیون دلار بر آورد گردید.

Worm ها زیر مجموعه ای از ویروسهای كامپیوتری می باشند كه بر خلاف دیگر ویروسها از جملهMelissa كه خود را به صورتE-Mail برای كاربران اینترنتی می فرستد سیستم كامپیوتر را سوراخ كرده و به طرف مغز كامپیوتر پیش می روند یكی از خصوصیات بارز Wormها توانایی پنهان شدن درون سیستم بوده بطوریكه قابل ردگیری نمی باشند این Worm ها مانند ویروسهایی می باشند كه خود را در اعصاب  ستون فقرات پنهان كردن و گاه و بی گاه دردهای شدیدی را تولید می كنند. و اماWorm های مفید : در میان انواعWorm ها كرمهای مفیدی نیز طی سالیان متمادی به منظور چك كردن كارایی سیستم و ... مورد استفاده قرار گرفته اند.
 اینWorm هاAgent نامیده شده و درون شبكه حركت كرده اطلاعات منابع مورد استفاده و ... را چك و اطلاعاتی در مورد كاركرد شبكه یا حتی محلی را كه می توان ارزانترین DVD را خریداری نمود به كاربر اعلام می دارند از تفاوتهای بارز میانAgent و Worm می توان به این مورد اشاره كرد كه Agent بر خلاف Worm خود را تكثیر نكرده و درون سیستمهای كاربران نفوذ نمی كند.

 

 

   این Worm كه توسط Robert Tappan Morris طراحی شد به RTM مشهور گردید . Morris بعد از اتمام دوره لیسانس خود در پاییز سال 1988 از دانشگاه خارج و به برنامه نویسی كامپیوتر روی آورد بعد از آن در مقطع Ph.D دانشگاه MIT در رشته مورد علاقه خود مشغول به تحصیل گردید و بدین ترتیب از امكانات كامپیوتری و اینترنتی دانشگاه بهره مند شد . وی در اكتبر سال 1988 برنامه ای را به منظور پی بردن به نقاط ضعف سیستمهای اینترنتی و امنیتی كامپیوتر طراحی كرد . نحوه كار این برنامه بدین ترتیب بود كه پس از رها شدن آن در اینترنت سریعاً و بدون جلب هیچ گونه توجهی پخش می گشت (طبق اظهارات وكیل مدافع موریس).

موریس به منظور جلوگیری از مشخص شدن هویت خود پس از اتمام برنامه آن را از طریق كامپیوترهای دانشگاه MIT وارد شبكه كرد. یكی از  خصوصیات این ویروس  اضافه كردن یك شمارنده به برنامه بود. بدین ترتیب در صورتیكه این برنامه حداكثر تا 6 بار یك كپی از خود را در كامپیوتر پیدا می كرد تكثیر نشده و در هفتمین بار این برنامه پس از تكثیر و نفوذ به كامپیوتر آن را مورد هجوم قرار می داد. این برنامه ضمیمه یك اشتباه بسیار مهلك بود!! كامپیوترهایی كه در سال 1988 به اینترنت متصل می شدند به طور میانگین هر 10 روز یكبار خاموش شده و دوباره راه اندازی می گشتند از آنجا كه برنامه موریس در كامپیوتر ذخیره نمی شد این خصوصیت سوپاپ اطمینانی گشت تا به هر بار خاموش شدن كامپیوتر برنامه به طور خودكار از میان برود. با این حال از آنجایی كه تمام كامپیوترهای متصل به اینترنت به طور همزمان خاموش نمی شدند این Worm می توانست دوباره برگشته و در آنجا مقیم گردد. طبق این نظریه موریس، تعداد Worm ها همواره دارای یك تعادل بوده و مشكل خاصی را در كامپیوتر سبب نمی شدند. و اما ایراد برنامه موریس در این بود كه این Worm بسیار سریعتر از انتظار موریس تكثیر می یافت در كمتر از چند ساعت بعد از آزاد سازی آن هزاران كامپیوتر در مراكز حساس از كار افتاده و دچار سكته شدند. پنج روز بعد از آزاد سازی worm در 6ام نوامبر همه چیز به حالت عادی خود برگشت در روز 12 توامبر سرانجامE-Mail هایی كه موریس در آنها طرز خنثی كردن Wrom را توضیح داده بود به مقاصد خود رسیده و مردم از نحوه خنثی سازیWorm آگاهی یافتند.

برگرفته از سایت

irsecure

mohamadaminsh کاربر طلایی1
|
تعداد پست ها : 25772
|
تاریخ عضویت : دی 1389 

همه چیز راجع به اسبهای تروا

 

حملات اسبهای تروا یكی از اساسی ترین و به قولی جدی ترین تهدیدات علیه سیستم امنیتی كامپیوتر به حساب می آیند در این مقاله سعی ما بر این است كه نحوه مقاومت در برابر حملات اسبهای تروا و چگونگی غلبه بر صدمات احتمالی ناشی از هجوم آنها را آموزش دهیم. در افسانه ها آمده است كه یونانیان قدیم با پنهان شدن در داخل یك اسب چوبی عظیم الجثه جهت نفوذ به شهر تروا استفاده كردند و با شبیخون به سربازان شهر در جنگ پیروز شدند. امروزه در دنیای كامپیوتر اسب تروا یك برنامه كامپیوتری مخرب و مخل امنیت است كه به شكلی ظاهرا بی خطر نظیر یك محافظ صفحه نمایش بازی كامپیوتری و غیره  - به سیستم شما نفوذ می كند معروفترین اسب تروا كه تا كنون شناسایی شده است (Love Bug) نام دارد و در ماه می سال 2000 منتشر شد. زمانی كه این نامه به ظاهر عاشقانه باز می شد مشكلات عدیده ای را برای كاربر ایجاد می كرد. به عنوان مثال خودش را به تمامی آدرس های موجود در كتابچه آدرس های پست الكترونیكی شما یا كانال IRC ارسال می كرد فایل های موجود در سیستم را پاك كرده یا تغییراتی در آنها ایجاد می كرد فایل های موجود در سیستم را پاك كرده و یك اسب تروا دیگری را برای سرقت كلمات عبور شما از اینترنت Download می كرد بسیاری از اسبهای تروا به نفوذگر اجازه می دهد كه به كامپیوتر كاربر نفوذ كنند و از راه دور كنترل سیستم را در دست گیرند به عنوان نمونه آنها می توانند كانالIRC را تحت كنترل خود در آورند و از كامپیوتر شما برای ایجاد اختلال در كار سرویس دهی سایت ها استفاده كنند مانند مشكلی كه برای سایت Yahoo وAmazon به وجود آوردند .

بسیاری از مردم از واژه های اسب تروا ویروس و كرم و نفوذ به جای یكدیگر استفاده می كنند در حالی كه معنای آنها كاملا متفاوت است اگر شما یكبار هم مورد تهاجم اسبهای تروا قرار گرفته باشید متوجه می شوید كه اسبهای تروا به خطرناكی ویروس ها هستند و می توانند به راحتی انتقال یابند و خسارت وارد كنند.

 

چگونه یك سیستم به اسب تروا آلوده می شود ؟

 

اسبهای تروا برنامه های اجرایی هستند در نتیجه زمانی كه آنها را باز می كنید اجرا می شوند و عملیاتی را انجام می دهند . در سیستم عامل ویندوز برنامه های اجرایی دارای پسوند های مانند Ink , Scr , Pif ,Bat , Com , Vbs , Exe یاJs هستند نام بعضی از فایل های تروای معروف عبارتند از :dmsetup.exe ,Movie.avi.pif , وLOVE – Letter –For –You .TXT.vbs زمانی كه یك فایل دارای پسوند های مختلفی است فقط پسوند آخر به حساب می آید لذا باید مطمئن شوید كه پسوند های خود را از حالت مخفی خارج كرده اید تا بتوانید آنها را ببینید . اسبهای تروا می توانند به شكل هر چیز كه مورد علاقه مردم است پخش  شوند مانند بازیهای كامپیوتری رایگان تصاویر  جذاب موسیقیMP3 و غیره احتمال دارد كه شما اسب تروا را از اینترنت و یا آرشیوFTP یا از طریق نرم افزار هایICQ یاIRC به هنگام انتقال و تبادل فایل های دریافت كنید. اسب های تروا معمولا به صورت دستی اجرا می شوند ممكن است این فایل ها در نظر كاربر به عنوان فایل های اجرایی ( به دلیل مخفی بودن پسوند فایل ها و یا صرفا بی احتیاتی) تصور شوند و به اجرا در آیند اسبهای تروا معمولا خیلی آرام و بی سرو صدا خسارت خود را به هارد دیسك یا شبكه وارد می كنند .

 

چگونه می توان از آلوده شدن سیستم به اسب تروا مصون ماند ؟

 

مهمترین نكته در این مورد اطمینان از منبع محتوای فایل هایی است كه از اینترنت دریافت می كنید. به عبارتی نه تنها باید به فرد یا سروری كه فایل را از آن دریافت می كنید اطمینان داشته باشید بلكه از سالم بودن محتوای فایل نیز مطمئن باشید برای اجتناب از آلودگی به اسبهای تروا به چند نكته اشاره می كنیم :

 

1 – هیچ گاه از سایت ها یا افرادی كه 100 درصد به آنها مطمئن نیستید فایلی را كوركورانه دریافت نكنید. به عبارتی یك ضرب المثل قدیمی است كه می گوید (هرگز از غریبه ها شیرینی نپذیرید) چنانچه بازیهای تجاری  یا نرم افزار های دیگر را از منابع تبلیغاتی دریافت می كنید نه تنها قانون كپی رایت را زیر پا گذاشته اید بلكه در معرض آلودگی به اسب تروا قرار خواهید گرفت

 

2 – حتی زمانی كه فایلی از یكی از دوستان صمیمی خود دریافت می كنید باز هم قبل از باز كردن فایل از سلامت محتوای آن اطمینان حاصل كنید (همان طور كه ویروس های Melissa وLoveBug این امر ثابت كردند) تنها با باز كردن فایل اسب تروا (با دابل كلیك كردن روی آن پیش نمایش فایل و غیره)این فایل صدمات خود را به سیستم وارد می آورد همواره به یاد داشته باشید كه هیچ دلیلی وجود ندارد كه یك دوست یا همكار برای شما فایل اجرایی بفرستد در هر حال اگر احتمال انجام این كار را از طرف كسی می دهید ابتدا از وی در مورد صحت آن سوال كنید.

 

3 – مراقب پسوند فایل های پنهان باشید!

ویندوز طبق پیش فرض پسوند انتهای فایل را پنهان می كند مثلا فایلی با نام (Susie.jpg) ممكن است در اصل یك فایل اجرایی با نام(Susie.jpg.exe) و یك اسب تروا باشد . برای جلوگیری از اشتباه كاری كنید كه پسوند فایل ها در ویندوز نمایش داده شوند.

 

4 – هرگز در برنامه از ویژگی های كه به صورت خودكار فایل ها را اجرا می كنند و پیش نمایش آن را نشان می دهند استفاده نكنید اگر چه ویژگیهای مزبور ظاهرا مفید به نظر می رسند ولی در عین حال باعث می شوند كه هر كس بتواند هر چه را كه می خواهد برای شما بفرستد  : از اسب های تروای خطرناك گرفته تا عكس های نا جور و فایل های حجمی كه پهنای باند شما اشغال كرده و هارد شما را پر می كنند به عنوان مثال هرگز در برنامه mIRC ویژگیAuto DCC get را فعال نكنید در عوض همیشه هر فایلی را كه به صورت دستی دریافت می كنید ابتدا چك كنید. همچنین حالت پیش نمایش را درOutlook و سایر برنامه های پست الكترونیك غیر فعال كنید.

 

5 – هرگز كوركورانه فرمانهایی را كه دیگران به شما گفته اند صادر نكنید و به یاد داشته باشید كه اسكریپت و برنامه های بی دقتی در این زمینه به این معنا ست كه شما به یك غریبه اجازه داده اید كه كنترل كامپیوتر تان را به دست گیرد و در نهایت این بی دقتی موجب می شود كه سیستم شما به اسب تروا و بسیاری موارد دیگر الوده شود.

 

6 – هرگز به خاطر داشتن برنامه های ضد ویروس احتیاطهای لازم را فراموش نكنید چرا كه اكثر برنامه های ضد ویروس حتی اگر كاملا به روز رسیده باشند در مقابل تمامی ویروسهای كامپیوتری و اسبهای تروا از مصونیت كافی بر خوردار نیستند. در واقع به برنامه های ضد ویروس نباید به عنوان مهمترین حصار امینیتی سیستم تكیه كرد زیرا آنها صرفا ابزارهایی هستند كه ضریب و احتمال آلوده شدن سیستم شما را كاهش می دهند.

 

7 – در نهایت هرگز از روی حس كنجكاوی یك برنامه اجرایی راDownload نكنید زیرا اگر این برنامه یك اسب تروا باشد به محض اینكه آن را اجرا كنید آلوده می شوید.

mohamadaminsh کاربر طلایی1
|
تعداد پست ها : 25772
|
تاریخ عضویت : دی 1389 

آشنایی با ویروس

Pruneنام :Pruneنام مستعار :Iraq Crisis, UN_Interview

این كرم با زبان Visual Basic Script نوشته شده است كه شیوه پراكندگی و انتشار آن از راه آلوده كردهEmail وMIRC و
پوشههایبهاشتراكگذاشتهشدهدرشبكهاست .

بدنه اصلی این كرم خود را با نام UN_Interview.txt.vbs در شاخهC:/Windows كپی می كند و بعد این كرم به 3 روال
 شروع به پخش می كند ( مثلا به وسیله میل وMIRC و شبكه بواسطه پیروی كردن ازPayload)

انتشار از طریق ایمیل :

كرم ازMS Outlook و آردس های موجود در كتاب آردس این برنامه برای انتشار خود استفاده می كند .
یك میل آلوده مثل مثال زیر می باشد :

Subject: US Goverment Material - Iraq Crisis Body: <empty> Attachment: UN_Interview.txt.vbsهنگامی كه فرستادن میل ها تمام شد كرم شروع به پاك كردن میل های فرستاده شده می ازmailbox قربانی می كند . كرمPrune كوشش می كند تا خود را از طریقMirc  و با بررسی حضور فایلMire.ini در شاخهc:/Mirc  خود را  وسعت می دهد.اگر این شاخه را پیدا كرد سعی می كند كه  فایلUn_Interview.txt.vbs را در هنگام كه افراد به اینترنت متصل می شوند بفرستد. كرمPrune شروع به اسكن كردن رنج های IP می كند و  درایو های به اشتراك گذاشته شده در آنها را جستجو می كند .این كرم سعی می كند تا خود را در شاخهStaratup ویندوز ، با نامUn_Interview.txt.vbs كپی می كند  . كرم شروع به درست كردن فایلHCKD.txt كرده و  نتیجه بررسی رنجIP ها را در آنSave كند .IP ویژه ای كه این كرم استفاده می كندمتعلق به دانشگاهWashington است . هنگامی كه سیستم در اول هر ماه روشن شود ،  كرم خود را به 39 فایل درc:/Unzipped وC:/Windows/Desktop و با نامهای مختلف از جمله موارد زیر  كپی و اضافه می كند:C:/UNZIPPED/DAMN_SOURCE.MPEG C:/WINDOWS/DESKTOP/CUNT-EAT-CUM.MP3 C:/WINDOWS/DESKTOP/www.SEX-MOVIES2.MPEG etc.و بعدا این پیغام را با متن زیر نمایش میدهد : 

  در هنگامی كه روز 1 یا 2 یا 3 یا 4 یا 5 از هر ماه باشد كرمPrune سعی می كند تا فایلهایی را كه ویندوز از آنجا نصب شده است و شاخه سیستم موجود در شاخه ویندوزرا پاك كند .  در هنگامی كه تاریخ سیستم به پنجم هر ماه می رسد این پیغام نمایش داده می شود :

mohamadaminsh کاربر طلایی1
|
تعداد پست ها : 25772
|
تاریخ عضویت : دی 1389 

آشنایی با ویروس

Sobig.F

Sobig.f جز كرمهای میلی بوده  كه در تاریخth19 از August سال 2003 پخش شد . این كرم میل هایی با مقدار حجم بالا می فرستاد و سوابق فرستنده راجعل می كرد  . اجرای این كرم به روز هفته وابسته بوده و در روزهای یكشنبه و جمعه فعال می شود .

توصیف جزئیات :


این كرم در حالت فشرده شده وسعت پیدا كرد و بسته بندی شده بود بوسیلهTELock و بدنه فشرده نشده آن در حدود 100 كیلو بایت است و با زبان برنامه نویسی++ Visual C نوشته شده است .

كرم خود را در آدرس زیر كپی می كند  :

%Windir%/Winppr32.exe


و برای فعالیت خود كلید های زیر را در رجیستری ایجاد می كند :


[HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"TrayX" = %windir%/winppr32.exe /sinc
[HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"TrayX" = %windir%/winppr32.exe /sinc


این كرم در تاریخth10 از September سال 2003 به كار خود خاتمه داد و از این تاریخ به بعد دیگر اجرا نخواهد شد.

وسعت و پراكندگی ویروس در در ایمیل ها:


كرم Sobig.F معمولا با این مشخصات وارد میل می شود .


From:
 The 'From:' field is filled with an address found from the infected system.
If no address is found, it will use "admin@internet.com"
To:
 The 'To:' field is filled with an address found from the infected system.


Subject آن نیز معمولاً یكی از موارد زیر است:


 Re: Thank you!
Thank you!
Your details
Re: Details
Re: Re: My details
Re: Approved
Re: Your application
Re: Wicked screensaver
Re: That movie


Body این ایمیل معمولاً یكی از دو مورد زیر می باشد:


 See the attached file for details
Please see the attached file for details.


Attachment این ایمیل نیز معمولاً یكی از موارد زیر است:


 your_document.pif
document_all.pif
thank_you.pif
your_details.pif
details.pif
document_9446.pif
application.pif
wicked_scr.scr
movie0045.pif

همچنین , هدر میل همیشه دارای این رشته است :


“X-Mail Scanner: Found to be clean”

دانلود كردن تروجان توسط كرم :


این كرم سعی می كند تا یك تروجان را در سیستم قربانی دانلود كند . البته دانلود و اجرای این تروجان به شروطی بستگی دارد :

 باید ساعت بین 19:00 و 22:00 زمانUTC باشد ، كرم این تست را هر ساعت انجام می دهد تا شرط درست شود و این شرط در روزهای جمعه و یكشنبه
بدون در نظر گرفتن هفته انجام پذیر است . هنگامی كه شرط انجام پذیر بود كرم سعی می كند تا  تروجان را ازURL از پیش تعریف شده خود دانلود كند.  اینURL محتوی یك تروجان بوده كه دان لود شده و بر روی سیستم قربانی اجرا می شود  .
لیستی از سرور هایNTP كه برای هماهنگ كردنURL برای دانلود تروجان به كار رفته  به شكل زیر می باشد :

200.68.60.246
62.119.40.98
150.254.183.15
132.181.12.13
193.79.237.14
131.188.3.222
131.188.3.220
193.5.216.14
193.67.79.202
133.100.11.8
193.204.114.232
138.96.64.10
chronos.cru.fr
212.242.86.186
128.233.3.101
142.3.100.2
200.19.119.69
137.92.140.80
129.132.2.21

تاریخچه ای از خانوادهSobig ها :


 لیست زیر تاریخچه ای از اولین پیدایش این خانواده ، نوع آنها ، تاریخ انقضا آنها و تاریخ نوشته شدن این كرم ها را نشان می دهد  :
Variant Found Expires  Detection
 _____________________________________________________________
 Sobig.A January 9th NO 2003-01-09_04
 Sobig.B May 18th May 31st 2003-05-19_03
 Sobig.C May 31st June 8th 2003-06-01_01
 Sobig.D June 18th July 2nd  2003-06-18_03
 Sobig.E June 25th July 14th 2003-06-26_02
 Sobig.F August 19th September 10th 2003-08-19_02