اطلاعات ويروس ها

Maxton · Oct 1, 2004

آشنايي با ويروس NAKEDWIFE
ويروس NakedWife به صورت ضميمه به يك نامه الكترونيكي وارد كامپيوتر قرباني مي شود و سپس با ظاهر شدن به صورت يك ويديوي مرموز درباره همسر يك مرد ناشناس كاربران را وسوسه مي كند تا آن را اجرا كنند. دامنه تخريب اين ويروس بسيار وسيع است و ويروس چندين فايل سيستمي مهم را در كامپيوتر قربانيان خود حذف مي كند .
تعدادي از شركت هاي توليد كننده نرم افزار ضد ويروس به دليل خسارتي كه ويروس NakedWife مي تواند به بار آورد آن را به عنوان يك ويروس خيلي خطرناك درجه بندي كرده اند. اين ويروس به محض آلوده كردن تمام فايل هاي ,BMP ,COM ,DLL ,EXE ,INI و همچنين تمام فايل هاي موجود در پوشه هاي WINDOWS و WINDOWS/SYSTEM را حذف مي كند، با فرض اينكه ويندوز در پوشه WINDOWS نصب شده باشد . NakedWife يك ويروس جديد از نوع VBS Worm است كه به سرعت از طريق پست الكترونيكي منتشر مي شود اين ويروس كه نام مستعار آن Jib Jab است فايل هاي مهم را از پوشه هاي نامبرده حذف مي كند . ويروس NakedWife با مشخصات زير از طريق يك نامه الكترونيكي به كامپيوتر شما راه مي يابد:
موضوع نامه :

FW : Naked Wife

بدنه نامه :

(My wife never look like that

best regards,

(نام فرستنده)

نام ضميمه :

NakedWife.exe

اگر كاربر اين ضميمه را باز كند ويروس خود را به صورت نامه الكترونيكي به تمام آدرسهاي موجود در كتاب آدرس Outlook ارسال مي كند. اين ويروس همچنين يك پنجره Flash را بار گذاري مي كند كه در آن پيغام JibJab Loading را به نمايش مي گذارد سپس فايل هايي كه داراي پسوند هاي BMP ,COM ,DLL ,EXE ,INI هستند را حذف مي كند: در مرحله بعدي ويروس پيغام زير را به نمايش مي گذارد :

you're now f**** D!c2001 by BGK (Bill Gates Killer)

براي متوقف كردن اين ويروس به نكات زير توجه كنيد:

• Outlook Security Patch متعلق به شركت مايكروسافت را Download كنيد.

• ضميمه ها را باز نكنيد.

• هميشه گوش به زنگ باشيد.

• از كامپيوتر خود محافظت كنيد.

• سيستم خود را به طور منظم اسكن كنيد.

• نرم افزار ضد ويروس خود را به روز برسانيد.

با توجه به اينكه اين ويروس خود را به صورت يك فيلم Micromedia Flash نشان مي دهد، منحصر بفرد مي باشد. اگر كاربري فريب خورده و ضميمه را باز كند يك پنجره باز مي شود و به نظر مي رسد كه يك فيلم Flash در حال بارگذاري است. پنجره شامل چند لوگو از Jibjab.com است كه يك شركت توليد كننده تصاوير Flash در نيويورك است اين شركت اظهار داشته است كه هيچ ارتباطي با اين ويروس ندارد.

كاربراني كه با اشتياق منتظر بارگذاري فيلم مي مانند نااميد خواهند شد چون چنين چيزي اتفاق نمي افتد اگر يك قرباني از گزينه HELP/ABOUT در آن پنجره استفاده كند يك پيغام آزار دهنده با اين مضمون ظاهر مي شود:

you're now f**** D!c2001 by BGK (Bill Gates Killer)

به اعتقاد پت نولان يكي از پژوهشگران مركز McAfee اين ويروس يك ويروس موذي است . چون ضميمه آن با يك آيكون Shockwave Flash كه به نظر واقعي مي آيد همراه است.

اما خبر خوب اين است كه گرچه فايل هاي مهم سيستم هاي آلوده به اين ويروس حذف مي شوند و ويروس كامپيوتر را در عمل از كار مي افزايد ولي هيچ يك از داده هاي كاربران نابود نمي شود و فايلها قابل بازيابي هستند.

Maxton · Oct 1, 2004

آشنايي با ويروس Qaz
نام : Qaz

نام مستعار : Worm.Qaz, Worm_Qaz, W95/Qaz.110549

اين ويروس يك كرم شبكه اي است و از طريق يك Backdoor خود را بر روي سيستم از Win32 توسعه و انتشار مي دهد. اين كرم در بين ماه هاي July و August سال 2000 پخش شد . حجم فايل اجرايي آن 120 كيلو بايت بوده و با زبان برنامه نويسي MS Visual C++ نوشته شده است . وقتي فايل آلوده اجرا مي شود كرم يك Startup در رجيستري مي سازد :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
startIE = "filename qazwsx.hsq"
قسمت Filename اسم بدنه كرم مي باشد (ديدن مادون كه معمولا Notepad.exe است ) و در نتيجه كرم روي هر ويندوزي در حالت Startup اجرا شود . سپس كرم به صورت برنامه اجرايي در RAM بارگذاري شده و خود را در TaskList مخفي مي كند .

اين كرم دو عمل را با هم و موازي انجام مي دهد . كه اولي پخش كردن خود و دومي اجراي Backdoor است .

كار اول اين كرم يعني پخش شدن بر روي شبكه بدين صورت است كه كرم يك كپي از خود را بر روي LAN و بر روي درايو هاي به اشتراك گذاشته شده كه قابليت خواندن و نوشتن دارند قرار مي دهد . اين كرم در شبكه به دنبال عبارت و رشته WIN گشته و پس از پيدا كردن آن به دنبال فايل Notepad.exe بر روي شاخه ويندوز مي گردد و اسم آن را به Note.com تغيير مي دهد و درون آن مي نويسد Notepad.exe . در نتيجه اين عمل مي توان notepad واقعي را در فايل Note.com پيدا كرد . كد هاي اين كرم در Notepad.exe قرار دارند. اين كرم به محض آنكه كاربر Notepad را باز كند ، فعال خواهد شد و بدين شكل ماشين را آلوده تر مي كند .

ساختار Backdoor آن روالي ساده دارد و آن از فرمان هاي كمي پشتيباني مي كند : Run ، براي اجرا كردن فايلهاي از پيش تعيين شده . UPLOAD ، براي آپلود كردن فايلها (فايلهاي ساختگي بر روي ماشين قرباني ) و QUIT ، براي خاتمه دادن به روال كرم به كار مي رود .اين كرم براي نصب و اجراي خود از همين سه فرمان استفاده مي كند. همچنين اين كرم به نويسنده خود خبر مي دهد كه سيستم قرباني آلوده شده است

Maxton · Oct 1, 2004

آشنايي با ويروس SlAPPER

بنا به اظهارات شركت امنيتي كه انتشار كرم SLAPPER را كنترل و نظارت مي كردند، اين كرم 8 سپتامبر سال 2003 شناسايي شد و به آرامي هزاران وب سرور آسيب پذير Linux Apache را در اينترنت آلوده كرد. اين كرم تا به حال دست كم 30 هزار وب سرور Linux Apache را به علت عدم ترميم و رفع ضعفها و آسيب پذيريهاي Open SSL توسط نرم افزار هاي مربوط آلوده كرده است. وب سرور ها به محض آلوده شدن به اين كرم مجبور مي شوند كه به يك شبكه نظير به نظير (Peer - to – Peer) بپيوندند. اين شبكه مي تواند براي انتقال مستقيم انواع برنامه به سرورهاي آلوده توسط هر شخص در آن شبكه مورد استفاده قرار گيرد.

اگر چه Slapper تا كنون خطرناك به نظر نمي رسيد اما اين كرم موذيانه به نفوذگران اجازه مي دهد تا به شبكه نظير به نظير بپيوندند و از دستگاه هاي موجود در آن استفاده كنند.

((توني ماگالانز )) مهندس سيستم شركت امنيتي F-Secure مستقر در فنلاند مي گويد :

حوزه هاي mil,..net,.com همگي آلوده شده اند .Slapper يك اسب تروا را در دستگاههايي كه آلوده مي كند قرار مي دهد و گوش به زنگ درگاه( UDP (User Datagram Protocol مي ماند. در چنين شرايطي شما مي توانيد فايلها يا برنامه هاي كاربردي را مستقيماً وارد سيستم كنيد.

ماگالانز مي گويد:

كرم Slapper بر خلاف اغلب ويروس ها با جستجوي قربانيان جديد انتشار مي يابد كد منبع خود را حمل مي كند و در عين حال دستور العمل هايي براي استفاده از آن به همراه دارد. متخصصين شركت F-Secure يك سرور Linux Apache را به عنوان قرباني در نظر گرفته و آن را آلوده كرده اند تا بدين ترتيب بتوانند توانايي انتشار و فعاليت كرم را مشاهده كنند.

بزرگترين مشكل كرم Slapper در زمان انتشار اين است كه بايد خود را كامپايل كند و از آنجا كه ارقام باينري حاصل از ترجمه در هر دستگاه كمي متفاوت است كدهاي باينري مربوط به اين كرم در تمامي سيستم هاي لينوكس با يكديگر تفاوت دارند.

وب سرور هاي Linux Apache شامل Rad Hat ,. Caldera OpenLinux ,. Stackware ,. Debian كه از پروتكل Open SSL استفاده مي كنند ،بايد مطابق دستورالعملهاي گروهي Open SSL ترميم شوند.

ماگالانز مي گويد :

اين احتمال وجود دارد كه وقتي اين كرم به يك وب سرور Linux Apache آسيب پذير نفوذ مي كند مجوز هاي دسترسي به فهرست ريشه اي را بربايد . وي مي افزايد : كرم Slapper احتمالا از مكاني در شرق اروپا نشات گرفته است. يك نويسنده نا شناس براي تكذيب در نامه اي با متن انگليسي روان اعلام كرده كه اين كد با هدف تخريب نوشته نشده است .

مگالانز مي گويد:

براي حذف Slapper از دستگاه هاي آلوده لازم است 3 فايل زير را در فهرست ريشه اي جستجو كنيد:

Bugtraq و Uubugtraq.c و Uubugtraq

كار دشوارتر بررسي دقيق تمامي دستگاه هاي آلوده است تا بدين وسيله تعيين شود كه آيا فايل هاي مهم با سوء استفاده اشخاص از شبكه نظير به نظير كه Slapper به وجود آورده است تغيير كرده يا تخريب شده است.

Maxton · Oct 1, 2004

يك كرم اينترنتي جديد Bagle.x!proxy

كرم اينترنتي جديدي بنام Bagle.x!proxy كه نسخه جديدي از W32/Bagle مي باشد در حال گسترش در اينترنت است كه خود را با فرستادن E-mail و همچنين استفاده از منابع اشتراكي در شبكه منتشر مي كند . اين كرم از نوع ويروس-تروجان بوده كه پس از نصب بعنوان Mail-proxy عمل مي كند.

هنگام اجراي اين كرم اينترنتي اعمال زير روي سيستم قرباني صورت مي گيرد :

1- Windows.exe خود را با نام در شاخه %system% كپي مي نمايد.

2- اين شاخه از رجيستري سيستم جهت اجراي اتوماتيك تروجان هنگام روشن شدن سيستم دستكاري مي شود:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "window.exe" = %SysDir%\WINDOW.EXE

پس از نصب ، يك بسته http به يكي از سايتهاي

· http://bohema.amillo.net

· http://abc517.net

· http://www.abc986.net

فرستاده خواهد شد كه هكر را از نصب خويش مطلع مي نمايد.

* توجه : لازم است آدرس هاي بالا را در بخش Restricted Sites مرورگر اينترنت خود وارد نمائيد.

3- يك پورت پروكسي روي سيستم قرباني (معمولاً پورت 14247 ) باز و به عنوان هدايت كننده ايميل Mail Relayاز آن استفاده مي كند.

راه حل :

برنامه ضد ويروس خود را سريعاً به روز نمائيد . همچنين شركت Trend Micro برنامه اي جهت پاكسازي سيستم هاي آلوده منتشر كرده است كه مي توانيد آنرا از آدرس زير دريافت نمائيد .

http://www.trendmicro.com/ftp/products/tsc/sysclean.com

Maxton · Oct 1, 2004

كرم اينترنتي SDBOT.UH

شواهد حاكي از ظهور كرم اينترنتي جديدي بنام SDBOT.UH مي باشد كه در تاريخ هشتم سپتامبر كشف گرديده است و در حال گسترش در اينترنت مي باشد.

اين كرم اينترنتي بر اساس چهار نقطه ضعف عمده كه در سيستمهاي مبتني بر ويندوز وجود دارند خود را اشاعه مي دهد و با توجه به اينكه بعد از نصب بعنوان يك Sniffer به ترافيك داده هاي دستگاه قرباني گوش داده و كلمات عبور و مشخصات بانكي قرباني را به هكر گزارش مي دهد بسيار حائز اهميت و خطرناك است.

جزئيات :
اين كرم با استفاده از نقاط ضعف :

• Remote Procedure Call (RPC) Distributed Component Object Model (DCOM) vulnerability
• Buffer Overflow in SQL Server 2000 vulnerability
• IIS5/WEBDAV buffer overrun vulnerability
• LSASS vulnerability

به سيستم قرباني وارد مي شود و سپس با نام Win32x.exe خود را در شاخه ويندوز كپي مي نمايد. همچنين مسيرهاي

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
Microsoft Time Manager = "dveldr.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunServices
Microsoft Time Manager = "dveldr.exe"
و
HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
Microsoft Time Manager = "dveldr.exe"

را به رجيستري سيستم هدف اضافه مي كند كه امكان اجراي دوباره را بعد از restart شدن كامپيوتر قرباني به اين كرم مي دهد. اين كرم قابليت هاي گوناگوني از جمله Sniffing ، Keylogging و همچنين ايجاد Backdoor را دارا مي باشد و نيز از سيستم قرباني بعنوان يك TFTP Server براي انتقال خود به ساير كامپيوتر ها استفاده مي كند . شايد مهلك ترين قابليت اين كرم همان Sniffing باشد كه سعي در دريافت كلمات عبور و مشخصات كارت هاي اعتباري قرباني و گزارش آن به هكر است. ضمن اينكه اصولاً شناسائي Sniffer ها كار مشكلي مي باشد.
راه حل‌:
1- برنامه ضد ويروس خود را بروز نمائيد و سريعاً سيستم خود را چك كنيد .
2- Task Manager را اجرا و در صورت مشاهده task اي با نامهاي Win32x.exe يا dveldr.exe
آنها را End Task كرده و سپس با اجراي Regedit ، در صورت وجود مسيرهائي كه قبلاً اشاره شد آنها را پاك نمائيد .

منبع:تبيان(بقيشون هم خودتون بريد بخونيد)