هشت ميليون آلودگي در طي سه روز
گسترش سريع ويروس
از بامداد روز سهشنبه 7 بهمن ماه، ويروس جديد كه با نام MYDOOM ظهور كرده كه به سرعت از طريق پيامهاي الكترونيكي آلوده در كشورهاي مختلف جهان (از جمله ايران) در حال انتشار است.
به اين ويروس نامهاي ديگري مانند Novarg ، Mimail و Shimg اطلاق ميشود.
آمار اوليه نشان ميدهد كه وسعت آلودگي و ميزان انتشار ويروس MYDOOM چند برابر ويروس مشهور سال گذشته Sobig.F شركت Postini (شركت بينالمللي خدمات دهي پست الكترونيكي) اعلام كرد كه روز سه شنبه بيش از 8 ميليون پيام آلوده به ويروس MyDoom را شناسايي و متوقف كرده است. درحاليكه در زمان اوج فعاليت Sobig.f اين رقم به بيشتر از 3 ميليون پيام در روز نرسيد.
تعداد زيادي از شركتهاي تجاري بزرگ براي در امان ماندن از ويروس MYDOOM و مقابله با انبوه پيامهاي آلوده دريافتي، سرويسدهندههاي پست الكترونيكي خود را كاملا خاموش كردند.
سرويسدهندههاي شركت McAfee در مدت يك ساعت، بيش از 20 هزار پيام آلوده را كه از 3400 فرستنده متفاوت سرچشمه ميگرفتند، دريافت كردند.
انتشار ويروس
ويروس MYDOOM برخلاف اغلب ويروسهاي اخير،سعي در فريب كاربران با استفاده از سوژههاي اجتماعي يا سياسي مطرح روز و يا مسائل جنسي نميكند. بلكه خود را به صورت يك پيام الكترونيكي كه حاوي مطالب و اطلاعات فني، درباره يك پيام برگشت داده شده (Rejected Email) است، نشان ميدهد و چنين وانمود ميكند كه فايل پيوست حاوي رونوشتي از پيام برگشت داده شده ميباشد.
ويروس از طريق پيامهاي آلوده با مشخصات زير انتشار مييابد:
From:
مشخصات فرستنده ناصحيح و دروغ است.
Subject:
يكي از عبارات زير است:
*Error
*Status
*Server Report
*Mail Transaction Failed
*Mail Delivery System
*hello
* hi
Message:
كي از عبارات زير است:
*The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
*The message contains Unicode characters and has been sent as a binary attachment.
*Mail transaction failed. Partial message is available.
Attachment:
نام فايل پيوست ثابت نيست و به طور شانسي تعيين ميشود. ولي فايل پيوست معمولاً به صورت ZIP و به حجم 22528 بايت است. فايلهاي پيوست آلودهاي نيز با پسوندهاي PIFi ، EXE ، SCR ، BAT و CMD مشاهده شده است. احتمالا ويروس جهت فرار و مخفي ماندن از نرمافزارهاي كنترلكننده كه پيامهايي با پيوست اجرائي (Executable Attachment) را فيلتر ميكنند، فايل را ZIP ميكند.
در پاره اي از موارد نيز مشاهده شده است كه فايل پيوست آلوده داراي دو پسوند بوده است و بين دو پسوند، با قرار دادن كاراكترهاي خالي (space) فاصله انداخته شده تا پسوند دوم و اصلي از ديد كاربر مخفي بماند. مثلا: pif.
Document.htm
سيستم عامل Windows پسوند دوم را براي تعيين نوع فايل مورد استفاده قرار ميدهد و پسوند اول را جزئي از نام فايل قلمداد ميكند.
ويروس MYDOOM از طريق شبكههاي P2P مانند شبكه KaZaa نيز انتشار مييابد و ممكن است فايلهايي با نام زير در شاخههاي KaZaa ايجاد كند:
*nuke2004
*office_crack
*rootkitXP
*strip-girl-2.Obdcom_patches
*activation_crack
*icq2004-final
*winamp
نحوه آلودگي
فايل پيوست آلوده بايد به طور دستي توسط كاربر اجرا گردد تا ويروس فعال گردد. در صورت اجراي فايل پيوست، يك فايل آلوده به نام taskmon.exe در شاخه Windows\System ايجاد ميشود.
Registry نيز توسط ويروس تغيير داده ميشود تا در حال بار راهاندازي، ويروس مجددا فعال شود.
ويروس همچنين يك فايل با نام shimgapi.dll در شاخه Windows\System ايجاد مي كند كه بعد از اولين راهاندازي (پس از آلوده شدن كامپيوتر) اين فايل dll با استفاده از يك دستور Rigistry به همراه فايل explorer.exe اجرا ميگردد.
همچنين با اجراي فايل آلوده، ويروس شروع به جمعآوري نشانيهاي الكترونيكي از داخل فايلهايي كه بر روي كامپيوتر آلوده پيدا ميكند مينمايد. ويروس براي ارسال پيامهاي آلوده، ابتدا اقدام به جمعآوري نامهاي دامنه (Domain Name) از داخل فايلهايي كه بر روي كامپيوتر آلوده وجود دارند ميكند. فايلهايي كه داراي يكي از پسوندهاي tbb, adb, wab, txt, htm, sht, php, asp, dbx, و pl هستند، توسط ويروس جستوجو ميشوند. سپس ويروس با استفاده از نامهاي مختلف و متعددي كه در داخل خود نگهداري ميكند، اقدام به ساختن شانسي نشاني الكترونيكي مينمايد. اين نامها به ابتداي نام دامنههاي جمعآوري شده اضافه ميشوند تا يك نشاني الكترونيكي ساخته شود.
نام دامنه جمعآوري شده
از كامپيوتر آلوده
@
نام شانسي انتخاب شده
از فهرست داخل ويروس
ويروس براي ارسال پيامهاي آلوده به نشانيهايي كه به روش فوق ساخته است، از مكانيزم SMTP خود استفاده ميكند و نام سرور (Email Server) دريافت كننده را نيز با امتحان كردن يك به يك پيشوندهايي نظير (mx. Mail. Smtp. Mxl. Mxs. Mail. Relay. ns) كه به ابتداي نام دامنه مورد نظر اضافه ميكند، حدس زده و به دست ميآورد.
نكته زيركانهاي كه در ويروس MyDoom مشاهده ميشود و تا حدود زيادي به موفقيت آن در انتشار گسترده و عمومي كمك كرده است، كنترل نشاني الكترونيكي است كه براي آنها، پيام آلوده ارسال ميكند.
نشانيهايي كه مربوط به Microsoft, MSN, Yahoo و اينگونه دامنه (Domain)هاي مشهور ميشوند. ناديده گرفته شده و براي آنها پيام آلوده ارسال نميشود. بدين ترتيب ويروس سعي ميكند تا از ديد سيستمهايي كه امكانات شناسايي سريع ويروس را دارند. مخفي و پنهان بماند.
به دليل اينكه نام فرستنده پيام آلوده به ويروس My Doom دروغين و ناصحيح است و در حقيقت نام فرستنده به طور شانسي توسط ويروس (از فهرستي كه جمعآوري كرده و در اختيار دارد) انتخاب و در ظاهر به عنوان فرستنده پيام نشان داده ميشود، لذا بايد به دو نكته توجه داشت:
اگر پيام آلوده به ويروس MyDoom دريافت ميكنيد، به احتمال زياد، نام فرستندهاي را كه ميبينيد، فرستنده واقعي نيست و دليلي بر آلوده بودن كامپيوترهاي فرستنده نيست.
اگر به شما اطلاع دادهاند كه پيامهاي آلوده به ويروس MyDoom ارسال ميكنيد، به احتمال زياد، شما آنها را نفرستادهايد و از همه مهمتر دليلي بر آلوده بودن كامپيوترهاي شما نيست.
عوارض ديگر ويروس
يكي از علائم آلودگي به ويروس MyDoom اجراي ناگهاني و ناخواسته نرمافزار NotePad است. در اين حالت، صفحه NotePad از كاراكترهاي نامفهوم پر ميشود.
همچنين درگاه شماره 3127 توسط ويروس گشوده ميشود. اين عمل نشان دهنده اين است كه ويروس در انتظار دريافت دستور و فراميني از طريق اين درگاه ميباشد.
به علاوه بر اساس تاريخهاي خاص و معين، ويروس عمليات مختلفي را بر روي كامپيوتر آلوده انجام ميدهد. اگر تاريخ كامپيوتر آلوده بين روزهاي 23-12 بهمن ماه باشد، ويروس اقدام به حمله به سايت شركت SCO جهت از كار انداختن سايت مينمايد. به اين نوع حملات اينترنتي در اصطلاح «حملاتDenial of Service (DOS)» گفته ميشود.
در اين حملات، از طريق مجموعهاي از كامپيوترهاي آلوده، اقدام به ارسال درخواستهاي دروغين بيشماري به يك سايت خاص ميشود تا به حدي كه سرورهايي كه مسوول نگهداري از آن سايت هستند، ديگر قادر به پاسخگويي به انبوه درخواستها نباشند. در اين حالت درخواستهاي واقعي كه به اين سايت ارسال ميشوند با تأخير بسيار زياد پاسخ داده ميشوند و يا در نهايت اصلا پاسخ داده نشده و امكان دسترسي به سايت موردنظر كاملا قطع ميشود.
در روز سه شنبه (7 بهمن) به تأييد مسوولان شركت SCO دسترسي به سايت اين شركت كند شده بود. به دليل اينكه تاريخ و ساعت بسياري از كامپيوترها صحيح تنظيم نشدهاند و همچنين بسياري بر اساس سيستم تاريخ محلي كشور خود، تاريخ كامپيوترها را تنظيم ميكنند، بسياري از كامپيوترهاي آلوده كه تاريخ 23-12 بهمن را نشان ميدهند، حمله به سايت SCO را آغاز كردهاند.
شناسايي و پاكسازي
مشتركين نرمافزارهاي ضد ويروس McAfee براي شناسايي و پاكسازي ويروس MyDoom بايد از فايلهاي بهروزرساني جديد DAT 4319 و يا از فايل EXTRA.DAT و يا Super EXTRA.EXE استفاده نمايند.
اجراي فايل Super EXTRA.EXE باعث نصب خودكار فايل EXTRA.DAT در محل مناسب بر روي كامپيوتر ميشود ولي فايل Extra.DAT را بايد به طور دستي در همان شاخهاي (Folder) قرار داد كه ديگر فايلهاي DAT (مانند SCAN.DAT) وجود دارند.
به دليل تغييراتي كه ويروس در Rejistry ميدهد، در صورتيكه كامپيوتر پس از آلودگي به ويروس، مجددا راهاندازي (Re-boot) شده باشد، فايل آلوده shimgapi.dll به فايل explorer.exe وابسته ميشود و به همراه آن اجرا ميگردد. براي از بين بردن اين فايل آلوده كامپيوتر بايد پس از كنترل (scan) و پاكسازي بار اول، مجددا راهاندازي شده و عمل كنترل يكبار ديگر انجام شود.
فايلهاي فوق را ميتوانيد از سايت شبكه گستر
www.z-virus.com دريافت (download) كنيد. در صورت نياز ميتوانيد با هماهنگي با دفتر پشتيباني اين شركت، فايلها را بر روي ديسك نيز دريافت نماييد
