آشنایی با ویروس ها (17) – ویروس W32Sobig.F@mm 

در ماه اگوست سال 2003 شاهد دور تازه ای از تهاجمات ویروسهای مخرب اینترنتی بودیم یکی از این ویروسهای خطرناک ویروسی بنام w32.sobig.f@mm بود.
این ویروس دارای مشخصه های Mass-mailing ( توده های عظیم پستی ) و network-aware worm ( کرم هوشمند شبکه ای ) می باشد و قادر است خودش را به همه آدرس های پستی موجود در فایل های با پسوند dbx.eml.hlp.htm.html.mht.wab.txt .در کامپیوتر میزبان بصورت خودکار کپی نماید و از طریق این ادرسها به سایر کامپیوترها حمله نماید وبه سرعت تکثیرشود . همچنین با استفاده از موتورهای که دارای smtp میباشند نیز منتشر می شود و سعی می کند یک کپی از خودش را بر روی شیکه های مشترکی که در دسترس آن می باشند بصورت خودکارایجاد نماید.

مشخصات یک نامه الوده به ویروس sobig.f : فسمت form : ( فرستنده نامه )
این ویروس اغلب از آدرس admin@internet.com استفاده می کند و می تواند از ادرسهای که در کامپیوتر آلوده بدست آورده استفاده نماید و همچنین قادر است با اتصال به یک سرور smtp از آدرسهای آن بعنوان ادرس فرستنده بهره جوید.
قسمت subject : ( موضوع نامه )
در این قسمت نامه الوده عناوینی زیر مشاهده می شود

. re: details .
. re: approved .
. re: re: my details .
. re: thank you !.
. re: that movie .
. re: wicked Screensaver .
. re: your application .
. thank you !.
. your details .

قسمت body : ( متن نامه )
در این قسمت نامه آلوده مطالب زیر به چشم می خورد

. see the attached file for details .
. please see the attached file for details ..

قسمت attachment : ( پیوست نامه )
در نامه آلوده به ویروس پیوستهای زیر مشاهده می شوند.

. your_document.pif .
. document_all.pif .
. thank_you.pif .
. your_details.pif .
. details.pif .

بازگشت

. document_9446.pif .
. application.pif .
. wicked_SCR.SCR .
. movie0045.pif .

توجهات ویژه :
- ویروس w32.sobig.f@mm در تاریخ 10 سپتامبر 2003 بی اثر می شود . لذا اخرین روزی که این ویروس منتشر می شود 9 سپتامبر سال 2003 می باشد و کامپیوترهای که به این ویروس الوده شده اند بصورت مخفیانه نسخه Update شده این ویروس را از سرورهای اصلی مشخص تو سط نویسندگا ن ویروس جهت تها جم تازه دریافت می کنند.( توضیح این که رفتار مشابه ای در نسخه های قبلی این ویروس مشاهده شده است )
- از انجا که این ویروس پورتهای UDP 123, 995, 996, 997, 998, 999, 8998 را باز می کند در کامپیوترهای آلوده به ویروس ترافیک پورت UDP ودر نتیجه کاهش سرعت اینترنت مشاهده شده است در ضمن بعلت باز شدن پورتهای فوق احتمال نفوذ غیر مجاز در کامپیوتر و سرور الوده وجود دارد
- این ویروس قادر است فایلهای را که می تواند به کمک آنها خود را Update کند بصورت خودکار و مخفیانه بر روی کامپیوتر الوده download و اجرا نماید . و ضمنا به کمک این توانائی این ویروس قادراست در شرایطی به سرور های که نویسندگان مشخص کرده اند متصل شود و یک فایل Trojan را دریافت و اجرا نماید . و مواقعی که احتمال ذارد این ویروس به سرورهای مشخص شده برای download فایلهای مورد نیاز خود متصل شود عبارتند از
- روزهای جمعه و یا شنبه به وقت utc (coordinated time universal ساعت جهانی ) در ساعاتی بین 7 p.m و 10 p.m .- و شماره IP سرورهای که احتمال می رود دستگاه الوده بصورت خودکار به آنها وصل شود و فایلهای مورد نیاز را download کند عبارتند از :

- 12.232.104.221
- 12.158.102.205 -
- 24.33.66.38 -
- 24.197.143.132 -
- 24.206.75.137 -
- 24.202.91.43 -
- 24.210.182.156 -
- 61.38.187.59 -
- 63.250.82.87 -
- 65.92.80.218 -
- 65.92.186.145 -
- 65.95.193.138 -
- 65.93.81.59 -
- 65.177.240.194 -
- 66.131.207.81 -
- 67.9.241.67 -
- 67.73.21.6 -
- 68.38.159.161 -
- 68.50.208.96 -
- 218.147.164.29 -

- این ویروس در دایرکتوری سیستم عامل ویندوز فایل های winppr32.exe و winstt32.dat را کپی می کند.
ادامه دارد ......
ارسال مقاله توسط عضو محترم سایت با نام کاربری : sm1372/س

بازگشت

آشنایی با ویروس ها (18) – ویروس « بلاستر» blaster

برای جلوگیری از حمله ی ”بلاستر“ و فرصت در Download نرم افزارهای لازم، ساعت رایانه ی خود را یک ساعت عقب بکشید یکی از بررسی کنندگان ویروس های کامپیوتری، گفت: اگر ساعت رایانه ی خود را یک ساعت عقب بکشید، کرم بلاستر غیر فعال می شود .
کرم اینترنتی بلاستر ( blaster )، ویندوزهای xp و 2000 را مورد هدف قرار می دهد و تا کنون هزاران رایانه را در سطح دنیا آلوده کرده است . این ویروس بعد از ورود در سیستم و ثبت خود، در مدت زمان ( timing ) خود در سیستم که حدود 50 ثانیه است، فعالیت خود را با ارسال پیامی آغاز می کند .
یکی از بررسی کنندگان ویروس های کامپیوتری، اظهار داشت: در زمان دریافت پیغام این ویروس، اگر ساعت کامپیوتر خود را به مدت یک ساعت عقب بکشیم، فعالیت این ویروس مختل شده و کاربر فرصت پیدا می کند تا با Download کردن patch و آنتی ویروس های مناسب، با آن ویروس به صورت کامل مقابله کند .
وی، با تاکید بر دقت در عقب کشیدن ساعت کامپیوتر در هنگام ارسال پیام، برای جلوگیری از خاموش شدن ( Shut down ) کامپیوتر، گفت: در روش عقب کشیدن ساعت کامپیوتر برای مقابله با بلاستر، حتی دقایق و ثانیه ها مهم است و ساعت کامپیوتر باید دقیقا به اندازه یک ساعت عقب کشیده شود .
وی در پایان با اشاره به رابطه ی بین ویروس های بلاستر، بک شل و W32 گفت: در ابتدا بلاستر وارد سیستم می شود و اگر جلو آن توسط آنتی ویروس گرفته شود، بک شل عمل کرده و با مشغول کردن آنتی ویروس به خود، جلوی شناسایی فایل های W32 را توسط آنتی ویروس می گیرد و باعث رخنه آن به سیستم ها می شود .
ادامه دارد....

بازگشت

آشنایی با ویروس ها (19) - کرم اینترنتی My Doom.F

نسخه جدیدی از کرم اینترنتی MyDoom در اینترنت پخش و گسترش پیدا کرده است. نسخه جدید این کرم که mydoom.f نام دارد بر علیه سایت های مایکروسافت و RIAA حمله تکذیب سرویس یا dos تدارک می بیند . با این حال این کرم از حمله به وب سایت هایی با پسوند mozilla - hotmail - ibm.com - google - gov - msn - linux etc .اجتناب می کند.
حمله این کرم هنوز صدمه سختی به سایت های قربانی های خود وارد نکرده است ولی سایت RIAA در روز گذشته گزارش داد که مشکلات کمی برای این سایت بوجود آمده است.
این کرم شامل یک کارگزار smtp است و خود را از طریق درایوها و پوشه های share شده در سیستم قربانی هایی که قابل نفوذ هستند کپی می کند . هرچند این نسخه نمی تواند سریع تر از نسخه پدر خود یعنی mydoom منتشر و گسترش پیدا کند زیرا این نسخه سبب خسارت به box هایی می شود که نسخه پدر آن ها را آلوده کرده است . کرم در سیستم های آلوده برنامه هایی که در حال اجرا هستند را متوقف می کند و سپس فایل های avi - MDB - XLS - jpg - doc - bmp - sav را پاک می کند.
پیغامی که با ایمیل های آلوده ظاهر می شود معمولا با موضوع های " approved " یا " your Credit Card " و یا " you use illegal file sharing...your ip was logged " همراه است . فایلی که به این ایمیل ها پیوست شده است همان کرم Mydoom.f است که معمولا یک فایل فشرده zip است که خود محتوی فایل هایی با پسوند exe , SCR , com , pif , BAT , CMD است.
شرکت mcafee این کرم را از نظر خطرناک بودن در درجه medium قرار داد و یک برنامه پاک سازی مخصوص این ویروس ارائه کرد که می توانید از لینک زیر آن را دریافت کنید و سیستم خود را با استفاده از این ابزار از آلوده بودن به کرم Mydoom.f پاک سازید.

http://vil.nai.com/vil/content/v_101038.htm

شرکت Symantec نیز این کرم را از نظر خطرناک بودن در درجه medium قرار داد و یک برنامه پاک سازی مخصوص این ویروس ارائه کرد که می توانید از لینک زیر آن را دریافت کنید.

http://securityresponse.symantec.com/avcenter/venc/data/ color="red">W32.mydoom.f@mm.html

همینطور شرکت panda نیز این کرم از از نظر خطرناک بودن در درجه ای بین medium و high قرار داد و برنامه پاک سازی مخصوص این ویروس ارائه کرد که می توانید از لینک زیر آن را دریافت کنید.

http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?idvirus=44913

ادامه دارد ......

بازگشت

آشنایی با ویروس ها (20) تروجان اینترنتی Ransom-A

کارشناسان امنیت اینترنتی از شناسایی "تروجان" جدیدی خبر می دهند که با غیرقابل دسترس ساختن اطلاعات موجود در هارد دیسک رایانه های کاربران، از آنها برای بازگرداندن رایانه به وضعیت عادی، درخواست وجه می کند .
تاکنون تعداد بسیار اندکی کد مخرب و ویروس اینترنتی شناسایی شده است که از کاربران اخاذی می کنند و تروجان جدید به نام "تروج / رنسوم- ای" ( (troj/ransom-a یکی از این موارد نادر است .
تروجان مذکور را شرکت ارائه دهنده خدمات امنیت اینترنتی "سوفوس" شناسایی کرده و روش مورد استفاده این کد مخرب برای گسترش در اینترنت هنوز به درستی مشخص نشده است .
" تروجان " ( Trojan ) به طور کلی به کدهای مخرب رایانه ای گفته می شود که بر خلاف ویروسهای اینترنتی، قابلیت کپی کردن خود و ارسال خود از یک رایانه به رایانه های دیگر را ندارند و معمولا از طریق هرزنامه ها و یا با استفاده از حفره های امنیتی مرورگرها از وب سایتهای آلوده به رایانه های کاربران راه می یابند .
هنگامی که تروجان "تروج/ رنسوم- ای" از اینترنت به رایانه یک کاربر راه یافته و اجرا شود، رایانه از فعالیت بازایستاده و پیغامی بر صفحه نمایش نقش می بندد که در آن ذکر شده در هر 30 دقیقه، بخشی از فایل های موجود در هارد دیسک پاک خواهند شد .
در این پیغام دستورالعملی برای واریز کردن 10 دلار به یک شماره حساب از طریق خدمات اینترنتی نقل و انتقال پول "وسترن یونیون هولدینگز" ارائه شده که کاربر برای آزادسازی رایانه خود باید مبلغ یاد شده را پرداخت کند .
نگارنده این تروجان حتی در اقدامی عجیب در همین پیغام اعلام کرده چنانچه رایانه کاربر پس از پرداخت پول و انجام کارهای ذکر شده مجددا فعال نشد، مشکل را بررسی می کند و کاربر می تواند با آدرس ایمیلی که در همین پیغام آمده، با نگارنده تروجان جهت برطرف کردن مشکل تماس بگیرد .
شرکت "سوفوس" هم اکنون اطلاعات دقیق تری را در رابطه با جزییات عملکرد تروجان یاد شده در وب سایت خود ارایه کرده و راهکارهایی را برای مقابله با آن منتشر کرده است .
ادامه دارد .....

بازگشت

نظرات شما عزیزان:

نام :

آدرس ایمیل:

وب سایت/بلاگ :

متن پیام:

نظر خصوصی

 کد را وارد نمایید:

 

 

 

عکس شما

آپلود عکس دلخواه: