| |
ويروس:
W32/MyDoom.B Virus
تاريخ: 2/2/2004
آخرين
تغييرات مطلب:
منبع:USCERT
سيستمهای تحت تاثير
چکيده
MyDoom
يک ويروس مبتنی بر ايميل است که از طريق اجرای يک فايل اجرايی که
به صورت پيوست ارسال ميگردد منتشر ميشود
توضيح
MyDoom.B
از طريق ايميل يا شبکه های
P2P
منتقل ميشود. لازمه انتقال اين ويروس آنست که خود کاربر فايل
اجرايی ضميمه شده به ايميل را اجرا نمايد. در غير اينصورت ويروس
منتقل نخواهد شد.
فعاليت اين ويروس احتمالا تا تاريخ اول مارس 2004
متوقف ميشود.
مشخصات ايميل حاوی اين ويروس به قرار زير است:
-
فرستنده
-
يک آدرس تصادفی
از سايتهای :
aol, msn,
yahoo, hotmail
-
موضوع
-
يکی از عناوين:
Delivery Error, hello, Error, Mail Delivery System, Mail
Transaction Failed, Returned mail, Server Report, Status,
Unable to deliver the message
-
متن
-
متن ايميل حاوی
مشخصات احتمالی زير است:
-
[random
characters]
test
The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment.
sendmail daemon reported: Error #804 occured during SMTP
session. Partial message has been received.
The message contains Unicode characters and has been sent
as a binary attachment.
The message contains MIME-encoded graphics and has been
sent as a binary attachment.
Mail transaction failed. Partial message is available.
-
پيوست
-
پيوست ايميل که
حاوی فايل اجرايی ويروس است به شکل زير است:
{body, doc, text, document, data, file, readme, message}.{exe,
bat, scr, cmd, pif}
تاثيرات
هر
دوی اين فايلها در دايرکتوری سيستم ويندوز نصب ميشوند. بايد دقت
کرد که خود ويندوز دارای فايلی با نام
explorer.exe
در دايرکنوری ويندوز است . فايل دوم نيز همنام يکی از فايلهايی
ست که با نرم افزار
Office
نصب ميشود.
-
تغيير فايل
Hosts
-
اين فايل مرجع
اوليه ويندوز برای
Name
Resolution
می باشد که در مسير زير قرار دارد:
-
%windir%\system32\drivers\etc\hosts
اين
ويروس برای گمراه کردن کاربر و جلوگيری از دستيابی او به سايتهای
معروفضد ويروس و ضد هک ، آدرس برخی ازانها را به شکل زير درين
فايل تغيير ميدهد:
127.0.0.1 localhost localhost.localdomain local lo
0.0.0.0 0.0.0.0
0.0.0.0 engine.awaps.net awaps.net www.awaps.net
ad.doubleclick.net
0.0.0.0 spd.atdmt.com atdmt.com click.atdmt.com
clicks.atdmt.com
0.0.0.0 media.fastclick.net fastclick.net
www.fastclick.net ad.fastclick.net
0.0.0.0 ads.fastclick.net banner.fastclick.net
banners.fastclick.net
0.0.0.0 www.sophos.com sophos.com ftp.sophos.com
f-secure.com www.f-secure.com
0.0.0.0 ftp.f-secure.com
securityresponse.symantec.com
0.0.0.0 www.symantec.com symantec.com
service1.symantec.com
0.0.0.0 liveupdate.symantec.com update.symantec.com
updates.symantec.com
0.0.0.0 support.microsoft.com
downloads.microsoft.com
0.0.0.0 download.microsoft.com
windowsupdate.microsoft.com
0.0.0.0 office.microsoft.com msdn.microsoft.com
go.microsoft.com
0.0.0.0 nai.com www.nai.com vil.nai.com
secure.nai.com www.networkassociates.com
0.0.0.0 networkassociates.com avp.ru www.avp.ru
www.kaspersky.ru
0.0.0.0 www.viruslist.ru viruslist.ru avp.ch
www.avp.ch www.avp.com
0.0.0.0 avp.com us.mcafee.com mcafee.com
www.mcafee.com dispatch.mcafee.com
0.0.0.0 download.mcafee.com mast.mcafee.com
www.trendmicro.com
0.0.0.0 www3.ca.com ca.com www.ca.com
www.my-etrust.com
0.0.0.0 my-etrust.com ar.atwola.com
phx.corporate-ir.net
0.0.0.0 www.microsoft.com
-
اعمال تغييرات
زير در رجيستری ويندوز(اين تغييرات جهت اجرای ويروس حين شروع
به کار سيستم اعمال ميشود. بنابراين با حذف خط اول از رجيستری
، ويروس اجرا نخواهد شد)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Explorer"="C:\WINDOWS\system32\explorer.exe"
[HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
@="%SystemRoot%\System32\ctfmon.dll" (REG_EXPAND_SZ)
This value is normally set to
%SystemRoot%\System32\webcheck.dll (REG_EXPAND_SZ)
-
تاثيرات شبکه ای
-
ويروس بلافاصله
پس از نصب شروع به ارسال ايميل به تمامی آدرسهای موجود در
کامپيوتر ميزبان ميپردازد. اين مساله دو تاثير خواهد داشت:
-
تکثير ويروس
از طريق
Address Book
کامپيوتر ميزبان
-
بعضی از
سرورهای ايميل دارای برنامه های ضد ويروس هستند و جلوی
ارسال ايميلهای ويروسی را ميگيرند. همين مساله خود ميتواند
مشکل ساز باشد. اين ويروس آدرس مبدا را جعلی انتخاب ميکند
(Source
Spoofing)
بنابراين ممکن است ايميل برگشتی از سرور که خود حاوی ويروس
است به يک آدرس ديگر ارسال شود و شخص ديگری را آلوده سازد!
-
ايجاد يک
BackDoor
بر روی يکی از پورتهای
1080, 3128,
80, 8080, 10080.
ازين
BackDoor
ممکن است بعدا جهت دسترسی به اطلاعات کامپيوتر ميزبان
استفاده شود.
-
ويروس شروع به
اسکن کردن سيستمهايی ميکند که پورت
TCP
شماره
3127
آنها باز است (علت اين قضيه مشخص نيست)
-
ويروس از اول
فوريه 2004
شروع
به حمله
DDOS
عليه سايت ميکروسافت خواهد کرد.
راه حل
-
فيلتر کردن
ترافيک خروجی با مقصد پورت3127
و ترافيم ورودی و خروجی بر روی پورتهای
1080, 3128, 80,
8080, 10080(اصولا
بهتر است در صورتی که از فايروال شخصی استفاده ميکنيد تمامی
ترافيک ورودی و خروجی غير ضروری را فيلتر کنيد)
-
اجرای يک برنامه
Email
Scanner
بر روی
Mail Server
ها (کاربران خانگی بايد اطمينان حاصل کنند که
Mail Server
آنها حتما دارای چنين برنامه ای هست و مرتبا هم آنرا بروز
ميکند)
توصيه
برای کاربران خانگی
-
در صورتی که
ارسال کننده ايميلی را نميشناسيد هرگز فايلهای اجرايی ارسالی و
ضميمه شده به ايميل را اجرا نکنيد
-
حتما از يک
برنامه ضد ويروس بر روی دستگاه خود استفاده کنيد. درين زمينه
به دو نکته زير توجه کنيد:
-
داشتن يک
برنامه ضد ويروس بهيچ وجه تضمين صد در صدی جهت آلوده نشدن
سيستم به شما نميدهد
-
تمامی برنامه
های ضد ويروس جهت شناسايی ويروسهای جديد نياز دارند تا
پايگاه داده خود را بروز نمايند. ازين مطلب اطمينان حاصل
کنيد که يا برنامه مورد استفاده شما به صورت اتوماتيک از
طريق اينترنت بروز ميشود و يا بروز شده آنرا از طريق ديگری
تهيه نماييد
-
داشتن يک فايروال
شخصی به تمامی کاربران خانگی توصيه ميشود. گرچه فايروال شخصی
در بسياری موارد جلوی ويروسی شدن يا تاثيرات ديگر ويروسها را
نميگيرد اما حداقل مزيت آن از بين بردان يا کاهش تاثيرات شبکه
ای ويروسهاست.
بازيابی
-
در صورت دسترسی
از يک ابزار اتوماتيک بازيابی جهت اين ويروس استفاده کنيد. در
غير اين صورت موارد زير را اجرا کنيد:
-
پروسه
Explorer.exe
را توسط
Task Manager
خاتمه دهيد
-
وروديهای ذکرر
شده مربوط به ويروس را از رجيستری پاک کنيد
-
فايل
Hosts
را بازيابی کنيد
|
|
