MyDoom
حمله خود به شبكه ها را آغاز كرده است
سريعترين كرم
اينترنتي
5
فوريه 2004 – 16 بهمن 1382
شما هم اخيرا
ايميلهاي عجيب و غريب از مدير صندوق پست الكترونيكي تان دريافت
مي كنيد؟ حتما ديده ايد كه يك فايل txt
هم به آن الحاق شده است. اميدوارم آن فايل را باز نكرده باشيد ,
چون آن ايميل ها چيزي نبوند جز پيغامهايي از سريعترين ويروس
شناخته شده در دنيا.
اواخر ژانويه (
8-9 بهمن ماه) سايتهاي خبري ,از حمله يك كرم اينترنتي جديد به
شبكه ها خبر دادند. كرمي كه با سرعتي باور نكردني خود را تكثير و
پخش مي كرد و توانست لقب سريعترين كرم رايانه اي را از
Sobig.F
بربايد. اين كرم اينترنتي MyDoom
نام داشت.
MyDoom
كه هنوز
منبع اصلي آن ناشناخته است , رايانه هاي زيادي را در همان روزهاي
اول آلوده كرد. شركت امنيتي MessageLabs
در روز چهارشنبه 8 بهمن طي گزارشي اعلام كرد كه بيشترين آلودگي
در مناطق آمريكا و استراليا بوده است, اما مطابق با گزارشهاي
رسيده از شركت British
اين كرم در همان چند روز اول با ارسال 1.8 ميليون كپي توانسته
است آلودگي را در 168 كشور دنيا پراكنده كند.
British
همچنين در گزارش
خود اشاره كرده بود كه در هر ساعت جلو 100 هزار كپي از اين كرم
گرفته مي شود. مطابق با آمار ارائه شده از شركت
MessageLabs
از هر 12 ايميل
يكي آلوده است , در حالي كه در زمان حمله
Sobig.F
اين نسبت 17 به 1 رسيده بود و اين نشان از سرعت و شدت حملات
MyDoom
دارد. ساير آمارها نيز حكايت از همين قضيه داشت. شركت
MessageLabs
تنها در يك روز توانسته بود 8.4 ميليون ايميل آلوده را متوقف
كند. 20 درصد ايميلهاي دريافت شده توسط سرورهاي شهر بوستون توسط
اين كرم توليد شده بودند. دانشگاه كاروليناي شمالي نيز روزانه 1
ميليون ايميل آلوده دريافت مي كرد. اما
MyDoom
چگونه كار مي كند؟
اين كرم كه با
نامهاي Novarg
و Shimgapi
نيز شناخته مي شود, در قالب يك فايل الحاقي باينري فرستاده مي
شود. گاهي اوقات فايل الحاقي , يك فايل آرشيو 22528 بايتي
ZIP
است كه با وجودي كه در اصل يك فايل اجرايي است اما آيكون خود را
به شكل يك فايل متني نمايش مي دهد. بدنه ايميل
يكسان نيست
اما در اغلب مواقع به نظر مي رسد كه شما يك پيغام خطا مانند :"
The message cannot be represented in
7-bit ASCII…
" دريافت كرده ايد. از آنجايي كه آيكون مربوط به فايلهاي متني
است در بسياري از موارد كاربران آن را با خيال راحت باز مي كنند
, غافل از اين كه با اين كار رايانه خود را آلوده مي كنند. در
بعضي موارد نيز به نظر مي رسد كه شما ايميل را از يك نشاني
رسمي مانند ايميل مدير شبكه يا صندوق پست الكترونيكي خود دريافت
كرده ايد. هنگامي كه ايميل را باز مي كنيد , اطلاعات مفيدي در
بدنه آن نمي يابيد و لذا فايل الحاقي را باز مي كنيد و نتيجه
چيزي مي شود كه كرم اينترنتي خواستار آن بوده است.
MyDoom
همانند ساير كرمهاي اينترنتي خود را از طريق ايميل تكثير مي كند
. همچنين اين كرم خود را درون تمام دايركتوريهاي اشتراكي مورد
استفاده سايتهايي مانند Kazaa
نيز كپي مي كند تا بتواند به رايانه هاي
بيشتري حمله كند. اين كرم نشاني هاي ايميل را از رايانه هاي
آلوده بر مي دارد و فايلهايي
با پسوندهاي
.wab
, .adb
, .tbb
, .dbx
, .asp
,
.php,
.sht,
.htm
و .txt
را مورد حمله قرار مي دهد. اين كرم همچنين سعي مي كند تا نشاني
هاي ايميلي را به صورت تصادفي توليد كند و به آنها ايميل بفرستد.
تحليلهاي اوليه نشان مي دهد كه MyDoom
براي برقراري ارتباط از پورت 3127 كه براي دسترسي از دور كاربرد
دارد, استفاده مي كند.
در بعضي نسخه هاي
اين كرم هنگامي كه يك كاربر فايل الحاقي را باز كند, برنامه
Notepad
باز مي شود و يك مجموعه كاراكتر تصادفي را نمايش مي دهد. در همان
زماني كه اين كرم خود را تكثير مي كند , يك در پشتي (Backdoor)
نيز براي هكرها باز مي كند تا بتوانند به سيستم نفوذ كنند. بعضي
از نسخه ها نيز يك برنامه Keystroke
را نصب مي كنند كه هرآنچه را شما تايپ مي كنيد, ثبت مي كند ولذا
براحتي مي تواند شماره هاي كارت اعتباري و يا كلمات عبور را سرقت
كند.
همچنين همانطور
كه اشاره شد, اين كرم از طريق شبكه هاي اشتراك فايل مانند
Kazaa
نيز منتشر مي شود. اين كرم معمولا در اين شبكه ها با عناويني
مانند Winamp5
و ICQ2004-final
فعاليت مي كند. لذا بسياري از كاربران كه به چت علاقه دارند و يا
به دنبال فايلهاي MP3
هستند, با ديدن اين نامها گول مي خورند و اقدام به دريافت آنها
مي كنند.
نسخه اوليه اين
كرم به گونه اي برنامه ريزي شده بود كه در زماني مشخص به سايت
sco.org
متعلق به شركت SCO
كه ادعاي مالكيت سيستم عاملهاي UNIX
را دارد, از تمامي رايانه هاي آلوده شده حمله
DoS
مي كرد تا آن را با ترافيك سنگيني روبرو كند و از كار بياندازد.
نسخه ثانويه يعني MyDoom.B
نيز براي حمله به سايتهاي SCO
و مايكروسافت طراحي شده بود. كرم به گونه اي برنامه ريزي شده است
كه اين حملات مدت 12 روز ادامه يابد. هر يك از اين دو شركت مبلغ
250 هزار دلار را جهت جايزه دادن به يابنده منبع اين كرم
اينترنتي اختصاص داده اند.
بنابر گزارشهاي
رسيده زيان مالي حاصل از اين حملات اعم از كاهش سرعت شبكه يا
خسارات ديگر , براحتي قابل اندازه گيري دقيق نيست اما حدود
ميلياردها دلار برآورد مي شود.
كارشناسان راه
مقابله با اين كرم اينترنتي را تنها باز نكردن و پاك كردن آن مي
دانند. همچنين توصيه مي كنند كه كاربران به هيچ وجه ايميلهاي
ناشناخته را باز نكنند و ويروس كش خود را نيز بروز نگهدارند.
|