IRCERT - سریع ترین کرم اینترنتی - اخبارها و هشدارها MyDoom

صفحه اول > اخبار و هشدارها

MyDoom حمله خود به شبكه ها را آغاز كرده است

سريعترين كرم اينترنتي

5 فوريه 2004 – 16 بهمن 1382

شما هم اخيرا ايميلهاي عجيب و غريب از مدير صندوق پست الكترونيكي تان دريافت مي كنيد؟ حتما ديده ايد كه يك فايل txt هم به آن الحاق شده است. اميدوارم آن فايل را باز نكرده باشيد , چون آن ايميل ها چيزي نبوند جز پيغامهايي از سريعترين ويروس شناخته شده در دنيا.

اواخر ژانويه ( 8-9 بهمن ماه) سايتهاي خبري ,از حمله يك كرم اينترنتي جديد به شبكه ها خبر دادند. كرمي كه با سرعتي باور نكردني خود را تكثير و پخش مي كرد و توانست لقب سريعترين كرم رايانه اي را از Sobig.F بربايد. اين كرم اينترنتي MyDoom نام داشت.

MyDoom كه هنوز منبع اصلي آن ناشناخته است , رايانه هاي زيادي را در همان روزهاي اول آلوده كرد. شركت امنيتي MessageLabs در روز چهارشنبه 8 بهمن طي گزارشي اعلام كرد كه بيشترين آلودگي در مناطق آمريكا و استراليا بوده است, اما مطابق با گزارشهاي رسيده از شركت British اين كرم در همان چند روز اول با ارسال 1.8 ميليون كپي توانسته است آلودگي را در 168 كشور دنيا پراكنده كند. British همچنين در گزارش خود اشاره كرده بود كه در هر ساعت جلو 100 هزار كپي از اين كرم گرفته مي شود. مطابق با آمار ارائه شده از شركت MessageLabs از هر 12 ايميل يكي آلوده است , در حالي كه در زمان حمله Sobig.F اين نسبت 17 به 1 رسيده بود و اين نشان از سرعت و شدت حملات MyDoom دارد. ساير آمارها نيز حكايت از همين قضيه داشت. شركت MessageLabs تنها در يك روز توانسته بود 8.4 ميليون ايميل آلوده را متوقف كند. 20 درصد ايميلهاي دريافت شده توسط سرورهاي شهر بوستون توسط اين كرم توليد شده بودند. دانشگاه كاروليناي شمالي نيز روزانه 1 ميليون ايميل آلوده دريافت مي كرد. اما MyDoom چگونه كار مي كند؟

اين كرم كه با نامهاي Novarg و Shimgapi نيز شناخته مي شود, در قالب يك فايل الحاقي باينري فرستاده مي شود. گاهي اوقات فايل الحاقي , يك فايل آرشيو 22528 بايتي ZIP است كه با وجودي كه در اصل يك فايل اجرايي است اما آيكون خود را به شكل يك فايل متني نمايش مي دهد. بدنه ايميل يكسان نيست اما در اغلب مواقع به نظر مي رسد كه شما يك پيغام خطا مانند :" The message cannot be represented in 7-bit ASCII… " دريافت كرده ايد. از آنجايي كه آيكون مربوط به فايلهاي متني است در بسياري از موارد كاربران آن را با خيال راحت باز مي كنند , غافل از اين كه با اين كار رايانه خود را آلوده مي كنند. در بعضي موارد نيز به نظر مي رسد كه شما ايميل را از يك نشاني رسمي مانند ايميل مدير شبكه يا صندوق پست الكترونيكي خود دريافت كرده ايد. هنگامي كه ايميل را باز مي كنيد , اطلاعات مفيدي در بدنه آن نمي يابيد و لذا فايل الحاقي را باز مي كنيد و نتيجه چيزي مي شود كه كرم اينترنتي خواستار آن بوده است.

MyDoom همانند ساير كرمهاي اينترنتي خود را از طريق ايميل تكثير مي كند . همچنين اين كرم خود را درون تمام دايركتوريهاي اشتراكي مورد استفاده سايتهايي مانند Kazaa نيز كپي مي كند تا بتواند به رايانه هاي بيشتري حمله كند. اين كرم نشاني هاي ايميل را از رايانه هاي آلوده بر مي دارد و فايلهايي با پسوندهاي .wab , .adb , .tbb , .dbx , .asp , .php, .sht, .htm و .txt را مورد حمله قرار مي دهد. اين كرم همچنين سعي مي كند تا نشاني هاي ايميلي را به صورت تصادفي توليد كند و به آنها ايميل بفرستد. تحليلهاي اوليه نشان مي دهد كه MyDoom براي برقراري ارتباط از پورت 3127 كه براي دسترسي از دور كاربرد دارد, استفاده مي كند.

در بعضي نسخه هاي اين كرم هنگامي كه يك كاربر فايل الحاقي را باز كند, برنامه Notepad باز مي شود و يك مجموعه كاراكتر تصادفي را نمايش مي دهد. در همان زماني كه اين كرم خود را تكثير مي كند , يك در پشتي (Backdoor) نيز براي هكرها باز مي كند تا بتوانند به سيستم نفوذ كنند. بعضي از نسخه ها نيز يك برنامه Keystroke را نصب مي كنند كه هرآنچه را شما تايپ مي كنيد, ثبت مي كند ولذا براحتي مي تواند شماره هاي كارت اعتباري و يا كلمات عبور را سرقت كند.

همچنين همانطور كه اشاره شد, اين كرم از طريق شبكه هاي اشتراك فايل مانند Kazaa نيز منتشر مي شود. اين كرم معمولا در اين شبكه ها با عناويني مانند Winamp5 و ICQ2004-final فعاليت مي كند. لذا بسياري از كاربران كه به چت علاقه دارند و يا به دنبال فايلهاي MP3 هستند, با ديدن اين نامها گول مي خورند و اقدام به دريافت آنها مي كنند.

نسخه اوليه اين كرم به گونه اي برنامه ريزي شده بود كه در زماني مشخص به سايت sco.org متعلق به شركت SCO كه ادعاي مالكيت سيستم عاملهاي UNIX را دارد, از تمامي رايانه هاي آلوده شده حمله DoS مي كرد تا آن را با ترافيك سنگيني روبرو كند و از كار بياندازد. نسخه ثانويه يعني MyDoom.B نيز براي حمله به سايتهاي SCO و مايكروسافت طراحي شده بود. كرم به گونه اي برنامه ريزي شده است كه اين حملات مدت 12 روز ادامه يابد. هر يك از اين دو شركت مبلغ 250 هزار دلار را جهت جايزه دادن به يابنده منبع اين كرم اينترنتي اختصاص داده اند.

بنابر گزارشهاي رسيده زيان مالي حاصل از اين حملات اعم از كاهش سرعت شبكه يا خسارات ديگر , براحتي قابل اندازه گيري دقيق نيست اما حدود ميلياردها دلار برآورد مي شود.

كارشناسان راه مقابله با اين كرم اينترنتي را تنها باز نكردن و پاك كردن آن مي دانند. همچنين توصيه مي كنند كه كاربران به هيچ وجه ايميلهاي ناشناخته را باز نكنند و ويروس كش خود را نيز بروز نگهدارند.