صفحه اول > راهنماییها

 

 

ویروس:

W32/MyDoom.B Virus

 

تاریخ: 2/2/2004

آخرین تغییرات مطلب:

منبع:USCERT

سیستمهای تحت تاثیر

  • تمام نسخه های ویندوز

چکیده

MyDoom یک ویروس مبتنی بر ایمیل است که از طریق اجرای یک فایل اجرایی که به صورت پیوست ارسال میگردد منتشر میشود

توضیح

MyDoom.B از طریق ایمیل یا شبکه های P2P منتقل میشود. لازمه انتقال این ویروس آنست که خود کاربر فایل اجرایی ضمیمه شده به ایمیل را اجرا نماید. در غیر اینصورت ویروس منتقل نخواهد شد.

فعالیت این ویروس احتمالا تا تاریخ اول مارس 2004  متوقف میشود.

مشخصات ایمیل حاوی این ویروس به قرار زیر است:

  • فرستنده
    • یک آدرس تصادفی از سایتهای : aol, msn, yahoo, hotmail
  • موضوع
    • یکی از عناوین: Delivery Error, hello, Error, Mail Delivery System, Mail Transaction Failed, Returned mail, Server Report, Status, Unable to deliver the message
  • متن
    • متن ایمیل حاوی مشخصات احتمالی زیر است:
    • [random characters]

      test

      The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

      sendmail daemon reported: Error #804 occured during SMTP session. Partial message has been received.

      The message contains Unicode characters and has been sent as a binary attachment.

      The message contains MIME-encoded graphics and has been sent as a binary attachment.

      Mail transaction failed. Partial message is available.
  • پیوست
    • پیوست ایمیل که حاوی فایل اجرایی ویروس است به شکل زیر است:

{body, doc, text, document, data, file, readme, message}.{exe, bat, scr, cmd, pif}

تاثیرات

  • ایجاد دو فایل با نامهای
    • Explorer.exe
    • Ctfmon.dll

هر دوی این فایلها در دایرکتوری سیستم ویندوز نصب میشوند. باید دقت کرد که خود ویندوز دارای فایلی با نام explorer.exe در دایرکنوری ویندوز است . فایل دوم نیز همنام یکی از فایلهایی ست که با نرم افزار Office نصب میشود.

  • تغییر فایل Hosts
    • این فایل مرجع اولیه ویندوز برای Name Resolution می باشد که در مسیر زیر قرار دارد:
      • %windir%\system32\drivers\etc\hosts

این ویروس برای گمراه کردن کاربر و جلوگیری از دستیابی او به سایتهای معروفضد ویروس و ضد هک ، آدرس برخی ازانها را به شکل زیر درین فایل تغییر میدهد:

127.0.0.1       localhost localhost.localdomain local lo
  0.0.0.0         0.0.0.0
  0.0.0.0         engine.awaps.net awaps.net www.awaps.net ad.doubleclick.net
  0.0.0.0         spd.atdmt.com atdmt.com click.atdmt.com clicks.atdmt.com
  0.0.0.0         media.fastclick.net fastclick.net www.fastclick.net ad.fastclick.net
  0.0.0.0         ads.fastclick.net banner.fastclick.net banners.fastclick.net
  0.0.0.0         www.sophos.com sophos.com ftp.sophos.com f-secure.com www.f-secure.com
  0.0.0.0         ftp.f-secure.com securityresponse.symantec.com
  0.0.0.0         www.symantec.com symantec.com service1.symantec.com
  0.0.0.0         liveupdate.symantec.com update.symantec.com updates.symantec.com
  0.0.0.0         support.microsoft.com downloads.microsoft.com
  0.0.0.0         download.microsoft.com windowsupdate.microsoft.com
  0.0.0.0         office.microsoft.com msdn.microsoft.com go.microsoft.com
  0.0.0.0         nai.com www.nai.com vil.nai.com secure.nai.com www.networkassociates.com
  0.0.0.0         networkassociates.com avp.ru www.avp.ru www.kaspersky.ru
  0.0.0.0         www.viruslist.ru viruslist.ru avp.ch www.avp.ch www.avp.com
  0.0.0.0         avp.com us.mcafee.com mcafee.com www.mcafee.com dispatch.mcafee.com
  0.0.0.0         download.mcafee.com mast.mcafee.com www.trendmicro.com
  0.0.0.0         www3.ca.com ca.com www.ca.com www.my-etrust.com
  0.0.0.0         my-etrust.com ar.atwola.com phx.corporate-ir.net
  0.0.0.0 www.microsoft.com

  • اعمال تغییرات زیر در رجیستری ویندوز(این تغییرات جهت اجرای ویروس حین شروع به کار سیستم اعمال میشود. بنابراین با حذف خط اول از رجیستری ، ویروس اجرا نخواهد شد)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Explorer"="C:\WINDOWS\system32\explorer.exe"

[HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
@="%SystemRoot%\System32\ctfmon.dll" (REG_EXPAND_SZ)
This value is normally set to %SystemRoot%\System32\webcheck.dll (REG_EXPAND_SZ)

  • تاثیرات شبکه ای
    • ویروس بلافاصله پس از نصب شروع به ارسال ایمیل به تمامی آدرسهای موجود در کامپیوتر میزبان میپردازد. این مساله دو تاثیر خواهد داشت:
      • تکثیر ویروس از طریق Address Book کامپیوتر میزبان
      • بعضی از سرورهای ایمیل دارای برنامه های ضد ویروس هستند و جلوی ارسال ایمیلهای ویروسی را میگیرند. همین مساله خود میتواند مشکل ساز باشد. این ویروس آدرس مبدا را جعلی انتخاب میکند (Source Spoofing) بنابراین ممکن است ایمیل برگشتی از سرور که خود حاوی ویروس است به یک آدرس دیگر ارسال شود و شخص دیگری را آلوده سازد!
    • ایجاد یک BackDoor بر روی یکی از پورتهای 1080, 3128, 80, 8080, 10080. ازین BackDoor ممکن است بعدا جهت دسترسی به اطلاعات کامپیوتر میزبان استفاده شود.
    • ویروس شروع به اسکن کردن سیستمهایی میکند که پورت TCP شماره 3127 آنها باز است (علت این قضیه مشخص نیست)
    • ویروس از اول فوریه 2004  شروع به حمله DDOS علیه سایت میکروسافت خواهد کرد.

راه حل

  • فیلتر کردن ترافیک خروجی با مقصد پورت3127 و ترافیم ورودی و خروجی بر روی پورتهای 1080, 3128, 80, 8080, 10080(اصولا بهتر است در صورتی که از فایروال شخصی استفاده میکنید تمامی ترافیک ورودی و خروجی غیر ضروری را فیلتر کنید)
  • اجرای یک برنامه Email Scanner بر روی Mail Server ها (کاربران خانگی باید اطمینان حاصل کنند که Mail Server آنها حتما دارای چنین برنامه ای هست و مرتبا هم آنرا بروز میکند)

توصیه برای کاربران خانگی

  • در صورتی که ارسال کننده ایمیلی را نمیشناسید هرگز فایلهای اجرایی ارسالی و ضمیمه شده به ایمیل را اجرا نکنید
  • حتما از یک برنامه ضد ویروس بر روی دستگاه خود استفاده کنید. درین زمینه به دو نکته زیر توجه کنید:
    • داشتن یک برنامه ضد ویروس بهیچ وجه تضمین صد در صدی جهت آلوده نشدن سیستم به شما نمیدهد
    • تمامی برنامه های ضد ویروس جهت شناسایی ویروسهای جدید نیاز دارند تا پایگاه داده خود را بروز نمایند. ازین مطلب اطمینان حاصل کنید که یا برنامه مورد استفاده شما به صورت اتوماتیک از طریق اینترنت بروز میشود و یا بروز شده آنرا از طریق دیگری تهیه نمایید
  • داشتن یک فایروال شخصی به تمامی کاربران خانگی توصیه میشود. گرچه فایروال شخصی در بسیاری موارد جلوی ویروسی شدن یا تاثیرات دیگر ویروسها را نمیگیرد اما حداقل مزیت آن از بین بردان یا کاهش تاثیرات شبکه ای ویروسهاست.

بازیابی

  • در صورت دسترسی از یک ابزار اتوماتیک بازیابی جهت این ویروس استفاده کنید. در غیر این صورت موارد زیر را اجرا کنید:
    • پروسه Explorer.exe را توسط Task Manager خاتمه دهید
    • ورودیهای ذکرر شده مربوط به ویروس را از رجیستری پاک کنید
    • فایل Hosts را بازیابی کنید