| |
ویروس:
W32/MyDoom.B Virus
تاریخ: 2/2/2004
آخرین
تغییرات مطلب:
منبع:USCERT
سیستمهای تحت تاثیر
چکیده
MyDoom
یک ویروس مبتنی بر ایمیل است که از طریق اجرای یک فایل اجرایی که
به صورت پیوست ارسال میگردد منتشر میشود
توضیح
MyDoom.B
از طریق ایمیل یا شبکه های
P2P
منتقل میشود. لازمه انتقال این ویروس آنست که خود کاربر فایل
اجرایی ضمیمه شده به ایمیل را اجرا نماید. در غیر اینصورت ویروس
منتقل نخواهد شد.
فعالیت این ویروس احتمالا تا تاریخ اول مارس 2004
متوقف میشود.
مشخصات ایمیل حاوی این ویروس به قرار زیر است:
-
فرستنده
-
یک آدرس تصادفی
از سایتهای :
aol, msn,
yahoo, hotmail
-
موضوع
-
یکی از عناوین:
Delivery Error, hello, Error, Mail Delivery System, Mail
Transaction Failed, Returned mail, Server Report, Status,
Unable to deliver the message
-
متن
-
متن ایمیل حاوی
مشخصات احتمالی زیر است:
-
[random
characters]
test
The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment.
sendmail daemon reported: Error #804 occured during SMTP
session. Partial message has been received.
The message contains Unicode characters and has been sent
as a binary attachment.
The message contains MIME-encoded graphics and has been
sent as a binary attachment.
Mail transaction failed. Partial message is available.
-
پیوست
-
پیوست ایمیل که
حاوی فایل اجرایی ویروس است به شکل زیر است:
{body, doc, text, document, data, file, readme, message}.{exe,
bat, scr, cmd, pif}
تاثیرات
هر
دوی این فایلها در دایرکتوری سیستم ویندوز نصب میشوند. باید دقت
کرد که خود ویندوز دارای فایلی با نام
explorer.exe
در دایرکنوری ویندوز است . فایل دوم نیز همنام یکی از فایلهایی
ست که با نرم افزار
Office
نصب میشود.
-
تغییر فایل
Hosts
-
این فایل مرجع
اولیه ویندوز برای
Name
Resolution
می باشد که در مسیر زیر قرار دارد:
-
%windir%\system32\drivers\etc\hosts
این
ویروس برای گمراه کردن کاربر و جلوگیری از دستیابی او به سایتهای
معروفضد ویروس و ضد هک ، آدرس برخی ازانها را به شکل زیر درین
فایل تغییر میدهد:
127.0.0.1 localhost localhost.localdomain local lo
0.0.0.0 0.0.0.0
0.0.0.0 engine.awaps.net awaps.net www.awaps.net
ad.doubleclick.net
0.0.0.0 spd.atdmt.com atdmt.com click.atdmt.com
clicks.atdmt.com
0.0.0.0 media.fastclick.net fastclick.net
www.fastclick.net ad.fastclick.net
0.0.0.0 ads.fastclick.net banner.fastclick.net
banners.fastclick.net
0.0.0.0 www.sophos.com sophos.com ftp.sophos.com
f-secure.com www.f-secure.com
0.0.0.0 ftp.f-secure.com
securityresponse.symantec.com
0.0.0.0 www.symantec.com symantec.com
service1.symantec.com
0.0.0.0 liveupdate.symantec.com update.symantec.com
updates.symantec.com
0.0.0.0 support.microsoft.com
downloads.microsoft.com
0.0.0.0 download.microsoft.com
windowsupdate.microsoft.com
0.0.0.0 office.microsoft.com msdn.microsoft.com
go.microsoft.com
0.0.0.0 nai.com www.nai.com vil.nai.com
secure.nai.com www.networkassociates.com
0.0.0.0 networkassociates.com avp.ru www.avp.ru
www.kaspersky.ru
0.0.0.0 www.viruslist.ru viruslist.ru avp.ch
www.avp.ch www.avp.com
0.0.0.0 avp.com us.mcafee.com mcafee.com
www.mcafee.com dispatch.mcafee.com
0.0.0.0 download.mcafee.com mast.mcafee.com
www.trendmicro.com
0.0.0.0 www3.ca.com ca.com www.ca.com
www.my-etrust.com
0.0.0.0 my-etrust.com ar.atwola.com
phx.corporate-ir.net
0.0.0.0 www.microsoft.com
-
اعمال تغییرات
زیر در رجیستری ویندوز(این تغییرات جهت اجرای ویروس حین شروع
به کار سیستم اعمال میشود. بنابراین با حذف خط اول از رجیستری
، ویروس اجرا نخواهد شد)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Explorer"="C:\WINDOWS\system32\explorer.exe"
[HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
@="%SystemRoot%\System32\ctfmon.dll" (REG_EXPAND_SZ)
This value is normally set to
%SystemRoot%\System32\webcheck.dll (REG_EXPAND_SZ)
-
تاثیرات شبکه ای
-
ویروس بلافاصله
پس از نصب شروع به ارسال ایمیل به تمامی آدرسهای موجود در
کامپیوتر میزبان میپردازد. این مساله دو تاثیر خواهد داشت:
-
تکثیر ویروس
از طریق
Address Book
کامپیوتر میزبان
-
بعضی از
سرورهای ایمیل دارای برنامه های ضد ویروس هستند و جلوی
ارسال ایمیلهای ویروسی را میگیرند. همین مساله خود میتواند
مشکل ساز باشد. این ویروس آدرس مبدا را جعلی انتخاب میکند
(Source
Spoofing)
بنابراین ممکن است ایمیل برگشتی از سرور که خود حاوی ویروس
است به یک آدرس دیگر ارسال شود و شخص دیگری را آلوده سازد!
-
ایجاد یک
BackDoor
بر روی یکی از پورتهای
1080, 3128,
80, 8080, 10080.
ازین
BackDoor
ممکن است بعدا جهت دسترسی به اطلاعات کامپیوتر میزبان
استفاده شود.
-
ویروس شروع به
اسکن کردن سیستمهایی میکند که پورت
TCP
شماره
3127
آنها باز است (علت این قضیه مشخص نیست)
-
ویروس از اول
فوریه 2004
شروع
به حمله
DDOS
علیه سایت میکروسافت خواهد کرد.
راه حل
-
فیلتر کردن
ترافیک خروجی با مقصد پورت3127
و ترافیم ورودی و خروجی بر روی پورتهای
1080, 3128, 80,
8080, 10080(اصولا
بهتر است در صورتی که از فایروال شخصی استفاده میکنید تمامی
ترافیک ورودی و خروجی غیر ضروری را فیلتر کنید)
-
اجرای یک برنامه
Email
Scanner
بر روی
Mail Server
ها (کاربران خانگی باید اطمینان حاصل کنند که
Mail Server
آنها حتما دارای چنین برنامه ای هست و مرتبا هم آنرا بروز
میکند)
توصیه
برای کاربران خانگی
-
در صورتی که
ارسال کننده ایمیلی را نمیشناسید هرگز فایلهای اجرایی ارسالی و
ضمیمه شده به ایمیل را اجرا نکنید
-
حتما از یک
برنامه ضد ویروس بر روی دستگاه خود استفاده کنید. درین زمینه
به دو نکته زیر توجه کنید:
-
داشتن یک
برنامه ضد ویروس بهیچ وجه تضمین صد در صدی جهت آلوده نشدن
سیستم به شما نمیدهد
-
تمامی برنامه
های ضد ویروس جهت شناسایی ویروسهای جدید نیاز دارند تا
پایگاه داده خود را بروز نمایند. ازین مطلب اطمینان حاصل
کنید که یا برنامه مورد استفاده شما به صورت اتوماتیک از
طریق اینترنت بروز میشود و یا بروز شده آنرا از طریق دیگری
تهیه نمایید
-
داشتن یک فایروال
شخصی به تمامی کاربران خانگی توصیه میشود. گرچه فایروال شخصی
در بسیاری موارد جلوی ویروسی شدن یا تاثیرات دیگر ویروسها را
نمیگیرد اما حداقل مزیت آن از بین بردان یا کاهش تاثیرات شبکه
ای ویروسهاست.
بازیابی
-
در صورت دسترسی
از یک ابزار اتوماتیک بازیابی جهت این ویروس استفاده کنید. در
غیر این صورت موارد زیر را اجرا کنید:
-
پروسه
Explorer.exe
را توسط
Task Manager
خاتمه دهید
-
ورودیهای ذکرر
شده مربوط به ویروس را از رجیستری پاک کنید
-
فایل
Hosts
را بازیابی کنید
|
|
