معماری
ویروسهای کامپیوتری

ویروسهای کامپیوتری و روش انتقال آنها

ویروسهای کامپیوتری به چهار دسته کلی تقسیم میشوند: ویروسهای فایل یا برنامه، ویروسهای ماکرو، ویروسهای چند بخشی(multipartite)، ویروسهای بوت سکتور.

ویروسهای بوت سکتور:

این ویروس معمولا زمانی انتقال می یابد که یک فلاپی آلوده در درایو باقی بماند و سیستم با آن راه اندازی شود. ویروس از بوت سکتور فلاپی آلوده خوانده شده و در رکورد راه اندازی اصلی هارد دیسک نوشته میشود. هنگامی که سیستم شما از طریق هارد دیسک راه اندازی میشود، بوت سکتوراصلی اولین محلی است که خوانده میشود. بدین ترتیب هر زمان که کامپیوتر راه اندازی میشود،ویروس در حافظه سیستم بارگذاری میشود.

ویروسهای فایل یا برنامه:

قطعاتی از کدهای ویروسی هستندکه خود را به برنامه های اجرایی متصل میکنند ودر زمان اجرای برنامه آلوده،ویروس به حافظه سیستم شما منتقل شده ودرموقعیتی دیگر تکثیر میشود.

ویروسهای ماکرو:

شایعترین ویروسهای کنونی، ویروسهای ماکرو هستند. این ویروس، فایلهای برنامه های کاربردی از قبیل Word مایکروسافت یا Excel را که از زبان ماکرو استفاده میکنند آلوده مینماید.این نوع ویروس در فایل مثل یک ماکرو به نظر میرسد و در هنگامی که فایل باز میشود، میتواند دستوراتی که توسط زبان ماکروی برنامه کاربردی قابل فهم است را اجرا کند.

ویروسهای چند بخشی:

این ویروسها به طور همزمان خصوصیات ویروسهای بوت سکتور وفایل رادارند. این ویروسها میتوانندازطریق بوت سکتورشروع به فعالیت و در برنامه های کاربردی پخش شوند و یا برعکس از برنامه های کاربردی شروع به فعالیت و دربوت سکتور گسترش یابند.

چگونگی آلوده شدن داده ها:

تقریبا ویروس برروی هر نوع فایلی میتواند نوشته شود. بنابراین به هنگام نصب یک نرم- افزار باید به این نکته توجه کنیم. گاهی اوقات گونه های مختلف ویروسهای شناخته شده روی نرم افزارهایی که از طریق کپی غیر مجاز تهیه شده اند وجود دارد.

دو راه اصلی انتقال ویروس از طریق اضافه کردن فایلها به سیستم از طریق فلاپی دیسک یا رسانه های قابل حمل مانند دیسکهای(zip) یا از طریق بارگذاری نرم افزار از طریق اینترنت یا تابلو اعلانات خصوصی است.امکان دریافت ویروس از طریق پست الکترونیکی نیز وجود دارد ولی اگر نامه کاملامتنی(plain text) باشد، ویروس انتقال پیدا نمیکند.

باور عمومی در مورد ویروسها این است که سیستم تنها از طریق فایلهای اجرایی یا فایلهای برنامه و نه فایلهای صرفا داده ای آلوده میشوند. همچنین ممکن است که فکر کنیم که آلودگی، تا زمانیکه برنامه ویروسی اجرا نشده، انتشار پیدا نمیکند، که با ظهور ویروسهای ماکرو این تصور نیز کمرنگ میشود. این ویروسها میتوانند درون هر سند متعلق به برنامه های کاربردی که از زبان ماکرو استفاده میکنند، وجود داشته باشند. مانند ویروس  Concept که از طریق اسناد word مایکروسافت انتشار می یابد. بدین ترتیب اگرکاربر نسخه سالمی از  word مایکروسافت را داشته باشد به سادگی با باز کردن یک سند word آلوده، برنامه خود را آلوده میکند.

 

  1. چگونگی تشخیص آلودگی به ویروس

بعضی از نشانه هایی که بیانگر ویروسی بودن سیستم هستند عبارتند از:

  1. وجود تصاویر یا پیامهای غیرطبیعی روی مانیتور.
  2. پخش تصادفی صداها یا تصاویر غیرطبیعی
  3. تغییر نام یک هارد دیسک یا سیستم
  4. کمتربودن حافظه در دسترس سیستم از آنچه باید بطور طبیعی باشد.
  5. مفقود شدن اتفاقی برنامه ها یا فایلها
  6. ایجاد برنامه ها یا فایلهای ناشناخته

۷ .آسیب دیدن تصادفی بعضی از فایلها یا عملکرد نامناسب آنها.


۴٫ چگونه از سیستم خود محافظت محافظت کنیم؟

  1. پیغامهای پستی غریبه ها و یا پیوستهایی را که در انتظارشان نیستید را باز نکنید،به ویژه پیوستهایی را که دارای پسوند Exe هستند.
  2. از فایـــل های مهم، بر روی فلاپی، درایوهای Zip ویا دیـگر وسایل ذخیره سازی براساس بر اساس یک برنامه منظم نسخه های پشتیبان  تهیه کنید،بدین ترتیب قادر خواهید بود درصورت از بین رفتن اطلاعات آنها  را بازیابی کنید.
  3. جدیدترین نرم افزارهای ضد ویروس را بر روی دستگــاه خود نصب کنید. ازجمله این نرم افـزارها می توان به : Norton Anti-VIRUS 2000 یا Virex for Macs    و  همچـنین  McAfee Virus Scan For Windows   اشــاره کرد.


  1. انواع پیوستهای ویروس که می توانند خطرناک باشند

۱٫کرم موریس(Msoris worm):

ماه نوامبر سال ۱۹۹۰: به شدت تکثیر شد و ترافیک آرپانت  پنتاگـون را مختل کرد.

۲٫میکلا نژ(Michelangeo):

ماه مارس سال ۱۹۹۱: در روز تولـد هنــرمند معروف، میکـــلا نژ تهاجم خود را اغاز کـــرد و اطلاعات هارد دیسک بسیاری از دستگاهها  را در سراسر دنیا از بین برد.

  1. ویروس چرنوبیل(Chemobyl):

ماه اوریل سال ۱۹۹۹: این ویروس در سالگــرد  فاجعه  اتمی چرنوبیل به وقوع پیوست. این ویروس، تراشه هایی را کـه بصورت  نرم افزاری قابل  برنامه ریزی بودند، در هزاران کــامپیوتری که سیستم عامل ویندوز بود، خراب کرد.

  1. اکسپلور زیپ(Explore.zip):

ماه ژوئن سال ۱۹۹۹:هارد دیسک های کــــامپیوترهای شخصی را پاک کرده و سپس خود را  به صورتE.mailبه کامپیوترهای دیگرمی فرستاد  و آنها را هم آلوده می کرد.

 

  1. انواع ویروس
  2. Antichrist : فایلها را به اندازه ۱۱۰۸ بایت افزایش می دهد و ویروس شامل متن *.ZIP می باشد. هر زمانی که فایلی آلوده میشود این ویروس اولین فایل موجود در زیر فهرست را حذف می کند.

۲٫Migram- Cemetery(smark) : هر دو فایل EXE و COM  هنگام راه اندازی و اجرا آلوده میشوند و اندازه شان ۱۴۲۱ بایت افزایش می یابد . این ویروس ازآلـــــــوده کــــــردن فایــــل هایــــــی به نام  ND. مثل COMMAND.COM پرهیز میکند. ویروس شامل کلمه CEMETERY بوده و در ساعت ۴ بعد از ظهر یک نمایش را فعال میکند. در ساعتهـای بعد از ۴و۵ بعد از ظهر ، اگر ۱  ورودی درگـــاه سری باشد، PC دوباره راه اندازی میشود.

  1. MIGRAM- SMARK : هر دو فایل EXE وCOM را هنگام اجرا و راه اندازی آلوده کرده واندازه این فایلها را به اندازه ۱۹۳۵ بایت افزایش مید هد.

 

 

  1. ۱۰ ویروس شایع در شش ماه اول سال ۲۰۰۱

در شش ماه اول سال  ۲۰۰۱  میلادی تعداد قابل توجهی از برنامه هـــای  مخرب کامپیوتری توسط شبکه اینترنت در دنیا منتشـر شده اند که  رایج ترین آنها کرمهای اینترنتی محسوب میشوند.

به گفته کارشناسان آمار به دست آمده از ضریب انتشار ویروسها نشانگر آن است که w32/Disemboewler گسترده ترین کرم منتشردر شش ماه گذشته بوده است. این کرم اینترنتی که با نام Magister   نیـــــز شناخته میشود فایلهایــــی با پسوند .EXE و  .SCR را  در هارددیسک وگردونه های شبکه آلوده می کند. ویروسهایـــی که نام آنها با آغاز میشود برای سیستمهای عامل ویندوز۳۲ بیتی نوشته شده اند. همچنین کارشناسان بر اساس اطلا عات رسیده از طرف بیش از چهل کشور دنیا I-worm/MTX را دومین ویروس از لحاظ میزان گسترش در دنیا معرفی کرده است. این برنامه مخرب در بر دارنده یک ویروس،یک کرم ویک اسب تراوا در درون خود میباشد. نام کرمهای اینترنتی و پست الکترونیکی با I-worm  شروع میشود.

کرم w32/Hybris رتبه سوم را در جدول رایج ترین ویروسهای نیمه اول  سال  ۲۰۰۱  اشغال کرده است. به عنوان بارزترین خصیصه این کرم اینترنتی میتوان به قابلیت به روز آوری خودکار آن اشاره کرد. ویروس مزبور که اندازه آن براساس سیستم عامل آلوده شده  تغییر پیدا میکند به چند زبان مختلف برای قربانیان مشخصی مدلهای مورد  نیاز  برای ارتقاء خود را بطور اتوماتیک منتقل میکند. ویروسw32/ Navidad.B به عنوان چهارمین ویروس کثیرالانتشاردر بین کاربران اینترنت شناخته شده است .این کرم با مقیم شدن در حافظه کامپیوتر آلوده، یک تصویر چشم به نوار تکالیف ویندوز اضافه میکند. بعد از این ویروس کرم Pretty Park که از طریق کانالهای(گپ اینترنتی) منتشر شده و اسمی رمز کاربران را به سرقت میبرد، رتبه پنجم این جدول را به خود اختصاص داده است.

کرم w32/Funlove.4069 با آلوده کردن فایلهای .EXE (اجرایی)، .OCX(کنترلهای اکتیو ایکس) و.SCR   (محافظ صفحه نمایش در ویندوزهای)  ۹۸/۹۵ و ویندوز ان.تی کلیه سیستمهای شبکه را در مدت کوتاهی آلوده میسازد. آلودگی توسط این کرم به کرات توسط مدیران شبگه های کامپیوتری ایران نیز گزارش شده است.تمام راههای انتقال اطلا عات اعم دیسکت،سی دی، شبکه، اینترنت، اف.تی.پی و فایلهای پیوست نامه های الکترونیکی میتوانند به این کرم آلوده شوند.

رتبه بعدی رده بندی مزبور به کرم JS/KAK.worm تعلق دارد. این کرم که برای انتشار خود از یک حفره امنیتی در برنامهOutlook Express  استفاده میکند به صورت امضاء نامه های الکترونیکی خود را در درون نامه های مزبور جای میدهد. ویروسهایی که با نام JS/  شروع میشود، ویروسهایی هستند که کد آنها با جاوااسکریپت نوشته شده است.

رتبه های هشتم تا دهم آمار اخیر را ویروسهای نوشته شده به زبان ویژوال بیسیک تشکیل میدهند. VBS/valentin برای انتشار خود از Out look express استفاده میکند.این کرم که خود را در طرح زمینه نامه های Out look مخفی میسازد،فایلهایی با پسوند HTM,ASP,VBS,HTT، HTML. را هدف قرار میدهد. در صورتیکه مجموع ارقام ماه و روز سیستم مساوی عدد ۱۳ شود این کرم فایلهای با پسوند EXE وDLL را جستجو کرده و حذف میکند. کرم VBS/VALEMTIN که حائز رتبه نهم آمار مزبور شده است، نیز به صورت کد HTML درون امضاء نامه های الکترونیک جای گرفته و یک نسخه از خود را به تمامی آدرسهای پست الکترونیک موجود در کامپیوتر ارسال میکند. این کرم همچنین با ایجاد شماره تلفنهای تصادفی پیامهای کوتاه نوشتاری به دارندگان تلفنهای همراه ارسال میکند. دهمین رتبه ویروسهای رایج در شش ماهه اول سال ۲۰۰۱ میلادی به ویروسVBS.Homepage.B@mm   تعلق دارد. این کرم نیز خود را به همه آدرسهایالکترونیکی، که در برنامه مباشر پست الکترونیکی سیستم آلوده پیدا میکند ارسال کرده و از مشخصات آن باز کرددن مرورگر اینترنت در صفحات وب مربوط به دولت اروگوئه است.

 

ویروس Magister

تاریخ کشف:۲۰۰۱/۵/۱۱

روش تخریب وسرایت:

براساس اطلا عات موجود این ویروس که اخیراً در شبکه های مختلف اروپا وآمریکا منتشر شده است میتواند بخش اعظمی از اطلاعات هارد دیسک به صورت غیر قابل بازیابی منهدم سازد.در کد این ویروس دستوراتی مبنی بر پاک کردن فایلها و رونویسی کردن آنها وجود دارد. براساس این خبر ویروس در ۹۵ درصد موارد فایلهایی را که در سیستم پیدا میکند با تکرار یک متن ۱۰ حرفی دشنام آمیزyou are shit   رونویسی کرده و بدین ترتیب نه تنها فایلها از بین میروند بلکه قابلیت بازیابی آنها نیز از بین میرود.کرم مزبور که با نام Disemboweler.B نیز شناخته میشود، در ۵درصد دیگر موارد فایلها را از سیستم حذف میکند. همچنین به گزارش کارشناسان ویروس یاد شده قادر به آلوده سازی فایلهای بزرگتر از ۱۶ مگابایت نیست. تحقیقات انجام شده نشان میدهد که این ویروس فایلهای اجرایی آلوده شده را با استفاده از نام کامپیوتری قربانی کد میکند.برای این منظور ویروس از عملیات منطقی XOR استفاده میکند. به همین دلیل فایل آلوده شده در یک کامپیوتر قابل اجرا بوده ولی در یک کامپیوتر دیگر قابل اجرا نیست و در صورت اقدام به اجرای فایل آلوده سیستم بلوکه خواهد شد.  از دیگر ویژگیهای ویروس مذکور منهدم کردن فایلهای با پسوند NTZ میباشد. گونه جدید این ویروس همچنین در دایرکتوریهای WIN2K, WIN2000, WINME, WIN98, WIN95, WINDOWS, WINNT,WINXP  فایلهای WIN.INI و SYSTEM.INI را جستجو کرده تا تغییرات لازم را در آنها ایجاد کند.این تکنیک به منظور تضمین اجرای ویروس در هنگام بوت شدن سیستم در غالب سیستمهای عامل ماکروسافت به کار گرفته شده است. این ویروس قادر به کار انداختن برنامه Firewall موسوم به Zone Alarm میباشد. برای جستجو این برنامه ویروس از دستور FIND  ویندوز استفاده کرده و با دستورWM_QUIT  برنامه را از کار می اندازد. گفتنی است یکی از علا یم ظاهری آلودگی به ویروس حرکت شکلکهای ویندوز به همراه مگسک ماوس میباشد.

 

ویروس W32.nimda.A@mm

تاریخ کشف:۲۰۰۱/۳/۱۸

روش تخریب وسرایت:

این کرم که خود را از طریق پست الکترونیکی، به دنبال راههای نفوذ شبکه ای می گردد و سعی می کند خود را به میزبانهای وب   IIS   ماکروسافت کپی نماید. از جهت دیگر، این کرم نقش یک ویروس را نیز بازی میکند که هم فایلهای موضعی و هم فایلهای موجود روی شبکه های دور را هم آلوده میسازد. هنگامی که این ویروس از طریق نامه الکترونیکی از راه میرسد، از MIME استفاده کرده وبه ویروس اجازه میدهدکه فقط با خوانده شدن فایل به اجرا درآید. هرگاه از یک میزبان وب آلوده بازدید کنید، به شما اعلام خواهد شد که یک فایل پستی که کرم را به صورت پیوست با خود دارد را به کامپیوتر خودتان منتقل کنید. شما میتوانید وجه FILE DOWNLOAD   در مرورگر اینترنت را از کار بیاندازید تا مانع این COMPROMISE  شوید.

همچنین، این ویروس سهام آزاد شبکه ای در کامپیوتر آلوده ایجاد میکند تا به این ترتیب اجازه دسترسی به سیستم را بدهد. در خلال این فرآیند، کرم مزبور یک حساب میهمان با اختیارات سرپرستی باز میکند. نامهای دیگر این کرم عبارتند از:

, I-Worm.Nimda, w32/nimda.a W32/nimda@mm, PE-NIMDA.A

خسارات این ویروس زیاد است از جمله اینکه، فایلهای متعدد زیادی را با خودش عوض میکند. این ویروس همچنین کارایی را پایین آورده و موجب افت سیستم میشود. این ویروس منابع شبکه را باز میکند و سعی می کند میزبانهای اصلاح نشده IIS را آلوده نمایدوهمچنین گردونه C :  را به عنوان منبع شبکه باز میکند.

 

ویروس RED CODE  و گونه جدید آن

روش تخریب وسرایت:

طبق گزارش مسئولان مرکز هماهنگی CERT، کرم شروری به نام کد قرمز(RED CODE) ،از نقطه ضعف سرریز شدن بافر در برخی پیکربندیهای سیستم عامل ویندوز NT و ویندوز ۲۰۰۰ شرکت مایکروسافت استفاده کرده و به سرعت در اینترنت انتشار می یابد. این سازمان اعلام کرد تاکنون در حدود ۲۲۵۰۰۰ کامپیوتر به این ویروس آلوده شده اند.

طبق اظهارات مسئولان این سازمان این ویروس از نقطه ضعف سرریز شدن بافرIIs Indexing service Dll استفاده می کند. گفته میشود این نقطه ضعف در بیشتر نسخه های IIS5, IIS4 وجود دارد. براساس اعلامیه ای که روز ۱۹ ژوئن درباره این مشکل صادر شد، سرریز شدن بافر سبب میشود که کرم مهاجم، کنترل تمامی بخشهای سیستمی را که مورد هدف قرار گرفته است، به دست گیرد. اگر زبان پیش فرض میزبان آلوده شده، انگلیسی باشد، کد قرمز تمام صفحات وبی را که میزبان ارائه میکند دفرمه کرده و بجای آنها پیام

HELLO W!Welcom to:                                                                  http://www.worm.com!HackedbyChiness

را به نمایش میگذارد.مسئولان اظهار داشتند که این کرم علاوه بر دفرمه کردن تمام صفحات وب، کارایی کلی سیستم را بطور چشمگیری کاهش داده و در تلاش برای انتشار خود، میزبانهای دیگر را اسکن میکند. اگر زبان پیش فرض انگلیسی نباشد، کرم به اسکن ادامه میدهد ولی صفحات وب را دفرمه نمیکند. طبق اظهارات مقامات مرکز C ERT/CC ، کد قرمز همچنین میتواند حملات خود را به صورت((خودداری سـرور از ارائه خدمات)) انجام داده و سیستمها  و شکبه ها یی راکه به مخاطره نیافتاده اند برای یافتن نقطه ضعف سرریز شدن بافر IIs Indexing service Dll اسکن میکند.

حمله ((خودداری سـرور از ارائه خدمات))به این دلیل میتواند به وقوع بپیوندد که کد قرمز از همان هسته مولد اعداد تصادفی که برای تولید لیست آدرسهای IP که مورد اسکن قرار میگیرند،استفاده میکند.

مقامات CERT اظهارداشتند که در نتیجه، تمام میزبانهای آلوده شده همان آدرسهای IP را اسکن کنند. مرکز ملی حمایت از ساختار زیر بنایی ملی(NIPC  )که یکی از سازمانهای وابسته به اف بی آی است، اعلام کرد که وب سایت کاخ سفید نیز مورد حمله((خودداری سـرور از ارائه خدمات)) این کرم قرارگرفت.طبق اظهارات مقامات N IPC ،کد قرمز با ارسال ۱۰۰ اتصال همزمان به سرور کاخ سفید به این سایت حمله کرد.

آقای پل داکلین، رییس پشتیبانی جهانی شرگت سوفوس پی تی که تولیدکننده نرم افزار ضد ویروس است، اظهار داشت((به نظر میرسدکه این کرم به نحوی برنامه ریزی شده است که به کامپیوتری با آدرس  ۱۹۸٫۱۳۷٫۲۴۰٫۹۱حمله کند. این تنها یکی از کامپیوترهایی است که خدمات ((www.whitehouse.gov)) را ارائه میدهد.)) بعد از حمله کرم کد قرمز،ارتباط این کامپیوتر با وب سایت www.whitehouse.gov قطع شد تا سایت بتواند به درستی به کار خود ادامه دهد.

تامین کنندگان خدمات اینترنتی نیز برای متوقف کردن تلاش این کرم در قطع خدمات به مشتریان داوطلب شدند. آقای داکلین به تکنیکی اشاره IPکرد که درآن تامین کنندگان خدمات اینترنتی بسته هایی راکه آدرس  خاصی دارند، دور ریخته یا نادیده می گیرند. او در این رابطه اظهار داشت (( همچنین بسیاری از تامین کنندگان خدمات اینترنتی این آدرس را بی اثر کردند. این روش دفاعی در این مورد مؤثر بود چون کد قرمز قادراست تعداد زیادی بسته های اینترنتی غیر ضروری را تولید کند.))مرکز N IPC، آسیب پذیری در خدمات IIs Indexing service Dll را ((یک خطر بزرگ)) خوانده و افزود که کارشناسان این مرکز تصور میکنند ویروسهای دیگری نیز درآینده از این نقطه ضعف امنیتی استفاده خواهند کرد.

کارشناسان اظهار میدارند برای مقابله با حملات این کرم و جلوگیری از حملات بیشترآن، کاربران باید از نرم افزار ترمیمی (PATCH) شرکت مایکرو سافت که برای حل این مشکل امنیتی بوجود آمده است، استفاده کنند.آنها همچنین میگویند که این نرم افزار ترمیمی باید بتواند بطور گسترده مورد استفاده قرار گیرد تا از انتشار ویروس جلوگیری کند. در غیر این صورت اگر فقط درصد کمی از کاربران از این نرم افزار ترمیمی استفاده کنند،کد قرمز به انتشار وافزایش ترافیک اینترنت ادامه خواهد داد .

خوشبختانه تلاش کد قرمز برای آغاز حمله ((خودداری سـرور از ارائه خدمات)) در وب سایت کاخ سفید به کاربران فرصت کافی داد تا سیستم خود را به نرم افزار  ترمیمی مجهز کنند.

کارشناسان در خاتمه می افزایند : ((چون این کرم فقط در حافظه به حیات خود ادامه میدهد، روی هارددیسک شما یک کپی دائمی از خود نمی سازد. پس از نصب برنامه ترمیمی، نه تنها شما را از شر کرم خلاص میکند،بلکه عدم آلودگی مجدد کامپیوتر شما به این ویروس را هم تضمین میکند. ))

اما گونه جدید و خطرناکتر کرم CODE RED که به تازگی منتشر شده است، میتواند برای تمام سرورهای آسیب پذیر مایکرو سافت تهدید جدی باشد. این کرم یک اسب تراوا را به سرور اضافه میکند که در صورت فعال شدن آن، هر کاربر با یک مرورگر وب،امکان نفوذ به سرورآلوده راپیدا میکند. آخرین نسخه این کرم نیز همانند نسخه های قبلی خود با تکثیر بیش از حد خود در بافر سرورهای وب آسیب پذیر مایکروسافت، باعث سرریز شدن آنها میشود.

گونه جدید که توسط تحلیلگران امنیتی C ODE RED II، نام گرفته است، به اسب تراوا پنهان شده در پوسته Explorer.exe امکان میدهد که روی آن دسته از سرورهای وب IIS که توسط بسته های ترمیمــی    Microsoft service pack IIحفاظت نشده اند، بارگذاری شود. به گفته بسیاری از کارشناسان گونه اخیر این ویروس نسبت به نسخه های قبلی آن بسیار خطرناکتر است. این کرم با برنامه ای کاملاً متفاوت نوشته شده است.گروه کارشناسان امنیتی که برای اولین بار CODE RED II را تشخیص دادند، معتقدند که این کرم توسط گروه ۲ ۹ A (نام مستعار گروهی از نفوذگران) نوشته شده است.

بنا به گفته نویسنده این ویروس، CODE RED II میتواند یک دایرکتوری مجازی وب را بر روی Microsoft web server  نصب کند و با این کار تمام فایلهای این سرور را در دسترس هر کسی بگذارد که به یک مرمورگر وب دسترسی دارد.

کارشناسان میگویند تشخیص این مسأ له که کدامیک از سیستمهای سخت افزاری، در معرض خطر حمله این کرم هستند، کار بسیار ساده ای است. آخرین نسخه این کرم، بر خلاف نسخه های قبلی آن – که باری آسیب رساندن میتوانستند، ماهها غیر فعال بمانند و سیکل فعالیت آنها بسیار طولانی بود – چرخه ای ۲۴ ساعته دارد .

سه گروه از کاربران وجود دارند که نرم افزارهای اصلاحی مناسب را بر روی سرورهای مایکروسافت خود نصب نکرده اند.

  1. کاربران خانگی یا بنگاههای کوچک هستند که عموماً از سرویسهای اینترنتی با سرعت بالا مانند @home یا Road Runner استفاده میکنند.
  2. شرکتهایی که فراموش کرده اند که سرورهای وب قدیمیتر، بر روی اینترانت آنها وجود دارد، و از آنجایی که آنها هیچ دیوار آتشی ندارند، این سرورهای وب قدیمی، در دسترس کاربران قرار می گیرند و به وسیله جستجو خودکار CODE RED آلوده میشوند.نهایتاً CODE RED میتواند کاربران کشورهایی را که اخبار جهان غرب را نمی خوانند گرفتار کند.

 

ویروس WORM  BADTRANS.B

تاریخ کشف:۲۰۰۰/۳/۳

اسامی دیگر: W32/BADTRANS-B,BADTRANS.B

روش تخریب وسرایت:

این ویروس اینترنتی مقیم در دستــگاه حافظه یک گونه از نوع کرمهای BADTRANS.Aمیباشد.این ویروس ازطریق مشتریان پست الکترونیکی که از سوکتهای ویندوز از قبیل “ ماکـــــرو سافت اوت لوک“ و“ اوت لوک اکسپرس“ استفاده مینمایند تکثیر مییابد.

این ویروس به عنوان یک فایل اجرایی نوشته شده وارد  نرم افزار میشود در حالیکه  دارای اسامـــی فایل متفاوتی میباشد. این ویروس برای اینکه اجرا شود احتیاجی به این ندارد که گیرنده پست الکترونیکی مبادرت به باز کــردن شاخه ATTACHMENT  نمـــاید. ایــن ویروس از یک نقطه ضعف معروف در مشتریان پست الکترونیکی بر مبنای کاوشگر اینترنت ( ماکـــــرو سافت اوت لوک و ماکروسافت اوت لــوک اکسپرس) استفاده میکند که این نقطه ضعف عبارتست از اجرای اتوماتیک فایل ATTACHMENT  این امر همچنین اجرای اتوماتیک MIME  نوشته شده شناخته می  شود.

راه حل:

  1. فایل%SYSTEM%\CP_25389.NLS راپاکنمایید.START>RUN را کلیک کنید، Regidet را تایپ کنید سپس دکمه اینتر را فشار دهید. فایل زیر را دوبار کلیک کنید :

HKEY_LOCAL_MACHINE_>SOFRWARE>MICRO SOFT> WINDOWS>CURRENT VERSION>RUN ONCE

  1. در صفحه کلید سمت راست دنبال مقدار بایگانی شده زیر بگردید:

Kernel 32

مقدار بایگانی شده را کلیک کنید و سپس آنرا حذف کنید.

۳٫سیستم تان را دوباره راه اندازی کنید. سپس سیستم تان را با آنتی ویروس Trend Micro   اسکن کنید وسپس تمام فایل های شناسایی شده تحت عنوان WORM  BADTRANS.B را پاک نمایید. برای انجام این کار مشتریان “Trend Micro  “ باید آخرین فایل الگو را نمایند و سیستم شان را اسکن کنند. همچنین استفاده کنندگان می توانند از اسکنر ویروس  استفاده کنند.

 

ویروس LOVE BUG

تاریخ کشف:۲۰۰۰/۵/۱۱

روش تخریب وسرایت:

این ویروس همانند بسیاری دیگر از ویروسها از طریق  E.mail  گسترش یافت پیغام

این  E.MAIL ،ILOVEYOU  است که فایلی به نام

                                       LOVE-LETTER-FOR-YOU.TXT.VBS

ضمیمه آن بود.  این ویروس توانست کــــامپیوترهارا همانند یک حلقه دومینومورد حمله قراردهد. این ویروس جدید و مرگبار بدون هیچگونه علامت و نشانه ای با سرعت نور جهان را در نوردید و ارتباطات جهانـی را مختل کرد وموجب توقف فعالیتهای تجاری شد، فقط به این دلیل که حاوی پیام جذاب وجالب نظیر:

ّ آه،فقط نگاهی به من بیانداز، من حاوی یک پیغام شور انگــیز  از یک عاشق بیقرارم ّ کارشناسان بلافاصله به وی لقب LOVEBUG را دادند. اما این پیام عاشقانه در واقع یـک ویروس مخرب بود. در اولــین نمایش قدرت با توجه به اینکه این یک ویروس ۲۴ ساعته است، توانست دههـا میلیون کامپیوتررا مورد حمله قرار دهدوچیزی در حدود۱۰ میلیارد دلار  کار انجام شده را مورد تخریب قرار دهد.

این ویروس با هرمعیاری مخربترین و مضرترین ویروس است وآنچه این ویروس را وحشتناکـــتر میکند،مسئله سرعت انتقال آن است که میتواند  در عرض دو ساعت موجب آلوده شدن کـامپیوتر های سراسر دنیا بشود  که این زمان برای ویروس ملیسا ۶ ساعت بود.

تیم های کارشناسـی با توجه به شواهد و قرائن، محل انتشار این ویروس را کشور فیلیپین می دانند. جسـتجوی آثار این  ویروس نشان داد  که در ایــن ویروس نام barok    نهفته  است که نام اسب تراوا بوده است واین شبیه یکی  از برنامه های کشف کلـــــــمه  عبور است  که  توسط یک خرابکــار فیلیپینی نوشته شده است.شفافیت این کلــمه باعث شده است که کارشناسان معتقد  باشند که این کلمه برای فریب دادن وپیدا نکردن ردپا درکد ویروس قرار داده شده است.آنچه که کار  بررسی و جستجو را مشکلتر و پیچیده ترکرده پیدا  است، شدن  نسخه هــــای  جدیدی از ویروس  اصلی بود که می توانست کار خود نویسنده ویروس  lovebug و یا دیگران باشد.

نظیر یک آنفلونزای  واقعــی در آسیا، این ویروس ابتدا در هنگ کنگ ظاهــر شد و سپس از این محل با حرکــت  خورشید  به  طرف غرب به آرامی  در حسابهای E.MAIL   بسیاری از شرکتها رخنه کرد تا کاربران بی خبــــر از همه جا، برآن کلیک کرده و آنرا بگــشایند. این   ویروس خسارات زیادی را در تمام جهان بوجود آورد ، در بلژیـــک  باجه های کامپیوتری پرداخت پول نقد از کار افتادندومردم سرگردان و بدون پول  ماندند. در پاریس و  بسیاری از شهر های مهم  اروپایی صاحبـان مشاغل   همه خدمات E.MAIL خود را روی مشترکین بستند و حدود ۷۰ درصد کامپیوترها در آلمان،هلند وسوئد با مشکل مواجه شدند.

کمپانیهای صدمه دیده عبارتنـد از: فورد زیمنس، سیلیـــکان گرافیکیس وشرکت سرمایه گذار فیدلیتی. حتی  شرکت مایکروسافت که نرم افزار  آن هدف ویژه این ویروس بوده، از ضربات این ویروس در امان نبوده و مجبور به توقف خدمات E.MAIL در مرکز خود در ردموند و واشنگتن شد.  چگونگی عملکرد  ویروس بدین صورت  است  که  وقتی شما کلیــک کرده و پیوست مخرب نامه را باز می کنید، کــــد مخرب ویروس فعال میشودوویروس،یا اطلاعات فایلها را پاک میکند،یا آنها را انتقال میدهد.

این ویروس بصورت تصاویر دیجیتالی یا موسیقی  با  پسوندهای  .JPGو MP3 . و مـانند یـک ویروس طبیـعی نسخه ای از خود را در إطــلاعات فایل ها جایگزین میــکند و سپس در صورت یافتـن  بــرنامه  -outlook express،  به کتابچه آدرس آن حمله کرده  و بـرای تمـام کسانی که در لیست قراردارند، نسخه ای از خود را ارسال می کند.در حقیقت حرکت  دو مرحله ای ویروس از آن نه فقط یک ویروس بلـکه یـک کــرم تمام عیار می سازد.

در حقیقت  lovebug  یک  ویروس است برای اینــکه از هارد کامپیوتر میزبان متولد شده و تکثیر میشود و یک کرم محسوب می شود  زیرا که روی شبکه هم تکثیر می گردد.


ویروس NakedWife

روش تخریب وسرایت:

این ویروس بصورت ضمیمه یک نامه الکترونیکی وارد کامپیوتر میشود و سپس با ظاهر شدن به صورت یک ویدیوی مرموز درباره همسر  یک مرد ناشناس کاربران را وسوسه می کند.دامنه تخریب این ویروس بسیار  وسیع است وویــــــــــروس چندین فایل سیستمی   مهم را در کامپیوتر قربانیان خود حذف میکند. به دلیل خسارات  فراوانـــی که این ویروس به بارمی آورد تعدادی از شرکـتهای تولید کننده  نرم افزار  ضد ویروس آنرا  به عنوان یک ویروس خیلی خطرناک درجه بندی کرده اند.

این ویروس به محض آلــــــــوده کــردن یک کـامپیوتر، تمام  فایلهای BMP,COM,DLL,EXE,INI  و  همچنین تمام  فایلهای  موجــــــود در پوشه هــای      WINDOWS,WINDOWS/SYSTEM را با فرض اینکه   ویندوزدرپوشهWINDOWS نصب شده باشد، را حذف میکند.

این ویروس یــک  ویروس جدید  از  نوع  VBS WORM  است که  به سرعت از طریق پست الکترونیکـی منتشر می شود، کــــه نام مستعار آن jibjab   است، فایلهای مهم را  از پوشه های نامبرده حذف می کند. این  ویروس بامشخصات زیربه کامپیوتر شما راه می یابد

موضوع نامه:

FW:NAKEDWIFE

بدنه نامه:

(THAT:)MY WIFE NEVER LOOK LIKE

BEST REGARDS,

نام ضمیمه:

NAKEDWIFE.EXE

اگر کاربر  ضمیمه  را بازکند، ویروس خود را بصورت نامه الکترونیکی به تمام آدرسهای موجود در کتاب آدرس OUTLOOK ارسال میــکند. این ویروس همچنین یـــک پنجره  (FLASH) را بارگذاری میــکندکـه درآن پیـــــام ((JIBJAB LOADING)) را به نمایش می گـذارد. سپس فایلهایی را که دارای پسوند های   BMP,COM,DLL,EXE,INI  هستند را  حذف می کند. در مرحله بعد این ویروس پیغام زیر را به نمایش می گذارد:

you’re now f**** d!c2001 by BGK(BILL GATES KILLER)

ویروس NakedWife     از یــــک  نظر منحصر به فرد است که خود را بصورت یک فیلم Macromedia Flash    نشان می دهد. اگـــر کاربری  فریب خورده و ضمیمه را باز کــــند، یک  پنجره باز می شودو به نظــر میرسدکه یک فیلم در حال بارگذاری است در حالی که  در عمل چنین  چیزی اتفاق نمی افتد.

اما خبر خوب این است که اگـــر چه فایلهای مهم سیستمهای آلوده   به این ویروس حذف میشوند و ویروس، کــــامپیوتر را در عمل از کــــار می اندازد ولی هیچیک  از  داده های  کــــاربران نابود نمی شود و قابل ارزیابی است.

برای متوقف کردن این ویروس به نکات زیر توجه کنید:

  1. Outlook Security Patch متعلق به شرکت مایکــــــــــروسافت را Download کنید. توجه داشته باشید  که این نرم افزار شامل Outlook Express نیست .
  2. ضمیمه های مشکوک و مواردی را که منتظر آنها نیستید باز نکنید.
  3. سیستم خود را به طور منظم اسکن بکنید.
  4. نرم افزار خود را به روز برسانید. پس از نصب نرم افزار ضد ویروس، مطمئن شوید که آخرین نسخه این نرم افزار است.

 

ویروس NATAS

نوع ویروس: چند گانه

روش تخریب وسرایت:

فایلهای COM و  EXE را اجرا وبستن آلوده میکند (به عنوان مثال، هنگامی که فایل را کپی می کنید، هم مبداء و هم مقصد آلوده میشوند.) فایلهای COM بزرگتر از۶۰۶۶۲ و کوچکتر از ۱۰۰ بایت و فایلهای EXE بزرگتر از ۹۳۸۰۴۰ آلوده نمی شوند. ویروس همچنین سکتور راه اندازی فلاپی دیسکها و سکتور بخش بندی را آلوده میکند.

سکتور بخش بندی هارددیسک، هنگام اجرای یک برنامه آلوده یا هنگام راه اندازی از طریق یک فلاپی دیسک آلوده ، آلوده خواهند شد.همچنین فلاپی دیسکها هنگام خوانده شدن آلوده می شوند.(به عنوان مثال داخل فرمانهای DIR یا COPY ). این ویروس اندازه فایل را ۴۷۴۴ افزایش میدهد. هنگامی که برنامه آلوده اجرا میشود یا هنگام راه اندازی از یک فلاپی دیسک آلوده، این ویروس در حافظه مقیم شده و سکتور بخشبندی را آلوده میکند. ویروس، سکتور بخش بندی اصلی را تغییر محل نمی دهد. ویروس کد اجرای بخش بندی را خراب کرده ۴۱ بایت را تغییر داده ولی جدول بخشبندی را تغییری نمیدهد. کد اضافی ویروس در ۹ سکتور انتهایی اولین تراک به استثنای آخرین سکتور، ذخیره میشود.

این ویروس سکتور راه اندازی فلاپی دیسکهای موجود  در کامپیوتر را آلوده میکند ولی سکتور راه انداز اصلی را جابجا نمیکند. ویروس سکتور راه انداز را خراب کرده و ۴۱ بایت را تغییر میدهد.کد اضافی ویروس در ۹ سکتور انتهایی دیسک ذخیره شده و BPB برای اطمینان از اینکه سکتورها توسط داده ها بازنویسی نشده اند، بسته میشود. فایلهای آلوده شده توسط این ویروس بصورت متغییر کدگذاری شده و چند شکلی هستند.

این ویروس هنگام مقیم شدن در حافظه، خودش را پنهان میسازد. اگر سکتور بخشبندی آزمایش شود. سکتور بخشبندی اصلی هنگام مقیم بودن ویروس، نمایش داده میشود.ویروس کد اضافی موجود در انتهای اولین تراک را پنهان نمیسازد. برخلاف بیشتر ویروسهای کاملاً پنهان این ویروس میتواند فایلهای پشتیبان (PCBACKUP,BACKUP)، آرشیوی (LHARK,PKZIP)، و فایلهای آلوده ناشی از مودم (ZMODEM,XMODEM, …) را آلوده کرده و انتقال دهد. همچنین این ویروس، گزارشات خطای سیستم را توسط فایل CHKDSK نمایش نمیدهد و افزایش اندازه فایل را نیز پنهان میسازد.

هنگامی که PC از طریق یک هارددیسک آلوده راه اندازی میشود، یک تقریب ۱ به ۵۱۲ وجود دارد که ویروس فعال شده و تمام هارددیسکهای سیستم را فرمت کرده و داده های روی آنها را از بین ببرد.ویروس همچنین هنگام اشکال زدایی نیز فعال میشود. رشته زیر در داخل این ویروس کدگذاری شده است.

Natas BACK and MODEM

نویسنده ویروس کسی است که SatanBuy را نوشته است.

تذکر مهم :

به دلیل اینکه ویروس خودش را مخفی میکند، پاک کردن کل سیستم ازآلودگی مهم میباشد،حتی دیسکهای write_protect  شده DOS و تمام نرم افزارهای موجود  روی دیسک نیز باید ویروس یابی شوند. اگر یک برنامه آلوده اجرا شود، تمام سیستم آلوده شده و ویروس در حافظه مقیم میشود، لذا شناسایی آن برای ویروس یاب کار مشکلی خواهد بود، زیرا ممکن است خود برنامه ویروس یاب نیز آلوده شده باشد. به همین دلیل دکتر سالمون میکند که برنامه های Anti-Virus Tollkit از طریق فلاپی دیسک write_protect شده اصلی اجرا شود تا ویروس حذف شود. این ویروس از طریق FIND VIRUS ،در حافظه پیدا میشود.

 

ویروس kill98.trojan

تاریخ کشف:۱۹۹۹/۱۲/۳۱

روش تخریب وسرایت:

این ویروس  در برخی کپـــی های غیر قانونیwindows 98  وجود دارد که به شکـل  instaler.exe  تغییر قیافه می دهــد. این ویروس در هنـگام اجــــرا، خود را بر روی فایل c:\keyb.com کپـــــی نموده، سپس فایل c:\windows\command\keyb.com را بر فایل sort.com کپـی میکند و دفعه بعد که کــــامپیوتر راه اندازی می شود،  نسـخه  دیگری از خود به عنوان  c:\windows\command\keyb.com   ایجاد میــکند. پس ازایــن هرگــاه کامپیوتر بخواهد از keyb.com  استفاده کنــد به فایل sort.com معطوف گشته و نگاشت صفحه کلید را به spanish تغییر می دهد.

تشریح علائم:

زمانیکه ساعت کامپیوتر به سال ۲۰۰۰  برسد، تمام فایلهای درایو  c:\  را این ویروس پاک خواهد کرد

ویروس w32/ska2k.worm

تاریخ کشف:۲۰۰۰/۱/۱۸

روش تخریب وسرایت:

این ویروس از طـــریق پست  الکترونیکـــــی و با استفاده از برنامه های  کاربردی پست الکترونیکی،که ارتباط SMTP  را پشتیبانی میکند، شیوع می یابد. این  ویروس به عنوان یک ضمیمه با نام  happyoo.exe  ظـاهـر می شود. هرگاه این ویروس اجرا شود خود را به شکـلska.dll در پوشه windows\system  کپی میکند و اگـر فایل ska.dll وجـود داشته باشد، ویروس آن را پوشه اخیرایجاد میکــند سپس موجب می شود تا هنگــام راه اندازی مجدد کامپیوتر ، رجیستری به جهت اجـــــرای ska.dll تغییر کند. این فرایند،  برای اینکه ویروس بتواند به  پست  الکترونیکیSMTP

بچسبد  WINSOCK32 را تغییر می دهد.

تشریح علائم:

در هنگام اجرای این ویروس ضمیمه happyoo.exe ،پیام

happy new year 2000!!   را به همراه تصاویـــــر آتش بازی به نمایش درمی آورد.

 

ویروس win2000.install

تاریخ کشف:۲۰۰۰/۰۲/۲۵

روش تخریب وسرایت:

این  ویروس  به عنوان اولــــــــین  ویروس  سیستم عامل  ویندوز۲۰۰۰  تعجب بسیاری ازکارشناسان کامپیوتر را برانگیخته است.این ویروس که توسط شرکت  f.secure  کـــــــــــــــــشف شده است  win2k.inta یا win2000.install  نام دارد. این ویروس کـــامپیوتری فقط تحت سیستم عامل ویندوز ۲۰۰۰  فعال می شود و در ســایر نسخه هــــــــای  سیستم عامل ویندوز، فاقد هرگونه  عملکـــرد  تخریبی است. ایــــــن ویروس کامپیوتری  نیز همانند سایر ویروس های کامپیوتری با آلــــــوده کردن فایلهای برنامه ای، فعالیت خود را آغاز مینماید. انتقال فایلهای آ ­لـوده به این ویروس از  یک  کامپیوتر به  سایر کـامپیوترها باعث  انتقال  سریع و گسترده  این ویروس می شود.

فایلها یی که ممکــن است توسط این ویروس مورد حمله  قرار گـــیرند دارای پســوند drv,.exe, .ax,.acm,.dll,.sys,.com  و غیـره هستند. ایــن ویروس فایلهـــای نصب کننده سیستم عامل آن را نیز مورد بررسی قرار می دهد و فایلهــــای برنامه ای آن را نیز آلوده به ویروس می کند.

بهترین  راه  مقابله  با  این  ویـــــروس، همچون  سایر ویروســــــــهای  کــــامپیوتری  ،رعایت اصول حفاظتی درانتقال فایل ها است.روشــهای  دیگر همچون بررسـی  مرتب  عملکرد و کــــارایی  سیستم  توسط  نرم افزارهای بررسی کننده سیستم، نظیر برنامه های ویروس یاب نیز،میتواند  باعث تشخیص بموقع آلــودگی ناشی از ویروس آن در سیستم  و اتخاذ تصمیم مناسب، به منظور رفع آلودگی شود.

 

ویروسW95/MTX یا (I-WORM.MTX)

روش تخریب وسرایت:

این که از چندی قبل در ایـران و همچنین در سطح بین المللی شایع شده است از طریق پست الکترونیکی منتشر می شود.اندازه این ویروس۹۴۲۵  بایت  اسـت وفایلهای اجرایی از نوعPE    را آلــــوده میکند. البته اندازه فایل میزبان اصلی ویروس ۱۸۴۳۸ بایت است.

به محض اجرای فایل میزبان اصلی ویروس که توسط پست الکترونیکی

دریافت شده است. ویروس تغییراتی را در روتین تابعSEND موجود در فایل WSOCK32.DLL ( که بـرای ارسال اطلاعات در شبکه و اینترنت از آن استفاده میشود ) ایجاد میکند تا  بتواند فایــل میزبان  ویروس  را به نامه های الکترونیکی ضمیمه کرده و آنرا به کــامپیوترهای دیگر  ارسال کند. ضمناً با این تغییرات، اجازه  اتصال به سایتهای که نامــــشان  شامل یکی از حروف زیر باشد، نمی دهد :

AFEE. ,AVP. ,PAND. ,SOPH. ,F-SE ,YEN , YMAN ,…  NLL.,

همچنین اجازه ارسال نامه های الکترونیکی را به آدرسهایی که نامشان شامل یکی از حروف زیر باشد، نمی دهد:

 

COMPLEX.IS ,NAI. ,AVP, PERFECTSUP , HISERV.COM ,WILDLIST.O ,F-SE , IL.ESAFE.C,…

این آدرسها متعلق به چند شرکت تولید کننده نرم افزارهای ضد ویروس هستند.

پس از اجرا شدن فایلهای آلوده و یا فایل میزبان اصلی ویروس، سه فایــل به نامهــای  WIN32.DLL.IE_PACK.EXE و MTX_.EXE  در مسـیر اصلی WINDOWS  ایجاد میشوند.

دو فایل اول، همان فایل میزبانهای اصلی ویروس و فایل سوم یک  تراوا است. فایل  MTX_.EXE  که بعد از ایجاد توسط خود ویروس اجــــرا میشود، به صورت مستقل از ویروس عمل میکند و قصد برقراری ارتباط با اینترنت و گرفتن فایل از آن را دارد. بعد  از  اولین  اجـــــــرای  فایل MTX_.EXE  ، نام ومسیر این فایل در رجیستری به صورت زیــــر ثبت میشود تا با هر بار راه اندازی سیستم این فایل نیز اجرا شود :

HKEY_LOCAL_MACHINE\SOFTWARE\[MATRIX]              و

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows  Current Version\Run\SystemBackup =                                          “Windows Main way and name+ MTX_.EXE”

این ویروس تمام فایلهای اجرایی از نوع PE  را که اندازه شان بیش از ۸ کیلو بایت است و در عین حال مضربی از ۱۰۱ نیستند در مسیر اصلــــی Windows ،مسیر temp  و مسیر فایل ویروسی در حال اجرا آلوده میکند

.اندازه فایلهای مقصد پس از آلوده سازی مضربی از ۱۰۱ خواهد شد.

ارســـال فایل میزبان اصلی ویروس توسط پست الکترونیکی و با استفاده از تابع Send   وفایل WSOCK32.DLL  تغییر یافته، انجام خواهد شد. بدین ترتیب که هر بارکاربر یک نامه الکترونیکی رابرای آدرسی ارسال  میکند، بعد از ارسال نامه اصلی کاربر، یک نامه دیگر بدون عنوان و متن توسط ویروس  ایجاد می شود و فایل WIN32.DLL  (که میزبان اصلـی ویروس  بوده وقبــ لا توسط ویروس درمسیر اصلـی ویندوز ایجـاد شـده است ) با  یکـی از نامهایی که توسط این ویروس استفاده میشود، به نامه الکترونیکی ایجاد شده ضمیمه میشود و توسط ویروس به همان  آدرسی که نامه اصلی کاربر ارسال شده است، فرستاده میشود.

در فایل میزبان اصلی ویروس عباراتی که نشان دهنده نام گروه  ویروس نویسی ، نام اعضای آن و آدرس این گروه است ذکر می شود.

البته در پایان یادآوری این نکته ضروری است که این ویروس به وسیـله نرم افزارهای ضد ویروس موجوددر بازار بطور صددرصد قابل شناسایی  و انهدام می باشند.

 

 

ویروس WORM  BADTRANS.B

تاریخ کشف:۲۰۰۰/۳/۳

اسامی دیگر: W32/BADTRANS-B,BADTRANS.B

روش تخریب وسرایت:

این ویروس اینترنتی مقیم در دستــگاه حافظه یک گونه از نوع کرمهای  BADTRANS.A میباشد.این ویروس ازطریق مشتریان پست الکترونیکی که از سوکتهای ویندوز از قبیل “ ماکـــــرو سافت اوت لوک“ و“ اوت لوک اکسپرس“ استفاده مینمایند تکثیر مییابد.

این ویروس به عنوان یک فایل اجرایی نوشته شده وارد  نرم افزار میشود در حالیکه  دارای اسامـــی فایل متفاوتی میباشد. این ویروس برای اینکه اجرا شود احتیاجی به این ندارد که گیرنده پست الکترونیکی مبادرت به باز کــردن شاخه ATTACHMENT  نمـــاید. ایــن ویروس از یک نقطه ضعف معروف در مشتریان پست الکترونیکی بر مبنای کاوشگر اینترنت ( ماکـــــرو سافت اوت لوک و ماکروسافت اوت لــوک اکسپرس) استفاده میکند که این نقطه ضعف عبارتست از اجرای اتوماتیک فایل ATTACHMENT  این امر همچنین اجرای اتوماتیک MIME  نوشته شده شناخته می  شود.

راه حل:

  1. فایل%SYSTEM%\CP_25389.NLS راپاکنمایید.START>RUN را کلیک کنید، Regidet را تایپ کنید سپس دکمه اینتر را فشار دهید. فایل زیر را دوبار کلیک کنید :

HKEY_LOCAL_MACHINE_>SOFRWARE>MICRO SOFT> WINDOWS>CURRENT VERSION>RUN ONCE

  1. در صفحه کلید سمت راست دنبال مقدار بایگانی شده زیر بگردید:

Kernel 32

مقدار بایگانی شده را کلیک کنید و سپس آنرا حذف کنید.

۳٫سیستم تان را دوباره راه اندازی کنید. سپس سیستم تان را با آنتی ویروس Trend Micro   اسکن کنید وسپس تمام فایل های شناسایی شده تحت عنوان WORM  BADTRANS.B را پاک نمایید. برای انجام این کار مشتریان “Trend Micro  “ باید آخرین فایل الگو را نمایند و سیستم شان را اسکن کنند. همچنین استفاده کنندگان می توانند از اسکنر ویروس  استفاده کنند.

 

ویروس PE_ELKERN.A

تاریخ کشف:۱۹۹۹/۵/۱۸

اسامی دیگر: ELKERN.A

روش تخریب وسرایت:

این آلوده کننده فایل مخرب قبل از پردازش و مقیم در حافظه، فایلهای                                     PE  (فایل های قابل اجرا در ویندوز) را بوسیله الحاق کردن خود به پایان فایل، آلوده میسازد. آلودگی این ویروس  مضامین و محتویات فایلها را بوسیله صفرها در بر می گیرد فایلها را غیر قابل کشف میکند بجز از طریق BACKUP .

 

ویروس Melissa.U

روش تخریب وسرایت:

گونه جدید ویروس ملیسا  فایلهای  حیاتی  سیستم و فایلهای داده ای  را پاک  میکند وموجببلا استفاده شدن کامپیوتر آلوده میشود.همچنین  این ویروس سعی میکند کپــی خود را برای تمام گــــیرنده های موجود در کتاب آدرس کامپیوترآلوده ارسال کند تا بدین وسیله تمــام کامپیوتر -هایی که  از این کاربر پست الکترونیکی دریافت میکنند را آلوده سازد.

طبق اطلا عیه مایکـروسافت گونه جدید ویروس ملیسا،  توسط اکثر ضد ویروسها، در صورتیــکه  فایلهای مربوط به امضاء یا  شناسه دیجیتالی را بارگـــــذاری کرده باشند، قابل شناسایی است.نامه های الکــترونیکی با عنوان ((Resume Janet Simons )) با پیوست یک فایل آلـــوده از نوع اسناد  Word به نام Explore.doc با محتوای زیر به دست کاربر  میرسد :

                  THE DIRECTOR OF SALES/MARKETING,

ATTACHED IS MY RESUME WITH LIST OF REFERENCE  CONTAINED WITHIN.                                                                                                                         PLEASE FEEL FREE TO CALL OR EMAIL ME IF YOU HAVE

         ANY FURTHER QUESTIONS REGARDING TO MY             EXPERIENCE.

I AM LOOKING FORWARD TO HEARING FROM YOU.

SINCERELY,

JANET SIMONS.

آلودگی هنگـــــامی رخ می دهد که کاربر یکی از دو کار زیر را انجام  داده باشد یا  فایل پیوست  را  بازکرده وگزینه Enable Macros    را فعــل کند یا اینکه  قبلا گزینهMacro- security دروضعیت low در(Word 2000) یا وضعیت  Disable  در (Word 97)  قــــرار داده باشدکه  دراین صورت ماکروها بصورت خودکاراجرا میشوند.تنظیم پیش فرض در  word 2000 برای Macro security  وضعیت High  است که بی سرو صدا ماکروهایــی

مانند  Melissa.U   را غیر فعال میکند.Word 97 نیز طبق پیش فرض قبل از  فعال کردن ماکروهای خطرناک به کاربران هشدار میدهد.به محض  باز  کردن  پیوست  نامه الکترونیکـی، ویروس سعی میکند کپــی خود را  به تمام آدرسهای موجود درکـتاب آدرس کاربر بفرستد. بعد از بسته شدن پیوست، ویروس شروع به حذف  فایلهای حیاتی سیستم وفایلهــای داده روی  هارد دیسکهای محلی وشبکه می کند. شرکت مایــــکروسافت جهت پیشگــیری ازآلودگـی به این ویروس به کاربران  رعایت نکات زیر را توصیه می کند:

۱٫فوراّ تمام پیغامهای الکترونیــکی با عنوان ((Resume Janet Simons)) را   حذف کنید. مدیران سیستم می توانند پیوست((Explore.doc))را از نـامـه های الکــــــترونیکی حذف کنند و یا اینکه نامه های الکترونیکی با این پیوست را  در سرور یا دیوار آتش فیلتر نمایند.

۲٫مطمئن شوید که گزینهMacro security درWord 2000 در وضعیت High قرار دارد ودرWord 97 فعال بودن گزینهMacro Virus Protection به کاربر اجازه غیرفعال کردن ماکروها را میدهد.

  1. هرگز پیوستهای الکترونیکی مشکوک را باز نکنید، مگر اینکه بدانید چیست وازطرف کیست.

 

ویروس MIGRAM

نوع ویروس : ویروس فایلی مقیم در حافظه

روش تخریب وسرایت:

این ویروس فایلهای EXE و com  را  هنــگام اجرا یا باز کردن آلـــوده می کـــــند و اندازه فایلـــها را به انــــدازه ۱۲۱۹ تا ۱۲۲۱ بایت افزایش میدهد. یادآوری این نکته ضروری است که این ویروس فقط فایلهایــی را که اندازه آنها  بین ۱۲۲۱ و۷۵۰۰۰ بایت است، آلوده میکند.

ویروس شامل متن  MIGRAM VIRUS 1.0 (C) 1993 IVLمیباشد.  در  صورتی که یک فایل COM اجرا شود، اولـــین ZIP  فایل  موجــود در فهرست، حذف میشود. در صورت اجرای یک  فایل EXE در روز شنبه ، تراکــــهای صفر تا پنج از ابزار فیزیکی ۲ فرمت می شوند و پیغام فوق نمایش داده  می شود. ابـــزار فیزیکی ۲  ، سومین ، درایو فلاپی دیسک میباشد.ویروس عضو خانواده Swami می باشد.


ویروس Nimda.E (گونه جدید ویروس Nimda)

روش تخریب وسرایت:

یـــک کــارشناس ضدویروس اعلام کـرد که گونه جدید کرم نیمدا به تدریج از منطقه آسیای شرقی، در حال انتشار است.   ایـــن ویروس نسبتاً جدید یک نسخه کاملــتر، از سلف خود Nimda.A  میباشد. این ویروس به همان شیوه ویروس Nimda اصلی منتشر می شود  اما با ایــن تفاوت که فایلهای آن مشابه فایلهای ویندوز موجود  تغییر نام داده می شود.

آنتونی کو، مدیر فنی شرکت Trend Micro که یک شرکت تهیه کننده نرم افزارهای ضد ویروس است، اعلام کرد : (( اولــین گزارش دریافتی در مورد این ویروس، از کــــره جنوبی وکمــی بعد از آن ،از آمریکا و استرالیا دریافت شد.)) تا کنون بیش از ۳۷۰۰۰ مورد آلودگـــــی به این ویروس گزارش شده است. شرکت Trend Micro ،با استفاده از خطوط پشتیبانی خود در آسیا و ویــروس یاب ON-LINE و رایـگان خود، این کرم را از لحاظ رتبه بندی، دومین ویروس آلــوده کننده فعال در سطح منطقه اعلام کرد.

به هر حال از آنجایی که این ویروس، در شمار ۱۰ ویروس آلوده کننده در سایر مناطق دنیا قــرار ندارد، میتوان مطمئن شد که این ویروس هنوز به طور کامل منتشر نشده است .  به عقیده کــارشناسان اگـر مردم همان مقدار احتیاطی را که در مورد گونه های قبلی به خرج داده اند، در  این مورد نیز رعایت کنند قطعاً با مشکلی مواجه نخواهند شد.

گزارشهای ارسالی حاکی از این امر است که، تنها کامپیـوترهایــــی در معرض آلودگی به این ویروس قرار دارندکه قبلاً نشبت به کرم قبلی که  حدود ۱۹۰۰۰۰  میزبان  را آلــوده کرد ، ایمن نشده اند. این کرم همانند مادرش(Nimda)، می تواند کــامپیوترهای شخصی وسرورها را به چهار روش آلوده کند :

  1. از طریق پیوست یک پست الکترونیکی

۲٫نفوذ در سرورهای آسیب پذیری که نرم افزار IIS مایکروسافت را اجرا می کنند.

  1. از طریق هارد دیسکهای به اشتراک گذاشته شده.

۴٫با فریب دادن مرورگرها برای انتقال کرمها از سرورهای آلوده .

به نظر می رسد که تاکنون ، روش اول(پـسـت الکترونیکــی)  موثرترین روش در انتقال این ویروس جدید بوده است.

Nimda , Nimda.E آدرسهای پست الکترونیکـی را از برنامه های پست الکترونیکی گرد آوری می کنند  که  از  رابط های    MAPI(رابط نـرم افزارهای پیام رسانی) شامل  outlook مایکروسافت و outlook express پـشـتـیـبـانـی مـی کنند،  Nimda.E  برای ارسال پیغامها، جهت پر کردن فیلدهای فرستنده  (sender) و گیرنده ( recepient) ، از این آدرســـهای پست الکترونیک استفاده میکند.

آدرس صفحات وبی که در پوشه cache مرورگـــر،  ذخیره میشوند نیز، مورد استفاده این کرم نیز قرار می گیرد. نامه هایی که از کامپیوتر آلوده ارســال مــی شوند،از طریق افرادی که  آدرســـهای آنها توسط nimda کشف شده اند فرستاده میـشود. فایلهایــی کــه  این ویروس برای آلوده کردن کامپیوترها، از آنها استفاده میکند، با اسامــی دیگری نام گـذاری می شوند. مثلاً فایلی که برای آلــــوده کردن هارددیسکهای به اشتراک گذاشته شده در شبکه به کار می رود،((Crss.exe))نام دارد، در حالیکه کرم اصلی برای این منظور از فایل((mmr.exe))  استفاده میکرد.

این کـــرم زمانی کـه از طریق پست الــکـترونیکــی منتشر میشود از نام  (Sample.exe) استفاده میکند،درحالیکه نام اصلی آن (readme.exe )  است.

نهایتاً اینکه فایلی که بر روی سرور آلوده قرار میگیرد،((httpodbc.dll))  نام دارد، در حالی که کـرم اصلی نامش را از فایل ((admin.dll)) گرفته است .( توجه داشته باشید که Nimda معکـــــوس کلمه admin اختصار کلمات System administrator به معنی مدیر شبکه است.)

 

پاسخ دهید