آشنایی با ویروسMyDoom

شیوع ویروس خطرناک MYDoom.A و MyDoom.B
شیوع ویروس MyDoom در اینترنت به سرعت گسترده شد. شرکت مایکروسافت برای دومین بار طی رویه ای جدید به جای چاره اندیشی اساسی در مورد مشکلات امنیتی محصولات خود , جایزه ای 250,000$ برای شناسایی تهیه کنندگان این ویروس اعلام کرد.
پیش بینی می شود که شیوع این ویروس اختلالاتی را در کارکرد سیستم های آلوده و ترافیک شبکه ای و اینترنت در روزهای آتی برای کاربران ایرانی ایجاد خواهد کرد. در این مطلب توضیحی اجمالی در مورد این ویروس و نحوه پاکسازی آن ارائه شده است:
این ویروس به فرمت یک فایل اجرایی Pack شده با اندازه 22.528 بایت توسط Email و سیستم اشتراک فایل Kazaa منتشر می شود.

انتشار از طریق email:
ویروس به شکل Attachment با عنوان (Subject) و متن متغیر ارسال می شود. آدرس فرستنده نیز به صورت random و غیر معتبر است.
عناوین ممکن ترکیبهای تصادفی از موارد زیر می باشد:
Error
hello
HELLO
hi
Hi
Mail Delivery System
Mail Transaction Failed
Server Report
Status

متن email نیز بصورت تصادفی توسط کد ویروس ایجاد می شود و در اکثر موارد شبیه متن زیر است:
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
و یا :
Mail transaction failed. Partial message is available.
نام فایل attachment حاوی ویروس به صورت تصادفی از بین لیست زیر انتخاب می شوذ:
Data
Readme
Message
Body
Text
file
doc
document
پسوند (Extension) این قایل نیز باز بصورت تصادفی .bat, .cmd, .pif, .exe, and .scr یا zip می تواند باشد.

ویروس آدرسهای ارسال را با جستجو در کامپیوتر آلوذه شده داخل فایلهایی با Extension های زیر جستجو می کند:
adb
asp
dbx
htm
php
sht
tbb
txt
wab

انتشار از طریق Kazaa :
ویروس با کپی کردن خود در Folder های Share شده این نرم افزار با نامهای زیر منتشر می شود:
nuke2004
office_crack
rootkitXP
strip-girl-2.0bdcom_patches
activation_crack
icq2004-final
winamp5

جزییات فعال و اجرا شدن ویروس:
به محض اجرا شدن ویروس, کذ اصلی ویروس یک کپی از خود را در دایکرکتوری system با نام taskmon.exe ایجاد کرده و با اضافه کردن کلید زیر به registry سیستم باعث اجرا شدن ویروس در هر بار راه اندازی سیستم می شود:
HKLM/Software/Microsoft/Windows/CurrentVersion/Run/TaskMon = %System%/taskmon.exe"

%System% توسط کد ویروس تنظیم می شود.
ویروس با ایجاد فایلی با نام SHIMGAPI.DLL در دایرکتوری system و اضافه کردن کلید به registry ویندوز کد Dll خود را به داخل پروسس explorer.exe وارد می کند.
این Dll یک Backdoor خاص است که روی پورت 3127 TCP منتظر دریافت اطلاعات binary یا payload مانده و بعد از ذخیره سازی آنها را اجرا می کند.
همچنین یک روتین DoS Attack با هدف حمله به سایت www.sco.com در نسخه ابتدایی ویروس قرار داده شده بود که در ساعات بعد با باز تولید گونه های جدید این ویروس www.microsoft.com هم مورد حمله قرار خواهد گرفت.
همچنین در گونه B از این ویروس اسامی فایلها و کلیدهای رجیستری تغییر یافته اند.

برگرفته از سایتhat-squad

چهارشنبه بیست و پنجم 10 1387
X