آشنایی با ویروس Nmida . E

یك كارشناس ضد ویروس اعلام كرد كه گونه جدید كرم  Nimda   به تدریج از منطقه آسیای شرقی در حال انتشار است . این گونه جدید كه  Nmida . E   نامیده می شود . به همان شیوه كرم   Nimda   اصلی منتشر می شود  اما فایل های آن مشابه  فایل های ویندوز موجود تغییر نام داده می شوند .

آنتونی كو  مدیر فنی شركت  Trend Micro كه یك شركت  تهیه نرم افزار های ضد ویروس است ، اعلام  كرد :

اولین گزارش دریافتی در مورد این كرم از كره جنوبی و كمی بعد از آن از آمریكا و  استرلیا دریافت شد. تا كنون بیش از 2700 مورد از آلودگی گزارش شده است شركت  Trend Micro    با استفاده از خطوط پشتیبانی خود در آسیا و ویروس یاب  On-Line   و رایگان خود این كرم را از لحاظ رتبه بندی  دومین ویروس آلوده كننده فعال در منطقه اعلام كرد.
 به هر حال از آنجایی كه  Nmida . E   در شمار ده ویروس عمده  آلوده كننده در سایر مناطق  دنیا قرار ندارد ، می توان مطمئن شد كه هنوز این كرم به صورت گسترده انتشار نیافته است.

وینسنت  گولوتو  مدیر  تحقیقات یك تیم ضد ویروس  گفت :

من فكر نمی كنم كه این ویروس خیلی مخرب باشد . اگر مردم همان میزان احتیاطی را كه در مورد گونه های قبلی   به خرج می دادند ، در این مورد نیز رعایت  كنند با مشكلی روبرو نخواهند شد.
گزارشهای ارسالی حاكی از این امر است كه تنها كامپیوتر هایی در معرض آلودگی به این ویروس قرار دارند كه قبلاً نسبت به كرم قبلی كه حدود 160 هزار میزبان  را آلوده كرده ، ایمن نشده اند . این كرم همانند مادرش  (NMIDA) می تواند كامپیوتر های شخصی و سرورها را به 4 روش آلوده كند:

•  از طریق  یك پیوست پست الكترونیكی

•  نفوذ در سرور ها ی  آسیب پذیر   كه نرم افزار      IIS     مایكروسافت  را اجرا  می كنند

•  از طریق هارد دیسك های به اشتراك گذاشته شده

•  با فریب دادن مرورگرها برای انتقال كرمها از سرور های آلوده

به نظر می آید كه تا كنون روش اول (پست الكترونیكی) موثرترین روش در گسترش آلودگی این كرم جدید بوده است . Nmida   و Nmida .E آدرس های پست الكترونیكی را از رابطه های  MAPI (رابطه نرم افزار های پیام رسان) شامل Outlook   مایكروسافت و Outlook Express می گیرند .   Nimda . E  برای ارسال پیغام ها جهت پر كردن فیلد های فرستنده  (SENDER) و گیرنده   (RECIPIENT)   از این آدرس های پست الكترونیك استفاده می كند .
آدرس صفحات وبی كه در پوشه  Cache مرورگر  ذخیره می شوند نیز مورد استفاده این كرم قرار می گیرند. نامه هایی كه از كامپیوتر های آلوده ارسال می شوند از طریق  افرادی كه آدرسهای آنها توسط  Nmida   شناسایی شده اند ،  فرستاده می شود .

فایل هایی كه Namida . E برای آلوده كردن كامپیوترها استفاده می كند با اسامی دیگری   نام گذاری می شوند . مثلاً فایلی كه برای آلوده كردن هارد دیسك های به اشتراك گذاشته شده در شبكه به كار می رود  " Crss.exe " نام دارد . در حالی  كه كرم اصلی  ( nmida ) برای این منظور از فایل “ mmr.exe” استفاده می كرد. این كرم زمانی كه از طریق پست الكترونیكی منتشر می شود از نام  “Sample.exe” استفاده می كند در حالی كه نام اصلی آن  “redme.exe” است .

نهایتاً اینكه فایلی كه بر روی سرور آلوده قرار می گیرد .   “ httpodbc.dll ” نام دارد . در حالی كه كرم اصلی  NMIDA   نامش را از فایل  “admin.dll” گرفته است .( توجه داشته باشید كه nimda معكوس كلمه admin اختصار كلمات System Administrator   به معنی مدیر شبكه است .