پخش ویروس جدید اینترنتی
پخش ویروس جدید اینترنتی
W32.Gibe.B@mm یا W32.Swen.A@mm
خبر پخش ویروس جدیدی كه تحت عنوان و نام patch امنیتی شركت میكروسافت اقدام به انتشار خود كرده است در منطقه اروپا شروع بهآلوده كردن سیستم ها كرده است . بنا بر اعلام شركت های آنتی ویروس ، این ویروس كه در آزادی كامل به سر می برد می تواند اطلاعات حساب های كاربری و جزئیات سرور های ایمیل را ازسیستم های آلوده جمع آوری كند.
ویروس W32.Swen.A@mm و یا W32.Gibe.B@mm در بد ترین شریط عمر مایكروسافت بروز كرد. در حالیكه بسته های نرم افزاری رفع ایراد مربوط به مایكروسافت به آرامی ماجرای خطر ویروس های SoBig و MSBlaster را كه سبب برپایی سرو صداهای زیادی علیه میكروسافت شده بود ،از یاد ها برده بود ، انتشار این ویروس جدید مشكلات دیگری را به بار آورده است .
ویروس جدید كه سرچشمه انتشار آن را اروپا تعیین كرده اند ، صندوق های پست الكترونیكی را درآمریكا هدف قرار داده است و با یك فایل EXE.همراه است كه موضوع ایمیل در آن بصورتMicrosoft Internet Update Pack یا "Microsoft Critical Patch"ویا "Newest Security Update" می باشد .
بر مبنای گزارشات بخش امنیتی شركت Symantec این كرم از موتور SMTP برای انتشار خود استفاده می كند و سعی در از كار انداختن آنتی ویروس ها و برنامه های فایروال موجود در سیستم های قربانی خود می كند . همچنین این كرم قادر به بهره برداری از شكاف امنیتی شناخته شده Internet Explorer است و قادر است بر مبنای عضو به عضو در كاربرانی كه از برنامه هایی همچون IRC و یا Kazaa استفاده می كند نیز منتقل شود .
این كرم به سرعت در اروپا در حال انتشار بوده و بسیار سریع در مناطق دیگر نیز منتشر خواهد شد .
این ویروس از طریق برنامه++ C نوشته شده و قادر است نام ، رمز عبور و جزئیات میل سرور قربانی خود را به سرقت ببرد.
برای جلوگیری از انتشار این ویروس بهتر است جلوی ورود این فایل EXE در مدخل Gateway گرفته شود . همچنین به كاربران توصیه می شود تا از برنامه هایی همچون( instant messaging (IM و یا نرم افزارهایی همچون P2P استفاده نكنند.
برای دسترسی به اطلاعات كامل تر می توانید از آدرس http://www.microsoft.com/technet/security/bulletin/MS01-020.asp استفاده كنید.
این ویروس طی مراحل زیر در سیستم قربانی خود نصب می شود :
1- ابتدا سیستم را بررسی می كند كه یا نسخه ای از قبل بر روی آن سیستم نصب شده یا خیر و در صورتی كه از قبل بر روی آن سیستم موجود باشد پیام زیر نمایان می شود :
2- اگر نام فایل اجرا شده با یكی از حروفp , u, q و یاiباشد كادر محاوره ی زیر نمایان می شود :
صرفنظر از انتخاب هر گزینه این كرم خود را در سیستم تان نصب می كند ، البته در صورتی كه گزینهno را انتخاب كنید این ویروس در پشت پرده شروع به نصب خود می كند و شما متوجه این امر نمی شوید. و در صورت انتخاب گزینهyesكادر زیر نمایان می شود :
3- سپس سعی می كند تا فرایند ها و اعمال زیر را از كار بیاندازد :
_avp
Azonealarm
avwupd32
avwin95
avsched32
avp
avnt
avkserv
avgw
avgctrl
avgcc32
ave32
avconsol
autodown
apvxdwin
aplica32
anti-trojan
ackwin32
bootwarn
blackice
blackd
claw95
cfinet
cfind
cfiaudit
cfiadmin
ccshtdwn
ccapp
dv95
espwatch
esafe
efinet32
ecengine
f-stopw
frw
fp-win
f-prot95
fprot95
f-prot
fprot
findviru
f-agnt95
gibe
iomon98
iface
icsupp
icssuppnt
icmoon
icmon
icloadnt
icload95
ibmavsp
ibmasn
iamserv
iamapp
jedi
kpfw32
luall
lookout
lockdown2000
msconfig
mpftray
moolive
nvc95
nupgrade
nupdate
normist
nmain
nisum
navw
navsched
navnt
navlu32
navapw32
nai_vs_stat
outpost
pview
pop3trap
persfw
pcfwallicon
pccwin98
pccmain
pcciomon
pavw
pavsched
pavcl
padmin
rescue
regedit
rav
sweep
sphinx
serv95
safeweb
tds2
tca
vsstat
vshwin32
vsecomr
vscan
vettray
vet98
vet95
vet32
vcontrol
vcleaner
wfindv32
webtrap
zapro
4- با تولید یك نام راندوم خود را در پوشه %Windir% كپی می كند.
5- در فایل های .html, .asp, .eml, .dbx, .wab, .mbx موجود در سیستم بدنبال آدرس های ایمیل می گردد.
6- در محلی كه آدرس های ایمیل یافت شده را نگهداری می كند فایلی با نام Windir%/Germs0.dbv%می سازد .
7- در محلی كه اخبار و میل سرور های راه دور یافت شده را نگه داری می كند فایلی با نام Windir%/Swen1.dat% ایجاد می كند .
8- یك فایل با نام ComputerName%.bat% ایجاد می كند كه در واقع كرم را اجرا كرده و یك نام راندوم برای نگه داری در سیستم محلی برای آن انتخاب می كند. ( ComputerName به نام كامپیوتر قربانی خود اشاره دارد )
در كلید
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/explorer/*
رجیستری مقادیر زیر را اضافه می كند :
"CacheBox Outfit"="yes"
"ZipName"="<random>"
"Email Address"="<The current users email address that the worm retrieves from the registry>"
"Server"="<The IP address of the SMTP server that the worm retrieves from the registry>"
"Mirc Install Folder"="<location of mirc client on system>"
"Installed"="...by Begbie"
"Install Item"="<random>"
"Unfile"="<random>"
10- یك مقدار نام راندوم را به كلید
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
رجیستری اضافه می كند تا در هر بار اجرای سیستم این فایل اجرا شود .
11- كلید های رجیستری زیر را تغییر می دهد :
12- مقدار "DisableRegistryTools" = "1" را در كلید رجیستری زیر تغییر می دهد :
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System
كه مانع اجرای رجیستری توسط كاربر می شود .
13- بطور دوره ای كاربر را با ایراد MAPI32 Exception مواجه می كند .
كه در واقع كاربران را ترغیب به وارد كردن اطلاعات مربوط به خود از جملهموارد زیر می كند :
Email address Username Password POP3 server SMTP server
14- از طریق رمز عبور و نام كاربری كسب شده وارد ایمیل قربانی شده و در صورتی كه میلی از سوی ویروس برای مهاجم ارسال شده باشد آن را پاك می كند .
15- كاربر را با پیام های ایراد زیر مواجه می كند :
16- یك درخواست HTTP Get را به یك سرورHTTP از پیش تعیین شده ارسال می كند تا اطلاعات مربوط به وضعیت انتشار و شمارنده كرم را از زمان انتشار تعیین كند . همانند:
البته این كرم به شیوه های مختلفی منتشر می شود كه شیوه فوق تنها روش انتشار آن از طریق ایمیل بوده است .