• مشکی
  • سفید
  • سبز
  • آبی
  • قرمز
  • نارنجی
  • بنفش
  • طلایی
  • تعداد بازديد :
  • 10383
  • جمعه 1382/5/24
  • تاريخ :

درباره کرم اینترنتی جدید و ابزار حذف آن


کرم اینترنتی W32.Blaster.Worm بر مبنای آسیب پذیری و ضعف امنیتی موجود در سرویس DCOM RPC ویندوز که جدیدا شناخته شده بود برای نفوذ استفاده می کند. این کرم چندین نوع دارد که W32.Blaster.Worm شایعترین نوع این ویروس می باشد و از سرویس TFTP که از پورت 65 برای انجام کارهای خود استفاده می کند ، بهره می برد.
البته ویندوزهای 2000 و xp مورد حمله این کرم واقع می شوند. در حالیکه ویندوز های NT و 2003 سرور در صورتی که patch آنها بدرستی نصب نشده باشد مورد آسیب پذیری واقع می شوند.
این کرم سعی می کند تا فایلی با نام msblast.exe را در مسیر %WinDir%/system32 کپی کرده وسپس آنرا اجرا می کند .
از آنجا که این کرم از پورت 4444 امکان کنترل سیستم را به حمله کنندگان می دهد ،به کاربران توصیه می شود تا دسترسی به پورت مزبور را در سیستم خود غیر فعال کرده و بلوک کنند و سپس در صورتی که از سرویس های RPC و TFTP استفاده نمی کنند پورت های زیر را نیز غیر فعال کنند:


• TCP Port 135, "DCOM RPC"
• UDP Port 69, "TFTP"


این کرم سعی می کند تا با اجرای عدم پذیرش سرویس( Denial of Service (DoS در Microsoft Windows Update Web server (windowsupdate.com) مانع از اعمال patch مربوط به رفع آسییب پذیری DCOM RPC در سیستم کاربران می شود.

کاربران می توانند در صورت نیاز و برای رفع این مشکل حذف کننده آن را از قسمتدانلود سایت تبیان دریافت کنند .
البته برای رفع مشکلات احتمالی بهتر است از آدرس های زیر Patch مناسب را دریافت و بر روی سیستم تان نصب کنید:

ویندوز نسخه NT 4.0
ویندوز نسخه NT 4.0 Terminal
ویندوز نسخه 2000
ویندوز نسخه XP
ویندوز نسخه 2003 Server

جزئیات تکنیکی :


هنگامی که این کرم اجرا می شود ، کارهای زیر را انجام می دهد:
1- این کرم در ابتدا اقدام به ایجاد یک Mutex به نام BILLY می کند . در صورتی که Mutex از قبل وجود داشته باشد ، کرم فعال می شود.
2-سپس عبارت "windows auto update"="msblast.exe" به کلید رجیستری زیر اضافه می شود:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
و از این طریق در هربار اجرای رجیستری این کرم اجرا و فعال می شود.
3- یک آدرس IP تولید کرده وسعی می کند تا کامپیوتری که دارای آن آدرس است را آلوده کند.این آدرس مطابق الگوریتم خاصی تولید می شود.
4- داده ها را به پورت 135 TCP ارسال می کند که می تواند از آسیب پذیری DCOM PRC استفاده کند . کرم مزبور یکی از دو نوع داده های زیر را ارسال می کند: در 80 درصد موارد داده ها به ویندوز XP و در 20 درصد موارد به ویندوز 2000 فرستاده می شود.
5- استفاده از فرمان Cmd.exe برای ایجاد یک فرایند پردازشی راه دور مخفی که در نتیجه آن سیستم به پورت 4444 گوش می دهد و به حمله کننده امکان می دهد تا فرامین خود را از راه دور در سیستم قربانی اجرا کند.
6- به پورت 69 مربوط به UDP گوش می دهد . هنگامی که کرم پاسخی از یک سیستم دریافت می کند که در آن امکان ارتباط از طریق DCMP RPC وجود داشته باشد ، فایل msblast.exe را به کامپیوتر قربانی فرستاده و آن را اجرا می کند.
7- اگر ماه جاری بعد از ماه آگوست باشد، ویا اگر بعد از پانزدهمین روز سال باشد این کرم یک DoS در Windows Update اجرا می کند . حمله DoS در 16 دهمین روز ماه فعال شده و تاپایان سال ادامه می یابد.

این کرم حاوی متن زیر است که هرگز نشان داده نمی شود :
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!

UserName