• مشکی
  • سفید
  • سبز
  • آبی
  • قرمز
  • نارنجی
  • بنفش
  • طلایی
  • تعداد بازديد :
  • 4053
  • شنبه 1382/11/18
  • تاريخ :

آشنایی با ویروسMyDoom

شیوع ویروس خطرناك MYDoom.A و MyDoom.B

شیوع ویروس MyDoom در اینترنت به سرعت گسترده شد. شركت مایكروسافت برای دومین بار طی رویه ای جدید به جای چاره اندیشی اساسی در مورد مشكلات امنیتی محصولات خود , جایزه ای 250,000$ برای شناسایی تهیه كنندگان این ویروس اعلام كرد.

پیش بینی می شود كه شیوع این ویروس اختلالاتی را در كاركرد سیستم های آلوده و ترافیك شبكه ای و اینترنت در روزهای آتی برای كاربران ایرانی ایجاد خواهد كرد. در این مطلب توضیحی اجمالی در مورد این ویروس و نحوه پاكسازی آن ارائه شده است:

این ویروس به فرمت یك فایل اجرایی Pack شده با اندازه 22.528 بایت توسط Email و سیستم اشتراك فایل Kazaa منتشر می شود.

انتشار از طریق email:

ویروس به شكل Attachment با عنوان (Subject) و متن متغیر ارسال می شود. آدرس فرستنده نیز به صورت random و غیر معتبر است.

عناوین ممكن تركیبهای تصادفی از موارد زیر می باشد:

Error
hello
HELLO
hi
Hi
Mail Delivery System
Mail Transaction Failed
Server Report
Status


متن email نیز بصورت تصادفی توسط كد ویروس ایجاد می شود و در اكثر موارد شبیه متن زیر است:
The message contains Unicode characters and has been sent as a binary attachment.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

و یا :

Mail transaction failed. Partial message is available.

نام فایل attachment حاوی ویروس به صورت تصادفی از بین لیست زیر انتخاب می شوذ:
Data
Readme
Message
Body
Text
file
doc
document

پسوند (Extension) این قایل نیز باز بصورت تصادفی .bat, .cmd, .pif, .exe, and .scr یا zip می تواند باشد.


ویروس آدرسهای ارسال را با جستجو در كامپیوتر آلوذه شده داخل فایلهایی با Extension های زیر جستجو می كند:

adb
asp
dbx
htm
php
sht
tbb
txt
wab


انتشار از طریق Kazaa :

ویروس با كپی كردن خود در Folder های Share شده این نرم افزار با نامهای زیر منتشر می شود:

nuke2004
office_crack
rootkitXP
strip-girl-2.0bdcom_patches
activation_crack
icq2004-final
winamp5

جزییات فعال و اجرا شدن ویروس:

به محض اجرا شدن ویروس, كذ اصلی ویروس یك كپی از خود را در دایكركتوری system با نام taskmon.exe ایجاد كرده و با اضافه كردن كلید زیر به registry سیستم باعث اجرا شدن ویروس در هر بار راه اندازی سیستم می شود:

HKLM/Software/Microsoft/Windows/CurrentVersion/Run/TaskMon = %System%/taskmon.exe"


%System% توسط كد ویروس تنظیم می شود.

ویروس با ایجاد فایلی با نام SHIMGAPI.DLL در دایركتوری systemو اضافه كردن كلید به registry ویندوز كد Dll خود را به داخل پروسس explorer.exe وارد می كند.

این Dll یك Backdoor خاص است كه روی پورت 3127 TCP منتظر دریافت اطلاعات binary یا payload مانده و بعد از ذخیره سازی آنها را اجرا می كند.

همچنین یك روتین DoS Attack با هدف حمله به سایت www.sco.com در نسخه ابتدایی ویروس قرار داده شده بود كه در ساعات بعد با باز تولید گونه های جدید این ویروس www.microsoft.com هم مورد حمله قرار خواهد گرفت.

همچنین در گونه B از این ویروس اسامی فایلها و كلیدهای رجیستری تغییر یافته اند.


پاكسازی ویروس:

در صورتی كه قادر به حذف Manual این ویروس با توضیحات فوق نیستید می توانیداین برنامه (برای نوعA  آن)  را download و اجرا كنید.

برگرفته از سایتhat-squad

UserName