• مشکی
  • سفید
  • سبز
  • آبی
  • قرمز
  • نارنجی
  • بنفش
  • طلایی
  • تعداد بازديد :
  • 2731
  • دوشنبه 1382/11/20
  • تاريخ :

آشنایی با ویروس

Sobig.F

Sobig.f جز كرمهای میلی بوده  كه در تاریخth19 از August سال 2003 پخش شد . این كرم میل هایی با مقدار حجم بالا می فرستاد و سوابق فرستنده راجعل می كرد  . اجرای این كرم به روز هفته وابسته بوده و در روزهای یكشنبه و جمعه فعال می شود .

توصیف جزئیات :


این كرم در حالت فشرده شده وسعت پیدا كرد و بسته بندی شده بود بوسیلهTELock و بدنه فشرده نشده آن در حدود 100 كیلو بایت است و با زبان برنامه نویسی++ Visual C نوشته شده است .
نحوه آلوده كردن سیستم :
كرم خود را در آدرس زیر كپی می كند  :

%Windir%/Winppr32.exe


و برای فعالیت خود كلید های زیر را در رجیستری ایجاد می كند :


[HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"TrayX" = %windir%/winppr32.exe /sinc
[HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"TrayX" = %windir%/winppr32.exe /sinc


این كرم در تاریخth10 از September سال 2003 به كار خود خاتمه داد و از این تاریخ به بعد دیگر اجرا نخواهد شد.

وسعت و پراكندگی ویروس در در ایمیل ها:


كرم Sobig.F معمولا با این مشخصات وارد میل می شود .


From:
 The 'From:' field is filled with an address found from the infected system.
If no address is found, it will use "admin@internet.com"
To:
 The 'To:' field is filled with an address found from the infected system.


Subject آن نیز معمولاً یكی از موارد زیر است:


 Re: Thank you!
Thank you!
Your details
Re: Details
Re: Re: My details
Re: Approved
Re: Your application
Re: Wicked screensaver
Re: That movie


Body این ایمیل معمولاً یكی از دو مورد زیر می باشد:


 See the attached file for details
Please see the attached file for details.


Attachment این ایمیل نیز معمولاً یكی از موارد زیر است:


 your_document.pif
document_all.pif
thank_you.pif
your_details.pif
details.pif
document_9446.pif
application.pif
wicked_scr.scr
movie0045.pif

همچنین , هدر میل همیشه دارای این رشته است :


“X-Mail Scanner: Found to be clean”

دانلود كردن تروجان توسط كرم :


این كرم سعی می كند تا یك تروجان را در سیستم قربانی دانلود كند . البته دانلود و اجرای این تروجان به شروطی بستگی دارد :

 باید ساعت بین 19:00 و 22:00 زمانUTC باشد ، كرم این تست را هر ساعت انجام می دهد تا شرط درست شود و این شرط در روزهای جمعه و یكشنبه
بدون در نظر گرفتن هفته انجام پذیر است . هنگامی كه شرط انجام پذیر بود كرم سعی می كند تا  تروجان را ازURL از پیش تعریف شده خود دانلود كند.  اینURL محتوی یك تروجان بوده كه دان لود شده و بر روی سیستم قربانی اجرا می شود  .
لیستی از سرور هایNTP كه برای هماهنگ كردنURL برای دانلود تروجان به كار رفته  به شكل زیر می باشد :

200.68.60.246
62.119.40.98
150.254.183.15
132.181.12.13
193.79.237.14
131.188.3.222
131.188.3.220
193.5.216.14
193.67.79.202
133.100.11.8
193.204.114.232
138.96.64.10
chronos.cru.fr
212.242.86.186
128.233.3.101
142.3.100.2
200.19.119.69
137.92.140.80
129.132.2.21

تاریخچه ای از خانوادهSobig ها :


 لیست زیر تاریخچه ای از اولین پیدایش این خانواده ، نوع آنها ، تاریخ انقضا آنها و تاریخ نوشته شدن این كرم ها را نشان می دهد  :

Variant Found Expires  Detection
 _____________________________________________________________
 Sobig.A January 9th NO 2003-01-09_04
 Sobig.B May 18th May 31st 2003-05-19_03
 Sobig.C May 31st June 8th 2003-06-01_01
 Sobig.D June 18th July 2nd  2003-06-18_03
 Sobig.E June 25th July 14th 2003-06-26_02
 Sobig.F August 19th September 10th 2003-08-19_02

UserName