تکنولوژی

همه چيز درباره W32.Sobig.F@mm

نام نویسنده: و – سلطانى نژاد

بخش مقاله ITiran – در ماه اگوست سال 2003 شاهد دور تازه اى از تهاجمات ويروسهاى مخرب اينترنتى بوديم يکى از اين ويروسهاى خطرناک ويروسى بنام W32.Sobig.F@mm هستيم.
اين ويروس داراى مشخصه هاى mass-mailing ( توده هاى عظيم پستى ) و network-aware worm ( کرم هوشمند شبکه اى ) مى باشد و قادر است خودش را به همه آدرس هاى پستى موجود در فايل هاى با پسوند dbx .eml .hlp .htm .html .mht .wab .txt. در کامپيوتر ميزبان بصورت خودکار کپى نمايد و از طريق اين ادرسها به ساير کامپيوترها حمله نمايد وبه سرعت تکثيرشود . همچنين با استفاده از موتورهاى که داراى SMTP ميباشند نيز منتشر مى شود و سعى مى کند يک کپى از خودش را بر روى شيکه هاى مشترکى که در دسترس آن مى باشند بصورت خودکارايجاد نمايد .

مشخصات يک نامه الوده به ويروس sobig .f : فسمت FORM: ( فرستنده نامه )
اين ويروس اغلب از آدرس admin@internet.com استفاده مى کند و مى تواند از ادرسهاى که در کامپيوتر آلوده بدست آورده استفاده نمايد و همچنين قادر است با اتصال به يک سرور SMTP از آدرسهاى آن بعنوان ادرس فرستنده بهره جويد .

قسمت Subject: ( موضوع نامه )
در اين قسمت نامه الوده عناوينى زير مشاهده مى شود

• Re: Details •
• Re: Approved •
• Re: Re: My details •
• Re: Thank you! •
• Re: That movie •
• Re: Wicked screensaver •
• Re: Your application •
• Thank you! •
• Your details •

قسمت Body: ( متن نامه )
در اين قسمت نامه آلوده مطالب زير به چشم مى خورد
• See the attached file for details •
• Please see the attached file for details. •

قسمت Attachment: ( پيوست نامه )
در نامه آلوده به ويروس پيوستهاى زير مشاهده مى شوند .
• your_document.pif •
• document_all.pif •
• thank_you.pif •
• your_details.pif •
• details.pif •
• document_9446.pif •
• application.pif •
• wicked_scr.scr •
• movie0045.pif •

توجهات ويژه :
– ويروس W32.Sobig.F@mm در تاريخ 10 سپتامبر 2003 بى اثر مى شود . لذا اخرين روزى که اين ويروس منتشر مى شود 9 سپتامبر سال 2003 مى باشد و کامپيوترهاى که به اين ويروس الوده شده اند بصورت مخفيانه نسخه update شده اين ويروس را از سرورهاى اصلى مشخص تو سط نويسندگا ن ويروس جهت تها جم تازه دريافت مى کنند . ( توضيح اي که رفتار مشابه اى در نسخه هاى قبلى اين ويروس مشاهده شده است )
– از انجا که اين ويروس پورتهاى UDP 123, 995, 996, 997, 998, 999, 8998 را باز مى کند در کامپيوترهاى آلوده به ويروس ترافيک پورت udp ودر نتيجه کاهش سرعت اينترنت مشاهده شده است در ضمن بعلت باز شدن پورتهاى فوق احتمال نفوذ غير مجاز در کامپيوتر و سرور الوده وجود دارد
– اين ويروس قادر است فايلهاى را که مى تواند به کمک آنها خود را update کند بصورت خودکار و مخفيانه بر روى کامپيوتر الوده download و اجرا نمايد . و ضمنا به کمک اين توانائى اين ويروس قادراست در شرايطى به سرور هاى که نويسندگان مشخص کرده اند متصل شود و يک فايل Trojan را دريافت و اجرا نمايد. و مواقعى که احتمال ذارد اين ويروس به سرورهاى مشخص شده براى download فايلهاى مورد نياز خود متصل شود عبارتند از
– روزهاى جمعه و يا شنبه به وقت UTC (Coordinated Time Universal ساعت جهانى ) در ساعاتى بين 7 P.M و 10 P.M. – و شماره IP سرورهاى که احتمال مى رود ذستگاه الوده بصورت خودکار به آنها وصل شود و فايلهاى مورد نياز را download کند عبارتند ار
– 12.232.104.221
– 12.158.102.205 –
– 24.33.66.38 –
– 24.197.143.132 –
– 24.206.75.137 –
– 24.202.91.43 –
– 24.210.182.156 –
– 61.38.187.59 –
– 63.250.82.87 –
– 65.92.80.218 –
– 65.92.186.145 –
– 65.95.193.138 –
– 65.93.81.59 –
– 65.177.240.194 –
– 66.131.207.81 –
– 67.9.241.67 –
– 67.73.21.6 –
– 68.38.159.161 –
– 68.50.208.96 –
– 218.147.164.29 –

– – اين ويروس در دايرکتورى سيستم عامل ويندوز فايل هاى winppr32.exe و winstt32.dat را کپى مى کند ( با امکان search اطلاع از وجود اين فايلها ممکن است ) و مقدار “TrayX”=”%Windir%\winppr32.exe /sinc” را در قسمت HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run از registry ويندوز اضافه مى کند .( با ذستور rejedit اطلاع از رجيستر شدن ويروس و همجنين پاک کردن رجيسترى ممکن است )

روشهاى مبازره و پيشگيرى :
– از باز نمون mail هاى مشکوک و ناشناس خود دارى کنيد
– حتى المقدور از firewall استفاده کنيد
– تا رفع بحران جهت دريافت و ارسال mail از سرورهاى yahoo و msn استفاده کنيد ( جون از امکانات بيشترى جهت فيلتر کردن پامها و پيوستهاى الوده برخوردار هستند )
– در صورت عدم نياز به شماره ip هاى ذکر شده فوق انها را با IPTABLE مسدود کنيد
– پورتهاى غير لازم بخصوص UDP 123, 995, 996, 997, 998, 999, 8998 را با IPTABLE مسدود کنيد ( اکثر کاربران خانگى به پورت 80 نياز دارند در اين زمينه با ISP که از آن اشتراک گرفته ايد مشورت کنيد )
– در صورت الودگى system restore را در ويندوز xp و system recovery را در ويندوز 2000 متوقف کنيد .
– در صورت الودگى به اجرا winppr32.exe خاتمه دهيد و سپس فايلهاى winppr32.exe و winstt32.dat را از دايرکتورى ويندوز حذف کنيد .
– در صورت الودگى با دستور regedit مقدار “TrayX”=”%Windir%\winppr32.exe /sinc” را از قسمت HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run پاک کنيد .
– در صورت الودگى از removal tool شرکت symantec در آدرس زير استفاده کنيد ( ان را download نمايد و بر روى کامپيوتر خود اجرا کنيد )
http://securityresponse.symantec.com/avcenter/venc/data/w32.sobig.f@mm.r…

– براى توصيحات و اطلاعات بيشتر به ادرسهاى زير مراجعه کنيد . http://securityresponse.symantec.com/avcenter/venc/data/w32.sobig.f@mm.html
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100561

توصيه به مديران شبکه :
– در صورت پشتيبانى router موجود در شبکه از دستور iptable شماره ip هاى ذکر شده را و در صورت عدم نياز پورتهاى ذکر شده را بر روى router مسدود کنيد .
– بر روى ماشيتهاى proxy ( windows يا linux ) در صورت عدم نيلز به ip ها و پورتهاى مذکور انها را مسدود نمايد .
– سرور هاى mail را در صورت امکان از خط خارج کنيد و کاربران را ترغيب نمايد براى مدتى از mail هاى رايگان yahoo و hotmail استفاده نمايند ( چون اولا اين موسسات به خاطر حفظ موثعيت خود با دقت بيشترى نسبت به filtring پيامهاى الوده مى پردازند دوما spam هاى الوده بى شمارى يه سمت سايت شما سرازير نمى شود واز سرعت شما نمى کاهد )

منابع :
http://securityresponse.symantec.com/avcenter/venc/data/w32.sobig.f@mm.html

vhs639@yahoo.com

نوشته های مشابه

دیدگاهتان را بنویسید

دکمه بازگشت به بالا