در این مقاله میخواهم در مورد نحوه عملکرد جدیدترین ویروس کامپیوتری (Worm) که این روزها میلیونها کامپیوتر در سراسر جهان را آلوده کرده است و حتی شرکتهای بزرگ امنیتی جهان را به دردسر انداخته اطلاعات کاملی را ارائه کنم.
این کرم اینترنتی که به نام I-Worm.Kido توسط کوییکهیل و Worm/Kido.BO توسط آویرا و مکافیآن را با نام W32/Conficker.worm.gen.a میشناسد، سیستم عاملهای Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP را آلوده میسازد.
این کرم اینترنتی که به سرعت از طریق اینترنت گسترش یافته، میتواند از طرق دیگر نظیر شبکه داخلی LAN، داریوهای حافظه مثل فلش و همچنین پسوردهای ضعیف مدیرشبکه نفوذ کند. کیدو برای پخش شدن از آسیبپذیری سرویس سرور ویندوز (SVCHOST.EXE) استفاده میکند.
وقتی I-Worm.Kido شروع به کار کرد، فعالیتهای زیر را در سیستم شما انجام میدهد:
ابتدا اگر سرویس SVCHOST.EXE نفوذپذیر بود آن به کاربر اجازه خواهد داد تا وقتی که فایلهای اشتراکی فعال بود کدها را بصورت ریموت اجرا کند.
این کرم یکی یا چندتا از فایلهای زیر را در مسیرهای ذکرشده ایجاد میکند:
%ProgramFiles%\Internet Explorer\{Random Name}.dll
%ProgramFiles%\Movie Maker\{Random Name}.dll
%System%\{Random Name}.dll
%Temp%\{Random Name}.dll
%Documents and Settings%\All Users\Application Data \
{Random Name}.dll
همچنین دیتاهای زیر را در رجیستری ویندوز تغییر میدهد:
{Random Name} = "rundll32.exe "{Random Name}.dll", ydmmgvos"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Service name = {Random Name}
Display name = {Random Name}
Startup Type = Automatic
ImagePath = "%System%\svchost.exe -k netsvcs"
HKLM\System\CurrentControlSet\Services\{Random Name}
dl = "0"
ds = "0"
HKCU\Software\Microsoft\Windows\CurrentVersion\Applets
dl = "0"
ds = "0"
HKLM\Software\Microsoft\Windows\CurrentVersion\Applets
CheckedValue = "0"
HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\
Folder\Hidden\SHOWALL
این کرم جدید اینترنتی همچنین اطلاعات زیر را در رجیستری برای توسعه سریع در طول شبکه ایجاد میکند:
TcpNumConnections = "00FFFFFE"
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters
ممکن است این مخرب اینترنتی System Restore ویندوز را که به وسیله کاربر برای بازگرداندن فایلهای ویندوز در مواقع ضروری ساخته شده است را پاک کند. همچنین چندین سرویس مهم سیستمی و محصولات امنیتی را غیرفعال میکند.
کارشناسان امنیتی شدیداً توصیه میکنند که وصله جدید مایکروسافت را از سایت آن دانلود کرده و سیستم خود را امن سازید. لینک دانلود
همچنین کوییکهیل یک ابزار رایگان را برای دانلود همگان بر روی سایت خود گذاشته که میتوانید از این ابزار برای اسکن و از بین بردن این ورم استفاده کنید. لینک دانلود
متخصصان همچنین توصیه میکنند که مدیران شبکه حتما پسورد سخت (strong) برای کاربران خود تعیین کنند تا از طریق پسوردهای ساده این ویروس در سطح شبکه داخلی منتشر نگردد.
این کرم همچنین سرویسهای زیر را غیرفعال و یا در اجرای آنان اختلال ایجاد میکند:
* Windows Update Service
* Background Intelligent Transfer Service
* Windows Defender
* Windows Error Reporting Services
کاربران ممکن است نتوانند به سایتهایی که یکی از کلمات زیر در آنها وجود دارد متصل شوند:
QuickHeal
virus
spyware
malware
rootkit
defender
microsoft
symantec
norton
mcafee
trendmicro
sophos
panda
etrust
networkassociates
computerassociates
f-secure
kaspersky
jotti
f-prot
nod32
eset
grisoft
drweb
centralcommand
ahnlab
esafe
avast
avira
quickheal
comodo
clamav
ewido
fortinet
gdata
hacksoft
hauri
ikarus
k7computing
norman
pctools
prevx
rising
securecomputing
sunbelt
emsisoft
arcabit
cpsecure
spamhaus
castlecops
threatexpert
wilderssecurity
windowsupdate
آن همچنین به یکی از وبسایتهای زیر وصل شده و IP کامپیوتر قربانی را بدست میآورد:
http://www.getmyip.org
http://www.whatsmyipaddress.com
http://getmyip.co.uk
http://checkip.dyndns.org
عملکرد:
* ممکن نقاط بازیابی سیستم (System Restore) را پاک کند.
* سرویسهای امنیتی و محافظتی مربوطه را غیرفعال میسازد.
* سرویسهای ویندوز را غیرفعال میسازد.
* دسترسی به سایتهای امنیتی را بلاک میکند.
سولوشن:
System Restore را غیرفعال کنید.
نحوه غیرفعال سیستم ریاستور در ویندوز Me:
دکمه Start و Settings و Control Panel سپس System را دابل کلیک کنید و به سربرگ Performance بروید. File System را کلیک و از تب 'Troubleshooting' گزینه 'Disable System Restore' را کلیک و Apply کرده و سپس سیستم را Restart میکنیم.
نحوه غیرفعال System Restore در ویندوز XP:
دکمه Start و Settings و Control Panel سپس Performance and Maintenance. را انتخاب کنید. “System” را دابل کلیک کرده و سربرگ System Restore را برگزینید. 'Turn off System Restore” را بر روی همه درایوها انتخاب کرده و Aplly، سپس سیستم را ریست کنید.
حالا میتوانید آنتیویروس خود را آپدیت کرده و سپس سیستم را اسکن کنید. ولی یک پیشنهاد جدی دارم که از آنتیویروسی استفاده کنید که حتما همیشه به روز باشه و انجین قویای هم داشته باشه. من خودم آنتیویروس کوئیکهیل را در بستر شبکه و کلاینت بسیار قوی دیدم و تا حالا هیچ ویروسی رو ندیدم که کوییکهیل نتواند آنرا از بین ببرد.