در این مقاله میخواهم در مورد نحوه عملکرد جدیدترین ویروس کامپیوتری (Worm) که این روزها میلیونها کامپیوتر در سراسر جهان را آلوده کرده است و حتی شرکتهای بزرگ امنیتی جهان را به دردسر انداخته اطلاعات کاملی را ارائه کنم. این کرم اینترنتی که به نام I-Worm.Kido توسط کوییکهیل و Worm/Kido.BO توسط آویرا و مکافیآن را با نام W32/Conficker.worm.gen.a میشناسد، سیستم عاملهای Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP را آلوده میسازد. این کرم اینترنتی که به سرعت از طریق اینترنت گسترش یافته، میتواند از طرق دیگر نظیر شبکه داخلی LAN، داریوهای حافظه مثل فلش و همچنین پسوردهای ضعیف مدیرشبکه نفوذ کند. کیدو برای پخش شدن از آسیبپذیری سرویس سرور ویندوز (SVCHOST.EXE) استفاده میکند. وقتی I-Worm.Kido شروع به کار کرد، فعالیتهای زیر را در سیستم شما انجام میدهد: ابتدا اگر سرویس SVCHOST.EXE نفوذپذیر بود آن به کاربر اجازه خواهد داد تا وقتی که فایلهای اشتراکی فعال بود کدها را بصورت ریموت اجرا کند. این کرم یکی یا چندتا از فایلهای زیر را در مسیرهای ذکرشده ایجاد میکند: %ProgramFiles%\Internet Explorer\{Random Name}.dll %ProgramFiles%\Movie Maker\{Random Name}.dll %System%\{Random Name}.dll %Temp%\{Random Name}.dll %Documents and Settings%\All Users\Application Data \ {Random Name}.dll
همچنین دیتاهای زیر را در رجیستری ویندوز تغییر میدهد: {Random Name} = "rundll32.exe "{Random Name}.dll", ydmmgvos" HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Service name = {Random Name} Display name = {Random Name} Startup Type = Automatic ImagePath = "%System%\svchost.exe -k netsvcs" HKLM\System\CurrentControlSet\Services\{Random Name} dl = "0" ds = "0" HKCU\Software\Microsoft\Windows\CurrentVersion\Applets dl = "0" ds = "0" HKLM\Software\Microsoft\Windows\CurrentVersion\Applets CheckedValue = "0" HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\ Folder\Hidden\SHOWALL این کرم جدید اینترنتی همچنین اطلاعات زیر را در رجیستری برای توسعه سریع در طول شبکه ایجاد میکند: TcpNumConnections = "00FFFFFE" HKLM\System\CurrentControlSet\Services\Tcpip\Parameters
ممکن است این مخرب اینترنتی System Restore ویندوز را که به وسیله کاربر برای بازگرداندن فایلهای ویندوز در مواقع ضروری ساخته شده است را پاک کند. همچنین چندین سرویس مهم سیستمی و محصولات امنیتی را غیرفعال میکند. کارشناسان امنیتی شدیداً توصیه میکنند که وصله جدید مایکروسافت را از سایت آن دانلود کرده و سیستم خود را امن سازید. لینک دانلود همچنین کوییکهیل یک ابزار رایگان را برای دانلود همگان بر روی سایت خود گذاشته که میتوانید از این ابزار برای اسکن و از بین بردن این ورم استفاده کنید. لینک دانلود متخصصان همچنین توصیه میکنند که مدیران شبکه حتما پسورد سخت (strong) برای کاربران خود تعیین کنند تا از طریق پسوردهای ساده این ویروس در سطح شبکه داخلی منتشر نگردد. این کرم همچنین سرویسهای زیر را غیرفعال و یا در اجرای آنان اختلال ایجاد میکند: * Windows Update Service * Background Intelligent Transfer Service * Windows Defender * Windows Error Reporting Services کاربران ممکن است نتوانند به سایتهایی که یکی از کلمات زیر در آنها وجود دارد متصل شوند: QuickHeal virus spyware malware rootkit defender microsoft symantec norton mcafee trendmicro sophos panda etrust networkassociates computerassociates f-secure kaspersky jotti f-prot nod32 eset grisoft drweb centralcommand ahnlab esafe avast avira quickheal comodo clamav ewido fortinet gdata hacksoft hauri ikarus k7computing norman pctools prevx rising securecomputing sunbelt emsisoft arcabit cpsecure spamhaus castlecops threatexpert wilderssecurity windowsupdate آن همچنین به یکی از وبسایتهای زیر وصل شده و IP کامپیوتر قربانی را بدست میآورد: http://www.getmyip.org http://www.whatsmyipaddress.com http://getmyip.co.uk http://checkip.dyndns.org عملکرد: * ممکن نقاط بازیابی سیستم (System Restore) را پاک کند. * سرویسهای امنیتی و محافظتی مربوطه را غیرفعال میسازد. * سرویسهای ویندوز را غیرفعال میسازد. * دسترسی به سایتهای امنیتی را بلاک میکند. سولوشن: System Restore را غیرفعال کنید.
نحوه غیرفعال سیستم ریاستور در ویندوز Me: دکمه Start و Settings و Control Panel سپس System را دابل کلیک کنید و به سربرگ Performance بروید. File System را کلیک و از تب 'Troubleshooting' گزینه 'Disable System Restore' را کلیک و Apply کرده و سپس سیستم را Restart میکنیم. نحوه غیرفعال System Restore در ویندوز XP: دکمه Start و Settings و Control Panel سپس Performance and Maintenance. را انتخاب کنید. “System” را دابل کلیک کرده و سربرگ System Restore را برگزینید. 'Turn off System Restore” را بر روی همه درایوها انتخاب کرده و Aplly، سپس سیستم را ریست کنید. حالا میتوانید آنتیویروس خود را آپدیت کرده و سپس سیستم را اسکن کنید. ولی یک پیشنهاد جدی دارم که از آنتیویروسی استفاده کنید که حتما همیشه به روز باشه و انجین قویای هم داشته باشه. من خودم آنتیویروس کوئیکهیل را در بستر شبکه و کلاینت بسیار قوی دیدم و تا حالا هیچ ویروسی رو ندیدم که کوییکهیل نتواند آنرا از بین ببرد. |