مقدمه‌ای برای ویروس‌ها

Melika Kakou · 23/7/20

هدف اصلي اين كرم اينترنتي ضربه زدن به مايكروسافت و سايت اينترنتي Windowsupdate.comاين كمپاني مي باشد . نويسنده اين كرم با اين عمل مي خواهد براي كاربراني كه مي خواهند سيستم عامل ويندوز خود را از اين طريق در برابر هجوم اين كرم محافظت كنند مشكل ايجاد نمايد . اين كرم در كدهاي خود حاوي رشته پيغام زير مي باشد :

I Just want to say LOVE YOU SAN!! Billy Gates why do you make this possible ? Stop making money and fix your software .

البته اين پيغام در نسخه جديدتر اين كرم (W32/Blaster-B) تغيير كرده است .
كرم Blaster از طريق ايميل گسترش پيدا نمي كند ، بلکه از طريق يافتن نسخه هاي آسيب پذير ويندوز گسترش مي يابد و اين كار را از طريق سرويس (Remote Procedure Call) RPC ويندوز انجام مي دهد . بنابراين برنامه هاي محافظ ايميل قادر به شناسايي اين كرم نيستند .
شركتها و مديران شبكه ها مي بايست نرم افزارهاي محافظ مخصوص اين كرم را از روي سايت مايكروسافت دريافت و نيز از صحيح نصب شدن Firewall ها بروي سيستمها و سرورهاي خود اطمينان حاصل كرده و نيز مهمتر از همه آنتي ويروس بروز شده را فراموش نكنند.

رمان ۹۸ | بهترین انجمن رمان نویسی

بهترین انجمن رمان نویسی ایران | رمان ۹۸

forum.roman98.com

رمان ۹۸ | دانلود رمان

نودهشتیا,بزرگترین مرجع تایپ رمان, دانلود رمان جدید,دانلود رمان عاشقانه, رمان خارجی, رمان ایرانی, دانلود رمان بدون سانسور,دانلود رمان اربابی,

roman98.com

Melika Kakou · 23/7/20

A

نامهاي مستعار :

W32/Lovsan.worm , W32.Blaster.worm , WORM_MSBLAST.A , win32.Poza , Worm/Lovsan.A

نوع :

win32 worm
W32/Blaster-A كرمي است كه از طريق اينترنت و با استفاده از خطاي آسيب پذيري DCOM موجود در سرويس Remote Procedure Call- RPC سيستم عاملهاي ويندوز براي اولين بار توسط كمپاني مايكروسافت در اواسط ماه جولاي 2003 فاش و منتشر مي شود . لازم به ذكر است اين كرم برخلاف اغلب كرمهاي ديگر از طريق ايميل گسترش نمي يابد .
سيستم عاملهايي كه در معرض هجوم اين كرم مي باشند بشرح زير هستند :
Windows NT 4.0
Windows NT 4.0 Terminal Services Edition
Windows 2000
Windows XP
Windows Server 2003
در نسخه هاي ويندوز xp که به اين كرم آلوده می شوند ، بطور متوالي سرويس RPC متوقف میشود و پيغامي مبني بر خاموش شدن سيستم ظاهر میشود “ System ShutDown" و بعد از حدود يك دقيقه سيستم حاوي ويندوز ، XP دوباره راه اندازی مي شود .
ويندوزهاي 95 ، 98 ، ME كه از سرويس RPC استفاده نمي كنند از اين بابت در خطر حمله ی این کرم نيستند .
در مسير يافتن سيستمهاي آسيب پذير ، كرم سيستم راه دور (كامپيوتر آسيب پذير) را وادار به دريافت فايلي از طريق پروتكل دريافت فايل TFTP با عنوان msblast.exe ويا penis32.exe مي نمايد .
اين فايل در شاخه ويندوز كپي مي شود .
همچنين دستور زير را در رجيستري ويندوز اضافه مي كند :
HKLM/Software/microsoft/windows/currentVersion/Run/windows auto update = "msblast.exe"
و نيز رشته كاراكتر زير در كدهاي اين ويروس ديده شده كه البته واضح نيست :
I Just want to say LOVE YOU SAN!! Billy Gates why do you make this possible ?
Stop making money and fix your software .

نحوه مقابله و پاکسازی:

Blaster از طريق شبكه اينترنت سایت ها را جستجو كرده و سيستمهايي كه داراي خطاي آسيب پذيري سرويس محافظتي DCOM RPC هستند را يافته و به درون آنها نفوذ مي كند.

رمان ۹۸ | بهترین انجمن رمان نویسی

بهترین انجمن رمان نویسی ایران | رمان ۹۸

forum.roman98.com

رمان ۹۸ | دانلود رمان

نودهشتیا,بزرگترین مرجع تایپ رمان, دانلود رمان جدید,دانلود رمان عاشقانه, رمان خارجی, رمان ایرانی, دانلود رمان بدون سانسور,دانلود رمان اربابی,

roman98.com

Melika Kakou · 23/7/20

تمهيداتي براي مديران شبكه ها

مديران شبكه (Adminstrators) براي مقابله با نفوذ اين كرم به درون سيستمها و خنثي كردن آن بهتر است که به روش زير عمل كنند :
- در مرحله ی اول اگر آنتی ویروس بر روی سیستم شما نصب بود آنرا به روز کنید در غیر اینصورت از یکی از سایتهای مشهور و قابل اطمینان نظیر سایتهای Symantec و یا Mcafee به نصب آنتی ویروس مناسب بپردازید .
- در مرحله ی بعدی Patch مربوط به عملیات خنثی سازی Blaster را از سایت Microsoft دریافت کرده و بر روی تک تک سیستمها و سرورها نصب کنید .
- فایل ftp.exe ( که یکی از فایلهای برنامه ی ویندوز می باشد ) فایلی است که Blaster می تواند از طریق آن به مقاصد خود برسد . پس بهتر است آنرا به فایل ftp.exe.old تغییر نام داد و عملیات Blaster را خنثی کنید .

نکته :

از حذف فایل مذکو بپرهیزید چرا که ممکن است نرم افزارهای ما بدان محتاج شوند .
-در آخر توصيه مي شود حتي الامكان ترافيك موجود در پورت هاي زير را در نرم افزار Firewall مسدود نمائيد .
-TCP/69 -used by Tftp process
- TCP/135-RPC remote access
- TCP/4444-used by this worm to connect

رمان ۹۸ | بهترین انجمن رمان نویسی

بهترین انجمن رمان نویسی ایران | رمان ۹۸

forum.roman98.com

رمان ۹۸ | دانلود رمان

نودهشتیا,بزرگترین مرجع تایپ رمان, دانلود رمان جدید,دانلود رمان عاشقانه, رمان خارجی, رمان ایرانی, دانلود رمان بدون سانسور,دانلود رمان اربابی,

roman98.com

Melika Kakou · 23/7/20

راهنمايي براي كاربران خانگي

افرادي كه از نسخه هاي ويندوز NT4 , 2000 , XP , server 2003 استفاده مي کنند می توانند جهت محافظت سيستم خود و حتي پاكسازي آن از آلودگي به نکات زیر توجه کنند .

نکته اول :

نرم افزار Firewall در محافظت از كامپيوتر به شما كمك می نمايد .راه اندازي نرم افزار Firewall مي تواند عمليات مخفيانه كرمها در سيستم را محدود سازد .
در نسخه های Windows XP و Server 2003 ، نرم افزار Firewall موجود می باشد . قبل از راه اندازی این نرم افزار، اگر سیستم مدام Reboot شد ، ابتدا ارتباط اینترنتی را قطع کرده و سپس Firewall را فعال کنید .

1- كاربران XP :

براي راه اندازي Firewall ويندوز XP به ترتيب مراحل زیر را انجام دهید :
- Network connection را باز كنيد .
(startmenu/setting/controlPanel/Network & Internet connection)
- سپس روي گزينه Network connection كليك كنيد .
- برروي يكي از Internet connection هايي كه مايليد محافظت بر روی آن انجام شود ، كليك كنيد .
سپس در سمت چپ و در قسمت Network tasks برروي settings of this connections كليك کرده و يا برروي يكي از connection ها كليك راست كرده و گزینه ی Properties را بزنيد .
- در قسمت Advanced Tab اگر گزينه “Protect my computer network” تيك داشته باشد ، Firewall نیز و اگر تيك آن برداشته شود ، غير فعال خواهد بود.
براي دريافت اطلاعات بيشتر راجع به اين قسمت ميتوانيد به آدرس زير مراجعه كنيد :
www.microsoft.com/security/incident/blast.asp

2- كاربران ويندوز server 2003

براي فعال كردن Firewall ويندوز می توان به آدرس زير مراجعه کرد :
www.microsoft.com/technet/treeview/default.asp
نکته دوم:

دریافت security patch از سايت مايكروسافت است .

http://windowsupdate.microsoft.com

نکته سوم:

نصب يك آنتي ويروس Uptodate بر روی سیستم می باشد .

نکته چهارم‌:

پاكسازي كرم از روي سيستم است . که برای انجام این کار هم می توان از ندم افزار آنتی ویروس Uptodate شده استفاده کرد و هم اینکه جهت اطمینان بیشتر بصورت دستی اقدام کرد که ابتدا باید کرم موجود در سیستم و در نرم افزار آنتی ویروس را شناسایی کرده و سپس اقدام به پاکسازی آن کنید.

رمان ۹۸ | بهترین انجمن رمان نویسی

بهترین انجمن رمان نویسی ایران | رمان ۹۸

forum.roman98.com

رمان ۹۸ | دانلود رمان

نودهشتیا,بزرگترین مرجع تایپ رمان, دانلود رمان جدید,دانلود رمان عاشقانه, رمان خارجی, رمان ایرانی, دانلود رمان بدون سانسور,دانلود رمان اربابی,

roman98.com

Melika Kakou · 23/7/20

پاكسازي دستی Blaster-A از روي سيستم

1 : ابتدا كه security patch مخصوص را از سايت مايكروسافت دريافت كرده و برروي سيستم نصب نمایید.

2 : كليدهاي Ctrl+Alt+Del را بطور همزمان با هم فشار دهید.

3 : پس از ظاهر شدن پنجره Task manager برروي گزینه ی Processes Tab كليك كنيد .

4 : فایل msblast.exe را در ليست جستجو كنيد .

5 : پس از يافتن فایل بروي آن كليك كرده ، آنرا highlight نموده ، بروي End process كليك کرده و Task manager را ببنديد .

6 : توسط موتور جستجوگر ويندوز سه فايل Teekids.exe , Penis32.exe , msblast.exe را (Start /search) جستجو كنيد .

احتمالاً به همراه فايلهاي اجرائي فوق ، فايلهايي با پسوند .Pif يافت میشوند . پس از اتمام عمليات جستجو كليه فايلهاي يافته شده با مشخصات بالا را پاك نمائيد . اين فايلها همگي در شاخه ويندوز يافت می شوند .

7 : حال مي بايست دستوری که توسط کرم به رجیستری داده می شود را بیابیم و از بین ببریم.
البته عمليات فوق را مي توان با استفاده از دستور ديگري هم انجام داد :
- در پنجره Run دستور زير را تايپ كنيد .
Services.msc /s
-در پنجره ظاهر شده بروي گزينه “Services and Application" دوبار كليك کرده ، همانطور كه مشاهده مي شود ليستي از سرويسها ظاهر مي شود .
- در قسمت راست پنجره سرويس RPC -Remote Procedure Call را جستجو كنيد .
- برروي آن كليك راست كرده و Properties را انتخاب كنيد .
- بروي Recovery TAB كليك كنيد .
- ليستهاي كركره اي موجود (Subsequent failures , Second failure , First failure) را روي گزينه “ Restart the Service " تغيير دهيد .
- Apply كرده و سپس OK را بزنید.
با انجام اين عمليات و به هنگام اتصال به اينترنت ، Blaster ديگر قادر به Reboot كردن سيستم نخواهد بود .

غير فعال كردن System Restore در ويندوز XP

به منظور احتیاط ، سرويس بازيابي خودكار ويندوز XP يعني System Restore را موقتاً غير فعل می نمائيم .
چرا كه اين قسمت از ويندوز XP بصورت پيش فرض فعال بوده و ممكن است ويندوز فايلهاي آسيب ديده ، ويروس ها ، كرم ها و برنامه هاي اسب تروآ يي كه احياناً قبلاً بروي سيستم بوده اند را بازگرداند. براي غير فعال كردن اين قسمت در ويندوز xp به آدرس زير مراجعه كنيد :
Startmenu / setting / controlPanel / Performance and maintennance /system / system restore(tab) و سپس گزينه زير را فعال می کنیم:
“Turn of system Restore on all Drives"

رمان ۹۸ | بهترین انجمن رمان نویسی

بهترین انجمن رمان نویسی ایران | رمان ۹۸

forum.roman98.com

رمان ۹۸ | دانلود رمان

نودهشتیا,بزرگترین مرجع تایپ رمان, دانلود رمان جدید,دانلود رمان عاشقانه, رمان خارجی, رمان ایرانی, دانلود رمان بدون سانسور,دانلود رمان اربابی,

roman98.com

Melika Kakou · 23/7/20

انواع ديگر BLASTER

W32/Blaster-A با نامهاي مستعار Lovsan , MSBLAST , Poza گسترش يافته است .
هنوز چند هفته اي از شيوع اين كرم نمي گذرد كه انواع جديدتر آن نيز ديده شده است .

W32/Blaster-B ، عملكرد اين نسخه از Blaster نيز مانند نسخه پيشين است با اين تفاوت فايلي را كه در پوشه ويندوز ايجاد مي كند ديگر msblast.exe نمي باشدو فايلي با نام teekids.exe مي باشد ، همچنين دستوري كه در رجيستري ويندوز اضافه مي كندآن دستور قبلي نمي باشد بلكه اين بار حاوي یک رشته كاراكترهايي اهانت آورعليه Bill Gates و كمپاني مايكروسافت و سازندگان آنتي ويروسها مي باشد.
نسخه ديگر اين كرم با نام W32/Blaster-C نيز موجود است كه نام فايل ايجاد كرده در شاخه ويندوز آن penis32.exe مي باشد .

نكته: در كليه نسخه هاي اين كرم همراه فايلهاي exe ايي كه اين كرم در شاخه ويندوز كپي مي كند يك فايل با پسوند .pifو با همان نام در شاخه ويندوز مي توان يافت .

خبر مسدود نمودن سايت windowsupdate.com ، توسط كمپاني مايكروسافت

W32/Blaster-A روز دوشنبه ، 11 آگوست 2003 براي اولين بار ديده شد .
براساس خبرهاي گزارش شده ، كمپاني مايكروسافت تصميم گرفته است آدرس URL ، windowsupdate.com اين كمپاني را بطور كلي از بين ببرد .این همان وب سایتی است که به بـ*ـو*سیله ی این کرم در تاریخ شانزدهم آگوست تمام کامپیوترها در سراسر دنیا را آلوده کرده است .
طبق اعلام مايكروسافت : كاربران مي توانند با مراجعه به آدرس http://windowsupdate.microsoft.com و يا صفحه اصلي مايكروسافت سيستمهاي خود را update نموده و نيز از اطلاعات و patch هاي محافظ موجود ، استفاده كنند.

رمان ۹۸ | بهترین انجمن رمان نویسی

بهترین انجمن رمان نویسی ایران | رمان ۹۸

forum.roman98.com

رمان ۹۸ | دانلود رمان

نودهشتیا,بزرگترین مرجع تایپ رمان, دانلود رمان جدید,دانلود رمان عاشقانه, رمان خارجی, رمان ایرانی, دانلود رمان بدون سانسور,دانلود رمان اربابی,

roman98.com

Melika Kakou · 23/7/20

اسب تروآ “GrayBird” ، چهره ديگر Blaster

آزمايشگاه تحقيقاتي sophos چند روز قبل برروي وب سايت اختصاصي خود اعلام كرد كه نرم افزار آنتي ويروس خود را بار ديگر update نمود ، چرا كه متخصصان اين مركز به يك نوع نرم افزار مخرب اسب تروآ ی جديد با نام “Graybird” Trojan برخورد نموده اند .
اين اسب تروآ جديد كه به منظور بدنام كردن مايكروسافت و شايد جوابي عليه تمهيدات اين كمپاني در مبارزه با كرم جديد Blaster بصورت عمدي بوجود آمده است كه در قالب يك patch نرم افزاري محافظ عليه Blaster ، مربوط به كمپاني مايكروسافت خود را ارسال مي كند .
اين مركز به كاربران توصيه مي كند به هيچ عنوان patch هاي محافظتي ( Security patch) را هرچند که از منابع شناخته شده و مشهور از طریق ایمل ارسال می شود را باز نکنند .
صحيح ترين و قابل اطمينان ترين محل براي دريافت patch هاي محافظ ، وب سايت اختصاصي كمپاني ها و فروشنده هاي مربوطه مي باشد . همچنين از عمل كردن و يا Forward كردن پيغامهاي مشكوكي كه به هر شكلي رويدادها و پيشامدهايي را شرح و تفصيل مي كنند و به خيال خود ممكن است مفيد واقع گردد ، به همكاران و دوستان خود پرهيز كنيد .
Graybird در قالب يك patch نرم افزاري متعلق به مايكروسافت مي باشد و فقط يك حقه گمراه كننده است براي نفوذ كرم Blaster می باشد .
به گفته يكي از متخصصان اين مركز Blaster فقط و فقط يك باور و توهّم خيالي است كه با نفوذ به صدها و هزاران سيستم در سراسر دنيا تلاش مي كند تا كاربران را به ترس و وحشت گرفتار سازد .
هیچگاه كدهاي اجرائئ ارسال شده توسط ايميل را باز نكنيد.