[ April 27, 2005 ] مرور ويروس‌هاي سال 2004

جمعه، ۱۱ دیماه ۱۳۸۳
ايتنا - به طور كلي وقتي در مورد ويروس‌هاي كامپيوتري صحبت مي‌كنيم، اپيدمي و بسط و گسترش و خرابي‌ها و مشكلات بوجود آمده توسط آنها را بررسي مي‌كنيم، ولي اين بار مي‌خواهيم در مورد قابل توجه‌ترين كدهاي مخرب سال 2004 بحث كنيم.

رشته حمله‌هاي ويروسي
Mydoom.A مركز توجه كدهاي مخرب منتشر شده در سال 2004 بود. از هر چهار نامه ارسال شده در زمان خود يكي آلوده به اين ويروس بود. Mydoom از يك مهندسي بسيار ساده و در عين حال تاثيرگذار استفاده مي‌كرد. ثابت شده است كه نامه‌هاي دريافت نشده(undelivered mail) از طرف سرورها كه برگردانده مي‌شدند، به اين ويروس آلوده بودند و با كدهاي مخربي مانند Doomjuice,Deadhat,Mitgleder همراه بوده‌اند.
اين به آن معني است كه آلودگي اين ويروس با اين نام شروع شده و تا چند هفته بعد با نام‌هاي ديگر منتشر شد.

كرم Nachi
دو گونه مختلف كرم Nachi كه با نام ديگر Doomhunter نيز معرفي گشته با پوشش نام modern-day,cyber-RobinHoods منتشر شده‌اند. متاسفانه از آنجا كه انتشار اين كرم با Mydoom و Doomjuice و Blaster همزمان شد كامپيوترهاي آلوده پس از پاك‌سازي از كدهاي مخرب قبلي به علت حضور ناگهاني Nachi مجددا آلوده شدند.

شروع و تولد CyberWar
بحث در مورد بوقوع پيوستن و شروع جنگ‌هاي اينترنتي در فضاي Cyber و چگونگي بروز مشكلات بين‌المللي توسط آنها بسيار زياد شده است . ولي ما اولين جنگ اينترنتي را در سال 2004 بين ويروس نويسان ديديم كه باعث پيدايش گونه‌هاي مختلف Bagle و Netsky و Mydoom شد. كه هر كدام در پيام‌ها و كدهاي خود داراي اختلافات كوچكي بودند.
آيا هيچكدامشان پيروز شدند و به منظورشان رسيدند؟
كسي نمي‌داند، و بهتر است كه فكر كنيم بازندگان كساني بودند كه كامپيوترهايشان آلوده شده بود.

استفاده از بزرگ‌ترين حفره امنيتي سال 2004
Lsass ويروسي بود كه روي نسخه‌هاي متعددي از سيستم‌هاي عامل ويندوز تاثير گذاشت. بدون شك حفره بزرگ امنيتي سيستم عامل ويندوز در سال 2004 باعث پيدايش كرم Sasser شد. اين كرم با نصب و انتشار خود باعث Restart شدن مداوم كامپيوتر مي‌شد.
اين در آخرين ليست ويروس‌هايي بود كه يك عمل مشخص انجام مي‌دادند مانند Klez.j (‌آسيب پذيري قالب)‌ و Blaster (آسيب پذيري ريالRPC DCOM) در ادامه سوءاستفاده از حفره امنيتي ويندوز كدهاي آلوده ديگري نيز با بهره‌برداري از LSASS مانند Korgo, Bobax, Cycle, Kibuv, Plexus... منتشر شدند.

ويروس‌هايي كه روي Platformهاي جديد تاثير مي‌گذارند
تا به حال تاثير ويروس‌ها بر روي Platform هاي جديد دور از انتظار بود. در حالي كه در سال 2004 ويروس‌هايي پيدا شدند (مانند Toquimos.A, Skulls.A و يا خانواده كرم‌هاي اينترنتي Cabir ) كه به طور جدي سيستم‌هاي 64 بيتي (مانند Shruggle.1318) و حتي گوشي‌هاي موبايل را آلوده ساختند.

فرمت‌هاي جديد ويروس
در بسياري از مواقع ويروس نويسان محصول خود را طوري پنهان مي‌كنند كه به نظر مي‌رسد فايل‌هاي تصويري يا صوتي و يا غيره هستند. به نظر غيرممكن مي‌رسيد كه فايل‌هاي تصويري بتوانند كامپيوتر را آلوده كنند، اما اتفاقات اخير نشان داد كه ويروس نويسان مي‌توانند فايل‌هاي JPEG مخربي بسازند كه وقتي باز مي‌شوند فعاليت مخرب خود را منتشر كنند. از اين گروه كدهاي مخرب مي‌توانيم به JPGDownloader و JPGTrojan اشاره كنيم.

حيله‌هاي كارآمد
اگر چه تعداد زيادي از ويروس‌ها از نرم‌افزارهاي آسيب‌پذير براي انتشار خود استفاده مي‌كنند، هنوز گروهي هستند كه از مهندسي اجتماعي ويروس نويسي براي آلوده كردن كامپيوترها استفاده مي‌كنند. در سال 2004 تعداد زيادي از ويروس‌ها مثل Mydoom.A به اين صورت طراحي شده بودند كه كه Errorهاي دروغين به كاربر بدهند و يا مانند Netsky.N و Netsky.O يا Mywife.A اعلام كنند كه فايل دريافت شده توسط آنتي‌ويروس اسكن شده و كاملا ايمن است.

استفاده از سياست‌هايي كه از شناخته شدنشان جلوگيري مي‌كند
در سال 2004 بسياري از كرم هاي اينترنتي از يك استراتژي جديد استفاده مي‌كردند كه از شناخته شدن سريع توسط آنتي‌ويروس‌ها در امان باشند و بتوانند سيستم‌هاي امنيتي كامپيوتر را مختل كنند، يعني نه تنها تلاش مي‌كردند كه خودشان شناسايي نشوند، بلكه كامپيوتر را نيز بدون محافظ مي‌كردند تا مسير حملات بعدي را هموار سازند.

توضيح: جهت دريافت اطلاعات بيشتر مي‌توانيد به سايت http://www.pandasoftware.com/virus_info/ مراجعه نمائيد.