reza_farokh براتون راجع به اين ويروس جديده نوشته ( worm_blaster )

همانطور که همگی شنيده ايد و می شنويد، در روزهای اخير ويروسی روی بسياری از سيستمهای ويندوز XP و ويندوز سرور2003 فعال شده است که به محض اتصال آنها به اينترنت ظرف يک دقيقه سيستم آنها را Restart می کند. متاسفانه با وجود اينکه بسياری از فعالان اينترنت در ايران و نيز صدا و سيما به اين خبر اشاره کردند و برخی متخصصان روشهايی برای پاکسازی رايانه ها از آن اشاره کردند به نظر می رسد که هدف و نحوه کار اين ويروس برای آنها نيز به درستی شناخته شده نبوده است. در اين نوشته پس از بررسی اين ويروس و نحوه آلوده شدن سيستمها توسط اين ويروس به روشهای پاکسازی آن اشاره خواهد شد.

نه تنها نحوه کار و آلوده سازی اين ويروس، بلکه حتی اسامی مختلفی که به آن داده شده است نيز بسياری از افراد را گيج می کنند. اين ويروس را شرکت سيمانتک (نورتن) به نام W32.Blaster.Worm، شرکت McAfee به نام W32/Lovsan.worm و شرکت Trend (Pc-Cillin) به نام WORM_MSBLAST.A می شناسند. علاوه بر نامهای فوق، اين ويروس به نامهای زير نيز شناخته می شود:


 


DcomRPC.exploit, W32/Blaster, W32/Msblast.A, Win32/Poza.Worm, Win32.Poza


 


روشی که اين ويروس از آن استفاده می کن بسيار جديد است و برای اولين بار در 27 تير 1382 بود که شرکت مايکروسافت برای رفع آن اقدام کرد و صفحه http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp را که حاوی اطلاعات فنی و نحوه رهايی از اين مشکل است ايجاد کرد. بد نيست بدانيد آخرين به روز رسانی صفحه ذکر شده همين ديروز يعنی پنجشنبه 23 مرداد 1382 است! خواندن صفحه فوق به تمامی مديران ISPها و سرورها و افراد متخصص به شدت توصيه می شود. اين صفحه روش حل اين مشکل را بيان می کند و توصيه های امنيتی کلی و مهمی را يادآوری می کند. بر خلاف تصور بسياری از دوستان اين ويروس مختص ويندوز XP و ويندوز سرور 2003 نيست و سيستمهای مبتنی بر ويندوز NT و ويندوز 2000 را نيز آلوده می سازد، اما در آنها اين صفحه Restart ظاهر نمی شود.

RPC يک پروتکل است که اجازه می دهد برنامه ای که روی يک سيستم در حال اجراست، کدی را روی کامپيوتر ديگری اجرا کند. قسمتی از ويندوز که وظيفه انتقال پيامها از طريق TCP/IP را دارد در مقابل دريافت درخواستهای ناقص و بدشکل ممکن است دچار مشکل شود به طوری که اگر روی يکی از پورتهای 135، 139، 445 يا 593 درخواستی را که به شکل ويژه ای طراحی شده است ارسال کنيم خواهيم توانست تقريباً هر کاری مانند نصب برنامه، خواندن فايلها، تغيير دادن يا پاک کردن فايلها و ساختن اکانت جديد با حقوق کامل را روی آن سيستم انجام دهيم. ويروسی که در حال حاضر شيوع پيدا کرده است از همين روش استفاده می کند و از بين پورتهای مذکور در بالا پورت 135 را به کار می برد. بدون اينکه بخواهيم وارد ريزه کاريهای نحوه کار اين کرم شويم که برای اکثر خوانندگان ما مفيد نخواهد بود بايد گفت که اين ويروس پورت 4444 را نيز باز می کند و از طرف ديگر روی پورت 69 يک سرور ftp می سازد تا سيستمی که آلوده می کند بتواند با استفاده از دستور tftp ويندوز، فايل ويروس را از آنجا بگيرد و سپس با دريافت دستور مناسب آنرا اجرا کند.

اما به ويروس خودمان باز گرديم. ويروس به محض رسيدن به کامپيوتر کد زير را در رجيستری ويندوز اضافه می کند تا بتواند هر بار که ويندوز اجرا می شود خود را اجرا کند:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"windows auto update" = MSBLAST.EXE

ويروس WORM_MSBLAST.A هر 20 ثانيه يکبار بيدار می شود و بررسی می کند که آيا سيستم به اينترنت متصل شده است يا خير. اگر اتصالی وجود نداشت دوباره به مدت 20 ثانيه می خوابد اما در غير اين صورت به تاريخ کامپيوتر شما نگاه می کند. اگر روز از 16 بزرگتر بود يا ماه بين ژانويه و آگوست بود، از طريق کامپيوتر شما با ارسال پکتهای ويژه ای که فقط شامل TCP/IP header هستند و با مهارت ساخته شده اند به سايت http://www.windowsupdate.com/ حمله می کند به طوری که در هر ثانيه 50،000 پيام از اين دست را به آن سايت ارسال می کند تا يک DOS attack را شکل دهد و سايت مذکور را فلج کند.

تفاوت ظاهر فعاليت ويروس برای کاربران سيستمهای آلوده در ويندوزهای مختلف از اينجا ناشی می شود که هنگامی که RPC در ويندوز 2000 دچار مشکل شود، فعاليتش خاتمه می يابد ولی سيستم را Restart نمی کند (اين خاتمه فعاليت ساير سرويسهايی که برای اجرای خود به آن وابسته هستند را دچار مشکل خواهد کرد) در حالی که در ويندوز XP و ويندوز سرور 2003 هنگام قطع فعاليت RPC، NTAUTHORITY\SYSTEM سيستم را ظرف 60 ثانيه Restart خواهد کرد که اين يکی از تکنيکهای امنيتی به کار رفته در اين ويندوزهاست. (در حقيقت دليل اين restart ممکن است تلاش ويروس از طريق سيستم شما به آلوده کردن سيستم ديگری باشد) کاربران ويندوز XP، command prompt (از start گزينه run را انتخاب و cmd را در آن تايپ و Enter کنيد) را باز و در آن دستور shutdown –a را تايپ و Enter کنيد. اين دستور جلوی Restart شدن ويندوز را خواهد گرفت (حرف a در دستور فوق مخفف abort است).

همچنين نوشته زير داخل متن کد اين کرم به چشم می خورد:

I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!

که در آن از Bill Gates خواسته شده است به جای کسب درآمد جلوی اجرای چنين کرمهايی را بگيرد. می توان اميدوار بود که اين کرم به بالاتر رفتن سطح کلی امنيت سيستمهای عامل و صرف هزينه بيشتر روی امنيت ويندوز و نيز از طرف ديگر به نصب به موقع به روز رسانيهای ويندوز توسط کاربران آن منجر شود.

راه حلهای رها شدن از شر ويروس فوق:

راه حلهای موقت که فقط جلوی Restart را می گيرند:

o کاربران ويندوز XP، command prompt (از start گزينه run را انتخاب و cmd را در آن تايپ و Enter کنيد) را باز و در آن دستور shutdown –a را تايپ و Enter کنيد. اين دستور جلوی Restart شدن ويندوز را خواهد گرفت (حرف a در دستور فوق مخفف abort است).

o از Control panel وارد Administrative tools شويد و از آنجا Services را انتخاب کنيد. از ليست گزينه Remote procedure call (RPC) را پيدا کنيد. روی آن کليک راست کنيد و Properties را انتخاب کنيد. در قسمت Recovery ملاحظه خواهيد کرد که اين سرويس دستور دارد در صورت بروز اشکال ويندوز را Restart کند؛ کافيست دستور آنرا عوض کنيد.


مهم: دو روش بالا ويروس را پاک نمی کنند، فقط اجازه می دهند با سرعتی شايد کمی کمتر (چون ويروس هم از اينترنت شما استفاده می کند) به اينترنت وصل شويد و بتوانيد اقدامات لازم برای پاک کردن ويروس را انجام دهيد. هرگز و تحت هيچ شرايطی تصور نکنيد در اين مرحله کار تمام شده است.

روشهای پاک کردن ويروس:

o روش خودکار:

برنامه ضد ويروس خود را به روز کنيد. پس از update شدن، آن برنامه قادر خواهد بود مشکل شما را حل کند. روش ديگر استفاده از ضد ويروس رايگان موجود در آدرس http://housecall.antivirus.com/ است. همچنين شرکت سيمانتک در صفحه ای که به اين موضوع اختصاص داده است http://securityresponse.symantec.com/avcenter/FixBlast.exe را برای دانلود در اختيار کاربران گذاشته اسن که مراحل دستی ذکر شده در زير را انجام م دهد و اين ويروس را پاک می کند. (برای اطلاعات بيشتر در مورد اين فايل آدرس http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html را ببينيد)

o روش دستی:

 برای باز کردن Task manager، ابتدا CTRL+SHIFT+ESC را فشار دهيد و از بالا Processes را انتخاب کنيد. حال از ليست آن MSBLAST.EXE را بيابيد و آن را End Process کنيد. با بستن و دوباره باز کردن Task manager به روش فوق مطمئن شويد کار به درستی انجام شده است.

 سپس Registry editor را باز کنيد (از start گزينه run را انتخاب و regedit را در آن تايپ و Enter کنيد) حال قسمت زير را بيابيد:

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run

 حالا عبارت "windows auto update" = MSBLAST.EXE را بيابيد و آن را حذف کنيد.

 فايل MSBLAST.EXE را روی هاردتان جستجو و پاک کنيد (اين فايل را به طور معمول در پوشه سيستم ويندوز خود پيدا خواهيد کرد).

برای اطلاعات بيشتر در مورد اين ويروس و ويروسهای ديگر و نيز مسائل امنيتی مشابه، از آدرس http://www.irdir.com/hack.asp قسمت اخبار ويروسها را ببينيد.

  
نویسنده : رضا ; ساعت ۱٠:٥۸ ‎ب.ظ روز سه‌شنبه ۱۱ شهریور ،۱۳۸٢