ویروس W32/Mydoom.n@MM

چيست؟

ويروسی با درجه خطر کم که عملکرد “اسب تروا” (Trojan) داشته و اقدام به ارسال نامه های الکترونیکی (E-Mail) از دستگاه آلوده می نماید. این ویروس برای اولین بار در مرداد ماه سال 1383 مشاهده شده است و در آن زمان سبب تاثیر مخربی برروی سرویس دهنده های پست الکترونیکی در دنیا شد. از جمله چند ساعتی سرویس دهنده پست الکترونیکی شرکت مایکروسافت از کار افتاد. اخیرا نسخه ی جدیدی از آن منتشر شده است که معلوم نیست آیا نویسنده اولیه ویروس، دوباره به یاد خاطرات قدیمی اش افتاده است یا احیانا کد ویروس به دست افراد دیگری افتاده است و آنها در حال ادامه راه هستند!

در حال حاضر طبق نقشه ی جهانی میزان آلودگی به این ویروس در خاورمیانه پایین است و بیشترین آلودگیها در هند و چین مشاهده شده است.

نامگذاری ها

اين ويروس با نامهای زير توسط ضدويروسهای مختلف شناسايی می شود: 

انتشار

اسب های تروا برنامه هايی هستند که به عنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا برخلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.

انتشار ويروس W32/Mydoom.n@MM نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبري، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند.

خرابکاری

پس از آلوده شدن دستگاه فایل های بسیاری در سیستم قربانی اضافه می شوند که بعضی از آنها در زیر آمده است:

– C:\Archivos de programa\limewire\Shared\ICQ 4 Lite.exe
– C:\Archivos de programa\Shareaza\index.exe
– C:\Archivos de programa\Gnucleus\Downloads\Harry Potter.exe
– C:\Archivos de programa\Bearshare\Winamp 5.0 (en).exe
– C:\Archivos de programa\Morpheus\My Shared Folder\Harry Potter.exe
– %WINDIR%\Downloaded Program Files\WinRAR.v.3.2.and.key.exe
– %COMMONPROGRAMFILES%\Microsoft Shared\THEMES11 \REFINED\WinRAR.v.3.2.and.key.com
– %COMMONPROGRAMFILES%\Microsoft Shared\THEMES11 \WinRAR.v.3.2.and.key.exe
– %COMMONPROGRAMFILES%\Microsoft Shared\web server extensions \40\bots\Harry Potter.ShareReactor.com
– %COMMONPROGRAMFILES%\Microsoft Shared\TextConv\Winamp 5.0 (en) Crack.ShareReactor.com
– %WINDIR%\ime\shared\WinRAR.v.3.2.and.key.exe
– C:\Archivos de programa\Gnucleus\Downloads \Incoming\index.ShareReactor.com
– %COMMONPROGRAMFILES%\Microsoft Shared \Web Folders\1033\WinRAR.v.3.2.and.key.ShareReactor.com
– %COMMONPROGRAMFILES%\Microsoft Shared \THEMES11\EXPEDITN\Winamp 5.0 (en).ShareReactor.com
– %COMMONPROGRAMFILES%\Microsoft Shared \Smart Tag\LISTS\1033\Kazaa Lite.com
– %PROGRAMFILES%\Shareaza\Downloads\Incoming \ICQ 4 Lite.ShareReactor.com
– %COMMONPROGRAMFILES%\Microsoft Shared \web server extensions\60\Winamp 5.0 (en) Crack.exe
– %COMMONPROGRAMFILES%\Microsoft Shared \web server extensions\40\_vti_bin\_vti_adm\WinRAR.v.3.2.and.key.com

همچنین فایل هایی به طور موقت با نام های تصادفی در حافظه ی دستگاه کپی می شود که چند نمونه ی آنها در زیر آمده است:

– % %TEMP%\tmp14.tmp
– %TEMP%\tmp10.tmp
– %TEMP%\tmp24.tmp
– %TEMP%\tmp12.tmp
– %TEMP%\tmp1A.tmp
– %TEMP%\tmp20.tmp
– %WINDIR%\lsass.exe

پس از آلوده شدن دستگاه ویروس W32/Mydoom.n@MM مدخل های زیر در محضرخانه ی سیستم قربانی ساخته می شوند:

– HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POSIX\
– HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POSIX\

همچنین با تغییر مدخل زیر فایل آلوده ی lsass.exe با هر بار راه اندازی مجدد سیستم اجرا خواهد شد:

– HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\TRAYBAR = %WINDIR%\lsass.exe

از دیگر خرابکاری های این ویروس این است که از دستگاه آلوده ایمیل هایی با مشخصات زیر می فرستد (این مشخصات متفاوت هستند ولی این موارد مشاهده شده است) :

گیرنده ی پیام:

– vmlich@[Domain Removed]
– rar@[Domain Removed]
– oliver.gu@[Domain Removed]
– sales@[Domain Removed]
– unicode-inc@[Domain Removed]
– charsets@[Domain Removed]
– provision@[Domain Removed]
– openssl-core@[Domain Removed]
– winrar@[Domain Removed]
– jimaz@[Domain Removed]
– user1@Attempts to send emails to local domains
– eay@[Domain Removed]
– alex@[Domain Removed]
– tjh@[Domain Removed]
– vente@[Domain Removed]
– Reads email addresses from Email Lists
– cro@[Domain Removed]

فرستنده ی پیام:

– postmaster@[Domain Removed]
– noreply@[Domain Removed]
– vente@[Domain Removed]
– MAILER-DAEMON@[Domain Removed]
– provision@[Domain Removed]
– noreply@Attempts to send emails to local domains
– sales@[Domain Removed]
– winrar@[Domain Removed]

موضوع :

– Delivery reports about your e-mail
– Returned mail: see transcript for details
– Iwtf
– Mail System Error – Returned Mail
– Returned mail: Data format error
– [no subject]
– delivery failed
– Message could not be delivered

همچنین ویروس W32/Mydoom.o@MM تنظیمات پیش فرض مرورگر IE و کوکی های (Cookies) آن را تغییر می دهد و بر روی شاخه های اشتراکی سیستم فایل های مخرب کپی می کند.

ویروس W32/Mydoom.n@MM تلاش می کند با نشانی زیر ارتباط برقرار نماید:

– 205.162.54.***:1042

پيشگيری

به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل و مرورگر در کنار آگاه کردن کاربران در خصوص خطر کليک بر روی لينکهای ناآشنا و عدم اجرای فایل های مشکوک بر روی حافظه های جانبی، همگی می توانند خطر آلوده شدن به اين ويـروس و يـا گونه های مشابه را به حداقل برسانند.

ضدویروس مک آفی با فایل های اطلاعاتی شماره 6876 و بالاتر قادر به شناسایی و پاکسازی این ویروس می باشد.