IRCERT - سریع ترین کرم اینترنتی - اخبارها و هشدارها MyDoom

صفحه اول > اخبار و هشدارها

MyDoom حمله خود به شبکه ها را آغاز کرده است

سریعترین کرم اینترنتی

5 فوریه 2004 – 16 بهمن 1382

شما هم اخیرا ایمیلهای عجیب و غریب از مدیر صندوق پست الکترونیکی تان دریافت می کنید؟ حتما دیده اید که یک فایل txt هم به آن الحاق شده است. امیدوارم آن فایل را باز نکرده باشید , چون آن ایمیل ها چیزی نبوند جز پیغامهایی از سریعترین ویروس شناخته شده در دنیا.

اواخر ژانویه ( 8-9 بهمن ماه) سایتهای خبری ,از حمله یک کرم اینترنتی جدید به شبکه ها خبر دادند. کرمی که با سرعتی باور نکردنی خود را تکثیر و پخش می کرد و توانست لقب سریعترین کرم رایانه ای را از Sobig.F برباید. این کرم اینترنتی MyDoom نام داشت.

MyDoom که هنوز منبع اصلی آن ناشناخته است , رایانه های زیادی را در همان روزهای اول آلوده کرد. شرکت امنیتی MessageLabs در روز چهارشنبه 8 بهمن طی گزارشی اعلام کرد که بیشترین آلودگی در مناطق آمریکا و استرالیا بوده است, اما مطابق با گزارشهای رسیده از شرکت British این کرم در همان چند روز اول با ارسال 1.8 میلیون کپی توانسته است آلودگی را در 168 کشور دنیا پراکنده کند. British همچنین در گزارش خود اشاره کرده بود که در هر ساعت جلو 100 هزار کپی از این کرم گرفته می شود. مطابق با آمار ارائه شده از شرکت MessageLabs از هر 12 ایمیل یکی آلوده است , در حالی که در زمان حمله Sobig.F این نسبت 17 به 1 رسیده بود و این نشان از سرعت و شدت حملات MyDoom دارد. سایر آمارها نیز حکایت از همین قضیه داشت. شرکت MessageLabs تنها در یک روز توانسته بود 8.4 میلیون ایمیل آلوده را متوقف کند. 20 درصد ایمیلهای دریافت شده توسط سرورهای شهر بوستون توسط این کرم تولید شده بودند. دانشگاه کارولینای شمالی نیز روزانه 1 میلیون ایمیل آلوده دریافت می کرد. اما MyDoom چگونه کار می کند؟

این کرم که با نامهای Novarg و Shimgapi نیز شناخته می شود, در قالب یک فایل الحاقی باینری فرستاده می شود. گاهی اوقات فایل الحاقی , یک فایل آرشیو 22528 بایتی ZIP است که با وجودی که در اصل یک فایل اجرایی است اما آیکون خود را به شکل یک فایل متنی نمایش می دهد. بدنه ایمیل یکسان نیست اما در اغلب مواقع به نظر می رسد که شما یک پیغام خطا مانند :" The message cannot be represented in 7-bit ASCII… " دریافت کرده اید. از آنجایی که آیکون مربوط به فایلهای متنی است در بسیاری از موارد کاربران آن را با خیال راحت باز می کنند , غافل از این که با این کار رایانه خود را آلوده می کنند. در بعضی موارد نیز به نظر می رسد که شما ایمیل را از یک نشانی رسمی مانند ایمیل مدیر شبکه یا صندوق پست الکترونیکی خود دریافت کرده اید. هنگامی که ایمیل را باز می کنید , اطلاعات مفیدی در بدنه آن نمی یابید و لذا فایل الحاقی را باز می کنید و نتیجه چیزی می شود که کرم اینترنتی خواستار آن بوده است.

MyDoom همانند سایر کرمهای اینترنتی خود را از طریق ایمیل تکثیر می کند . همچنین این کرم خود را درون تمام دایرکتوریهای اشتراکی مورد استفاده سایتهایی مانند Kazaa نیز کپی می کند تا بتواند به رایانه های بیشتری حمله کند. این کرم نشانی های ایمیل را از رایانه های آلوده بر می دارد و فایلهایی با پسوندهای .wab , .adb , .tbb , .dbx , .asp , .php, .sht, .htm و .txt را مورد حمله قرار می دهد. این کرم همچنین سعی می کند تا نشانی های ایمیلی را به صورت تصادفی تولید کند و به آنها ایمیل بفرستد. تحلیلهای اولیه نشان می دهد که MyDoom برای برقراری ارتباط از پورت 3127 که برای دسترسی از دور کاربرد دارد, استفاده می کند.

در بعضی نسخه های این کرم هنگامی که یک کاربر فایل الحاقی را باز کند, برنامه Notepad باز می شود و یک مجموعه کاراکتر تصادفی را نمایش می دهد. در همان زمانی که این کرم خود را تکثیر می کند , یک در پشتی (Backdoor) نیز برای هکرها باز می کند تا بتوانند به سیستم نفوذ کنند. بعضی از نسخه ها نیز یک برنامه Keystroke را نصب می کنند که هرآنچه را شما تایپ می کنید, ثبت می کند ولذا براحتی می تواند شماره های کارت اعتباری و یا کلمات عبور را سرقت کند.

همچنین همانطور که اشاره شد, این کرم از طریق شبکه های اشتراک فایل مانند Kazaa نیز منتشر می شود. این کرم معمولا در این شبکه ها با عناوینی مانند Winamp5 و ICQ2004-final فعالیت می کند. لذا بسیاری از کاربران که به چت علاقه دارند و یا به دنبال فایلهای MP3 هستند, با دیدن این نامها گول می خورند و اقدام به دریافت آنها می کنند.

نسخه اولیه این کرم به گونه ای برنامه ریزی شده بود که در زمانی مشخص به سایت sco.org متعلق به شرکت SCO که ادعای مالکیت سیستم عاملهای UNIX را دارد, از تمامی رایانه های آلوده شده حمله DoS می کرد تا آن را با ترافیک سنگینی روبرو کند و از کار بیاندازد. نسخه ثانویه یعنی MyDoom.B نیز برای حمله به سایتهای SCO و مایکروسافت طراحی شده بود. کرم به گونه ای برنامه ریزی شده است که این حملات مدت 12 روز ادامه یابد. هر یک از این دو شرکت مبلغ 250 هزار دلار را جهت جایزه دادن به یابنده منبع این کرم اینترنتی اختصاص داده اند.

بنابر گزارشهای رسیده زیان مالی حاصل از این حملات اعم از کاهش سرعت شبکه یا خسارات دیگر , براحتی قابل اندازه گیری دقیق نیست اما حدود میلیاردها دلار برآورد می شود.

کارشناسان راه مقابله با این کرم اینترنتی را تنها باز نکردن و پاک کردن آن می دانند. همچنین توصیه می کنند که کاربران به هیچ وجه ایمیلهای ناشناخته را باز نکنند و ویروس کش خود را نیز بروز نگهدارند.