آشنایی با ویروس ها (17) - ویروس W32Sobig.F@mm






در ماه اگوست سال 2003 شاهد دور تازه ای از تهاجمات ویروسهای مخرب اینترنتی بودیم یکی از این ویروسهای خطرناک ویروسی بنام w32.sobig.f@mm بود.
این ویروس دارای مشخصه های Mass-mailing ( توده های عظیم پستی ) و network-aware worm ( کرم هوشمند شبکه ای ) می باشد و قادر است خودش را به همه آدرس های پستی موجود در فایل های با پسوند dbx.eml.hlp.htm.html.mht.wab.txt .در کامپیوتر میزبان بصورت خودکار کپی نماید و از طریق این ادرسها به سایر کامپیوترها حمله نماید وبه سرعت تکثیرشود . همچنین با استفاده از موتورهای که دارای smtp میباشند نیز منتشر می شود و سعی می کند یک کپی از خودش را بر روی شیکه های مشترکی که در دسترس آن می باشند بصورت خودکارایجاد نماید.
مشخصات یک نامه الوده به ویروس sobig.f : فسمت form : ( فرستنده نامه )
این ویروس اغلب از آدرس admin@internet.com استفاده می کند و می تواند از ادرسهای که در کامپیوتر آلوده بدست آورده استفاده نماید و همچنین قادر است با اتصال به یک سرور smtp از آدرسهای آن بعنوان ادرس فرستنده بهره جوید.
قسمت subject : ( موضوع نامه )
در این قسمت نامه الوده عناوینی زیر مشاهده می شود

. re: details .
. re: approved .
. re: re: my details .
. re: thank you !.
. re: that movie .
. re: wicked Screensaver .
. re: your application .
. thank you !.
. your details .

قسمت body : ( متن نامه )
در این قسمت نامه آلوده مطالب زیر به چشم می خورد

. see the attached file for details .
. please see the attached file for details ..

قسمت attachment : ( پیوست نامه )
در نامه آلوده به ویروس پیوستهای زیر مشاهده می شوند.

. your_document.pif .
. document_all.pif .
. thank_you.pif .
. your_details.pif .
. details.pif .
. document_9446.pif .
. application.pif .
. wicked_SCR.SCR .
. movie0045.pif .

توجهات ویژه :
- ویروس w32.sobig.f@mm در تاریخ 10 سپتامبر 2003 بی اثر می شود . لذا اخرین روزی که این ویروس منتشر می شود 9 سپتامبر سال 2003 می باشد و کامپیوترهای که به این ویروس الوده شده اند بصورت مخفیانه نسخه Update شده این ویروس را از سرورهای اصلی مشخص تو سط نویسندگا ن ویروس جهت تها جم تازه دریافت می کنند.( توضیح این که رفتار مشابه ای در نسخه های قبلی این ویروس مشاهده شده است )
- از انجا که این ویروس پورتهای UDP 123, 995, 996, 997, 998, 999, 8998 را باز می کند در کامپیوترهای آلوده به ویروس ترافیک پورت UDP ودر نتیجه کاهش سرعت اینترنت مشاهده شده است در ضمن بعلت باز شدن پورتهای فوق احتمال نفوذ غیر مجاز در کامپیوتر و سرور الوده وجود دارد
- این ویروس قادر است فایلهای را که می تواند به کمک آنها خود را Update کند بصورت خودکار و مخفیانه بر روی کامپیوتر الوده download و اجرا نماید . و ضمنا به کمک این توانائی این ویروس قادراست در شرایطی به سرور های که نویسندگان مشخص کرده اند متصل شود و یک فایل Trojan را دریافت و اجرا نماید . و مواقعی که احتمال ذارد این ویروس به سرورهای مشخص شده برای download فایلهای مورد نیاز خود متصل شود عبارتند از
- روزهای جمعه و یا شنبه به وقت utc (coordinated time universal ساعت جهانی ) در ساعاتی بین 7 p.m و 10 p.m .- و شماره IP سرورهای که احتمال می رود دستگاه الوده بصورت خودکار به آنها وصل شود و فایلهای مورد نیاز را download کند عبارتند از :

- 12.232.104.221
- 12.158.102.205 -
- 24.33.66.38 -
- 24.197.143.132 -
- 24.206.75.137 -
- 24.202.91.43 -
- 24.210.182.156 -
- 61.38.187.59 -
- 63.250.82.87 -
- 65.92.80.218 -
- 65.92.186.145 -
- 65.95.193.138 -
- 65.93.81.59 -
- 65.177.240.194 -
- 66.131.207.81 -
- 67.9.241.67 -
- 67.73.21.6 -
- 68.38.159.161 -
- 68.50.208.96 -
- 218.147.164.29 -

- این ویروس در دایرکتوری سیستم عامل ویندوز فایل های winppr32.exe و winstt32.dat را کپی می کند.
ادامه دارد ......
ارسال مقاله توسط عضو محترم سایت با نام کاربری : sm1372